jueves, 7 de mayo de 2015

Badoo cambia de criterio

Entre esta resolución y ésta ha ocurrido algo fundamental. La sociedad británica Badoo Trading, Ltd., propietaria de la red social Badoo (como los más sagaces de Ustedes ya habrán deducido), ha cambiado su criterio en relación a la comunicación de datos de IPs de sus usuarios.

En el primer caso, Dª B.B.B. fue sancionada con 2.000 €, entre otras cosas, por crear un perfil falso en la citada red social utilizando fotografías de Dª C.C.C.

Aunque Dª C.C.C. no sabía quién estaba detrás de los mensajes que corrían por Facebook injuriándola, ni conocía la identidad de la persona que había abierto una cuenta en Badoo con 27 fotografías suyas pidiendo explícitamente contactos sexuales, sospechaba que se trataba de alguien cercano a su ex marido. Presentó una denuncia a la Agencia Española de Protección de Datos exponiendo simplemente los hechos, sin señalar culpables.

La AEPD abrió la correspondiente investigación. Como suele hacer en estos casos, se dirigió a los responsables de las redes sociales.

De manera diligente, Badoo Tranding Ltd. dio de baja el perfil falso y comunicó a la Agencia las direcciones IP de los equipos desde los que se había creado y actualizado dicho perfil. Como se indica en la resolución:

A partir de esta información y de la facilitada por los operadores de telecomunicaciones que tienen asignado el uso de esas direcciones IP, se desprende que los datos de carácter personal de la denunciante fueron tratados en la red social Badoo los días 26 y 28 de diciembre de 2011, 4, 9, 12 y 28 de enero de 2012. Según estas informaciones, los accesos se produjeron desde equipos conectados a internet a través de la línea telefónica de la que es titular doña B.B.B. (en lo sucesivo la denunciada), instalada en una localidad próxima a aquella en la que reside la denunciante.”

La denuncia se presentó en mayo de 2012, y entendemos que las actuaciones no se debieron demorar mucho. Como decimos, finalmente, el asunto se cerró con una multa a Dª B.B.B. de 2.000 € por tratar datos sin el consentimiento de la denunciante.

Sin embargo, pocos meses después, en diciembre de 2012, el departamento legal de Badoo Trading, Ltd. remitió un escrito a la AEPD señalando que cambiaba su criterio, y que no facilitaría las IPs de los usuarios. Así, cuando a principios de 2014 la Guardia Civil de La Victoria de Acentejo dio traslado a la Agencia de dos atestados relativos a denuncias por suplantación de la identidad de dos niñas de 16 años, a través de perfiles falsos en Badoo, se tuvo que archivar el procedimiento sin multa para los responsables. La resolución concluye con la siguiente explicación:

“A este respecto, en escrito de fecha 19 de diciembre de 2012, por el departamento legal de la compañía de nacionalidad británica Badoo Trading, Ltd. se confirmó a la Inspección de Datos un cambio de criterio respecto a la atención de las solicitudes de información que hasta entonces venían canalizándose a través del departamento técnico de la compañía. Badoo Trading, Ltd., con domicilio social en Inglaterra, interpreta que, desde una perspectiva territorial, la norma que le resultaría aplicable a Badoo sería la Ley de Protección de Datos del Reino Unido, y declara que, con carácter general, la misma prohíbe facilitar datos de carácter personal sin el consentimiento expreso del titular de los mismos, salvo que sean requeridos por una autoridad competente en Inglaterra. Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal.

Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal. En el presente caso, por la Inspección de Datos no se ha obtenido información relevante que permita la identificación de los autores de los perfiles denunciados.”

Más suerte tuvo la denunciante de la tercera resolución que les comentaré hoy. El 5 de marzo de 2014, una señorita que se declara “camarera de animación” puso en conocimiento de la AEPD que su ex jefe había creado un perfil falso en Badoo utilizando su fotografía “como reclamo para contactar con chicas que pudieran estar interesadas en participar en los espectáculos lésbicos que organiza la empresa que dirige”.

