Una alemana, una española y un crédito sospechoso

Hola de nuevo, lopder@s!

En este post, a petición de mi querido Raúl Gámez, voy a comentar, hasta el día de hoy, la Resolución más curiosa que he visto en la web de la AEPD, Esta vez no termina con un multazo, por lo que no esperéis que alguno sufra en sus bolsillos la embestida de la AEPD; lo interesante del caso es cómo empieza y cómo se desarrolla; esta vez el final quizás deje con un cierto sabor agridulce (y no precisamente por la ausencia de multa). Como siempre, la Resolución la dejo aquí (y te invito a leerla encarecidamente). Vamos a ello:

Era un 20 de enero de 2016 cuando se recibe en la AEPD una carta un poco diferente. El matasellos dice que viene de Alemania, de un lejano lugar llamado Hamburgo y el remitente, impronunciable para un hispano-hablante, resulta ser aquella prima a la que conocíamos apenas de oídas: la Agencia de Protección de Datos de Hamburgo. "Vaya marrón, a ver qué quiere esta ahora", debió pensar la AEPD. Al abrir la carta, resulta que no es una felicitación tardía de Navidad: es todo un escrito en el que nuestra prima hamburguesa desarrolla lo que parece una especie de informe bastante currado sobre las actividades de una empresa con matriz en Alemania pero tentáculos en diferentes lugares europeos, entre otros, España. La prima harmburguesa nos envía una carta para decirnos que algo le huele a chamusquina en Alemania y parece que, cierta parte de ese olorcillo a quemado, viene de más abajo de los Pirineos: nos pide ayuda para identificar el foco y nos abre el camino para ir con la manguera.

Puntos clave de lo que le huele a chamusquina a la prima teutona:

- Tenemos un grupo empresarial, que se dedica a esto de los créditos rápidos, la mar de majo y cuya matriz está en Alemania pero tiene una filial en nuestra patria querida, que actúa un poco a su rollo pero interacciona fuerte con la matriz. 

- Recopilación de Datos que hacen las filiales (también, por supuesto, la española). 

El textual de lo que dice la prima teutona es revelador: "Para preparar la aprobación del crédito, las empresas filiales de XXXXXX  recopilan un amplio abanico de datos de carácter personal que se inmiscuyen de lleno en la intimidad de sus clientes". Y ojo que la cosa se pone fea: aparte de la información que da el solicitante para obtener su crédito, este conglomerado recopila información del pobre solicitante obtenida gracias al rastro que va dejando en lo que navega por webs asociadas al conglomerado presunto. La prima teutona sospecha que esta recopilación de datos a mansalva da como fruto la elaboración de un perfil muy amplio del solicitante. Es más, para completar bien el perfil, el conglomerado tira también del Facebook del pobre solicitante (eso sí, tras tener su ok voluntario, cosa también un poco cuestionable a juicio de la prima harburguesita, ya que ofrece compensaciones si el solicitante dice aquello de "sí quiero"). Por si esto fuera poco, el solicitante tiene que dar la contraseña de sus cuentas bancarias en internet para que el conglomerado presunto verifique que sus cuentas han tenido movimientos "sexis" en los 60 días anteriores a la solicitud del préstamo. Y todo esto se hace a cambio de que te presten una pequeña cantidad de dinero; no quiero ni pensar lo que pedirían si les pides un pastizal.

- Consentimiento no otorgado libremente. 

Ojo al textual de la carta de la prima teutona: "(...)...los clientes que deciden pedir dinero prestado a KREDITECH se sienten fuertemente obligados a hacerlo, ya que no tienen acceso al mercado de capitales normal y a los créditos a tipos de interés normales. Obviamente, necesitan con urgencia un dinero que ningún banco comercial les prestaría"(...). 

Es decir: aquí se cuestiona algo de lo que ya he hablado en alguna ocasión por aquí: la cuestionable libertad a la hora de consentir el tratamiento de algunos de nuestros datos. Hay que tener en cuenta dos cosas: 

1) la necesidad urgente de conseguir una cantidad de dinero y 

2) el interés que se paga si el conglomerado presunto te lo presta: 3.752%.

La prima alemana hace hincapié en ambas cosas, y nos informa de que eso en su casa se llama usura y que está prohibido, para más inri.

