domingo, 11 de enero de 2015

Otra vez la dichosa casilla

Aquí tienen Ustedes otra resolución de la AEPD sobre cláusulas informativas. Queda claro, tras su lectura, que no se puede imponer a un cliente que acepte cualquier tratamiento de sus datos sin permitirle, en el mismo momento de la aceptación del contrato, oponerse a los tratamientos no directamente relacionados con el objeto del contrato. Como bien explica Monsieur le Directeur, una cosa es cumplir con el art. 15 del RLOPD, y otra permitir la revocación del consentimiento prestado. 

En este caso, una entidad bancaria, el BBVA, cambia las condiciones generales de sus servicios, de tal forma que no permite realizar trámites on-line a clientes de la entidad, que venían operando habitualmente por este medio, sin aceptarlas. Estas condiciones incluían, por lo que se refiere a protección de datos, lo siguiente:

1º. Posibilidad de tratar los datos para finalidades adicionales a la del contrato: 

"Asimismo el Cliente autoriza que sus datos personales se incorporen a ficheros del Banco para las siguientes finalidades:

a) La elaboración de perfiles de cliente con fines comerciales, a efectos de ofrecer productos o servicios bancarios, y de análisis de riesgos para futuras operaciones.
b) La remisión, a través de cualquier medio, incluso por correo electrónico u otro medio de comunicación electrónica equivalente, de cualesquiera informaciones sobre productos o servicios bancarios o de terceros.
c) Para cualesquiera otras finalidades no incompatibles con cualquiera de las previstas en este apartado."

2º. Cesiones a empresas del grupo:

“ El Cliente consiente y autoriza al Banco a comunicar sus datos de identificación y comunicación a las Entidades del Grupo BBVA en España para su utilización con la finalidad del apartado II. b).” 

No se puede decir que se hayan detallado de forma correcta las finalidades (eso de "cualesquiera otras finalidades no incompatibles" resulta demasiado ambiguo, por decirlo de una manera educada), pero lo peor es que no se ofrece al usuario la posibilidad de oponerse a estos tratamientos mediante la marcación de una casilla. Simplemente se indicaba (recordemos que la denuncia la presenta un usuario de los servicios de banca electrónica) esto:

“Específicamente el Banco informa al Cliente que en el momento de la presente contratación o con posterioridad a la misma y en cualquiera de sus oficinas, pueden manifestar su negativa al tratamiento por el Banco de sus datos personales para cualquiera de las finalidades indicadas en el apartado II de la presente Cláusula"

Bonito, ¿verdad? Pues le ha costado 35.000 euros al BBVA. Aquí le dejo el razonamiento de la AEPD, con el que, por una vez y sin que sirva de precedentes, coincido: 

"En este supuesto, de las actuaciones practicadas se desprende que si bien las personas físicas usuarias de dicho servicio podían acceder a través de internet en el sitio web www.bbva...... a las condiciones del “contrato multicanal” y “anexo de servicios del contrato multicanal y que en la cláusula 12- IX del contrato MULTICANAL se señala que “Específicamente el Banco informa al Cliente que en el momento de la presente contratación o con posterioridad a la misma y en cualquiera de sus oficinas, pueden manifestar su negativa al tratamiento por el Banco de sus datos personales para cualquiera de las finalidades indicadas en el apartado II de la presente Cláusula.. Sin embargo se ha constatado que en el contrato multicanal aportado y en el anexo al contrato multicanal no se prevé en ningún lugar la posibilidad de que el interesado pueda manifestar expresamente en el cuerpo del propio contrato su voluntad favorable o contraria al tratamiento de sus datos para fines no relacionados directamente con el desarrollo del contrato y la prestación del servicio.

Esa circunstancia entra en colisión directa con la exigencia contenida en el mencionado artículo 15.

