5 Situaciones Anti-LOPD a desterrar (basado en hechos reales)

¡Hola de nuevo!

En  este post voy a contar casos reales con los que me he encontrado en los últimos tiempos y que son la máxima expresión del desconocimiento general que hay en torno a la materia de protección de datos. Desconocimiento y cierto desinterés, que todo hay que decirlo. Siempre insisto en la necesidad de concienciar a la persona antes que entrar en vereda con el trabajador y con su jefe; la formación en materia de protección de datos (bajo mi opinión), debe partir desde el más básico de los puntos: tus datos como persona física. Es por eso por lo que, para tener unos mínimos conocimientos de protección de datos y privacidad no debe requerirse más que el hecho de "ser". Si eres una persona y tienes un nombre, ya puedes (y debes) conocer algunas pautas de la materia que te permitirán protegerte en un mundo hiperconectado como el que se avecina.

Y ahora, tras esta reflexión, voy a enumerar las situaciones más anti-LOPD que me he encontrado en los últimos tiempos, con el fin de que si lo lees, te acuerdes de este post y sepas que algo no va bien...

1) Aquel mítico "Acepto la LOPD".

Me lo encontré en una web y la verdad es que estuve un buen rato analizando la frase. Obviamente, la idea era que mis datos fueran procesados para obtener un servicio y al que elaboró el formulario no se le ocurrió otra cosa que irse al grano. Querido amigo: no acepto la LOPD, cuando pulso (la LOPD viene aceptada "de fábrica"), lo que aceptaré (en su caso), serán las condiciones que me tienes que explicar en la cláusula que deberías poner.

2) Esa app de videovigilancia que envía las imágenes a Marte y las conserva hasta que vuelva a pasar el Cometa Halley.

Afloran las aplicaciones sencillas y gratis para que hagas de tu casa o tu negocio un auténtico plató de TV. Está de lujo instalar un sistema de videovigilancia con dos clicks y que no te cuente un duro, pero tienes que ver más allá de eso. Si la app va a grabar tu casa, en principio, la LOPD no aplicaría, pero yo no dejaría de plantearme quién va a tener acceso a esas imágenes y durante cuánto tiempo. Instalar una app y no preocuparse por esto es muy temerario, no son pocos los casos en los que en tres clicks se puede acceder a los servidores que guardan esas imágenes y ser espectador de una especie de Gran Hermano no autorizado. Y claro, rizando el rizo, imagínate que encima es un caco (de esos que quieres ahuyentar con las cámaras): ¡le estás dando el trabajo hecho! Le facilitas horarios en los que está la casa libre, lugares donde escondes los dineros, información personal tuya y de tu familia o los que te visiten (desde el del Gas hasta tu grupo de amigos o aquella tía del pueblo que viene una vez al año a engancharte los mofletes) ... ¿No te parecen motivos suficientes como para darle un par de vueltas al asunto?

En el caso de que la app la quieras para tener "segura" tu empresa, aparte de lo que acabo de comentarte, te metes en un jardín con la LOPD y sus medidas de seguridad como poco (amén de las más que probables transferencias internacionales), además de normativa laboral, así como base. Si fuera tú, le pondría velas a San Pancracio para que no tengas que usar las imágenes y acabes con una multaza en bonito primer plano.

3) La app gratis para gestionar los RRHH de la empresa o los clientes y que me permite mandar newsletters a mansalva.