- Retención indefinida, lo que se traduce en que: "o pides que te borre o ahí te quedas" (y cuando digo "borre" quiero decir "me anonimizas").

Tras este informe, la AEPD se levanta de la siesta y se pone a currar (me encanta tirar de tópicos...XD). Se va a la web de la filial española y revisa un poco lo que ve: desde los textos legales hasta si tiene declarados ficheros y de qué tipo, se pasa por la sede para que le expliquen como hacen las cosas y a pedir y pedir documentación (que si contratos de encargo de tratamiento, por ej. del Call Center que tienen en Rumanía, que si el envío de publi se hace bien... ), lo que se dice: un cisco. Además de esto, la AEPD accede a los sistemas de información de la filial y se encuentra con que se registran datos del solicitante como estos (y me remito a los más llamativos, que hay más): 

• Localización actual (longitud, latitud), 
• Dirección de trabajo, 
• facebookData, 
• balance de pagos del cliente (pagos adelantados, pagos pendientes... en relación al préstamo pedido al conglomerado presunto, sospechamos),  
• IP de conexión y el agente de usuario (navegador), 
• Datos externos (identificador del dispositivo), 

Como curiosidad, os cuento dos cosas más: los datos recorren más países que Willy Fog y el conglomerado presunto dispone de un procedimiento de bloqueo (una de mis eternas peleas) tan majo como este:

- Datos de solicitudes no finalizadas: se bloquean siete días después de suinicio y se borran en 180 si no han sido completadas.

- Datos de solicitudes finalizadas y no concedidas: se bloquean a los 30 días y se borran a los tres años.

- Datos de créditos concedidos: se bloquean 30 días tras el pago del préstamo y se borran diez años después.

Además de todo esto, la AEPD recurre a Infojobs para informarse sobre el conglomerado presunto (no, no es coña) y se encuentra con esto (literal): 

<<El grupo XXXXXXX usa big data y complejos algoritmos de aprendizaje automático.

Basado en 20.000 puntos de datos, su tecnología propietaria permite a sus servicios financieros el adquirir, identificar, valorar, pagar y aumentar sus clientes en segundos.

Los procedimientos automatizados combinados con algoritmos de auto-aprendizaje aseguran una rápida y adecuada atención al cliente mientras se minimizan el costo y espacio para el error humano. >>

Vale, o sea que la AEPD recurre a Infojobs para hacer su trabajo. Pues qué campechano todo. ¿no?

Tras todo este berenjenal, nos encontramos con los fundamentos jurídicos (que no voy a reproducir para no aburrir al personal) y con las conclusiones de nuestra AEPD, que os resumo:

1) "(...)... no hay indicios de los que se desprenda que LA FILIAL no actúe diligentemente, ya que cuenta en todo momento con el consentimiento de sus clientes, tanto en la toma de datos personales, como para las cesiones y transferencias internacionales de sus datos, o bien para el acceso de ficheros de terceros, señalando además que su clientes en todo momento podrán ejercitar sus derechos ARCO...(...)"

2) "(...)...no estamos ante un supuesto donde se tomen datos únicamente para evaluar determinados aspectos de su personalidad, ya que existe además la finalidad de formalizar una relación contractual, es decir un préstamo.Además el ciudadano siempre podrá impugnar el tratamiento de sus datos ante los órganos administrativos y judiciales competentes....(...)"

3) Y ojo con lo siguiente: Si os acordáis, al principio del post comenté que había algo que le olía a chamusquina a la prima teutona, y al empezar a analizar la Resolución, os he destacado en rojo y negrita lo siguiente: eso en su casa se llama usura y que está prohibido. Exacto, mis queridos amigos: parece que todo esto se ha montado porque la prima hamburguesa cree que el conglomerado presunto realiza sus actividades rozando lo ilegal, acorde con la normativa alemana. Es decir: que aparte del tratamiento de datos cuestionable, la finalidad del mismo es prestar un servicio con tintes de usura, insisto, según la normativa alemana que menciona nuestra prima teutona. Claro, la AEPD que es muy perspicaz, deja claro en la Resolución que...

 " (..) ...la Agencia Española de Protección de Datos, no es competente para dirimir cuestiones civiles, tales como si los tipos de interés son o no acordes a derecho según las prácticas bancarias españolas, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil...(...)"

