Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

¡Ay!, la (maldita) copia oculta

por

Debemos reconocerlo. A todos nos ha pasado, por ir con prisas y no fijarnos o simplemente porque en el momento supremo de enviar el correo una distracción –llaman al móvil o alguien nos interrumpe – hace que enviemos los correos a un conjunto de destinatarios sin poner en copia oculta (CCO). Y una vez pulsada la tecla de Enviar, sale, inevitablemente de lo más profundo de nuestra garganta, un “Ay!” que se hace sentir por toda la estancia. Sin embargo, ya es tarde. Irremediablemente tarde.

Pues eso le ocurrió a una inmobiliaria aquí, en Terrassa. Y, como no puede ser de otra forma, con consecuencias no deseadas (ver resolución AEPD). Por la empresa y, lo que es peor, por los destinatarios que vieron expuestos sus datos personales. Vamos a contarlo.

Los hechos

Una empresa inmobiliaria remite un correo electrónico, a una pluralidad de destinatarios, sin utilizar la modalidad de copia oculta, lo que permite que terceros tengan conocimiento de la dirección de correo electrónico del reclamante. ¿Fácil de entender? Pues sí. No se pueden desvelar datos personales, ni siquiera el correo, porque vulnera el artículo 5.1.f) del RGPD. Y el 32 también, como veremos.

Las consideraciones de la AEPD

La Agencia considera que la entidad reclamada, con su actuación, ha cedido los datos a terceros sin causa que lo legitime y, por tanto, ha realizado un tratamiento de los datos personales, cuya custodia tiene encomendada, contrario a derecho . La empresa ha violado el principio de integridad y confidencialidad (artículo 5.1.f) RGPD), así como no haber adoptado las medidas de seguridad necesarias para garantizar la protección de datos de carácter personal de sus clientes (artículo 32 RGPD), al no utilizar la modalidad de copia oculta del correo electrónico.

Multa por dos conceptos

La primera multa, por la infracción del artículo 5.1.f) RGPD, se cuantifica (tras la graduación de la sanción) en 6.000€.
La segunda, por infracción del artículo 32 RGPD, es de 3.000 €.
Hacen un total de 9.000 €.

No está mal una multa de 9.000€ por una acción que se podría haber evitado sólo pegando el listado en el campo CCO del editor de correo. Además, la empresa, de forma inusitada, no contestó al requerimiento de la AEPD ni presentó ninguna alegación (de las comunicaciones con la AEPD hablaremos otro día).

Apuntes

Pero más allá del hecho puntual, doloroso pero asumible, está el bien jurídico que quiere protegerse que no es otro que la privacidad de los datos personales. Y aquí sí debemos prestar atención. Se trata de realizar un tratamiento escrupuloso de los datos personales que nos encomiendan. Aplicar los principios del RGPD como la transparencia, minimización, integridad, confidencialidad y demás, y, sobre todo, el de la lealtad con el interesado.

Como siempre, ¡cuidados!

Google Chrome? No tan incógnito …

por

Google Chrome es, con diferencia, el buscador más utilizado por los usuarios que navegan por Internet. Muy por delante de Edge, Safari y los demás. Además, el servicio lo proporciona una gran compañía -grande en todos los sentidos- que hace que tengamos la percepción de que es un buen producto, merecedor de toda nuestra confianza. Pues bien, esto no debería ser exactamente así, por nuestra seguridad y privacidad.

Chrome, como otros navegadores, dispone de un método de navegación que denomina “incógnito”. La RAE, en la segunda acepción, define incógnito como «situación de un personaje público que actúa como persona privada«. Es decir, persona que desea pasar por desconocida en su viaje virtual, en este caso, a la red. Y, sobre todo, sentirse seguro y protegido.

