domingo, 22 de mayo de 2011

Más sobre la reforma de la LOPD

Como les decía el otro día, creo que esta reforma puede beneficiar a las empresas cumplidoras, que han demostrado diligencia en el cumplimiento de la LOPD.

Ya saben que se ha modificado (ligeramente) la cuantía de las multas, que a partir de ahora serán las siguientes:

"1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros."

Sin embargo, lo realmente importante son los nuevos criterios de graduación, que operan de dos formas:

1º. Dentro de las cuantías correspondientes a un tipo de infracción (por ejemplo, de 40.001 a 300.000 euros  para las graves), se reducirá la multa impuesta teniendo en cuenta lo siguiente:

"a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora."

Les destaco que los criterios e), f) e i) permitirán imponer la multa en su grado inferior a aquellas empresas que demuestren un adecuado cumplimiento de la ley (a través de procedimientos internos, informes de auditorías, certificaciones, etc...) y que hayan cometido una infracción puntual de la que no obtienen beneficio alguno (por ejemplo, si un empleado de la compañía, por error, remite sin copia oculta un correo a varios destinatarios o si se envía un fax con información sobre un cliente a un número equivocado y lo recibe otra persona....).

Por otra parte, hay criterios que benefician a pequeñas empresas como el criterio b) y el d).

El legislador ha introducido algunos criterios especialmente vagosMe refiero a los apartados c) y j). Éste último casi permite a la Agencia poner las multas "a ojo".

Tengan en cuenta, por último, que estos criterios, entendidos en sentido contrario, señalan las circunstancias que la AEPD va a valorar a la hora de imponer una multa mayor: Si Usted no es reincidente, le bajará la multa, pero sí lo es, se la subirá. Si Usted tiene un volumen de negocio pequeño, puede estar tanquilo, pero si es una gran empresa, empiece a temblar...


2º. Además de lo anterior, la ley permite que, en lugar de la multa correspondiente a la infracción cometida, se imponga la del tipo inferior en ciertos supuestos. Es decir, la infracción muy grave, se puede sancionar como grave, y la grave, como leve:

"a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente."

Dicho en otras palabras, si ustedes quieren que se les aplique este beneficio, sean sinceros, reconozcan el incumplimiento, y soluciónenlo rápidamente. El criterio establecido en el apartado e) me gusta mucho: Va a hacer la vida más fácil a los que se dedican a hacer informes de "due diligence", aunque puede dar lugar a fraude de ley.

Por último,tras exponer estos criterios de graduación, la Ley introduce el denominado "apercibimiento", para cuya interpretación me remito al blog Descargas Legales.

jueves, 19 de mayo de 2011

La reforma del régimen sancionador de la LOPD

Es un tema que no les había comentado en detalle. No crean, no lo voy a hacer ahora tampoco. Sólo compartiré con Ustedes algunas conclusiones.

Si se fijan, la intención del legislador con esta reforma ha sido que la mayor parte de los procedimientos sancionadores que se abran sean por infracciones graves. Esta categoría comprende (si no me equivoco porque cito de memoria, y no me voy a levantar ahora a mirarlo) 12 conductas, frente a las tipificadas como leves y como muy graves, que sólo son 4 para cada grupo.

Es cierto que dos infracciones frecuentes en la práctica se consideran leves (la falta de información en la recogida de datos y la inexistencia de contrato entre encargado y responsable del fichero, que pasa a tener su propio tipo, y ya no recibirá el mismo trato que una cesión), pero la infracción estrella sigue siendo grave: tratar datos sin consentimiento del afectado.

No sé si es acertado decir "sigue siendo", porque todos sabemos que aquellos émulos de Alonso Martínez que redactaron el antiguo artículo 44 de la LOPD no contemplaron como infracción tratar datos sin consentimiento del interesado, en los casos en que no fuera expreso o expreso y por escrito. Por este motivo, cuando se recababan datos ((no comprendidos en el art. 7 de la LOPD) sin consentimiento del afectado, se aplicaba el antiguo 44.3.d). Este precepto rezaba como sigue:

"d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituye infracción muy grave".

