El aviso de la AEPD a Cabify o cómo en cuestión de zascar, todo es empezar...

Buenas tardes, querid@s lopder@s!

Vaya por delante que me corroe la envidia; no solo por el festivo que hoy estáis disfrutando por la madre patria, es que encima a eso se une la idea de que muchos andáis de vacaciones, a otros os huele el culo a playa y a mí me queda un poco bastante para catar algo de eso que llaman "días de descanso" (que, en mi caso, no suele ser nunca así porque suelo acabarlas necesitando unas vacaciones de las vacaciones...).  Bueno, la cosa es que he sacado un tiempito hoy para, con agosticidad, pararme a escribir un post, que hacía tiempo que no lo hacía y está feo, ¿no? :-)

Hoy quiero comentar una Resolución un poco curiosa de la AEPD, en la que nuestra querida Agencia, le pega un toquecito a CABIFY debido a una atención un poco peculiar de una solicitud de un derecho de cancelación. Vamos al lío a ver qué nos encontramos...

El documento, como siempre, os lo linkeo aquí, y os dejo los datos también, ya que como nos han desbaratao todas las resoluciones con esto del cambio de web de la AEPD por el furulamiento del RGPD, ya no me fío de que los links sigan vivitos mucho tiempo:

Procedimiento Nº: TD/00716/2018

RESOLUCIÓN Nº.: R/01472/2018

Protagonistas: A.A.A y MAXI MOBILITY SPAIN S.L.(CABIFY).

Sinopsis:

A.A.A decide ejercitar derecho de cancelación ante Cabify, mediante correo electrónico, en febrero de este año. El mismo día, recibe respuesta de Cabify confirmando que les ha llegado la solicitud y que..."estamos trabajando en ello" (léase esto último con pseudo acento texano... los más frikis lo entenderán XD). Bueno, la cosa es que 3 días después, Cabify le contacta para comunicarle que no puede atender a su solicitud porque "(...) necesitamos que el email desde el que nos solicita la cancelación de datos coincida con el email vinculado a tu perfil Cabify"; línea general que sigue Cabify con otro email enviado a A.A.A., al parecer, tras consultar con su Departamento Legal. La solución que le proponen a A.A.A. en este nuevo email es que cambie en su perfil de Cabify el email, y ponga este nuevo que A.A.A. está utilizando para hacer la solicitud de cancelación de datos. Tras esto, parece que A.A.A. se cabrea y decide pasar el tema a la AEPD. La AEPD ve el tema y le manda una notificación electrónica a Cabify para que se manifieste, pero Cabify no la abre, la notificación se esfuma a los 10 días y bye bye Paraguay (lo que se medio interpreta como un "ni caso me haces, moreno").

Hasta aquí tenemos varios puntos clave:

- Una solicitud de cancelación hecha por email y un estacazo.

- Un aviso de: "o mueves el culo o te sanciono por RGPD".

- Un guirigay de normativa.

Desmelonemos... :-) 

- Sobre la solicitud de cancelación hecha por email, es clara la postura de la AEPD: es verdad que Cabify no se pasó de fecha al responder, pero no lo hizo de forma que fuera efectiva la solicitud; requirió a A.A.A. que hiciera un mero cambio de email para poder hacerlo, cosa que, a juicio de la AEPD, es un poco desproporcionado, entre otras cosas, debido a que Cabify (y ojo al estacazo indirecto) "(...)...según su Política de Privacidad recaba distintos datos personales de sus clientes por los que puede identificarlos por diversos medios, careciendo de justificación la exigencia impuesta para la cancelación, se insiste, una vez identificado el afectado". 

Pues de aquí sacamos petróleo, amig@s: 

1) Cuidado con las Políticas de Privacidad; aunque tú no las leas (cosa que nos pone tristes a los que las escribimos, por cierto), la AEPD sí, y pueden actuar como boomerang.

