jueves, 7 de mayo de 2015

Badoo cambia de criterio

Entre esta resolución y ésta ha ocurrido algo fundamental. La sociedad británica Badoo Trading, Ltd., propietaria de la red social Badoo (como los más sagaces de Ustedes ya habrán deducido), ha cambiado su criterio en relación a la comunicación de datos de IPs de sus usuarios.

En el primer caso, Dª B.B.B. fue sancionada con 2.000 €, entre otras cosas, por crear un perfil falso en la citada red social utilizando fotografías de Dª C.C.C.

Aunque Dª C.C.C. no sabía quién estaba detrás de los mensajes que corrían por Facebook injuriándola, ni conocía la identidad de la persona que había abierto una cuenta en Badoo con 27 fotografías suyas pidiendo explícitamente contactos sexuales, sospechaba que se trataba de alguien cercano a su ex marido. Presentó una denuncia a la Agencia Española de Protección de Datos exponiendo simplemente los hechos, sin señalar culpables.

La AEPD abrió la correspondiente investigación. Como suele hacer en estos casos, se dirigió a los responsables de las redes sociales.

De manera diligente, Badoo Tranding Ltd. dio de baja el perfil falso y comunicó a la Agencia las direcciones IP de los equipos desde los que se había creado y actualizado dicho perfil. Como se indica en la resolución:

A partir de esta información y de la facilitada por los operadores de telecomunicaciones que tienen asignado el uso de esas direcciones IP, se desprende que los datos de carácter personal de la denunciante fueron tratados en la red social Badoo los días 26 y 28 de diciembre de 2011, 4, 9, 12 y 28 de enero de 2012. Según estas informaciones, los accesos se produjeron desde equipos conectados a internet a través de la línea telefónica de la que es titular doña B.B.B. (en lo sucesivo la denunciada), instalada en una localidad próxima a aquella en la que reside la denunciante.”

La denuncia se presentó en mayo de 2012, y entendemos que las actuaciones no se debieron demorar mucho. Como decimos, finalmente, el asunto se cerró con una multa a Dª B.B.B. de 2.000 € por tratar datos sin el consentimiento de la denunciante.

Sin embargo, pocos meses después, en diciembre de 2012, el departamento legal de Badoo Trading, Ltd. remitió un escrito a la AEPD señalando que cambiaba su criterio, y que no facilitaría las IPs de los usuarios. Así, cuando a principios de 2014 la Guardia Civil de La Victoria de Acentejo dio traslado a la Agencia de dos atestados relativos a denuncias por suplantación de la identidad de dos niñas de 16 años, a través de perfiles falsos en Badoo, se tuvo que archivar el procedimiento sin multa para los responsables. La resolución concluye con la siguiente explicación:

“A este respecto, en escrito de fecha 19 de diciembre de 2012, por el departamento legal de la compañía de nacionalidad británica Badoo Trading, Ltd. se confirmó a la Inspección de Datos un cambio de criterio respecto a la atención de las solicitudes de información que hasta entonces venían canalizándose a través del departamento técnico de la compañía. Badoo Trading, Ltd., con domicilio social en Inglaterra, interpreta que, desde una perspectiva territorial, la norma que le resultaría aplicable a Badoo sería la Ley de Protección de Datos del Reino Unido, y declara que, con carácter general, la misma prohíbe facilitar datos de carácter personal sin el consentimiento expreso del titular de los mismos, salvo que sean requeridos por una autoridad competente en Inglaterra. Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal.

Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal. En el presente caso, por la Inspección de Datos no se ha obtenido información relevante que permita la identificación de los autores de los perfiles denunciados.”

Más suerte tuvo la denunciante de la tercera resolución que les comentaré hoy. El 5 de marzo de 2014, una señorita que se declara “camarera de animación” puso en conocimiento de la AEPD que su ex jefe había creado un perfil falso en Badoo utilizando su fotografía “como reclamo para contactar con chicas que pudieran estar interesadas en participar en los espectáculos lésbicos que organiza la empresa que dirige”.

Sí, han leído bien…pero centrémonos en los temas relativos a protección de datos. Al ex jefe le cayó una multa de 2.000 euros. ¿Cómo es posible, si Badoo no facilita datos de IPs de diciembre de 2012? ¿Han vuelto a cambiar de criterio estos ingleses? No. Son gente de fiar y muy seria. Lo que ocurre es que el denunciado había sobreimpreso en la fotografía su número de teléfono personal y el nombre comercial de su empresa. Así es difícil negar los hechos.

Lean el texto completo de la resolución aquí.

martes, 6 de enero de 2015

Una casilla lo cambia todo

No son muchas las resoluciones en las que la Agencia Española de Protección de Datos analiza con detalle la redacción de las cláusulas informativas utilizadas en procesos de recogida de datos. En los próximos días, Dios mediante, analizaremos tres interesantes resoluciones publicadas en 2014 sobre este particular. Para empezar el año, he elegido la mejor de todas. Ya verán. Parece el guión de una película de Frank Capra. 

El denunciante, el señor A.A.A., es sin duda alguien con ideales elevados, alguien que lucha por un mundo justo, donde las grandes compañías no envían publicidad por e-mail, ni elaboran perfiles de sus clientes, ni ceden datos a terceros. 

En fin, nuestro héroe, cansado de las condiciones abusivas impuestas por Jazztel, denuncia a esta compañía con la intención principal, y cito textualmente, de "conseguir que Jazztel y las demás empresas de telecomunicaciones y de otros sectores que se valgan de los mismos métodos para el envío de información comercial:

- Incluyan una casilla/recuadro de envío de información comercial en los contratos.
- Que se incluya una cláusula de cesión de datos para envío de publicidad en los
contratos.
- Que pongan una letra que sea legible.”