Como ven, la tipificación de la conducta infractora daba pie tanto para multar a quien enviaba publicidad a un señor sin su autorización, como para abrir un procedimiento sancionador a Hitler por el Holocausto Judío.

Desde luego, las infracciones muy graves las vamos a ver poco, salvo en sectores muy concretos que traten datos especialmente protegidos. No creo que las Transferencias Internacionales de Datos den lugar a la apertura de procedimientos sancionadores (por vergüenza torera de la Agencia, que sabe que el caos que ha sembrado en este tema).

En fin, si a esto que les comento añadimos los nuevos criterios para graduar las sanciones, lo más seguro es que pocas multas pasen de los 40.000 euros (se aplicará la multa mínima de las infracciones graves en un gran número de supuestos).

Ahora les dejo, que me duele la espalda. Buenas noches.

lunes, 16 de mayo de 2011

Varios

Como sin duda sabrán a estas alturas, José Luis Rodríguez Álvarez será nombrado próximamente Director de la Agencia Española de Protección de Datos. Hasta ahora Director del Gabinete del Ministerio de Justicia, pueden consultar aquí su curriculum vitae, y lo que es más importante, su foto.

Por otro lado, les recomiendo la lectura de un artículo de Fernando Savater, publicado en enero en El País, donde reflexiona sobre los movimientos libertarios de Internet, con poca simpatía, por cierto. Sólo le falta citar a Kant, y ese famoso prefiero la seguridad a la libertad, tan propio de un prusiano.

No sé si les dije que Ramón COTARELO se ha lanzado también ha reflexionar sobre los cibermovimientos. En Tirant lo Blanch acaba de publicar La politica en la era de Internet. Me lo he comprado y empecé a leerlo, aunque lo he dejado a las pocas páginas.

Buenas noches.

viernes, 13 de mayo de 2011

Más consejos jurídicos para Community Managers

Este es el segundo de una serie de posts en los que compartiré con Ustedes reflexiones sobre aspectos legales que deben ser tenidos en cuenta en el trabajo de los Comunity Managers. Hoy nos centraremos en protección de datos y respuesta a quejas o reclamaciones:

1º. No almacene información (nombre, profesión, empresa en la que trabajan, correo electrónico, etc...) de sus seguidores o fans aunque tenga acceso a la misma. Utilice siempre la plataforma de la red social para ponerse en contacto con ellos. El hecho de que un fan de su página de Facebook no haya protegido la información de su perfil no le autoriza para copiarla y añadirla a una base de datos de clientes potenciales o personas interesadas en un producto determinado.

2º. Cuando se le dirija una pregunta o se haga un comentario cuya respuesta implique referencias a personas identificables, no conteste nunca en abierto, sino a través de mensajes privados.

3º. Forme a sus seguidores en buenas prácticas en materia de privacidad: Adviértales de que no es conveniente incluir en sus comentarios datos personales, ni suyos, ni de terceros. Ayúdeles de vez en cuando con consejos para configurar su cuenta de forma segura.

4º. Si Usted no puede resolver el problema o la duda que le plantean, dirija al usuario por el cauce apropiado. Apréndase los mecanismos de reclamación o presentación de quejas de su empresa para poder informar de ellos. No olvide que entre los derechos que asisten a los clientes de una compañía se encuentran los derechos ARCO. Debe saber qué decir a una persona que se queja que recibe mails publicitarios y quiere que dejen de remitírselos o a otra que le pregunta cómo puede obtener una copia de sus datos.

Con esto, me despido hasta mañana. Buenas noches.

lunes, 9 de mayo de 2011

Pesadilla Kafkiana

Imagínense que Ustedes tienen contratado el suministro de gas de su vivienda con GAS NATURAL y un buen día, les llega una factura de ENDESA, que lógicamente no pagan. Al mes siguiente, reciben otra. Al siguiente, al volver casa, se encuentra en su buzón la nota de una persona que se identifica como trabajador de un "punto limpio" de ENDESA, y que le dice que se ha personado en su domicilio para realizarle el mantenimiento de la instalación, pero que no le ha abierto nadie. 