¿Qué es el modo incógnito?
En este modo, el navegador elimina los datos locales de la sesión de navegación en Internet. Quiere decir que se bloquean las cookies, no se registra el historial de navegación y cualquier otro rastreador, archivo temporal o barra de herramientas de tercero se desactivará. Y esto deja muchos datos a los que el modo incógnito no afecta para nada.

¿Es tan “incógnito”?
Pues no o al menos no es suficiente. Si inicias sesión en un sitio web, éste te identificará y podrá seguir tus actividades. No evitará que los sitios que visitas, tu centro educativo, tu empresa o proveedor de servicio de Internet puedan ver tu actividad y ubicación. Y tampoco evitará que los sitios web que visites publiquen anuncios basados ​​en tu actividad durante una sesión de incógnito.

El mensaje que destapa el asunto
Como siempre, el diablo está en detalles. La jefa de marketing de Goggle, Lorraine Twohill, envió un correo a Sundar Pichai (CEO) advirtiéndole de que los clientes estaban confundidos respecto al funcionamiento del modo incógnito y. «Haz que el modo incógnito sea realmente privado» escribió. Twohill lo envió después de que varios usuarios presentaran una demanda colectiva multimillonaria por supone seguimiento de los usuarios mientras utilizaban este modo.

Incluso los empleados avisaron
La cosa viene de lejos. Ya en 2018, un empleado compartió un informe que demostraba que los usuarios no entienden realmente cómo funciona y no saben que no protege su privacidad como ellos piensas. Para este empleado, «hay que dejar de llamarlo incógnito y de utilizar un icono con un espía» porque lleva a equivoco sobre sus características.

Recopila nuestros datos para mostrar publicidad
Google no se esconde y lo explica en un enlace pero nadie lo lee. ¿Le resulta familiar no leer las informaciones adicionales o los términos y condiciones de uso de las apps? Pues eso. Este enlace de “Más información” está bien visible en la página inicial y explica qué no hace el modo de incógnito.

En resumen
Al final, “business is business” y si fuera realmente incógnito, Google no haría negocio con nuestros datos que vende a los anunciantes. Por nuestra parte, podemos utilizarlo, como dice Google, por cuestiones inocentes como comprar un regalo por un familiar que comparte ordenador o por si salta el banner de cookies, como hacemos los profesionales de la privacidad. Por lo demás, es mejor utilizar DuckDuckGo para tener algo más de privacidad. Y queda pendiente por otro día hablar de Tor.

Como siempre, ¡cuidados!

¿Quieres acosar a alguien con un perfil falso? No es buena idea.

por

La semana pasada hablábamos de la utilización de las redes para cobrar una deuda de forma poco ortodoxa, por decirlo suavemente. Ahora queremos hablar de una práctica más que habitual y muchos más execrable como es la de abrir perfiles falsos en la redes sociales, páginas de contacto o simplemente de anuncios, provocando un acoso o directamente una humillación hacia otra persona.

Vemos algunos avances en la lucha contra la violencia digital en la nueva Ley.

La novedad

Esta conducta tendrá, a partir del próximo 7 de octubre, respuesta penal. En efecto, el día 7 entrará en vigor la nueva Ley Orgánica 10/2022, de 6 de septiembre, de Garantía Integral de la Libertad Sexual: es la conocida popularmente como «ley del sólo sí es sí«.

En la nueva redacción se ha modificado el artículo 172 del Código Penal vigente para, como dice el preámbulo de la Ley,  «dar respuesta especialmente a las violencias sexuales cometidas en el ámbito digital». Y explica que estas violencias comprenden, entre otras, la difusión de actos de violencia sexual a través de medios tecnológicos, la pornografía no consentida y la extorsión sexual.

Por primera vez, los perfiles falsos en redes sociales para acosar entran en el Código Penal español.

La conducta

Ejemplos de esta conducta serían la creación de un perfil falso en una web de citas (o de escorts) con ánimo de humillarla. O subir a una red social, con una cuenta fake, imágenes humillantes retocadas con el ánimo de acosarla.