Alega BBVA que tiene previsto un procedimiento por el cual se hace efectiva la oposición al tratamiento de los datos del cliente para finalidades que no guarden relación con el mantenimiento desarrollo o control de la relación contractual. (....) En este sentido hay que señalar que lo anteriormente manifestado no resulta de aplicación a la contratación online que se realiza sin intervención de alguna oficina. En la contratación on line no se prevé en ningún lugar de dichos contratos la posibilidad de que el interesado pueda manifestar expresamente en el momento de la contratación su voluntad favorable o contraria al tratamiento de sus datos para fines no relacionados directamente con el desarrollo del contrato y la prestación del servicio. Así mismo señalar que el procedimiento que tiene instaurado la entidad denunciada es un procedimiento de revocación del consentimiento una vez que éste obligatoriamente ha sido dado, como se desprende del hecho probado segundo, que no ofrece al afectado la posibilidad de negarse al tratamiento de sus datos en el momento de la contratación, a pesar de lo manifestado en la propia cláusula.

En consecuencia, en tanto no se permita al interesado manifestar su voluntad, (antes de que el consentimiento se entienda prestado) en el momento de la contratación en relación a los tratamientos no vinculados directamente con la prestación del servicio y no exista una manifestación del consentimiento del interesado para el tratamiento de sus datos con fines distintos al objeto principal del contrato no puede considerarse conforme a lo dispuesto en la normativa vigente en materia de protección de datos de carácter personal, ya que se obliga a la aceptación de las condiciones y a una posterior revocación en su caso, por tanto, no existe la posibilidad de negar el consentimiento en el momento de la contratación, suponiendo dicha circunstancia una vulneración del cumplimiento de las exigencias recogidas en el citado artículo 5.1.a) de la LOPD en su relación con lo previsto en el artículo 15 del RDLOPD.

Por tanto los mecanismos de rechazo deben estar incluidos en el propio documento a fin de posibilitar que el afectado pueda ser informado y manifestar, en el mismo momento de facilitación de sus datos, su negativa al uso de los mismos para fines no relacionados directamente con proceso de formación del contrato en cuestión.

Sin embargo en este caso, el procedimiento habilitado por BBVA no permite al usuario manifestar su negativa en el momento en que se recaban los datos."

Les he copiado los párrafos más relevantes, pero deberían leer Ustedes la resolución completa (17 páginas de placer LOPD) antes de irse a dormir. Buenas noches. 

martes, 6 de enero de 2015

Una casilla lo cambia todo

No son muchas las resoluciones en las que la Agencia Española de Protección de Datos analiza con detalle la redacción de las cláusulas informativas utilizadas en procesos de recogida de datos. En los próximos días, Dios mediante, analizaremos tres interesantes resoluciones publicadas en 2014 sobre este particular. Para empezar el año, he elegido la mejor de todas. Ya verán. Parece el guión de una película de Frank Capra. 

El denunciante, el señor A.A.A., es sin duda alguien con ideales elevados, alguien que lucha por un mundo justo, donde las grandes compañías no envían publicidad por e-mail, ni elaboran perfiles de sus clientes, ni ceden datos a terceros. 

En fin, nuestro héroe, cansado de las condiciones abusivas impuestas por Jazztel, denuncia a esta compañía con la intención principal, y cito textualmente, de "conseguir que Jazztel y las demás empresas de telecomunicaciones y de otros sectores que se valgan de los mismos métodos para el envío de información comercial:

- Incluyan una casilla/recuadro de envío de información comercial en los contratos.
- Que se incluya una cláusula de cesión de datos para envío de publicidad en los
contratos.
- Que pongan una letra que sea legible.”