Un fin, muy loable, sí señor. Me imagino a D. A.A.A. como a James Stewart en "Caballero sin Espada". Eso sí, menos ingenuo. Se nota que este héroe contemporáneo está en tercero de lopedé, ya que antes de presentar la denuncia, ató bien todos los cabos y, entre otras cosas, grabó una conversación telefónica en la que se le negaba repetidamente el ejercicio de su derecho de oposición. Vuelvo a citar textualmente:

" Consta en el expediente grabación de una contratación telefónica de una línea móvil de JAZZTEL efectuada por el denunciante en fecha 29/04/2014, en la cual el denunciante puesto al habla con el departamento de ventas móviles de JAZZTEL solicita contratar una nueva línea de móvil. Después de confirmar con el denunciante sus datos personales (nombre y apellidos, DNI, dirección, teléfono de contacto y correo electrónico), así como la tarifa contratada, se le informa que la conversación va a ser grabada y que en cumplimiento de la LOPD se le informa que sus datos van a ser incorporados a un fichero automatizado de JAZZTEL con los fines de comercialización, prestación e información comercial y publicidad y que podrán ser cedidos a otras entidades que colaboran con JAZZTEL en la realización de los mismos. Se le informa que podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición por escrito  enviándolo a una dirección postal, o mediante llamada a una teléfono gratuito (1565). El denunciante manifiesta hasta en tres ocasiones la negativa a que sus datos sean utilizados con fines comerciales y publicitarios y su cesión a otras entidades, manifestando que quiere que sean tratados únicamente para el mantenimiento de la relación contractual (facturación). JAZZTEL niega la posibilidad de tal oposición al tratamiento con fines comerciales informando al denunciante que si desea ejercer tal derecho debe llamar al teléfono gratuito 1565 para oponerse al envío de información comercial (folios 69-73)."

Vayamos a lo interesante. El caso es que Jazztel se pasaba por el forro eso de ofrecer la posibilidad al interesado de oponerse a recibir publicidad en el momento de la contratación del servicio mediante la marcación de una casillita. Y aquí va lo que dice la AEPD, y lo que deben recordar cuando redacten una cláusula lopedé (Otra cita literal. Estoy en plan Ana Rosa...Voy a tener que pagar derechos de autor a Monsieur le Directeur):

"En este supuesto, de las actuaciones practicadas y pruebas aportadas se acredita que JAZZTEL incumple lo dispuesto en el artículo 5.1 de la LOPD y 15 del RLOPD por cuanto en las contrataciones telefónicas de sus servicios no ofrece al cliente la posibilidad de oponerse la tratamiento de sus datos personales con fines comerciales, incorporándolos a su fichero automatizado con tal finalidad, obligando por tanto al cliente que desea oponerse a dicho tratamiento a dirigirse con posterioridad a JAZZTEL, por escrito mediante envío postal, o mediante llamada gratuita al 1565, para manifestar su deseo de oponerse al tratamiento de sus datos con fines comerciales y publicitarios.

(...) Es decir, en el presente caso no basta con informar que los datos facilitados en la contratación serán incorporados a un fichero automatizado de datos de carácter personal creado bajo la responsabilidad de JAZZTEL, con los fines de publicidad, prestación del servicio y promoción comercial, así como informar de la cesión a otras entidades. Además de informar sobre la finalidad publicitaria del tratamiento hay que permitir al titular de los datos que manifieste expresamente su negativa al tratamiento de sus datos para finalidades ajenas a la relación contractual, pues sólo así se observa plenamente el requisito de informar sobre la finalidad del tratamiento. En este caso, en lugar de haber informado al denunciante de la posibilidad de oponerse al tratamiento de sus datos con fines comerciales y publicitarios y de su cesión a otras entidades, en un momento posterior a haber sido incluido en el fichero con tales finalidades, debería ofrecer, en el mismo momento de efectuar la contratación telefónica, la posibilidad de oponerse al tratamiento de sus datos con los citados fines comerciales y publicitarios, hecho, que como se acredita en el expediente no se produce en dichas contrataciones telefónicas.

Aduce JAZZTEL que ha garantizado el cumplimiento de lo previsto en el artículo 15 del RDLOPD al haber optado por una de las opciones que se otorgan al responsable del tratamiento para cumplir con la obligación descrita en tal precepto, puesto que tenía implementado un procedimiento que permitía al afectado manifestar su negativa, ejercitando su derecho de oposición mediante comunicación escrita dirigida a una dirección postal o llamada gratuita al número habilitado al efecto.

Dicha afirmación debe rechazarse, ya que con independencia del procedimiento para el ejercicio del derecho de oposición, lo cierto es que JAZZTEL no ha acreditado la implementación de un procedimiento para que el cliente que contrata telefónicamente sus servicios, tenga la posibilidad, como exige la normativa de protección de datos, de oponerse, en el momento en que se recaban sus datos, al tratamiento de los mismos con fines distintos a los estrictamente necesarios para el mantenimiento de la relación contractual, en este caso, con fines comerciales y  publicitario"

Como habrán deducido, gana los buenos y a Jazztel le cae una multa de 40.000 euros para Jazztel. Don A.A.A. puede estar contento. Eso sí, me temo que la empresa sancionada pagará la multa sin despeinarse (simples migajas), y no modificará demasiado sus prácticas.

Mañana más. Buenas noches.