La conducta que se penaliza no es tanto crear un perfil para obtener un beneficio o perjuicio genérico, sino de la creación de un perfil falso para acosar, hostigar o humillar a otro.

Las penas

La Ley considera como delito de acoso la utilización sin permiso de la imagen de otra persona para «realizar anuncios o abrir perfiles falsos en redes sociales, páginas de contacto o cualquier medio de difusión pública, ocasionándole a la misma situación de acoso, hostigamiento o humillación«. Estos hechos se castigarán también con penas de prisión tres meses a un año o multas de seis a doce meses.

El acoso en la empresa

La Ley ha modificado también otros artículos de interés que hacen referencia a los actos hostiles o humillantes que supongan grave acoso a la víctima en el ámbito de la empresa, la solicitud de favores sexuales en el ámbito de una relación laboral siempre que provoquen una situación gravemente intimidatoria, hostil o humillante o la difusión, revelación o cesión a terceros de imágenes o grabaciones sin autorización de la víctima,  lo que se conoce como sexting.

 

El acoso no ha sido nunca una buena idea, siempre ha sido un delito y, ahora, la Ley ha hecho un esfuerzo para perseguir estas conductas detestables.  Y debemos ser conscientes de que el acoso, como todas las conductas delictivas o simplemente reprobables, es cosa de todos, no sólo de los afectados. Todos podemos ayudar en nuestra medida. No mirar hacia otro lado e implicarnos ya es un paso adelante.

¡Como siempre, cuidaos!

¡No todo vale para perseguir a un moroso!

por

Hoy en día es bastante habitual que las empresas suban fotografías al Insta (como se dice ahora), generalmente para promocionar sus productos y ganar reputación. Pero, a veces, las intenciones son otras y el resultado no puede ser más desastroso. Como dice el título, no todo vale para perseguir a un moroso ni para muchas otras cosas en la vida.

El caso

Una mujer interpone una reclamación ante la AEPD basándose en que la  tienda de vestidos de novia donde había comprado el suyo, ha publicado en Instagram una foto en la que figura vestida con su vestido de novia, con el objetivo de cobrarlo.

Según dice la tienda, en ningún momento se identifica a los reclamantes, ya que las fotografías mostraban las figuras de dos personas, hombre y mujer, con la cara totalmente tapada con un círculo negro que no permitía la identificación y que, por tanto, no había tratamiento de los datos personales de la pareja. La firma señala que se alteró deliberadamente la fotografía para ocultar la identidad, por lo que difícilmente se podría considerar un tratamiento ilícito de datos. Y alega también que la imagen se difundió en Instagram menos de una hora porque la clienta pagó inmediatamente.

Por su parte, la Agencia entiende que la falta de pago no legitima usar imágenes si no se cuenta con el consentimiento expreso de la afectada. Y que poco tiempo que la fotografía estuvo expuesta no es atenuante, antes lo contrario, porque fue consecuencia del pago coaccionado de la clienta. Se ha incurrido, por tanto, en un tratamiento ilícito de datos personales.

La sanción

La Agencia entiende que la conducta supone una infracción del artículo 6 del RGPD (licitud del tratamiento) ya que los datos personales fueron tratados sin contar con ningún tipo de legitimación. De acuerdo con los criterios sancionadores, se estima adecuado imponer a la tienda una sanción de 10.000€ por la infracción referida, por falta de consentimiento de la afectada.

Reflexiones

Como dice el título, todo no vale. Para publicar una imagen en redes sociales, y en cualquier otra situación, es imprescindible contar con el consentimiento expreso si no tenemos otra base legitimadora. En este caso, no se solicitó el consentimiento de la afectada porque se buscaba presionarla para que pagara. Y ya se puede entender que no hubiera dado nunca el consentimiento para que la presionaran.