Al principio, no le da importancia, porque pagas sus facturas a GAS NATURAL normalmente, y recibie el suministro sin problemas. Sin embargo, a medida que pasa el tiempo, la historia adquiere tintes kafkianos. 

ENDESA, a pesar de que Usted le envía una comunicación formal en la que le indica que no ha firmado ningún contrato con ella, sigue convencida de que Usted es su cliente y, ante el impago de facturas, le remite una carta en la que le avisa que le va a cortar el gas.

¿Cómo es posible que sus datos, su nombre, su dirección, su cuenta bancaria hayan llegado a ENDESA? ¿Cómo es posible que empiece a emitir facturas a su nombre de un día para otro? ¿Se imaginan las conversaciones que debía tener nuestro Josef K. de la Lopedé con el Servicio de Atención al cliente de ENDESA?

La eléctrica, en un alarde de imaginación, volvió a echarle la culpa a la compañía subcontratada:

"Combray Solutions SL, como empresa de servicios contratada por Endesa Energía SAU, a través de sus empleados u agentes cumplimentó -siguiendo las instrucciones recibidas- el formulario de “Solicitud de suministro de gas natural” y “condiciones particulares del contrato del servicio de mantenimiento y reparación gas plus”, proporcionados por Endesa en el que figura como titular A.A.A.. Dichos formularios están fechados el 22/03/07 y contienen –además del código del agente PDS- nombre y apellidos de la titular, NIF, dirección de la vivienda de suministro, teléfono, CUPS, producto contratado (plus ahorro), datos de pago (CCC *****CCC1) y en el lugar de firma de cliente una rubrica (distinta a la firma de la denuncia y del DNI)."

En fin, como les decía el otro día, cualquiera puede contratar con ENDESA en su nombre. En este caso, Monsieur le Directeur impuso a la eléctrica una sanción de 60.101,21 €. La resolución completa aquí.

sábado, 7 de mayo de 2011

Cualquiera puede contratar en su nombre el suministro eléctrico

No es la primera resolución que leo en la que se sanciona a ENDESA por infracción del art. 6.1 de la LOPD (tratar datos del interesado sin su consentimiento), debido a la falta de diligencia en la comprobación de la persona que contrata sus servicios.

En este caso, el comprador de una vivienda de nueva construcción se encontró con que, sin él saberlo, se había contratado a su nombre el suministro eléctrico y se le empezaron a cargar facturas en su cuenta bancaria. Al solicitar el contrato a ENDESA como titular del servicio, se le facilitó un documento en el que figuraba, bajo su nombre, una firma que no tenía nada que ver con la de su DNI. El afectado denunció a la eléctrica y a la promotora de la vivienda, presumiendo que ésta última había facilitado todos sus datos a la primera.

Las contrataciones “express” con las empresas de sectores regulados suelen dar lugar a estas situaciones de este tipo, que pueden llegar a convertirse en una auténtica pesadilla debido al deficiente funcionamiento de sus servicios de atención al cliente.

Es muy frecuente que se anulen o se contraten servicios de suministro en viviendas titularidad de una persona por otra distinta que es la que realmente vive allí, facilitando el DNI y los datos del titular: inquilino, familiar, ex pareja… En la mayor parte de los casos, no existe una finalidad delictiva y la contratación efectuada no tiene mayores consecuencias. Sin embargo, parénse un momento a pensar en la gravedad de la situación: ¡En la resolución que comentamos, existía un contrato firmado por un tercero haciéndose pasar por el propietario de la vivienda!

Como consumidor y usuario, Usted dispone de la posibilidad de denunciar ante la Agencia Española de Protección de Datos para poner freno a estos abusos. En este caso, la denuncia tuvo como resultado 30.000 € de multa para ENDESA y 60.101,21 € para la empresa que vende la vivienda. Aquí tienen el texto completo de la resolución.

Los puntos sobre las "íes"

Hoy, he leído una frase que decía algo así como que los datos de minusvalía continúan siendo datos de nivel alto aunque en determinadas circunstancias se les aplique el nivel básico. Señores: Lo que es de nivel alto es el fichero o el tratamiento. El dato, no.