Sí, han leído bien…pero centrémonos en los temas relativos a protección de datos. Al ex jefe le cayó una multa de 2.000 euros. ¿Cómo es posible, si Badoo no facilita datos de IPs de diciembre de 2012? ¿Han vuelto a cambiar de criterio estos ingleses? No. Son gente de fiar y muy seria. Lo que ocurre es que el denunciado había sobreimpreso en la fotografía su número de teléfono personal y el nombre comercial de su empresa. Así es difícil negar los hechos.

Lean el texto completo de la resolución aquí.

domingo, 11 de enero de 2015

Otra vez la dichosa casilla

Aquí tienen Ustedes otra resolución de la AEPD sobre cláusulas informativas. Queda claro, tras su lectura, que no se puede imponer a un cliente que acepte cualquier tratamiento de sus datos sin permitirle, en el mismo momento de la aceptación del contrato, oponerse a los tratamientos no directamente relacionados con el objeto del contrato. Como bien explica Monsieur le Directeur, una cosa es cumplir con el art. 15 del RLOPD, y otra permitir la revocación del consentimiento prestado. 

En este caso, una entidad bancaria, el BBVA, cambia las condiciones generales de sus servicios, de tal forma que no permite realizar trámites on-line a clientes de la entidad, que venían operando habitualmente por este medio, sin aceptarlas. Estas condiciones incluían, por lo que se refiere a protección de datos, lo siguiente:

1º. Posibilidad de tratar los datos para finalidades adicionales a la del contrato: 

"Asimismo el Cliente autoriza que sus datos personales se incorporen a ficheros del Banco para las siguientes finalidades:

a) La elaboración de perfiles de cliente con fines comerciales, a efectos de ofrecer productos o servicios bancarios, y de análisis de riesgos para futuras operaciones.
b) La remisión, a través de cualquier medio, incluso por correo electrónico u otro medio de comunicación electrónica equivalente, de cualesquiera informaciones sobre productos o servicios bancarios o de terceros.
c) Para cualesquiera otras finalidades no incompatibles con cualquiera de las previstas en este apartado."

2º. Cesiones a empresas del grupo:

“ El Cliente consiente y autoriza al Banco a comunicar sus datos de identificación y comunicación a las Entidades del Grupo BBVA en España para su utilización con la finalidad del apartado II. b).” 

No se puede decir que se hayan detallado de forma correcta las finalidades (eso de "cualesquiera otras finalidades no incompatibles" resulta demasiado ambiguo, por decirlo de una manera educada), pero lo peor es que no se ofrece al usuario la posibilidad de oponerse a estos tratamientos mediante la marcación de una casilla. Simplemente se indicaba (recordemos que la denuncia la presenta un usuario de los servicios de banca electrónica) esto:

“Específicamente el Banco informa al Cliente que en el momento de la presente contratación o con posterioridad a la misma y en cualquiera de sus oficinas, pueden manifestar su negativa al tratamiento por el Banco de sus datos personales para cualquiera de las finalidades indicadas en el apartado II de la presente Cláusula"

Bonito, ¿verdad? Pues le ha costado 35.000 euros al BBVA. Aquí le dejo el razonamiento de la AEPD, con el que, por una vez y sin que sirva de precedentes, coincido: 

"En este supuesto, de las actuaciones practicadas se desprende que si bien las personas físicas usuarias de dicho servicio podían acceder a través de internet en el sitio web www.bbva...... a las condiciones del “contrato multicanal” y “anexo de servicios del contrato multicanal y que en la cláusula 12- IX del contrato MULTICANAL se señala que “Específicamente el Banco informa al Cliente que en el momento de la presente contratación o con posterioridad a la misma y en cualquiera de sus oficinas, pueden manifestar su negativa al tratamiento por el Banco de sus datos personales para cualquiera de las finalidades indicadas en el apartado II de la presente Cláusula.. Sin embargo se ha constatado que en el contrato multicanal aportado y en el anexo al contrato multicanal no se prevé en ningún lugar la posibilidad de que el interesado pueda manifestar expresamente en el cuerpo del propio contrato su voluntad favorable o contraria al tratamiento de sus datos para fines no relacionados directamente con el desarrollo del contrato y la prestación del servicio.

Esa circunstancia entra en colisión directa con la exigencia contenida en el mencionado artículo 15.