Con carácter general también podemos decir que nuestro ordenamiento jurídico nos ofrece un amplio abanico de mecanismos para, como en este caso, recuperar una deuda de una manera arreglada. No hay que acudir a atajos ente que llevan a una sanción (o consecuencias peores).

 

¡Como siempre, cuidaos!

¿Qué sabe Internet de ti?

por

El uso que hacemos de Internet, desde nuestras preferencias de navegación hasta los contenidos que compartimos en redes sociales, crean un rastro denominado huella digital.

Tu huella digital también la conforman los contenidos que comparten terceras personas sobre ti, con o sin consentimiento, y que te identifican en internet.

¿Qué es una Huella Digital?

Siempre que usamos Internet, dejamos un rastro de información personal que se conoce como huella digital. La huella se alimenta de casi todas las actividades que realizamos en la red. Por ejemplo, cuando visitamos un sitio web, hacemos una publicación en una red social, nos suscribimos a una newsletter, hacemos una compra o dejamos una opinión en un comercio estamos haciendo crecer nuestra huella digital.

Estas actividades, conocidas por todos, se conocen como huellas digitales activas porque el usuario comparte voluntariamente la información personal de forma consciente. Si completamos un formulario de registro y damos nuestro consentimiento para que traten nuestros datos, estaremos contribuyendo a nuestra huella digital activa.

Pero, ¿qué pasa con nuestra huella digital pasiva? Esta se crea cuando se recoge información del usuario sin que éste se dé cuenta. El primer ejemplo lo encontramos cuando los sitios webs recopilan nuestra IP o nos instalan cookies en nuestro navegador para rastrear nuestra actividad y poder enviarnos, para poner un caso, publicidad segmentada.  O cuando damos un «like» o compartimos un contenido en una red social que les permitirá crear un perfil sobre ti.

La identidad digital

Toda esta huella digital que generamos se convierte en lo que se denomina «identidad digital» en la red. Esto incluye desde huellas deseadas como puede ser un perfil de Linkedin o aparecer en la página web de la empresa hasta aquellas referencias nuestras que pueden afectar a nuestra reputación y que quizás no somos ni conscientes de ello.

Y la identidad digital va ligada a la «reputación digital» (lo que también se conoce como «marca personal«, análoga a la reputación en el mundo analógico que tan bien conocemos y a menudo sufrimos. Si lo que Internet sabe de nosotros es negativo, lo primero que sufrirá será nuestra reputación. Y esto puede ser debido, habitualmente, a nuestra huella digital pasiva de la que siquiera nos somos conscientes. En la red puede haber una reseña negativa o una fotografía que nos coge en un mal paso y que nosotros no sabemos de su existencia.

¿Es importante la huella digital?

El tema reputacional, en sí mismo, ya es bastante importante. Imaginemos que queremos que nos admitan en una escuela, universidad o en determinada empresa. O, simplemente, queremos contraer matrimonio. O somos una persona famosa o queremos hacer carrera, digamos, política o similar. O hemos sido víctima de un acoso y han publicado un vídeo de contenido sexual (caso que se dio a principio de verano con un conocido actor). Los ejemplos son muy numerosos.

Pero la exposición en la red puede suponer otros peligros. Ataques de phishing aprovechando la información nuestra que circula en Internet, que se difunda contenido comprometido destinado a un círculo privado, acosos de todo tipo aprovechando lo que saben de nosotros (tema delicado especialmente por determinados colectivos: menores, víctimas de violencia sexual, etc.), chantajes en el ámbito empresarial son sólo algunos ejemplos.

Tengamos siempre presente que cuando publicas una información en Internet es como si la tatuase: cuesta mucho borrarla. Y una vez publicada perdemos el control sobre el uso que harán los demás de la información.

Proteger tu huella digital

Este tema será objeto de un próximo post pero, en síntesis, se trata de reducir nuestra exposición en la red. Reducir las fuentes de información que te mencionan, limitar la cantidad de información que compartes, ser cuidadoso con las redes sociales, revisar nuestra configuración de privacidad, evitar sitios web inseguros, no usar Wifis públicas, tener una política de contraseñas, revisar los dispositivos móviles o usar una VPN (Red Privada Virtual) pueden ser algunas recomendaciones a seguir.