2) Cuidado con poner obstáculos cuando alguien te pide ejercitar un derecho; si le tienes identificado (porque además tienes medios para hacerlo) y te lo pide, aun no respetando los cauces que has previsto para estas cosas, ya puedes mover el culamen para gestionarlo. La idea que subyace aquí, al menos para mí, es: Si tienes medios para recabar datos a mansalva y usarlos en tu beneficio (o para mejorar la experiencia de tus clientes, que suele ser un poco el comodín), también los tienes para atender y hacer efectivos los derechos, monín.

- El aviso de "o mueves el culo o te sanciono por RGPD".

Básicamente, se le dice a Cabify que tiene 10 días para certificarle a A.A.A. que ha atendido su derecho y que le cancela; y si no lo hace, pues estacazo conforme al RGPD. Pero ojo, que la infracción a la que alude la AEPD es la siguiente: "el incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control con arreglo al artículo 58, apartado 2, o el no facilitar acceso en incumplimiento del artículo 58, apartado 1". Este artículo 58 del RGPD no alude a sanciones, sino a los PODERES conferidos a las AEPD. Nuestra querida AEPD recuerda en su documento que tiene poderes de Investigación (art. 58.1) y de corrección (art.58.2). Esto me parece MUY LLAMATIVO, ya que, aunque de un primer vistazo no veo la fecha de la misma, me da la impresión de que es anterior al decretazo de las sanciones RGPD con el que desayunamos hace poco. 

La idea con la que me quedo es: "tenga o no ley interna con sanciones e infracciones, si quiero te casco". Y esto desmonta mitos de mierda como: "sin la ley de adaptación al RGPD, no te pueden sancionar" (esto lo he visto por twistter). Como vemos, una leyenda urbana. :-). 

Y con esta idea en mente, vamos al siguiente punto...

- El guirigay de normativa.

En el documento nos encontramos con referencias a:

• El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de
• Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
• La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
• La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
• Y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Como vemos, todo un combo de normativas, dos de las cuales parecía que habían pasado a mejor vida con el pleno furulamiento del RGPD. La AEPD tirando zascas de forma indirecta, eh?

Y hasta aquí llega el post, espero que os haya parecido interesante... :-)

Feliz Verano!!!

5 Situaciones Anti-LOPD a desterrar (basado en hechos reales)

¡Hola de nuevo!

En  este post voy a contar casos reales con los que me he encontrado en los últimos tiempos y que son la máxima expresión del desconocimiento general que hay en torno a la materia de protección de datos. Desconocimiento y cierto desinterés, que todo hay que decirlo. Siempre insisto en la necesidad de concienciar a la persona antes que entrar en vereda con el trabajador y con su jefe; la formación en materia de protección de datos (bajo mi opinión), debe partir desde el más básico de los puntos: tus datos como persona física. Es por eso por lo que, para tener unos mínimos conocimientos de protección de datos y privacidad no debe requerirse más que el hecho de "ser". Si eres una persona y tienes un nombre, ya puedes (y debes) conocer algunas pautas de la materia que te permitirán protegerte en un mundo hiperconectado como el que se avecina.

Y ahora, tras esta reflexión, voy a enumerar las situaciones más anti-LOPD que me he encontrado en los últimos tiempos, con el fin de que si lo lees, te acuerdes de este post y sepas que algo no va bien...

1) Aquel mítico "Acepto la LOPD".

Me lo encontré en una web y la verdad es que estuve un buen rato analizando la frase. Obviamente, la idea era que mis datos fueran procesados para obtener un servicio y al que elaboró el formulario no se le ocurrió otra cosa que irse al grano. Querido amigo: no acepto la LOPD, cuando pulso (la LOPD viene aceptada "de fábrica"), lo que aceptaré (en su caso), serán las condiciones que me tienes que explicar en la cláusula que deberías poner.

2) Esa app de videovigilancia que envía las imágenes a Marte y las conserva hasta que vuelva a pasar el Cometa Halley.