Alega BBVA que tiene previsto un procedimiento por el cual se hace efectiva la oposición al tratamiento de los datos del cliente para finalidades que no guarden relación con el mantenimiento desarrollo o control de la relación contractual. (....) En este sentido hay que señalar que lo anteriormente manifestado no resulta de aplicación a la contratación online que se realiza sin intervención de alguna oficina. En la contratación on line no se prevé en ningún lugar de dichos contratos la posibilidad de que el interesado pueda manifestar expresamente en el momento de la contratación su voluntad favorable o contraria al tratamiento de sus datos para fines no relacionados directamente con el desarrollo del contrato y la prestación del servicio. Así mismo señalar que el procedimiento que tiene instaurado la entidad denunciada es un procedimiento de revocación del consentimiento una vez que éste obligatoriamente ha sido dado, como se desprende del hecho probado segundo, que no ofrece al afectado la posibilidad de negarse al tratamiento de sus datos en el momento de la contratación, a pesar de lo manifestado en la propia cláusula.

En consecuencia, en tanto no se permita al interesado manifestar su voluntad, (antes de que el consentimiento se entienda prestado) en el momento de la contratación en relación a los tratamientos no vinculados directamente con la prestación del servicio y no exista una manifestación del consentimiento del interesado para el tratamiento de sus datos con fines distintos al objeto principal del contrato no puede considerarse conforme a lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal, ya que se obliga a la aceptación de las condiciones y a una posterior revocación en su caso, por tanto, no existe la posibilidad de negar el consentimiento en el momento de la contratación, suponiendo dicha circunstancia una vulneración del cumplimiento de las exigencias recogidas en el citado artículo 5.1.a) de la LOPD en su relación con lo previsto en el artículo 15 del RDLOPD.

Por tanto los mecanismos de rechazo deben estar incluidos en el propio documento a fin de posibilitar que el afectado pueda ser informado y manifestar, en el mismo momento de facilitación de sus datos, su negativa al uso de los mismos para fines no relacionados directamente con proceso de formación del contrato en cuestión.

Sin embargo en este caso, el procedimiento habilitado por BBVA no permite al usuario manifestar su negativa en el momento en que se recaban los datos."

Les he copiado los párrafos más relevantes, pero deberían leer Ustedes la resolución completa (17 páginas de placer LOPD) antes de irse a dormir. Buenas noches. 

martes, 6 de enero de 2015

Una casilla lo cambia todo

No son muchas las resoluciones en las que la Agencia Española de Protección de Datos analiza con detalle la redacción de las cláusulas informativas utilizadas en procesos de recogida de datos. En los próximos días, Dios mediante, analizaremos tres interesantes resoluciones publicadas en 2014 sobre este particular. Para empezar el año, he elegido la mejor de todas. Ya verán. Parece el guión de una película de Frank Capra. 

El denunciante, el señor A.A.A., es sin duda alguien con ideales elevados, alguien que lucha por un mundo justo, donde las grandes compañías no envían publicidad por e-mail, ni elaboran perfiles de sus clientes, ni ceden datos a terceros. 

En fin, nuestro héroe, cansado de las condiciones abusivas impuestas por Jazztel, denuncia a esta compañía con la intención principal, y cito textualmente, de "conseguir que Jazztel y las demás empresas de telecomunicaciones y de otros sectores que se valgan de los mismos métodos para el envío de información comercial:

- Incluyan una casilla/recuadro de envío de información comercial en los contratos.
- Que se incluya una cláusula de cesión de datos para envío de publicidad en los
contratos.
- Que pongan una letra que sea legible.”