 

Como siempre, ¡cuidad vuestra reputación digital y cuidaos vosotros mismos!

Apps infantiles, ¿están en peligro nuestros hijos?

por

A propósito del eco que el profesor de la UOC César Córcoles se hizo recientemente de un Estudio de la Universidad de California («Won’t Somebody Think of the Children?» ) sobre las apps infantiles, nos parece oportuno hacer algunas consideraciones.

Y ello porque, como es obvio, los niños suponen el colectivo más vulnerable en cuanto a la privacidad en Internet. A su corta edad, –pocos conocimientos, menos experiencia y comportamiento grupal– se le añade el hecho de que los adultos les proporcionamos una herramienta ­–el móvil­– con tantas virtudes como peligros potenciales.

¿Cuáles son las estadísticas del Estudio?

Para que nos hagamos una idea, el estudio citado asegura que un 19% de las aplicaciones dirigidas al público infantil recaban datos de sus usuarios de manera ilegal. Es decir, recopilan información personal, a menudo a través de terceros, sin cumplir con la normativa.

Los investigadores han examinado el cumplimiento de la COPPA (Children’s Online Privacy Protection Rule), la normativa americana que impone determinados requisitos a los operadores de sitios web o servicios en línea que recogen información personal de niños menores de 13 años. Y la conclusión es que el 57% de las aplicaciones infantiles gratuitas más populares de Estados Unidos vulnera la privacidad de los menores. Un panorama poco alentador.

¿Qué información obtienen?

La información más frecuente que las aplicaciones obtienen de sus usuarios es la ubicación, cuando esta es innecesaria salvo que la aplicación sea de mapas o del tiempo. Esto lo aprovecha el algoritmo publicitario para hacer recomendaciones de productos y servicios cerca del usuario. También es habitual recoger el identificador único, es decir, la cuenta de correo que se ha usado para registrarse en la app. También pueden tener acceso a los contactos, fotos, cámara, micrófono y un largo etcétera. Haz la prueba. ¡Quedaréis estupefactos!

¿Qué se está haciendo para minimizarlo?

Pero no está todo perdido. Señala el profesor Córcoles que «afortunadamente, tanto Google con Android con Apple con IOS se han vuelto más estrictos con los permisos que podemos dar a las aplicaciones. Sin embargo, siguen habiendo vulneraciones importantes. Y, si esto es un problema para un adulto, todavía lo es más para los niños, que deberían tener más protección».

Poco a poco, también, aparecen nuevas normativas para tratar de minimizar el impacto en la privacidad de los menores. Así podemos citar la California Age-Appropriate Design Code Act, la nueva ley que California acaba de aprobar para proteger a los menores.  Obligará a las redes a garantizar la seguridad de los usuarios más jóvenes en materia de algoritmos y publicidad dirigida, entre otros. Las empresas no podrán compartir o vender cualquier información personal que no sea necesaria para el funcionamiento del servicio.

¿Qué dice el RGPD?

Dice que el consentimiento sólo será válido a partir de los 16 años. En España, sin embargo, la LOPDGDD en virtud de la potestad que le otorga el RGPD, se ha fijado la edad en 14 años. En la misma Ley, se plantea promover una ley dirigida específicamente a garantizar los derechos del menor ante el impacto de Internet.

Recomendaciones

La primera y más importante es la supervisión parental. Debemos entender que los niños tienen móvil a partir de los 10 años (o antes). Y que no tienen un teléfono sino un smartphone. Y la diferencia es sustancial porque el smartphone les abre la puerta a un mundo de adultos para el que no están todavía preparados.

