Buenas tardes, querid@s lopder@s!
Vaya por delante que me corroe la envidia; no solo por el festivo que hoy estáis disfrutando por la madre patria, es que encima a eso se une la idea de que muchos andáis de vacaciones, a otros os huele el culo a playa y a mí me queda un poco bastante para catar algo de eso que llaman "días de descanso" (que, en mi caso, no suele ser nunca así porque suelo acabarlas necesitando unas vacaciones de las vacaciones...). Bueno, la cosa es que he sacado un tiempito hoy para, con agosticidad, pararme a escribir un post, que hacía tiempo que no lo hacía y está feo, ¿no? :-)
Hoy quiero comentar una Resolución un poco curiosa de la AEPD, en la que nuestra querida Agencia, le pega un toquecito a CABIFY debido a una atención un poco peculiar de una solicitud de un derecho de cancelación. Vamos al lío a ver qué nos encontramos...
El documento, como siempre, os lo linkeo aquí, y os dejo los datos también, ya que como nos han desbaratao todas las resoluciones con esto del cambio de web de la AEPD por el furulamiento del RGPD, ya no me fío de que los links sigan vivitos mucho tiempo:
Procedimiento Nº: TD/00716/2018
RESOLUCIÓN Nº.: R/01472/2018
Protagonistas: A.A.A y MAXI MOBILITY SPAIN S.L.(CABIFY).
Sinopsis:
A.A.A decide ejercitar derecho de cancelación ante Cabify, mediante correo electrónico, en febrero de este año. El mismo día, recibe respuesta de Cabify confirmando que les ha llegado la solicitud y que..."estamos trabajando en ello" (léase esto último con pseudo acento texano... los más frikis lo entenderán XD). Bueno, la cosa es que 3 días después, Cabify le contacta para comunicarle que no puede atender a su solicitud porque "(...) necesitamos que el email desde el que nos solicita la cancelación de datos coincida con el email vinculado a tu perfil Cabify"; línea general que sigue Cabify con otro email enviado a A.A.A., al parecer, tras consultar con su Departamento Legal. La solución que le proponen a A.A.A. en este nuevo email es que cambie en su perfil de Cabify el email, y ponga este nuevo que A.A.A. está utilizando para hacer la solicitud de cancelación de datos. Tras esto, parece que A.A.A. se cabrea y decide pasar el tema a la AEPD. La AEPD ve el tema y le manda una notificación electrónica a Cabify para que se manifieste, pero Cabify no la abre, la notificación se esfuma a los 10 días y bye bye Paraguay (lo que se medio interpreta como un "ni caso me haces, moreno").
Hasta aquí tenemos varios puntos clave:
- Una solicitud de cancelación hecha por email y un estacazo.
- Un aviso de: "o mueves el culo o te sanciono por RGPD".
- Un guirigay de normativa.
Desmelonemos... :-)
- Sobre la solicitud de cancelación hecha por email, es clara la postura de la AEPD: es verdad que Cabify no se pasó de fecha al responder, pero no lo hizo de forma que fuera efectiva la solicitud; requirió a A.A.A. que hiciera un mero cambio de email para poder hacerlo, cosa que, a juicio de la AEPD, es un poco desproporcionado, entre otras cosas, debido a que Cabify (y ojo al estacazo indirecto) "(...)...según su Política de Privacidad recaba distintos datos personales de sus clientes por los que puede identificarlos por diversos medios, careciendo de justificación la exigencia impuesta para la cancelación, se insiste, una vez identificado el afectado".
Pues de aquí sacamos petróleo, amig@s:
1) Cuidado con las Políticas de Privacidad; aunque tú no las leas (cosa que nos pone tristes a los que las escribimos, por cierto), la AEPD sí, y pueden actuar como boomerang.
2) Cuidado con poner obstáculos cuando alguien te pide ejercitar un derecho; si le tienes identificado (porque además tienes medios para hacerlo) y te lo pide, aun no respetando los cauces que has previsto para estas cosas, ya puedes mover el culamen para gestionarlo. La idea que subyace aquí, al menos para mí, es: Si tienes medios para recabar datos a mansalva y usarlos en tu beneficio (o para mejorar la experiencia de tus clientes, que suele ser un poco el comodín), también los tienes para atender y hacer efectivos los derechos, monín.
- El aviso de "o mueves el culo o te sanciono por RGPD".
Básicamente, se le dice a Cabify que tiene 10 días para certificarle a A.A.A. que ha atendido su derecho y que le cancela; y si no lo hace, pues estacazo conforme al RGPD. Pero ojo, que la infracción a la que alude la AEPD es la siguiente: "el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1". Este artículo 58 del RGPD no alude a sanciones, sino a los PODERES conferidos a las AEPD. Nuestra querida AEPD recuerda en su documento que tiene poderes de Investigación (art. 58.1) y de corrección (art.58.2). Esto me parece MUY LLAMATIVO, ya que, aunque de un primer vistazo no veo la fecha de la misma, me da la impresión de que es anterior al decretazo de las sanciones RGPD con el que desayunamos hace poco.
La idea con la que me quedo es: "tenga o no ley interna con sanciones e infracciones, si quiero te casco". Y esto desmonta mitos de mierda como: "sin la ley de adaptación al RGPD, no te pueden sancionar" (esto lo he visto por twistter). Como vemos, una leyenda urbana. :-).
Y con esta idea en mente, vamos al siguiente punto...
- El guirigay de normativa.
En el documento nos encontramos con referencias a:
- El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
- Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
- La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
- La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
- Y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
Como vemos, todo un combo de normativas, dos de las cuales parecía que habían pasado a mejor vida con el pleno furulamiento del RGPD. La AEPD tirando zascas de forma indirecta, eh?
Y hasta aquí llega el post, espero que os haya parecido interesante... :-)
Feliz Verano!!!