Un dato de minusvalía es un dato de salud, y como consecuencia de ello, un dato especialmente protegido, según lo dispuesto en el art. 7 de la LOPD (que no se refiere a medidas de seguridad, sino a la necesidad de obtención de un consentimiento reforzado para su tratamiento).

Ya que estamos hablando de medidas de seguridad, ¿no están Ustedes cansados de que algunos limiten el cumplimiento de la LOPD a la implantación de medidas de seguridad? Lo que más me molesta es que asusten al responsable del fichero diciéndole eso de “pues si viene la Agencia y ve que no tienes tal cosa, te sanciona”.

Les invito a hacer conmigo la siguiente reflexión: ¿A cuento de qué va a ir la Agencia a una PYME que se dedica al enlatado de pimientos en Don Benito a comprobar si cambian las contraseñas de acceso al ordenador de la administrativa? Para que la Agencia llegue a ese extremo se tendría que dar alguna de estas circunstancias:

- Que decida hacer una inspección de oficio al sector del enlatado de pimientos. Generalmente las inspecciones de oficio dan lugar a un documento de recomendaciones y no se abren procedimientos sancionadores a las empresas inspeccionadas.

- Que alguien haya denunciado a la empresa por un motivo concreto. En este supuesto, la Agencia suele enviar un escrito solicitando información relativa a los hechos objeto de denuncia (por ej: el documento de seguridad, etc…) o indicando que va a personarse para una inspección en las oficinas tal día. Vamos, que si oyen el timbre de su casa a las seis de la mañana es el lechero, no Monsieur le Directeur.

Me irrita oír en las reuniones de trabajo el “si viene la Agencia”: Los inspectores de la Agencia no son ángeles de la muerte que recorren España, con gabardinas negras, buscando empresas a las que sancionar. Normalmente, quienes dicen esto no conocen la existencia de la Ley 30/92 y cualquier cosa que hace la AEPD dentro de un procedimiento administrativo les parece un acto místico e inexplicable.

Estoy preparando un estudio sobre las sanciones impuestas por la AEPD por incumplimiento del art. 9 de la Ley de Protección de Datos, a ver si toman conciencia algunos de que no se ponen multas porque una empresa no tenga registro de incidencias, sino porque aparecen contratos en un contenedor público. Al próximo que le diga a Usted que si no tiene implantada tal medida la Agencia le puede sancionar, pídale una resolución donde sancione a una empresa por eso mismo. ¡Tolerancia 0 con el vende crecepelos!

Otra cosa que me molesta son los consejos de los abogados con número de colegiado de 10 cifras, que me dicen que ponga aviso legal.

Yo no presto servicios de la sociedad de la información ni realizo un tratamiento de datos susceptible de quedar incluido en el ámbito de la LOPD. En primer lugar, este blog no da lugar a ninguna actividad económica para su propietaria, que no se sirve de esta plataforma para ofrecer servicios profesionales de ningún tipo (de esos que está pensando, tampoco). No se incluye ni hace publicidad, y ni siquiera revierte un beneficio indirecto a efectos curriculares: es anónimo. Escribo una bitácora personal, no profesional. Casualmente, hablo de temas por los que otros cobran, pero imagínense que me dedicara a postear sobre maquetas de avión...

Por otro lado, y por los mismos motivos, cualquier tratamiento de datos que se realice, entra dentro de una actividad doméstica. En conclusión, lo único que figura en Ad Edictum es una advertencia de que aquí no se dan consejos profesionales ni se atiende a clientes, recomendado consultar con un abogado para esos menesteres.

Si nos ponemos puntillosos, les diré que los prestadores de servicios de la sociedad de la información no están obligados a incluir un "aviso legal", sino a facilitar determinada información en su web (sobre su identidad, domicilio, etc…, o sobre los productos que comercializan, ya sea en cumplimiento de la LSSICE, de la ley de consumidores y usuarios o de la compraventa a distancia). Esa información no tiene por qué llamarse “aviso legal” ni tampoco hacer referencia a cuestiones como links, propiedad intelectual, uso de marcas o exención de responsabilidad por virus, etc…
 
Y ahora si me disculpan, voy a tomarme mi pastilla.