miércoles, 15 de agosto de 2018

El aviso de la AEPD a Cabify o cómo en cuestión de zascar, todo es empezar...

Buenas tardes, querid@s lopder@s!

Vaya por delante que me corroe la envidia; no solo por el festivo que hoy estáis disfrutando por la madre patria, es que encima a eso se une la idea de que muchos andáis de vacaciones, a otros os huele el culo a playa y a mí me queda un poco bastante para catar algo de eso que llaman "días de descanso" (que, en mi caso, no suele ser nunca así porque suelo acabarlas necesitando unas vacaciones de las vacaciones...).  Bueno, la cosa es que he sacado un tiempito hoy para, con agosticidad, pararme a escribir un post, que hacía tiempo que no lo hacía y está feo, ¿no? :-)

Hoy quiero comentar una Resolución un poco curiosa de la AEPD, en la que nuestra querida Agencia, le pega un toquecito a CABIFY debido a una atención un poco peculiar de una solicitud de un derecho de cancelación. Vamos al lío a ver qué nos encontramos...

El documento, como siempre, os lo linkeo aquí, y os dejo los datos también, ya que como nos han desbaratao todas las resoluciones con esto del cambio de web de la AEPD por el furulamiento del RGPD, ya no me fío de que los links sigan vivitos mucho tiempo:

Procedimiento Nº: TD/00716/2018
RESOLUCIÓN Nº.: R/01472/2018

Protagonistas: A.A.A y MAXI MOBILITY SPAIN S.L.(CABIFY).


Sinopsis:

A.A.A decide ejercitar derecho de cancelación ante Cabify, mediante correo electrónico, en febrero de este año. El mismo día, recibe respuesta de Cabify confirmando que les ha llegado la solicitud y que..."estamos trabajando en ello" (léase esto último con pseudo acento texano... los más frikis lo entenderán XD). Bueno, la cosa es que 3 días después, Cabify le contacta para comunicarle que no puede atender a su solicitud porque "(...) necesitamos que el email desde el que nos solicita la cancelación de datos coincida con el email vinculado a tu perfil Cabify"; línea general que sigue Cabify con otro email enviado a A.A.A., al parecer, tras consultar con su Departamento Legal. La solución que le proponen a A.A.A. en este nuevo email es que cambie en su perfil de Cabify el email, y ponga este nuevo que A.A.A. está utilizando para hacer la solicitud de cancelación de datos. Tras esto, parece que A.A.A. se cabrea y decide pasar el tema a la AEPD. La AEPD ve el tema y le manda una notificación electrónica a Cabify para que se manifieste, pero Cabify no la abre, la notificación se esfuma a los 10 días y bye bye Paraguay (lo que se medio interpreta como un "ni caso me haces, moreno").



Hasta aquí tenemos varios puntos clave:

- Una solicitud de cancelación hecha por email y un estacazo.
- Un aviso de: "o mueves el culo o te sanciono por RGPD".
- Un guirigay de normativa.


Desmelonemos... :-) 

- Sobre la solicitud de cancelación hecha por email, es clara la postura de la AEPD: es verdad que Cabify no se pasó de fecha al responder, pero no lo hizo de forma que fuera efectiva la solicitud; requirió a A.A.A. que hiciera un mero cambio de email para poder hacerlo, cosa que, a juicio de la AEPD, es un poco desproporcionado, entre otras cosas, debido a que Cabify (y ojo al estacazo indirecto"(...)...según su Política de Privacidad recaba distintos datos personales de sus clientes por los que puede identificarlos por diversos medios, careciendo de justificación la exigencia impuesta para la cancelación, se insiste, una vez identificado el afectado". 


Pues de aquí sacamos petróleo, amig@s: 

1) Cuidado con las Políticas de Privacidad; aunque tú no las leas (cosa que nos pone tristes a los que las escribimos, por cierto), la AEPD sí, y pueden actuar como boomerang.

2) Cuidado con poner obstáculos cuando alguien te pide ejercitar un derecho; si le tienes identificado (porque además tienes medios para hacerlo) y te lo pide, aun no respetando los cauces que has previsto para estas cosas, ya puedes mover el culamen para gestionarlo. La idea que subyace aquí, al menos para mí, es: Si tienes medios para recabar datos a mansalva y usarlos en tu beneficio (o para mejorar la experiencia de tus clientes, que suele ser un poco el comodín), también los tienes para atender y hacer efectivos los derechos, monín.