Un fin, muy loable, sí señor. Me imagino a D. A.A.A. como a James Stewart en "Caballero sin Espada". Eso sí, menos ingenuo. Se nota que este héroe contemporáneo está en tercero de lopedé, ya que antes de presentar la denuncia, ató bien todos los cabos y, entre otras cosas, grabó una conversación telefónica en la que se le negaba repetidamente el ejercicio de su derecho de oposición. Vuelvo a citar textualmente:

" Consta en el expediente grabación de una contratación telefónica de una línea móvil de JAZZTEL efectuada por el denunciante en fecha 29/04/2014, en la cual el denunciante puesto al habla con el departamento de ventas móviles de JAZZTEL solicita contratar una nueva línea de móvil. Después de confirmar con el denunciante sus datos personales (nombre y apellidos, DNI, dirección, teléfono de contacto y correo electrónico), así como la tarifa contratada, se le informa que la conversación va a ser grabada y que en cumplimiento de la LOPD se le informa que sus datos van a ser incorporados a un fichero automatizado de JAZZTEL con los fines de comercialización, prestación e información comercial y publicidad y que podrán ser cedidos a otras entidades que colaboran con JAZZTEL en la realización de los mismos. Se le informa que podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición por escrito  enviándolo a una dirección postal, o mediante llamada a una teléfono gratuito (1565). El denunciante manifiesta hasta en tres ocasiones la negativa a que sus datos sean utilizados con fines comerciales y publicitarios y su cesión a otras entidades, manifestando que quiere que sean tratados únicamente para el mantenimiento de la relación contractual (facturación). JAZZTEL niega la posibilidad de tal oposición al tratamiento con fines comerciales informando al denunciante que si desea ejercer tal derecho debe llamar al teléfono gratuito 1565 para oponerse al envío de información comercial (folios 69-73)."

Vayamos a lo interesante. El caso es que Jazztel se pasaba por el forro eso de ofrecer la posibilidad al interesado de oponerse a recibir publicidad en el momento de la contratación del servicio mediante la marcación de una casillita. Y aquí va lo que dice la AEPD, y lo que deben recordar cuando redacten una cláusula lopedé (Otra cita literal. Estoy en plan Ana Rosa...Voy a tener que pagar derechos de autor a Monsieur le Directeur):

"En este supuesto, de las actuaciones practicadas y pruebas aportadas se acredita que JAZZTEL incumple lo dispuesto en el artículo 5.1 de la LOPD y 15 del RLOPD por cuanto en las contrataciones telefónicas de sus servicios no ofrece al cliente la posibilidad de oponerse la tratamiento de sus datos personales con fines comerciales, incorporándolos a su fichero automatizado con tal finalidad, obligando por tanto al cliente que desea oponerse a dicho tratamiento a dirigirse con posterioridad a JAZZTEL, por escrito mediante envío postal, o mediante llamada gratuita al 1565, para manifestar su deseo de oponerse al tratamiento de sus datos con fines comerciales y publicitarios.

(...) Es decir, en el presente caso no basta con informar que los datos facilitados en la contratación serán incorporados a un fichero automatizado de datos de carácter personal creado bajo la responsabilidad de JAZZTEL, con los fines de publicidad, prestación del servicio y promoción comercial, así como informar de la cesión a otras entidades. Además de informar sobre la finalidad publicitaria del tratamiento hay que permitir al titular de los datos que manifieste expresamente su negativa al tratamiento de sus datos para finalidades ajenas a la relación contractual, pues sólo así se observa plenamente el requisito de informar sobre la finalidad del tratamiento. En este caso, en lugar de haber informado al denunciante de la posibilidad de oponerse al tratamiento de sus datos con fines comerciales y publicitarios y de su cesión a otras entidades, en un momento posterior a haber sido incluido en el fichero con tales finalidades, debería ofrecer, en el mismo momento de efectuar la contratación telefónica, la posibilidad de oponerse al tratamiento de sus datos con los citados fines comerciales y publicitarios, hecho, que como se acredita en el expediente no se produce en dichas contrataciones telefónicas.

Aduce JAZZTEL que ha garantizado el cumplimiento de lo previsto en el artículo 15 del RDLOPD al haber optado por una de las opciones que se otorgan al responsable del tratamiento para cumplir con la obligación descrita en tal precepto, puesto que tenía implementado un procedimiento que permitía al afectado manifestar su negativa, ejercitando su derecho de oposición mediante comunicación escrita dirigida a una dirección postal o llamada gratuita al número habilitado al efecto.