Íntimamente relacionado con el caso anterior. Te encuentras con una maravillosa app que te permite gestionar los CV's que te llegan, crear expedientes de posibles fichajes o controlar los movimientos del personal de tu empresa (altas, bajas, permisos....), todo es idílico hasta que ves que los datos que subes los mandan a Plutón y que, por mucho que tengas toda la buena intención de eliminar de vez en cuando, la información sigue ahí, como un ente. Y para rematar la faena, el gestor/creador de la app los está vendiendo a terceros con pocos escrúpulos o bien, ha puesto una contraseña tan complicada como 1234 y que le roben los datos es tan esperable como que amanezca mañana ¡Vaya berenjenal! Aparte de las transferencias de datos que comentábamos antes y de la vulneración de principios básicos de la LOPD, estamos obviando las medidas de seguridad de la normativa y faltando el respeto a los titulares de esos datos (aunque tengamos suerte de que no lleguen a enterarse jamás), que son los que hacen que nuestro negocio funcione. Perdemos credibilidad, confianza y, al final, perderemos dinero. Como se ha dicho mil veces: Los datos personales son un activo (o si no...¿por qué crees que ha pagado Microsoft el pastizal por Linkedin?).

Para poner la guinda al pastel, resulta que la maravillosa app es capaz de enviar tropecientos mil emails contando lo maravillosos que somos, pero ninguno de esos tropecientos emails llevan incluidos las premisas básicas de la normativa, ni hay posibilidad de cuadrar las bajas que nos piden los receptores. Pues bien, que sepas que por cada email que envías desde Plutón es una papeleta que compras para que la AEPD te traiga el premio gordo.

Por cierto, aplicable a este punto y al anterior: Si te da como garantía de tomarse en serio la protección de datos el enterrado Safe Harbour, al igual que si alguien se va a por el pan y vuelve sin haberse comido un trocito...NO ES DE FIAR (ni uno ni otro).

4) Déjame tu DNI que lo fotocopio y me firmas el papel (en el que está fotocopiado tu DNI) para eso de la LOPD.

A día de hoy, no he encontrado nada en la LOPD que exija que nadie fotocopie tu DNI (a excepción del ejercicio de derechos ARCO) ni, mucho menos, que le tengas que firmar la fotocopia, así por las buenas. Me remito al punto 1) : ¿y mi formulario? ¿para qué quieres saber los nombres de mis padres? ¿y mi cláusula LOPD?. Por no hablar de los peligros de que alguien tenga por las buenas ese documento oficial (¿y si se le ocurre ponerse a afiliarme a cualquier partido o contratar algún tipo de servicio con alguna empresa que se tome la LOPD como el que fotocopia mi DNI?). La manía de pedir el DNI jamás la he entendido, si os soy sincera. Leí hace poco en un periódico una carta de una lectora que se quejaba precisamente de esto: de la cantidad de gente que tiene el DNI de cualquiera de nosotros. Parece que nos hemos acostumbrado a usar el DNI como comodín para todo y, a la vez, nos dicen que cuidado con a quien damos los datos personales. ¿No es un poco contradictorio todo esto?

5) Aceptar el "Te lo hacemos gratis con la Tripartita".

Me llaman a la ofi y lo cojo y, para mi sorpresa... ME OFRECEN LOPD A COSTE 0. Me pilló de buenas y le dejé que me hablara de lo sencillo que es, que no me iba a costar nada y que ellos se encargaban de TODO (entendiendo como TODO la declaración de ficheros, exclusivamente). Tras escuchar pacientemente al pobre comercial, cuando terminó y me preguntó que qué me parecía, le expliqué con toda la amabilidad que me salió que no estaba interesada en que me estafaran. Ante el incómodo silencio. le expliqué por qué estaban ofreciendo NADA y por qué lo sabía. El pobre comercial aguantó el chaparrón como pudo (intenté ser lo más amable posible, al fin y al cabo, el que menos culpa tiene es él) y la cosa no fue a mayores, pero oye, yo me quedé tan agusto.

Como veis, las situaciones anti-LOPD abundan que da gusto, incluso los que nos dedicamos a esto nos encontramos con este tipo de situaciones a diario. Si os digo la verdad, suelo intentar quitarme el "uniforme LOPD" cuando no trabajo, por dos motivos: 1) por tomar aire fresco y no vivir en una caja y 2) para poder ponerme en la situación del que no tiene ni idea de esta temática y poder detectar los errores que pueden cometer las empresas a las que asesoro. 