- El aviso de "o mueves el culo o te sanciono por RGPD".

Básicamente, se le dice a Cabify que tiene 10 días para certificarle a A.A.A. que ha atendido su derecho y que le cancela; y si no lo hace, pues estacazo conforme al RGPD. Pero ojo, que la infracción a la que alude la AEPD es la siguiente: "el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1". Este artículo 58 del RGPD no alude a sanciones, sino a los PODERES conferidos a las AEPD. Nuestra querida AEPD recuerda en su documento que tiene poderes de Investigación (art. 58.1) y de corrección (art.58.2). Esto me parece MUY LLAMATIVO, ya que, aunque de un primer vistazo no veo la fecha de la misma, me da la impresión de que es anterior al decretazo de las sanciones RGPD con el que desayunamos hace poco. 
La idea con la que me quedo es: "tenga o no ley interna con sanciones e infracciones, si quiero te casco". Y esto desmonta mitos de mierda como: "sin la ley de adaptación al RGPD, no te pueden sancionar" (esto lo he visto por twistter). Como vemos, una leyenda urbana. :-). 
Y con esta idea en mente, vamos al siguiente punto...


- El guirigay de normativa.

En el documento nos encontramos con referencias a:
  • El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
  • Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
  • La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
  • Y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos


Como vemos, todo un combo de normativas, dos de las cuales parecía que habían pasado a mejor vida con el pleno furulamiento del RGPD. La AEPD tirando zascas de forma indirecta, eh?

Y hasta aquí llega el post, espero que os haya parecido interesante... :-)

Feliz Verano!!!






sábado, 26 de mayo de 2018

1000 RGPERDONES.


Mi querido y estimado Data Subject, interesado, Responsable o lo que seas, que ahora mismo me la bufen (es tarde y la vida se me vaaaa).

Me dirijo a ti, mediante este post, para trasladarte mis más sinceras disculpas, en nombre de mis compañeros de Derecho Friki, por el aluvión de Spam bastante innecesario que has recibido estos días previos al 25 de mayo. Quiero que sepas que entendemos el coñazo máximo que ha supuesto para ti abrir el maldito correo y encontrarte la bandeja llena de emails de empresas con las que probablemente no hayas cruzado palabra en tu puñetera vida, pero a las cuales seguramente les diste tus datos para poder ganar dos entradas de cine (un premio nada desdeñable, con lo caro que se ha puesto lo de culturizarse). Y si no le diste tus datos a la empresa que organizaba el sorteo, igual se lo diste a otra, que se los hizo llegar. Y no tenías ni pajolera idea porque eso estaba en chiquitito en las condiciones legales que declaras expresamente, y bajo juramento biblico, que has leido y entendido, aunque tod@s sepamos a estas alturas que eso es menos creíble que el testimonio de Mariano en el juicio de la Gürtel (y esto no lo digo yo, eh? viene en la Sentencia que acabamos de conocer que condena este mamoneo de poder y dinero más negro que el sobaco de un grillo, tal y como señala mi querida profesora Verónica del Carpio en su cuenta de twitter). Esas condiciones legales infumables que han invadido tu bandeja de entrada  y que se han reproducido como setas en las bandejas de tod@s tus conocid@s, desde aquí, las maldigo.

Te pido perdón por el error de cálculo que ha supuesto tener dos años para ver de qué cojones iba el RGPD y no haber sido capaces de preparar el terreno como para evitar este pseudoacoso al que ahora estamos sometidos.  2 años parece bastante tiempo, pero créeme, no lo es. Y el ejemplo claro es que a estas alturas de la vida, no hemos sido capaces de sacar la puñetera reforma de la LOPD. Pero no te fustigues, esta vez no hemos sido los únicos "perezosos"; si miras fuera de la madre patria, verás que casi ningún país ha hecho los deberes. Estamos todos jodidos, o jodiden, como prefieras.