Chimpún.

Cosas que, personalmente, me llaman la atención y me hacen pensar en lo divino y lo humano:

1) Me gusta la colaboración entre Agencias de Protección de Datos: los datos personales "vuelan" y es imprescindible que se tiendan la mano y colaboren. Punto para la prima alemana y para nuestra AEPD por darse la mano y bailarse unas sevillanas en lo que se toman unas pintas.

2) Me da cierta envidia la actuación de la prima teutona en lo que parece una cierta defensa de sus ciudadanos e, incluso, de los ciudadanos españoles. Ya sé que la función de la AEPD no es verificar si se practica usura o canto gregoriano a grito pelao a las 4 de la mañana por el centro de Madrid; pero también es verdad que al final los datos se usan para algo y, aparte de verificar que el tratamiento es acorde a la normativa de protección de datos, echo de menos una cierta prevención en que la finalidad es correcta (e insisto, no sólo a nivel protección de datos). 

Y lo tengo que decir: me parece excesivo que para pagar un préstamo se te invite a dejar fisgar en tus perfiles de RRSS. Uno en sus RRSS no está sólo, y además, que no entiendo y no veo sostenible lo que tiene que ver el tocino con la velocidad: que yo pague religiosamente mi deuda no tiene que ver con que le de a "Me gusta" a las fotos de la playa del vecino (¿o es que eso denota que voy a dejar de pagar porque tengo mono de playa?). Ya, ya lo sé: Big data, algoritmos o lo que queráis, pero no, no me parece admisible.

3) La AEPD tira de Infojobs para investigar. Lo flipo: entre los que buscan curro y las investigaciones de la AEPD, el Señor Infojobs debe estar más contento que unas pascuas con sus visitas. 

Y hasta aquí llega el post de hoy; espero que os haya gustado, queridos frikis de la protección de datos!

La LOPD como paradigma de la transversalidad.

¡Hola de nuevo, querid@s lopder@s!

No son pocas las veces que me preguntan exactamente a lo que me dedico. Suelo responder, para que se me entienda más o menos, que a la LOPD, y generalmente el interlocutor suele reaccionar de dos formas:

1) Diciendo que la LOPD no la cumple ni Perry Mason, lo cual es una idea que me resulta, por una parte, frustrante y por otra, descorazonadora. Frustrante porque me hace pensar que mi trabajo no se toma en serio y descorazonadora porque pienso: "si crees eso y sigues regalando tus datos, es que es algo que no valoras". Y con esta segunda idea, vuelvo a la parte de la frustración y enlazo: No valoras tus datos = no vas a exigir a las empresas que se preocupen por este tema = me van a tomar por el pito del sereno= Frustración.

2) Afirmando con toda seguridad: "en mi trabajo/empresa no hay datos de nadie", tras lo cual mi respuesta suele ser: "¿no tenéis clientes?" y el ávido interlocutor suele responder: "sí, pero lo único que tengo es el nombre y el DNI, no tengo datos del banco, así que eso no cuenta". Mi cara suele ser una Oda a la Paciencia (la lucha por el nivel de seguridad de los datos bancarios empiezo a darla por perdida) , pero reconozco que, dependiendo de la situación en la que me encuentre y las ganas que tenga de hablar de trabajo, suelo optar o por empezar a decirle todos los datos los que sospecho que hay en su negocio o bien, vuelvo a eso de la frustración que os decía antes.

Una de las últimas veces en las que he tenido el gusto de hablar con un "ajeno" sobre LOPD me encontré con que le eché una chapa buena al pobre interlocutor planteándole un montón de situaciones sobre las que la protección de datos extiende sus ramas, y eso me hizo pensar en lo transversal que es esta materia. Este post va de eso: de la transversalidad de la protección de datos y de las situaciones en las que algo tan desconocido como esta temática tiene mucho que decir. Para ello, voy a tirar de los argumentos que he usado alguna vez, para darle un toque de humor tan característico en este blog y dar armas a mis compañer@s de profesión y de fatigas; para no extenderme mucho, me centro en los dos que más llaman la atención:

1) La LOPD y el Derecho Laboral.