Y hasta aquí llega el post de hoy; os deseo una muy feliz semana y mucha suerte (y paciencia) a mis queridos unedianos, que, acabados los exámenes, empiezan la larga cuenta atrás para conocer sus notas.

¡Hasta la próxima!

Crear una app o tener un hijo, esa es la cuestión.

¡Hola de nuevo!

Este post es un post de preguntas, no de respuestas. Si has entrado aquí pensando que te voy a dar respuestas contundentes, has entrado en el sitio equivocado, no quiero engañarte, pero te invito a seguir leyendo porque igual descubres que las preguntas que vas a encontrar son necesarias para saber si te conviene meterte en el berenjenal de hacer una app o si no estás preparado para ello. El post pretendo que sea una pequeña ayuda para las empresas o autónomos que deseen crear una app móvil para su negocio. Voy a intentar comprimir en esta entrada algunos datos interesantes y cuestiones a plantearte si te has propuesto o estás pensando en poner en marcha una app que le dé vidilla a tu idea de negocio, ya que me parece un tema que tiene su importancia, tanto económicamente como en términos de privacidad. El por qué del título del post lo verás al final de la entrada, no seas impaciente. ;-)

La idea de hacer una entrada con este tema ha surgido porque de vez en cuando me gusta echar un ojo a las apps más descargadas y la verdad es de mis "investigaciones amateurs" he sacado esta conclusión: "En general nos importa tres narices lo que una app haga con nuestros datos, pero cada vez hay más excepciones". 

Me diréis: "pero Iuris... ¿cómo haces una afirmación así?" Y yo os respondo con toda la amabilidad que me caracteriza: "Entrad a la App Store, iros a las apps gratis más descargadas y respondedme a tres cuestiones: 1) ¿Cuántas tienen una política de privacidad? 2) ¿Cuántas explican claramente en esa política de privacidad los datos que recopilan y el uso que hacen de ellos? y 3) ¿Cuántos os paráis a leer esa política de privacidad y valoráis objetivamente si merece la pena descargarla?". No hay más preguntas, Señoría.

A pesar de que seguramente la respuesta a las 3 preguntas no sea de mi agrado de momento, sé que cada vez hay más empresas que se preocupan por hacer las cosas bien y mostrar honestidad en sus proyectos, y en parte esto se debe a una creciente conciencia de la importancia de la privacidad de los usuarios, que la hay, y espero que siga por ese camino, por lo que espero que este post me reconcilie con el mundo y pueda ser útil a aquellos que quieran hacer las cosas medianamente bien. Voy a dar unas pinceladas muy muy básicas sobre cosas a plantearse a la hora de hacer una app; por favor, no quiero que nadie se piense que con esto "ya está todo hecho": cada app es un mundo y es necesario asesorarse por profesionales SIEMPRE. 

Al igual que para ser padres o madres nos planteamos una serie de cuestiones (¿tengo los medios para mantener a un churumbel? ¿estoy preparado para asumir las responsabilidades que conlleva? ¿qué tipo de educación le voy a dar? y un sinfín de etc),  para ser "padres de una app" también hay cuestiones que pararse a pensar seriamente, y eso es lo que voy a intentar haceros ver en este post.

Voy a usar como referencia este documento del ICO Inglés (Information Commissioner's Office), que es de 2013, por cierto.  Para los que no sepan lo que es, lo voy a resumir claramente en una frase: es el primo inglés de nuestra AEPD. Siempre recomiendo tener esta web a mano, ya que publican mucho material de interés en términos de privacidad y protección de datos. 

Vayamos al meollo..

¿Quién quiero que descargue y use esa app y qué datos quiero obtener de mi público objetivo? 