Pero no te vayas todavía, que tengo más cosas por las que disculparme, en mi nombre, en el de mis compañeros y en el de los getas que te venden que cumples la normativa de protección de datos y todo el derecho saturniano en 3 tardes. Bueno...¿qué cojonen? En nombre de estos no me disculpo, son ellos los que deberían hacerlo por mentirte. Y atento porque esto no te va a gustar, pero alguien tiene que decírtelo... NO ES POSIBLE CUMPLIR AL 100% LA NORMATIVA DE PROTECCIÓN DE DATOS. Si somos honest@s, creo que toda relación se basa en la honestidad, incluso aunque duela. Y te voy a contar principalmente por qué es imposible cumplirla, que me has pillado de buenas. El melón del RGPD está formado, entre otras cosas, por la información sobre ti (y sobre otr@s) que emites desde el dispositivo desde el que me lees, y que vuela, casi podríamos decir que lo hace "libre a lo Nino Bravo", hasta rincones que ni imaginas.  Y podrás suponer que cada día hay 30303939393 millones de amenazas a toda esa información, y ninguna entidad es infalible. Si solo pensamos en factores técnicos, es fácil de entenderlo; pero si además le sumamos el factor humano, el riesgo, concepto bien incrustado en el RGPD, LO PETAMOS. Así que no seas moñas, que nadie te engañe diciendo que las plantillas son suyas y están nuevas porque los zapatos se los pone poco (por cierto, excelente hilo de la tuitera @menendezfaya). Abre tus brazos y tu cartera a la nueva normativa. Y sí, he dicho tu cartera, porque cuesta dinero, majete, como todo en la vida. No hace falta que nos compres un chalet en Galapagar, pero sí que valores nuestro trabajo, nuestro esfuerzo, las horas que invertimos en reciclarnos y la salida que tenemos que encontrar a desafíos que no se encuentran en los libros. Y, de nuevo, sí: aunque cojas a la mejor frikitoga (que, por cierto, nunca hay que dar por hecho que será la que te pegue la mayor clavada), no estarás 100% a salvo de que venga la AEPD y te pegue un estacazo. Es lo que hay, querid@.

 Y ahora estarás pensando: "joder Iuris, qué mal vendes el sector". Pues tienes razón, eh? es que lo del Marketing nunca se me ha dado bien. Peeero lo que sí se me da bien es hablar claro; incluso con todos estos aspectos negativos, nos necesitáis y nos acabaréis queriendo, créeme. Porque detrás de todo este coñazo, están tus datos, tu vida, tus gustos, el derecho que tienes a tener tu puñetera privacidad y a exigir a las empresas que sean cuidadosas. Y al gobierno, my darling, que también mete mano aquí y, a veces, de formas más que dudosas. ¿O es que nos hemos olvidado del Lexnetazo del verano? ¿o de lo que contó mi adorado Snowden?

En resumen, y para no extenderme más como esos pergaminos intermitables a los que accedías para reconsentir lo que ya consentiste sin leer...(pero declarando y jurando que lo hiciste)...

LISTA DE DISCULPAS:

1) Por petarte la bandeja de entrada.
2) Por petarte el cerebro con políticas más largas  que El Quijote. Danos tiempo, somos abogad@s y va en la sangre enrollarnos cual persianas; aunque se pretenda lo contrario con el RGPD (o esa es la teoría).
3) Por no darte respuestas talladas en piedra a tus preguntas. Joder, que vamos con la "L", coño. Y que en esto hay mil aristas, sé comprensivo y baja los humitos; si no dudo cada día de la respuesta a dar a cada cosa que se me presenta, tendría que considerarme un fracaso de ser. Hay que dudar más, preguntar, interactuar, aplicar y volver a dudar. Y créeme: "prometo solemnemente dudar", porque las veces que dude serán directamente proporcionales a todas las aristas que tengo en cuenta para arreglar tu problema. Funciona así.
4) Por este coñazo de post.


Hala, que me he quedado tan agusto. Me despido con este temazo, más que apropiado, de Café Quijano con Willy Bárcenas... ;-)



...Aunque sé que no es tan fácil Perdonarme
Hoy te pido que me dejes demostrarte
Que se aprende de los fallos
Y que entiendo que te duela
Que estés triste y te cuesta perdonar...


A bailaaaaarl con el RGPD!!!

Pdt: Ni fotos ni ná pongo hoy, que estoy en modo minimalista XDDDDDDDD.