Aquí de lo que suelo tirar es de las cámaras de videovigilancia, lo reconozco. Poco hay que explicar sobre esto porque cada vez hay más cámaras en las empresas y los titulares son casi diarios, amén de los posts estupendos que escriben muchos laboralistas, a los que felicito desde aquí con todo el cariño, porque por mi experiencia suelen ser de los compis más aplicados en darle alguna vuelta a la incidencia de la LOPD sobre su especialidad.

Otras de mis "armas" suelen ser los temas de geolocalización (GPS en coches de empresa, por ejemplo) o los de los equipos (reglas de uso de los equipos de trabajo, ya sean móviles, portátiles, tablets...).

2) La LOPD y la Tecnología (así, en genérico). 

Aquí voy con toda la artillería, ya que no sólo es LOPD, es que hay implicaciones LSSI, de normativa de comercio, de consumidores, propiedad intelectual...bla bla bla. Y, obviamente, en un mundo tan hiperconectado, a todo esto hay que sumarle la normativa internacional que también hay que tener en cuenta.

Aplicaciones móviles/Páginas web/RRSS/Drones/Wearables

Comentaba hace un rato por twitter la cara de perplejidad que suelen ponerme cuando comento, así a la ligera, aquello de la necesidad de hacer unos textitos legales para sacar una app a la luz. Siempre suelo rematar con: "ya, ya sé que ni los miras ni aunque los busques los encuentras en las apps que descargas, pero DEBEN ESTAR". Formularios y mails de contacto, fotos de trabajadores (vuelvo al anterior punto y a este post que escribí hace un tiempo contando la Historia de Paco), las malditas cookies (si a estas alturas no sabes lo que son, te invito a ver mi política, donde he procurado explicar el concepto muy claramente y con el toque #iurisfriking) y los desconocidos web beacons...

3) La LOPD y la macedonia de frutas.

Aquí ya suelo meter las cosas que se me ocurren sobre la marcha: desde el Cloud Computing (la Nube, hablando coloquialmente), hasta las cámaras que vemos en los coches de policía estadounidenses (siempre hay alguien que ha visto un vídeo rollo peli de acción de una persecución), el Whatsapp y las fotos que se envían (de menores, sexting...), la reputación digital (hoy especialmente en boca de todos por el "despido" de cierto youtuber de una gran empresa, por cierto), el derecho al olvido, las supuestas grabaciones cuando llamas para dar de baja un servicio en una teleco, las facturas y los tickets de pago del banco cuando compras cualquier cosa, la información que puede sacarse de tu abono transportes y que puede ser muy valiosa a efectos comerciales y estadísticos con el big data (por dónde vas al trabajo, qué líneas de bus son más usadas y en qué horas...), todo lo que tus dispositivos pueden contar de ti sin que lo sepas (aquí tienes un post en el que te cuento lo chivato que puede ser tu móvil). A colación de esto, imagínate que en vez de dar info a un comerciante, estás en una manifestación o celebración de un torneo de lo que sea, la cosa se pone fea y las autoridades se enteran (por ciencia infusa, claro) de tu presencia en medio del meollo o que te intervienen tus mails a la ligera...

Como veis, la transversalidad es un rasgo clarísimo de la protección de datos, así que hacedme el favor de usar estas armas para que todo el mundo entienda que esta rama es importante y necesaria. Me haréis feliz y evitaréis situaciones de frustración mías (y de much@s compis) como las que os comentaba al principio.

Y hasta aquí llega el post de hoy, amig@s: feliz verano, id por la sombra y...

¡A rebatir argumentos!

Los Big Zascas de la AEPD en 2015. La lotería que no quieres que te toque.

Hola a tod@s!

Os voy a ser sincera: este post nace de mi enfado porque no me haya tocado la lotería de Navidad. Soy de esa gente que sólo juega a este tipo de cosas en Navidad: apenas llevo un par de números y uno de ellos siempre es uno muy especial para mí (qué típico, ¿verdad?). Pues nada, como no me ha tocado la lotería y estoy profundamente mosca por ello, se me ocurrió hacer un post hablando de los "agraciados" de la lotería de las sanciones de la AEPD de este año 2015, así que mirémoslo por el lado bueno: he transformado algo negativo en algo positivo (aunque debo confesar que ha sido uno de los posts más laboriosos hasta ahora). Así que ya sabéis: el cabreo no se crea ni desaparece, sólo se transforma. :-P

Avisos sobre el post:

1) Es posible que haya metido la gamba en algún dato: el método usado ha sido un excell de toda la vida (bueno, más bien un Libreoffice Calc) y no quiero ir de sobrada retando a cualquiera a que encuentre un fallo, así que vaya el reconocimiento por delante, por si las moscas.