Dicha afirmación debe rechazarse, ya que con independencia del procedimiento para el ejercicio del derecho de oposición, lo cierto es que JAZZTEL no ha acreditado la implementación de un procedimiento para que el cliente que contrata telefónicamente sus servicios, tenga la posibilidad, como exige la normativa de protección de datos, de oponerse, en el momento en que se recaban sus datos, al tratamiento de los mismos con fines distintos a los estrictamente necesarios para el mantenimiento de la relación contractual, en este caso, con fines comerciales y  publicitario"

Como habrán deducido, gana los buenos y a Jazztel le cae una multa de 40.000 euros para Jazztel. Don A.A.A. puede estar contento. Eso sí, me temo que la empresa sancionada pagará la multa sin despeinarse (simples migajas), y no modificará demasiado sus prácticas.

Mañana más. Buenas noches. 

lunes, 9 de junio de 2014

III Concurso de Microrrelatos: Derecho al Olvido y Calcetines

Tras el éxito de la segunda edición, la Dirección de Ad Edictum convoca el III Concurso de Microrrelatos. Las reglas son sencillas (o ese espero):
- Los relatos deben tener una extensión máxima de 160 palabras, título excluido.
- Deben incluir necesariamente los términos "Derecho al Olvido" y "calcetines".
- Pueden ser enviados mediante comentario en este post o por correo electrónico a consultasblogtic@gmail.com.
El ganador tendrá un premio muy bonito.

domingo, 4 de mayo de 2014

Yo, pecador

Este post está dedicado a todos los que ha pasado la Semana Santa haciendo penitencia, como la empresa protagonista de nuestra resolución de hoy, que se denunció a sí misma a la Agencia Española de Protección de Datos (lo que viene a ser hacer un "pepephone"). 

Debido a un fallo técnico, el teléfono y el nombre de un cliente de The Phone House, compañía a la que la empresa autodenunciada presta servicios, se remitió a 72 usuarios. Éste es el tipo de errores que suelen acabar en sanción, una sanción baja. Por regla general, no se suelen imponer las cuantías correspondientes a las infracciones graves (especialmente, en supuestos en los que se acredita que el problema ha sido subsanado y se ha debido a un error). Lo peor son los daños de imagen que pueden sufrir las compañías implicadas, especialmente cuando se trata de empresas conocidas y poco queridas, como The Phone House. 

En este caso, se actuó rápidamente. Se investigó cómo se había producido este incidente, registrándose en el Documento de Seguridad, se comunicó a la persona afectada, y la compañía causante del fallo lo puso en conocimiento de la AEPD. Bien asesorada, la compañía solicitaba clemencia en su autodenuncia: 

"La compañía, en su calidad de encargado de tratamiento por cuenta de The Phone House, S.L.U., solicita a la Agencia que se analice si la incidencia es merecedora de “inspección y, en su caso, sanción” y se valore la posibilidad de atender a lo previsto en el artículo 45.6 de la LOPD, al tratarse de la primera vez en que pudiera haber faltado a su deber (puntualmente y por un desafortunado fallo técnico, inmediatamente resuelto) y al bajo nivel de ingresos de la empresa."

Y sí, Monsieur le Directeur, que tienen su corazoncito, aunque a veces no lo parezca, aplicó el art. 45.6 LOPD. Apercibió a la empresa sin sancionar. 

"En el presente supuesto se cumplen los requisitos recogidos en los apartados a) y b) del citado artículo 45.6 de la LOPD. Junto a ello se constata una cualificada disminución de la culpabilidad de la entidad denunciada por la concurrencia de varios criterios de los enunciados en el artículo 45.4 de la LOPD, concretamente, la ausencia de beneficios y el grado de intencionalidad apreciado. 

En el presente caso, ha quedado acreditado que el denunciado ha comunicado a esta Agencia las medidas correctoras adoptada. Teniendo en cuenta estas circunstancias, no procede requerimiento alguno."