Afloran las aplicaciones sencillas y gratis para que hagas de tu casa o tu negocio un auténtico plató de TV. Está de lujo instalar un sistema de videovigilancia con dos clicks y que no te cuente un duro, pero tienes que ver más allá de eso. Si la app va a grabar tu casa, en principio, la LOPD no aplicaría, pero yo no dejaría de plantearme quién va a tener acceso a esas imágenes y durante cuánto tiempo. Instalar una app y no preocuparse por esto es muy temerario, no son pocos los casos en los que en tres clicks se puede acceder a los servidores que guardan esas imágenes y ser espectador de una especie de Gran Hermano no autorizado. Y claro, rizando el rizo, imagínate que encima es un caco (de esos que quieres ahuyentar con las cámaras): ¡le estás dando el trabajo hecho! Le facilitas horarios en los que está la casa libre, lugares donde escondes los dineros, información personal tuya y de tu familia o los que te visiten (desde el del Gas hasta tu grupo de amigos o aquella tía del pueblo que viene una vez al año a engancharte los mofletes) ... ¿No te parecen motivos suficientes como para darle un par de vueltas al asunto?

En el caso de que la app la quieras para tener "segura" tu empresa, aparte de lo que acabo de comentarte, te metes en un jardín con la LOPD y sus medidas de seguridad como poco (amén de las más que probables transferencias internacionales), además de normativa laboral, así como base. Si fuera tú, le pondría velas a San Pancracio para que no tengas que usar las imágenes y acabes con una multaza en bonito primer plano.

3) La app gratis para gestionar los RRHH de la empresa o los clientes y que me permite mandar newsletters a mansalva.

Íntimamente relacionado con el caso anterior. Te encuentras con una maravillosa app que te permite gestionar los CV's que te llegan, crear expedientes de posibles fichajes o controlar los movimientos del personal de tu empresa (altas, bajas, permisos....), todo es idílico hasta que ves que los datos que subes los mandan a Plutón y que, por mucho que tengas toda la buena intención de eliminar de vez en cuando, la información sigue ahí, como un ente. Y para rematar la faena, el gestor/creador de la app los está vendiendo a terceros con pocos escrúpulos o bien, ha puesto una contraseña tan complicada como 1234 y que le roben los datos es tan esperable como que amanezca mañana ¡Vaya berenjenal! Aparte de las transferencias de datos que comentábamos antes y de la vulneración de principios básicos de la LOPD, estamos obviando las medidas de seguridad de la normativa y faltando el respeto a los titulares de esos datos (aunque tengamos suerte de que no lleguen a enterarse jamás), que son los que hacen que nuestro negocio funcione. Perdemos credibilidad, confianza y, al final, perderemos dinero. Como se ha dicho mil veces: Los datos personales son un activo (o si no...¿por qué crees que ha pagado Microsoft el pastizal por Linkedin?).

Para poner la guinda al pastel, resulta que la maravillosa app es capaz de enviar tropecientos mil emails contando lo maravillosos que somos, pero ninguno de esos tropecientos emails llevan incluidos las premisas básicas de la normativa, ni hay posibilidad de cuadrar las bajas que nos piden los receptores. Pues bien, que sepas que por cada email que envías desde Plutón es una papeleta que compras para que la AEPD te traiga el premio gordo.

Por cierto, aplicable a este punto y al anterior: Si te da como garantía de tomarse en serio la protección de datos el enterrado Safe Harbour, al igual que si alguien se va a por el pan y vuelve sin haberse comido un trocito...NO ES DE FIAR (ni uno ni otro).

4) Déjame tu DNI que lo fotocopio y me firmas el papel (en el que está fotocopiado tu DNI) para eso de la LOPD.