No es asunto baladí, ya que el desarrollo de la aplicación y las medidas a tomar variarán en función de mi público objetivo. No es lo mismo crear un juego para niños que una app para gestionar el ciclo menstrual de una mujer y tampoco es lo mismo crear una app para mi tienda que crear apps para comercializarlas y/o dar soporte posterior, lo que implica que mi posición en relación con la app pueda variar (¿seré Responsable o seré Encargado de Tratamiento?). Por ejemplo, a la hora de invitar a publicitarse en nuestra app (como comentaba ayer por twitter al hilo de una conversación con mi querida Laura) no es buena idea que en el juego para niños que estamos creando salte publicidad sobre un lubricante sexual. Al igual que se ha creado un horario infantil en la TV, en el mundo TIC deberíamos ponernos de acuerdo para tomar algunas medidas al respecto, ¿no creéis? 

En relación a los datos que quiero recabar con mi app (habrá que plantearse también si estos van a entrar en la categoría de "datos personales" o no), voy a poner otro ejemplo claro: Si mi app quiere mostrar publicidad de las ofertas para comprar fresas que hay cerca del usuario de mi aplicación, es muy posible que los datos de localización del dispositivo sean "mi pequeño tesoro", pero si lo que va a hacer mi app es mostrar frases de motivación para que el usuario empiece el día con buen humor, no creo que la localización sea muy necesaria. Empecemos planteándonos estas cuestiones porque de ellas dependerá y mucho el desarrollo y mantenimiento de nuestra aplicación. Una frase que me ha gustado mucho de la guía del ICO es la siguiente: "If you are unsure about whether the data you're dealing with is personal, it will likely be simpler to treat it as personal data from the start" lo que viene siendo un "ponte en lo peor, Manolo, y da por hecho que tratas datos personales desde el minuto 0". 

¿Cómo voy a gestionar los datos que obtengo de la app?

Puestos a crear, por ejemplo, una app para mi tienda y asumir el rol de Responsable, aquí el mundo es muy amplio: desde dónde los voy a ubicar físicamente y qué medidas voy a tomar para mantenerlos seguros (cuidado con las transferencias internacionales) hasta ¿voy a externalizar el mantenimiento de mi app? o ¿a quién le voy a ceder los datos que origine y trate mi app? pasando por ¿cómo gestiono los consentimientos de los usuarios? ¿cómo les informo de todo lo que exige la normativa, incluidos los Derechos ARCO?. 

Por ejemplo, en relación a este último asunto, es muy importante adaptar el lenguaje a mi público objetivo y tener un sitio accesible en el que expliquemos todo lo que vamos a hacer con los datos. Y esto debes hacerlo antes de darle bombo y platillo a tu app. Lo más sencillo y habitual es habilitar un trocito de tu web para ello (y por favor, sé cuidadoso con cumplir la normativa también en tu web: avisos legales, cookies, cláusulas...)  y poner enlace directo desde el sitio de descarga de tu app. Y no lo dejes para la posteridad: si haces cambios en la app acuérdate de avisarlo al usuario, y no sólo en la web, en la propia app es importante tener algún mecanismo que avise al usuario de los cambios producidos. Y en relación al consentimiento ten clara una cosa: "es revocable" y no siempre la descarga de una app implica que el usuario acepte cualquier cosa: adapta tu app para gestionar los tipos de consentimiento que requieras, no te bases en el demodé "ACEPTO TODO". Ofrecer un lugar en tu app para que el usuario gestione la configuración de la misma de forma sencilla y darle opciones para que tome decisiones es un buen método, no puede ser cuestión de un "acepto todo o nada". Haz de tu gestión de la privacidad tu seña de identidad, el usuario cada vez da más importancia a estos temas, tal y como decía antes. y es un elemento diferenciador que puede hacer que un usuario "te compre" o se vaya a la competencia.

Para terminar el post os voy a dar unos datos para que entendáis la importancia económica del mundo de las apps:

- Se calcula que más de 1 millón y medio de puestos de trabajo en Europa están  relacionados con el desarrollo de aplicaciones.

- Los usuarios de smartphones pasamos más de un 89% del tiempo que usamos el móvil trasteando con apps.

En este link te dejo información sobre estos datos para que te hagas una idea del pastizal que mueve el mundo de las apps.