Todo parece indicar que esta empresa ofreció su cuerpo para aplacar a La Bestia y salvar a su cliente, que es lo que debe hacer un buen encargado del tratamiento. Para ambas entidades, la cosa ha salido bien, sobre todo porque el prestador del servicio no contaba con antecedentes lopedé y el incidente no revestía especial gravedad. A Pepephone, le cayeron 3.000 €. Teniendo en cuenta que ya han sido sancionado con 40.000 € de una tacada (véanlo aquí), les debió parecer más que razonable. 

jueves, 20 de febrero de 2014

Sobre el interés público de un top-less: Melani Olivares vs. Interviú

En 2005, la revista Interviú publicó varias fotografías en top-less de Melani Olivares, famosa por dar vida a Paz en la serie “Aida”. Estas fotos se tomaron en una playa de Ibiza sin el consentimiento de la actriz, mientras ésta disfrutaba de unas vacaciones con sus amigas.

Melani Olivares demandó al director de la publicación y a Ediciones Zeta por vulneración de su derecho a la imagen. Tanto el Tribunal de Primera Instancia como la Audiencia Provincial dieron la razón a la actriz. El Supremo, sin embargo, vino a decir justamente lo contrario: que prevalecía el derecho a al libertad de información sobre el derecho a la imagen del famoso, al concurrir el requisito de interés público (sé lo que están pensando, pero no lo digan en voz en alta) y haberse tomado las fotografías en un lugar público:

“La sentencia de casación señala que las imágenes captadas pertenecían a un personaje público conocido por su intervención televisiva en una serie de difusión nacional durante ocho temporadas, habían sido tomadas en una playa de acceso público, y mostraban a la actriz andando por la playa y tomando el sol en top-less. El Tribunal Supremo afirma que la información tenía interés público, el propio de los medios de comunicación pertenecientes al género de entretenimiento, plenamente admitido por los usos sociales, para el que puede ser noticia el físico de una reconocida actriz o su top-less. (…)Subraya igualmente que las imágenes son reflejo de un comportamiento admitido por los usos sociales y que la licitud o ilicitud en la captación no puede depender del tipo de prendas que se utiliza, si el personaje es público y se encuentra en un lugar público.”

Sé que muchos de mis lectores no compartirán esta opinión, pero para el Tribunal Constitucional la captación de la imagen de un cuerpo desnudo carece, por si sola, de interés público. El objetivo del reportaje de Interviú consistía simplemente en presentar a la actriz desnuda, satisfaciendo la curiosidad (malsana) de ciertos lectores, sin intentar crear opinión pública. Vean lo que dice al respecto: 

"No puede aceptarse sin más que un conjunto de fotografías que muestran el cuerpo de la actriz desde distintos ángulos y en diferentes posturas, comenzando por la fotografía de cuerpo entero de la demandante en top-less que la revista reproduce en portada, tengan por sí un interés público digno de protección constitucional. De hecho, en la STC 156/2001, de 2 de julio, FJ 7, declaramos que la publicación de dos fotografías de una persona que permitían su identificación y mostraban su cuerpo desnudo, todo ello para ilustrar un reportaje sobre una secta acusada de prostitución y corrupción de menores, constituía una intromisión en su derecho a la propia imagen constitucionalmente ilegítima, además de en su derecho a la intimidad. Tampoco las fotografías publicadas dan sustento o son el complemento a un reportaje que pueda ser calificado de interés noticiable en los términos ya expuestos. Dichas fotografías, en las que la demandante aparece tanto sola como acompañada, ilustran un reportaje con unos títulos tan anodinos como “Melanie Olivares: de la calle a la playa” y “Melanie Olivares: la amiga más fresca de Aida”. El reportaje no hace referencia a noticia alguna relativa a la actividad profesional de la actora o hecho alguno que sea de interés público, sino que la representan en escenas de su tiempo libre, en actividades de carácter puramente privado, tomando el sol y paseando con amigas, en la playa.”

En fin, la revista Interviú tendrá que trabajarse más los textos. Si viviera Umbral…