Un fin, muy loable, sí señor. Me imagino a D. A.A.A. como a James Stewart en "Caballero sin Espada". Eso sí, menos ingenuo. Se nota que este héroe contemporáneo está en tercero de lopedé, ya que antes de presentar la denuncia, ató bien todos los cabos y, entre otras cosas, grabó una conversación telefónica en la que se le negaba repetidamente el ejercicio de su derecho de oposición. Vuelvo a citar textualmente:

" Consta en el expediente grabación de una contratación telefónica de una línea móvil de JAZZTEL efectuada por el denunciante en fecha 29/04/2014, en la cual el denunciante puesto al habla con el departamento de ventas móviles de JAZZTEL solicita contratar una nueva línea de móvil. Después de confirmar con el denunciante sus datos personales (nombre y apellidos, DNI, dirección, teléfono de contacto y correo electrónico), así como la tarifa contratada, se le informa que la conversación va a ser grabada y que en cumplimiento de la LOPD se le informa que sus datos van a ser incorporados a un fichero automatizado de JAZZTEL con los fines de comercialización, prestación e información comercial y publicidad y que podrán ser cedidos a otras entidades que colaboran con JAZZTEL en la realización de los mismos. Se le informa que podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición por escrito  enviándolo a una dirección postal, o mediante llamada a una teléfono gratuito (1565). El denunciante manifiesta hasta en tres ocasiones la negativa a que sus datos sean utilizados con fines comerciales y publicitarios y su cesión a otras entidades, manifestando que quiere que sean tratados únicamente para el mantenimiento de la relación contractual (facturación). JAZZTEL niega la posibilidad de tal oposición al tratamiento con fines comerciales informando al denunciante que si desea ejercer tal derecho debe llamar al teléfono gratuito 1565 para oponerse al envío de información comercial (folios 69-73)."

Vayamos a lo interesante. El caso es que Jazztel se pasaba por el forro eso de ofrecer la posibilidad al interesado de oponerse a recibir publicidad en el momento de la contratación del servicio mediante la marcación de una casillita. Y aquí va lo que dice la AEPD, y lo que deben recordar cuando redacten una cláusula lopedé (Otra cita literal. Estoy en plan Ana Rosa...Voy a tener que pagar derechos de autor a Monsieur le Directeur):

"En este supuesto, de las actuaciones practicadas y pruebas aportadas se acredita que JAZZTEL incumple lo dispuesto en el artículo 5.1 de la LOPD y 15 del RLOPD por cuanto en las contrataciones telefónicas de sus servicios no ofrece al cliente la posibilidad de oponerse la tratamiento de sus datos personales con fines comerciales, incorporándolos a su fichero automatizado con tal finalidad, obligando por tanto al cliente que desea oponerse a dicho tratamiento a dirigirse con posterioridad a JAZZTEL, por escrito mediante envío postal, o mediante llamada gratuita al 1565, para manifestar su deseo de oponerse al tratamiento de sus datos con fines comerciales y publicitarios.

(...) Es decir, en el presente caso no basta con informar que los datos facilitados en la contratación serán incorporados a un fichero automatizado de datos de carácter personal creado bajo la responsabilidad de JAZZTEL, con los fines de publicidad, prestación del servicio y promoción comercial, así como informar de la cesión a otras entidades. Además de informar sobre la finalidad publicitaria del tratamiento hay que permitir al titular de los datos que manifieste expresamente su negativa al tratamiento de sus datos para finalidades ajenas a la relación contractual, pues sólo así se observa plenamente el requisito de informar sobre la finalidad del tratamiento. En este caso, en lugar de haber informado al denunciante de la posibilidad de oponerse al tratamiento de sus datos con fines comerciales y publicitarios y de su cesión a otras entidades, en un momento posterior a haber sido incluido en el fichero con tales finalidades, debería ofrecer, en el mismo momento de efectuar la contratación telefónica, la posibilidad de oponerse al tratamiento de sus datos con los citados fines comerciales y publicitarios, hecho, que como se acredita en el expediente no se produce en dichas contrataciones telefónicas.

Aduce JAZZTEL que ha garantizado el cumplimiento de lo previsto en el artículo 15 del RDLOPD al haber optado por una de las opciones que se otorgan al responsable del tratamiento para cumplir con la obligación descrita en tal precepto, puesto que tenía implementado un procedimiento que permitía al afectado manifestar su negativa, ejercitando su derecho de oposición mediante comunicación escrita dirigida a una dirección postal o llamada gratuita al número habilitado al efecto.