Consejos finales: 

Si le has dado muchas vueltas y te has planteado todo lo anterior y, a pesar de todo, te has decidido a hacerte papi de una app, me quedan dos cosas por decirte:

- Conoce tu app: analiza y verifica su funcionamiento, los permisos, la información que das al usuario, su funcionalidad, su mantenimiento y su usabilidad, las implicaciones legales que conlleva y todos los asuntos colaterales. Crear una app es casi como tener un hijo: es muy bonito pero asumes responsabilidades y obligaciones y eres responsable de llevarle por el buen camino. Y si va por mal camino, te tocará "pagar la gracia".

- Confía en profesionales, no tires del "yo controlo" que ya sabemos cómo acaba. 

Y hasta aquí llega el post de hoy, espero que lo encuentres interesante y gracias por pasarte por este rinconcito de la red de redes.

¡Hasta la próxima!

La casa por el tejado: Ana, psicóloga "relax & take it easy".

Hola de nuevo!

Tras experimentar con la historia de Paco, aquel mecánico que acabó siendo un pseudo-modelo para la web del viejo taller de su ex-jefe, y cuya historia podéis leer aquí , me apetece retomar mi vena creativa esta semana contándoos la historia de Ana y Sergio. Este post nace de la conversación absolutamente interesante y enriquecedora que tuve en twitter con una profesional del medio: Marina Brocca, en la que coincidíamos en la necesidad de concienciar sobre LOPD y privacidad hablando claro y "a calzón quitado", como ella misma dice. Os recomiendo encarecidamente darle follow inmediato en twitter; es tan encantadora como gran profesional y encontraréis cosas muy interesantes en sus tweets. Como siempre digo, este blog pretende ser una herramienta de concienciación y acercamiento a la normativa de protección de datos desde un punto de vista amable y sencillo de entender para todo el mundo, por lo que igual, con estas historias un poco raras, me es más fácil explicarme y conseguir que cualquier posible lector cierre la pestaña de este blog entendiendo algunos aspectos de la LOPD. Si consigo esto, os aseguro que estaré re-feliz! 

Y ahora, vamos con la historia..

Os presento a Ana. Ana acaba de terminar sus estudios de Psicología y, tras muchos fines de semana trabajando en una conocida cadena de comida rápida, ha conseguido reunir el dinero suficiente para montar su propio gabinete psicológico. Ana tiene a su asesor de confianza que es el que le ha tramitado tanto el alta en la Seguridad Social como el alta en Hacienda e, incluso, le ha redactado el contrato de alquiler del local que ha elegido para su negocio, un local chiquitín con dos estancias: un despacho personal (con puerta con llave) en el que guardará los expedientes de sus pacientes, y la sala en la que pasará las consultas, donde sólo pondrá un diván, unas plantas para darle algo de alegría y unos cuadros. Ana cree que el dinero que ha pagado a su asesor está justificadísimo para evitar problemas con Hacienda y con la Seguridad Social, por lo que ya de inicio contaba con este gasto extra y no le ha importado pagarlo. Además, ha conseguido ahorrar bastante dinero comprando los modernos muebles para la consulta en una conocida tienda bastante barata. Lo primero que compró fue un tablón de corcho para colgarlo en la pared del despacho para organizar sus citas y un cuaderno para tomar notas durante las sesiones con sus pacientes. El asesor le comenta que tienen un servicio de LOPD que le recomienda contratar, ya que está obligada por Ley a cumplir la normativa sobre protección de datos. Ana agradece la recomendación pero la declina amablemente, ya que ya se ha gastado demasiado dinero en trámites administrativos y no cree que vaya a pasar nada por no cumplir la normativa; ninguno de sus compañeros de la carrera que tienen también consulta la cumplen y no ha pasado nada nunca, así que "relax y take it easy".