A día de hoy, no he encontrado nada en la LOPD que exija que nadie fotocopie tu DNI (a excepción del ejercicio de derechos ARCO) ni, mucho menos, que le tengas que firmar la fotocopia, así por las buenas. Me remito al punto 1) : ¿y mi formulario? ¿para qué quieres saber los nombres de mis padres? ¿y mi cláusula LOPD?. Por no hablar de los peligros de que alguien tenga por las buenas ese documento oficial (¿y si se le ocurre ponerse a afiliarme a cualquier partido o contratar algún tipo de servicio con alguna empresa que se tome la LOPD como el que fotocopia mi DNI?). La manía de pedir el DNI jamás la he entendido, si os soy sincera. Leí hace poco en un periódico una carta de una lectora que se quejaba precisamente de esto: de la cantidad de gente que tiene el DNI de cualquiera de nosotros. Parece que nos hemos acostumbrado a usar el DNI como comodín para todo y, a la vez, nos dicen que cuidado con a quien damos los datos personales. ¿No es un poco contradictorio todo esto?

5) Aceptar el "Te lo hacemos gratis con la Tripartita".

Me llaman a la ofi y lo cojo y, para mi sorpresa... ME OFRECEN LOPD A COSTE 0. Me pilló de buenas y le dejé que me hablara de lo sencillo que es, que no me iba a costar nada y que ellos se encargaban de TODO (entendiendo como TODO la declaración de ficheros, exclusivamente). Tras escuchar pacientemente al pobre comercial, cuando terminó y me preguntó que qué me parecía, le expliqué con toda la amabilidad que me salió que no estaba interesada en que me estafaran. Ante el incómodo silencio. le expliqué por qué estaban ofreciendo NADA y por qué lo sabía. El pobre comercial aguantó el chaparrón como pudo (intenté ser lo más amable posible, al fin y al cabo, el que menos culpa tiene es él) y la cosa no fue a mayores, pero oye, yo me quedé tan agusto.

Como veis, las situaciones anti-LOPD abundan que da gusto, incluso los que nos dedicamos a esto nos encontramos con este tipo de situaciones a diario. Si os digo la verdad, suelo intentar quitarme el "uniforme LOPD" cuando no trabajo, por dos motivos: 1) por tomar aire fresco y no vivir en una caja y 2) para poder ponerme en la situación del que no tiene ni idea de esta temática y poder detectar los errores que pueden cometer las empresas a las que asesoro. 

Y hasta aquí llega el post de hoy; os deseo una muy feliz semana y mucha suerte (y paciencia) a mis queridos unedianos, que, acabados los exámenes, empiezan la larga cuenta atrás para conocer sus notas.

¡Hasta la próxima!

El curioso caso del Responsable Irresponsable

¡Hola de nuevo!

Hay una cosa que siempre le repito incesantemente al #iurisobri cuando viene a casa y saca la pila de juguetes que tiene preparados para sus estancias aquí: "mira bien dónde guardas tus juguetes y revisa que, en el lugar en el que los dejes, los puedas encontrar  en perfecto estado para que puedas seguir jugando con ellos". Obviamente, cuando le digo esto al pequeño #iurisobri no es porque yo tenga pensado vender o romper ninguno de sus juguetes cuando él no está; lo que pretendo con esto es que entienda que las cosas hay que conservarlas bien (entre otras cosas, porque cuestan dinero que no sale de los árboles, como dice mi madre) y para inculcarle un cierto grado de responsabilidad con sus cosas. Esto que parece obvio, cuando somos mayores no siempre lo tenemos presente, y sobre todo cuando hablamos de datos personales. Tendemos a "independizarnos" de los consejos y órdenes de nuestros padres cuando entramos en la edad del pavo y, a veces, arrastramos esa rebeldía hasta bien mayorcitos, aunque en ese caso, más que por rebeldía, suele ser por comodidad o dejadez. 

Ejemplos de esto nos encontramos cuando dejamos papeles con datos personales (facturas a clientes, contratos, hojas de encargo, currículums...) en sitios no adecuados (en la enmarañada mesa de la oficina o en algún almacén mugriento: no pongas esa cara, seguro que conoces algún caso de algún amigo o conocido que lo haga) o cuando contratamos un hosting o nos "subimos a la nube" sin mirar apenas las condiciones. 