Activar los controles parentales, configurar el móvil con las opciones de privacidad adecuadas, revisar los permisos de las aplicaciones, inhabilitar los identificadores son algunos otros que podemos aplicar. Podéis encontrar ayuda a is4k.

Y diálogo. Un diálogo abierto y sincero. Con los niños, con la familia, con los padres de otros niños y con la escuela. No hablar de ello no es una opción.

¡Y como siempre, cuidaos y cuidemos a los más pequeños!

Menores y huella digital

por

El post de hoy está propiciado por el reciente nacimiento del nieto de unos buenos amigos. Ha sido un niño que ha nacido con todos los pronunciamientos favorables. Y, como es natural, lo primero que han hecho los padres ha sido hacer fotografías y difundirlas entre familia, amigos y conocidos vía Whastapp y otras redes sociales.

Y qué menos, diréis. Desde que existe la fotografía que los orgullosos padres han querido inmortalizar el nacimiento del hijo y enseñarla a cuanta más gente mejor. Y eso está muy bien, faltaría más, pero es que ahora tenemos una nueva variable que tenemos que considerar: la huella digital.

Antes las fotografías se enseñaban en un álbum de papel. Una vez vistas, el álbum se guardaba en un estante y hasta la próxima. Ahora, no. Las fotografías son digitales y se reproducen en la red a toda velocidad. Y quedan, sobre todo quedan para siempre. Y ese rastro del niño o de la niña, tan monos, quedan desde el nacimiento, incluso desde antes si los padres comparten las ecografías, y le acompañará toda la vida. E iremos añadiendo: los primeros pasos, el primer diente, el primer «papá» o «mamá» (esto en vídeo) y así hasta tener una recopilación de centenares de imágenes del bebé hasta que sea mayor de edad y pueda decidir. En ese momento su huella digital será muy extensa.

El problema

La primera obviedad es que cuando se sube una imagen a Internet, se pierde el control sobre ella.

A partir de ahí pueden pasar muchas cosas buenas, pero también de no tan buenas. En el primer caso, por ejemplo, que una empresa de publicidad nos ofrezca un contrato publicitario para explotar la imagen del niño. Pero del otro lado, nos podemos encontrar desde empresas que usen la imagen sin permiso hasta usar la foto para pornografía infantil en manos de pedófilos (grooming).

El Sharenting

Cómo no, Sharenting es un anglicismo que combina dos términos, share (compartir) y parenting (crianza).  Y describe la actividad de documentar exhaustivamente y compartir irreflexivamente en el mundo digital el crecimiento de los niños. Esto ocurre sobre todo en Facebook, Instagram y WhatsApp. Si la actividad es excesiva se denomina oversharenting.

¿Es legal publicar fotos de menores?

En España, la LOPD establece la mayoría de edad para que el menor pueda gestionar su privacidad en Internet en los 14 años. Esto quiere decir que si quiere publicar una foto lo puede hacer sin el consentimiento de los padres. Y los padres no pueden publicar una foto si el menor no lo autoriza. Si publican sin consentimiento se exponen a una sanción.

Por debajo de los 14 años, los progenitores o los tutores legales continúan teniendo todo el poder de decisión. Si el menor quiere crear un perfil en una red social, necesita autorización.

En el caso de parejas separadas, no puedes publicar fotos del menor sin consentimiento de la otra parte.

Recomendaciones

Más allá de la prudencia y el sentido común, podríamos apuntar algunos consejos.

  • Antes de subir una foto del menor, pensarlo dos veces. Todo lo que se publica, queda.
  • Y, una vez publicado, queda fuera de nuestro control.
  • Pensar a largo plazo. La foto que ahora es graciosa puede perjudicarle en el futuro
  • Cuidado con el contexto de la fotografía. Puede ofrecer mucha información como edad, estatus económico, ubicación (aparte del geoposicionamiento por los metadatos), la relación con otras personas, etc.
  • No publicar fotos del menor desnudo o en situaciones incómodas.
  • Leer las condiciones de servicio de las redes sociales.
  • Preguntar al menor, tan pronto como sea posible, si quiere que subamos la foto a Internet. No nos exime de responsabilidad pero facilita la reflexión e implica al menor en la decisión.
  • No publicar fotos de otros menores sin consentimiento de los padres (por ejemplo, fotos de cumpleaños o del colegio).
  • Supervisar los contenidos que el menor sube a la red.