A los pocos meses, Ana ya tiene un buen número de pacientes y le va genial, pero no tiene tiempo para limpiar la consulta y el despacho, tarea que hasta ahora había hecho ella misma. Ha pensado en contratar a Sergio, un chico que está terminando sus estudios y que se saca unas pelillas limpiando la consulta de una antigua compañera de Universidad de Ana. Esta compañera es la que se lo ha recomendado a Ana, ya que, al parecer,es todo un experto en dejar la consulta como los chorros del oro. Tras ofrecerle el puesto, llama a su asesor para tramitar el contrato laboral y así proceden. El asesor le vuelve a recomendar que consulte con un profesional y se adapte a la normativa de protección de datos, pero Ana vuelve a negarse ya que no ha tenido ningún problema hasta ahora. Sergio empieza a trabajar esa misma semana; irá los viernes de 4 a 5, que es cuando hay menos pacientes y podrá realizar mejor su trabajo. Ana, mientras él limpia, estará en el despacho que hay junto a la sala de consultas, repasando los casos de la semana siguiente. 

Mientras Sergio limpia, Ana le dice que tiene que salir a hacer unos recados, pero que no tardará en volver. Sergio le dice que aprovechará para pasar la aspiradora en el despacho y Ana le deja la llave. Mientras está en sus quehaceres, algo le llama la atención en el tablón del despacho de Ana: ve que el próximo jueves Ana tiene una cita con Javier XXXX, un chico al que Sergio conoce del barrio y con el que discutió hace poco por un tema de dinero. Por lo que dice en el tablón, Javier tiene problemas de ansiedad. Sergio ve que en el escritorio del despacho de Ana está el cuaderno en el que la psicóloga hace sus anotaciones durante las consultas y le entra la curiosidad tras lo visto en el tablón de Ana, así que lo abre y busca el nombre de Javier. Tras leer las anotaciones de Ana en el cuaderno, decide hacer unas fotocopias de las anotaciones sobre Javier y se las guarda en su mochila. Aprovecha también, mientras recoge los bártulos, para hacer una foto con el móvil de las anotaciones del tablón del despacho. En ese momento Ana vuelve de hacer sus recados y Sergio le informa de que ha terminado su trabajo y se va para casa. Sergio le da la llave del despacho y se despiden hasta la semana siguiente.

A las pocas semanas, Ana, mientras navega por internet, se mete en un foro en el que los vecinos del barrio comparten planes y noticias y  ve que, en uno de los hilos del mismo, hay una entrada en la que pone: INFO SOBRE JAVIER XXXX . Reconoce el nombre de su paciente y decide entrar en el hilo. Lo que ve, le deja con la boca abierta: Hay una foto colgada de su tablón, en el que viene las citas que tenía programadas con este paciente y con otros para el próximo mes y, además, un archivo con las anotaciones del cuaderno que ha hecho durante las sesiones con Javier. Ana sospecha que ha sido Sergio, ya que nadie más ha tenido  acceso a su despacho (que cierra con llave siempre que ella no está dentro). 

Ana llama de inmediato a su asesor y le cuenta lo sucedido muy nerviosa. El asesor le recuerda que le avisó sobre la necesidad de adaptarse a la normativa LOPD pero que ella se negó. El asesor le pasa la llamada al abogado LOPD con el que trabajan, que se pone al teléfono. Ana le cuenta lo sucedido y el abogado LOPD se lleva las manos a la cabeza. Aparte de detectar que no tiene nada preparado en torno a la normativa, le avisa de que es posible que reciba noticias de la AEPD y que no será una felicitación de Navidad, precisamente. Ana, que hasta ahora no ha tenido problemas, cree que bastantes cosas tendrá la AEPD como para ocuparse de ella y decide no tomar ninguna medida para adaptarse a la LOPD; ni siquiera despedirá a Sergio para evitar "ruido" . Cuelga el teléfono y retoma las citas con sus pacientes. Al día siguiente aparece Javier muy enfadado y le avisa de que ha visto sus datos en un foro de internet y va a ir a la AEPD; además, le dice que no piensa volver a sus sesiones con ella y que va a correr el rumor de que no es buena psicóloga y que regala los datos de sus pacientes. Ana no le da importancia y vuelve a pensar que la AEPD no va a perder el tiempo con ella teniendo otras cosas más importantes que hacer, pero a los pocos días, todo cambia..