2) Esto no es una herramienta de "fiscalización" del trabajo de nadie, es decir: la intención es que pueda ser útil, exclusivamente. No es un post en plan "preguntas frecuentes que caen en el examen": es un post informativo que, espero, pueda servir a alguien, ya sea para concienciar o para tener una idea de cómo van las cosas a nivel LOPD.

Y ahora, vamos al lío..
 

Datos iniciales:

• Total de resoluciones sancionadoras en 2015: 635.  

                Esto nos da una media de, aproximadamente, 2 sanciones de la  AEPD por día natural.

• Resoluciones sancionadoras que se basan en un sólo artículo: 485.

                Este dato evidencia que las 150 restantes vienen en pack, esto es: que se sanciona por vulneración de dos o más artículos de la normativa.

Lotería 2015 de la AEPD:

Empieza el sorteo,que rueden las bolitas!

EL GORDO se lo lleva el art 4.3 de la LOPD. Este artículo aparece 257 veces en las resoluciones sancionadoras. Parece que donde más fallamos es en respetar el Principio de Calidad de los Datos y la AEPD actúa en consecuencia. Os recuerdo que, como mínimo, es infracción grave cuya multa puede ir desde 40.001 a 300.000 euros. Haced cálculos y podréis suponer que el Gordo de Navidad realmente le ha tocado a la AEPD con tantas sanciones por este artículo.

 

El segundo premio va para el art 6.1 de la LOPD, con un total de 227 apariciones estelares en las resoluciones sancionadoras de la AEPD. Parece que no acabamos de entender que tenemos que tener el consentimiento inequívoco de los afectados para tratar sus datos. Nada, que no nos entra en la cabeza. La sanción prevista para estos casos también es de tipo grave y las multas oscilan entre las cantidades que indiqué en el párrafo anterior. Enhorabuena de nuevo a los agraciados, es decir: la AEPD.

El tercer premio sale de otro bombo y se va al 21  de la LSSI con un total de 62 menciones. Nos ubicamos en las infracciones graves cuya multa puede ir de 30.001 hasta 150.000 euros. Este tercer premio parece muy repartido. 

El cuarto premio se lo lleva el art. 11 de la LOPD, muy relacionado con el consentimiento, de nuevo. Aparece 48 veces en las resoluciones. Nos situamos como mínimo, otra vez, en las infracciones graves, con los baremos ya indicados. Mi más sincera felicitación a la AEPD por este cuarto premio.

El quinto premio va para el art. 29 de la LOPD. Aparece un total de 40 veces en las resoluciones sancionadoras de este año 2015. Otra vez nos vamos a las infracciones graves. Felicidades, vaya suertudos estos de la AEPD! :P

Y vamos con la pedrea, en la que encontramos, entre otros, los artículos 5.1, el 9, el 37, el 10 de la LOPD... y podríamos seguir, pero creo que por hoy es suficiente. Como vemos, los premios de lotería de 2015 han venido muy repartidos y el sorteo se ha desarrollado con normalidad durante todo el año. Llegados a este punto, quiero invitarte a que evites comprar tu boleto de la mala suerte asesorándote sobre esta rama del Derecho cuanto antes y así disminuirás las posibilidades de que tu nombre esté dentro de los bombos. 

Empieza el 2016 con buen pie: de rojo, con algo dorado, comiéndote las uvas y con la tranquilidad de que el número que llevas tiene menos posibilidades de resultar "desgraciado" con la Lotería de la AEPD del 2016.

Yo te dejo las uvas, tú decides si tomarlas o no.

Y hasta aquí llega el post de hoy: Gracias por pasar este ratito por aquí y espero que os haya gustado este experimento casero inspirado, lejanamente, en la idea del Big Data. ;-)

Saludos a tod@s!