Como recomendación genérica, seguir las indicaciones de la web is4k (Internet Segura for Kids), un portal de INCIBE. Está llena de buenos consejos explicados de forma amena y con contenidos para compartir con los menores.

¿Qué hacemos si queremos retirar las fotos (derecho al olvido)?

En general, no es una buena idea publicar fotos de niños en las redes sociales más allá de algunas hechas con cuidado y prudencia.

Pero si lo necesitamos, está a nuestro alcance el ejercicio del Derecho al olvido. La primera acción obvia, si nosotros no somos los autores, pedir al autor que la retire. Si no obtenemos resultado, el Reglamento General de Protección de Datos (RGPD) nos ampara en el ejercicio del Derecho de Supresión que, en el ámbito de Internet, se denomina Derecho al olvido. De eso ya hemos hablado y podéis encontrar más información aquí.

¡Como siempre, cuidemos a los menores y cuidémonos!

Los muertos vivientes de las tecnológicas

por

Hay que asumirlo: una hora u otra a todos nos llega el momento de dejar este mundo. Y este momento es muy delicado para los familiares del difunto. De manera que todo lo que se haga para facilitar los trámites será de muy agradecido por los allegados. Pero hay empresas que no tienen esa sensibilidad. Y, es evidente, hay que corregir esta carencia.

Todo viene a raíz de una nueva condena a Telefónica y un episodio, uno más, muy desafortunado de Vodafone.

Los hechos de Telefónica

En el primer caso, tal y como explica El País, Telefónica es condenada por incluir en un fichero de morosos a una persona, 18 años después de muerta. El juez ha condenado a la compañía a indemnizar a los herederos de la mujer a la que mantuvo en un registro de deudores, aunque le suplantaron la identidad.

La persona en cuestión murió en abril de 2003 y en febrero de 2021 su hija recibió una carta de Asnef (registro de morosos) informándole de que la difunta estaba incluida en un fichero de morosos por una deuda contraída con Telefónica. La empresa reclamaba una factura de 182,39 euros emitida cuando la mujer ya había fallecido. Alguien dio de alta un teléfono fijo con los datos de la difunta, pero la empresa no enmendó el error a pesar de recibir el certificado de defunción de la presunta morosa.

La sentencia impone a Telefónica el pago de una indemnización de 10.000€ a los familiares de los afectados, más intereses y costas.

Un verdadera pesadilla que, afortunadamente, ha tenido un final, no digo feliz porque la experiencia se las trae, pero al menos justo.

La semana pasada también nos hacíamos eco de una sanción impuesta a Naturgy por un tratamiento ilícito de datos personales como este, por no tener actualizados los datos tal y como exige el Reglamento.

Los hechos de Vodafone.

Según explica Enrique Dans, un conocido periodista y activista británico, George Monbiot, intentó cancelar el contrato de móvil de su madre, a raíz de su muerte. La compañía comenzó a poner todo tipo de dificultades y a acosar a su padre pidiendo datos con la fecha exacta en que había firmado el contrato, que naturalmente no podía recordar, con «extrema rudeza y agresividad«-

Ante la imposibilidad de cancelar la cuenta, decidieron dejar de asumir los cargos. Y, como no podía ser de otra manera, Vodafone los incluyó en un fichero de morosos en una empresa que siguió importunando al padre.