Ana tiene una mañana horrible, recibe unas 20 llamadas de pacientes que le cancelan las sesiones y le dicen que no quiere que les trate más y, además, recibe una visita inesperada que no viene, precisamente, a tener una sesión con ella. Tras la visita, Ana llama a su asesor y le pide que le ponga con el abogado LOPD. La visita le ha dicho que seguramente abran procedimiento sancionador contra ella y que ha vulnerado no sabe cuántos artículos de la LOPD.  El abogado LOPD le dice que acaba antes si le dice los artículos que no ha vulnerado; pero se para específicamente en la parte que ha "levantado la manta". Le recuerda que, si hubiera hecho caso a su asesor cuando le avisó por segunda vez de que se adaptara a la normativa, habría sabido que al contratar a Sergio debió haberle trasladado, tal y como impone el art.83 del Reglamento de la LOPD: "la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio".  Además, como Responsable del Fichero debería "haber adoptado las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales" (vamos, que no debió dejarle entrar en el despacho o bien, de hacerlo, debió haber quitado antes la info del tablón y el cuaderno de anotaciones y haberse asegurado de que Sergio no podía acceder a ellos metiéndolos, quizás, en un armario bajo llave que estuviera bajo su exclusiva custodia). Esto de inicio y fijándonos sólo en lo que originó la visita inesperada, pero si encima le añadimos aspectos como que ni tenía ficheros declarados, o que ni había aplicado las medidas de seguridad de nivel alto que probablemente son las correspondientes a la información que trata.. ¡Imaginad cómo acaba el cuento!

Y encima, por si fuera poco,  tiene que enfrentarse a que, debido probablemente a la "mala publicidad" que le ha hecho Javier de lo sucedido, ha perdido muchísimos clientes, por lo que no sabe si podrá mantener la consulta abierta con los pocos que han quedado dispuestos a seguir su tratamiento con ella (seguramente porque el "boca a boca" no haya llegado de momento a sus oídos).

Y todo esto podría haberse evitado si hubiera reservado parte del dinero que ahorró con los muebles en adaptarse a la normativa; o igual podría haber contado con que, aparte del dinero con el que contaba para pagar a un asesor que le hiciera los trámites con Hacienda, la Seguridad Social y demás, debería haber reservado cierta parte a asesorarse con un profesional y haber empezado "la casa por los cimientos" (desde el momento 0) y no "por el tejado" (cuando ya tiene el problema).

                                  

Y hasta aquí llega el post de hoy; espero que os haya gustado y que lo hayáis encontrado interesante. Gracias por pasar este rato conmigo. ;-)

 

Saludos y hasta la próxima! 

#SummerPost: Aspectos de la aplicación de la LOPD en hoteles: El Informe 0033 /2014

Hola de nuevo!

A finales de agosto ya habrá algun@s que habréis disfrutado de unos merecidos días de descanso, otr@s tenéis ya un pie fuera de la ofi y otro casi en el avión y los hay que aún están pensando a dónde ir. Estés en el grupo que estés, muy probablemente hayas elegido un hotel para descansar esos días, por lo que este post igual te hace pensar y reflexionar acerca de la cantidad de datos que maneja un hotel de sus clientes y la forma de gestionarlos. 

Siempre he dicho que la web de la AEPD es un "must" si quieres dedicarte a esto de la LOPD, ya que puedes encontrar muchos documentos interesantes para guiarte en el interesante camino de la normativa. En este caso, me voy a remitir al Informe 33/2014 que se publica en respuesta a una consulta hecha por, suponemos, un establecimiento hotelero, y que podéis consultar si pincháis aquí. 