Dicha afirmación debe rechazarse, ya que con independencia del procedimiento para el ejercicio del derecho de oposición, lo cierto es que JAZZTEL no ha acreditado la implementación de un procedimiento para que el cliente que contrata telefónicamente sus servicios, tenga la posibilidad, como exige la normativa de protección de datos, de oponerse, en el momento en que se recaban sus datos, al tratamiento de los mismos con fines distintos a los estrictamente necesarios para el mantenimiento de la relación contractual, en este caso, con fines comerciales y  publicitario"

Como habrán deducido, gana los buenos y a Jazztel le cae una multa de 40.000 euros para Jazztel. Don A.A.A. puede estar contento. Eso sí, me temo que la empresa sancionada pagará la multa sin despeinarse (simples migajas), y no modificará demasiado sus prácticas.

Mañana más. Buenas noches. 

lunes, 9 de junio de 2014

III Concurso de Microrrelatos: Derecho al Olvido y Calcetines

Tras el éxito de la segunda edición, la Dirección de Ad Edictum convoca el III Concurso de Microrrelatos. Las reglas son sencillas (o ese espero):
- Los relatos deben tener una extensión máxima de 160 palabras, título excluido.
- Deben incluir necesariamente los términos "Derecho al Olvido" y "calcetines".
- Pueden ser enviados mediante comentario en este post o por correo electrónico a consultasblogtic@gmail.com.
El ganador tendrá un premio muy bonito.

domingo, 4 de mayo de 2014

Yo, pecador

Este post está dedicado a todos los que ha pasado la Semana Santa haciendo penitencia, como la empresa protagonista de nuestra resolución de hoy, que se denunció a sí misma a la Agencia Española de Protección de Datos (lo que viene a ser hacer un "pepephone"). 

Debido a un fallo técnico, el teléfono y el nombre de un cliente de The Phone House, compañía a la que la empresa autodenunciada presta servicios, se remitió a 72 usuarios. Éste es el tipo de errores que suelen acabar en sanción, una sanción baja. Por regla general, no se suelen imponer las cuantías correspondientes a las infracciones graves (especialmente, en supuestos en los que se acredita que el problema ha sido subsanado y se ha debido a un error). Lo peor son los daños de imagen que pueden sufrir las compañías implicadas, especialmente cuando se trata de empresas conocidas y poco queridas, como The Phone House. 

En este caso, se actuó rápidamente. Se investigó cómo se había producido este incidente, registrándose en el Documento de Seguridad, se comunicó a la persona afectada, y la compañía causante del fallo lo puso en conocimiento de la AEPD. Bien asesorada, la compañía solicitaba clemencia en su autodenuncia: 

"La compañía, en su calidad de encargado de tratamiento por cuenta de The Phone House, S.L.U., solicita a la Agencia que se analice si la incidencia es merecedora de “inspección y, en su caso, sanción” y se valore la posibilidad de atender a lo previsto en el artículo 45.6 de la LOPD, al tratarse de la primera vez en que pudiera haber faltado a su deber (puntualmente y por un desafortunado fallo técnico, inmediatamente resuelto) y al bajo nivel de ingresos de la empresa."

Y sí, Monsieur le Directeur, que tienen su corazoncito, aunque a veces no lo parezca, aplicó el art. 45.6 LOPD. Apercibió a la empresa sin sancionar. 

"En el presente supuesto se cumplen los requisitos recogidos en los apartados a) y b) del citado artículo 45.6 de la LOPD. Junto a ello se constata una cualificada disminución de la culpabilidad de la entidad denunciada por la concurrencia de varios criterios de los enunciados en el artículo 45.4 de la LOPD, concretamente, la ausencia de beneficios y el grado de intencionalidad apreciado. 

En el presente caso, ha quedado acreditado que el denunciado ha comunicado a esta Agencia las medidas correctoras adoptada. Teniendo en cuenta estas circunstancias, no procede requerimiento alguno."

Todo parece indicar que esta empresa ofreció su cuerpo para aplacar a La Bestia y salvar a su cliente, que es lo que debe hacer un buen encargado del tratamiento. Para ambas entidades, la cosa ha salido bien, sobre todo porque el prestador del servicio no contaba con antecedentes lopedé y el incidente no revestía especial gravedad. A Pepephone, le cayeron 3.000 €. Teniendo en cuenta que ya han sido sancionado con 40.000 € de una tacada (véanlo aquí), les debió parecer más que razonable.