Este caso, se pudo solucionar rápidamente porque el periodista escribió un hilo muy detallado en su cuenta de Twitter que tiene alrededor de medio millón de seguidores. Miles de retweets y likes hicieron su magia, con muchos seguidores relatando experiencias similares. Vodafone pidió inmediatamente disculpas pero el periodista no se conforma porque entiende que la manera de proceder es parte de una política corporativa y quiere llegar al fondo del asunto. Como dice el profesor Dans, con episodios como este, «a Vodafone se le estarán apareciendo sus muertos durante bastante tiempo«.

La conclusión

En ambos casos, se crea un quebranto y una angustia debido al acoso y la impotencia, absolutamente desproporcionados con las deudas cuando, además, no son verdad.

Todo parece indicar que las actuaciones responden a una política corporativa orientada a dar todas las facilidades para contratar los servicios y, en cambio, a ejercer máxima presión sobre quien quiere rescindir el contrato. Y debería ser, al menos, tan fácil salir como entrar, para ser justos. El consumidor siempre es la parte débil del contrato y debe tener una protección especial.

 

Como siempre, ¡cuidaos!

El diablo siempre está en los detalles

por

El diablo siempre está en los detalles, reza el dicho popular. La frase se utiliza en múltiples sentidos pero siempre con la misma idea: muchas veces el problema radica en la minuciosidad de los detalles o en las acciones que parecen no tener importancia antes que en las grandes iniciativas o acuerdos. Podemos tenerlo todo perfectamente calculado y medido pero, en el momento o lugar más inesperado, aparece el diablo.

Y eso es lo que le ha sucedido a una empresa comercializadora del Grupo Naturgy. La aparición del diablo le ha supuesto una sanción de 100.000€.

Los hechos

El motivo de la reclamación es que la empresa envió el contrato de suministro eléctrico de la nueva casa de la parte reclamante, en la que incluía todos sus datos personales, incluyendo la nueva dirección, a la dirección de su antiguo domicilio. Con consecuencias inesperadas.

Porque, y aquí aparece el diablo, el contrato lo recibió precisamente la persona sobre la que había una orden de alejamiento.

La empresa reclamada no actualizó la dirección principal asociada a la reclamante, motivo por el cual la copia del contrato se envió a la previa dirección principal asociada al NIF del cliente que resultó ser la antigua.

Tratamiento ilícito

Dice la AEPD que estamos ante un tratamiento ilícito de datos personales, incurriendo en una infracción del art. 5.1.d) RGPD por no tener actualizados los datos de la afectada. El artículo dice que «Los datos de carácter personal serán (…) d) exactos y, si fuera necesario, actualizadas«. El responsable tomará las medidas necesarias para garantizar la exactitud.

La sanción

A efectos de fijar el importe de la sanción, además de la infracción tipificada en el artículo 83.5.a) del RGPD, la AEPD estima concurrentes, en este caso, dos agravantes: 1)  La intencionalidad o negligencia a la infracción, ya que dada la actividad del reclamado (tratamiento de gran cantidad de datos) le es exigible más cuidado en el tratamiento de los datos y 2)  La vinculación de la actividad del infractor con la realización de tratamientos de datos ya que la actividad empresarial de la reclamada (comercializadora de energía)  supone un continuo tratamiento de datos de carácter personal.

Tenemos en cuenta estas consideraciones, la Agencia decide imponer a la reclamada la sanción de 100.000€. Como sea que la empresa reclamada ha reconocido su responsabilidad y aplicando la reducción de pago voluntario, la sanción ha quedado reducida a 60.000€.

El diablo

Un pequeño error material ha supuesto una sanción notable de lo que la empresa se recuperará sin dificultad.  En este caso sin embargo hay un agravante moral que ha sufrido la víctima por sus circunstancias particulares, de mucho más difícil recuperación.

No olvidemos que detrás de cada dato personal hay una persona. Tratamos adecuadamente los datos porque estaremos tratando adecuadamente a las personas. Al final, es lo que importa. ¡Cuidaos!

Revisión Textos Legales Web