Bien, vamos a ver los aspectos más importantes que recoge este informe:

1) Es obvio que "el rey" de los ficheros que puede tener un Hotel es el socorrido fichero "Clientes". En este caso, la entidad consultante "avisa" de que dentro de ese fichero "Clientes" puede haber datos sobre alergias, fobias, preferencias alimenticias que puedan relacionar al cliente con alguna religión,o ejercicio de un cargo público que indica afiliación sindical o política. Claro, si lo pensamos friamente, la cantidad de datos que puede tener un hotel de sus clientes puede ser bastante larga, y motivada por causas diversas: desde peticiones especiales de comida derivadas de unas creencias religiosas o de una serie de alergias o restricciones alimentarias hasta solicitudes de habitaciones adaptadas en función de diversidades funcionales determinadas. En todos estos casos vemos que el fichero de Clientes de un establecimiento hotelero puede tener más información de la que puede tener otro tipo de negocio.

La AEPD aunque considera que en principio este tipo de datos "extra" pueden estar sujetos a las medidas de seguridad de nivel alto, finalmente considera que pueden sujetarse a la excepción prevista en el art.81.5.b del Reglamento que permite la aplicación de las medidas de nivel básico siempre que estos datos "extra" no tengan relación con la finalidad última del tratamiento. Excepciones como esta suelen ser bastante frecuentes a la hora de establecer las medidas de seguridad aplicables a un determinado fichero; por ejemplo, algo parecido podemos encontrar en los ficheros de nóminas de algunas empresas que contienen, también de forma incidental, datos sobre la afiliación sindical del empleado (porque destine una parte de su nómina al sindicato "x"), aunque quizás esta previsión encajaría mejor en el "apartado a" de dicho artículo del Reglamento. 

2) Siguiendo las peculiaridades de los "datos extra", la AEPD recuerda en el informe la vital importancia que cobra en estos casos el Principio de Proporcionalidad recogido en el art.4 de la LOPD, estableciendo que "aquéllos datos facilitados por el cliente, que no vayan a ser utilizados por el consultante para prestarle una atención especial teniendo en cuenta los mismos, constituirán datos excesivos por lo que no procede su conservación". Pensemos por ejemplo en lo innecesario que resulta para un hotel que sólo ofrece alojamiento y excluye de su oferta cualquier servicio de comida saber que el cliente que se aloja en la habitación 14 es celíaco. En este caso, este "dato extra" no va a ser usado por el Hotel para nada, ya que el cliente no puede disfrutar de un servicio de desayuno que el hotel no presta; el único servicio que se le ofrece es el de alojamiento y para ello al hotel no le es imprescindible saber que el cliente es celíaco.

Caso diferente es si en realidad sí que este dato se va a usar (pensemos en el mismo hotel pero ahora con servicio de comidas); en este caso, el principio que "entra como titular y no se queda en el banquillo" es el de Conservación, por lo que el uso que dará el hotel a este dato extra estará justificado mientras el cliente celíaco esté alojado en sus instalaciones y disfrute de las comidas que le ofrece el hotel; en cuanto el cliente finalice su estancia, este dato debe ser cancelado de inmediato. Y ojo, si es un cliente habitual, el informe también es muy claro: estableciendo que será "preciso un nuevo consentimiento específico del cliente para la conservación de los datos en sus ficheros con posterioridad". Este consentimiento deberá ser expreso y por escrito, ya que le tocará al Hotel probarlo en caso de tener problemas y no dejan de ser datos que hacen expresa referencia a la salud, como bien recuerda el informe. 

3) Otro aspecto curioso del informe alude a la cesión de datos que se produciría en caso de que se revelara el número de habitación de un cliente a otra persona; el informe es muy claro: en principio, entraría en juego el art.11 de la LOPD y necesitaríamos tener el consentimiento del cliente para ceder su número de habitación a un tercero, pero como toda regla tiene su excepción, esta necesidad del consentimiento no sería tal en los casos que puedan encajar con las excepciones que da la propia LOPD y que podemos encontrar en el art.11.2 de la misma. 

Y hasta aquí llega mi #summerpost de hoy; espero que os haya resultado curioso e interesante y que seais cuidadosos... ¡tanto si recogéis datos de clientes, como si sois clientes!