Ahora que estamos todos locos por ser punteros en el uso de apps y en tener la web más bonita, es bueno recordar que la comodidad no puede ser sinónimo de dejadez o irresponsabilidad.

Siempre digo que creo que en la LOPD se usó el concepto de "Responsable" con una intención muy clara: incidir en la especial responsabilidad que conlleva cualquier tratamiento de datos personales. Yo lo veo una jugada maestra que pasa desapercibida para la mayoría de nosotros: tenemos la responsabilidad de ser responsables (valga la redundancia) si queremos tratar datos personales, y no hay más. Como esto de ser responsables lo vamos aprendiendo con el tiempo y no suele ser fácil, el legislador nos dio unos pequeños puntos para ir entrando en vereda, y lo llamó "Reglamento de la LOPD". Ya sabemos que nadie nace sabiendo, y menos en aquello que llaman "madurar". A estas alturas de la película y a pesar de tener una guía obligatoria para llegar a ser un buen Responsable, seguimos muchas veces olvidándonos de la guía, lo que implica, además de que estamos fuera de la Ley, que nos exponemos a riesgos innecesarios que pueden dar al traste con nuestra idea de negocio. Pero es que además, creo que la elección del legislador de la palabra "Responsable" va en otro sentido también: en ser responsable de asumir las consecuencias de no ser responsable (valga la redundancia, de nuevo). Si no somos lo suficientemente responsables para cuidar nuestras cosas (o las cosas de otros que custodiamos), vendrá la segunda parte de la responsabilidad, que será pagar la multa. 

Cuando nos olvidamos de ser Responsables (con la doble vertiente que he señalado), pasan cosas como que bajamos una aplicación para gestionar la webcam que hemos colocado en nuestro negocio sin darnos cuenta de que los servidores están, por ejemplo, en medio de la sabana africana, y estamos enviando imágenes de terceros a un terreno desconocido sin tomar ninguna medida para proteger a los pobres que salgan en las imágenes o a nosotros mismos. Y estamos dejando de ser responsables (según la primera vertiente), pero, a la vez, estamos ganando puntos para ser responsables (según la segunda vertiente). Es como si el #iurisobri deja sus juguetes en el portal y luego se pregunta que por qué han desaparecido, solo que en el caso del Responsable Irresponsable, su omisión está afectando a la privacidad de otros y, si esas imágenes que ha "malguardado" aparecen en la red de redes, podría enfrentarse a problemas más serios. 

Para terminar el post, te lanzo una pregunta: ¿crees que eres Responsable de primera vertiente o crees que estás ganando puntos para ser Responsable de segunda vertiente?

Que pases una estupenda semana y muchísimas gracias por pasar por este rincón de la red de redes. ;-)

¡Hasta la pŕoxima!

Crear una app o tener un hijo, esa es la cuestión.

¡Hola de nuevo!

Este post es un post de preguntas, no de respuestas. Si has entrado aquí pensando que te voy a dar respuestas contundentes, has entrado en el sitio equivocado, no quiero engañarte, pero te invito a seguir leyendo porque igual descubres que las preguntas que vas a encontrar son necesarias para saber si te conviene meterte en el berenjenal de hacer una app o si no estás preparado para ello. El post pretendo que sea una pequeña ayuda para las empresas o autónomos que deseen crear una app móvil para su negocio. Voy a intentar comprimir en esta entrada algunos datos interesantes y cuestiones a plantearte si te has propuesto o estás pensando en poner en marcha una app que le dé vidilla a tu idea de negocio, ya que me parece un tema que tiene su importancia, tanto económicamente como en términos de privacidad. El por qué del título del post lo verás al final de la entrada, no seas impaciente. ;-)

La idea de hacer una entrada con este tema ha surgido porque de vez en cuando me gusta echar un ojo a las apps más descargadas y la verdad es de mis "investigaciones amateurs" he sacado esta conclusión: "En general nos importa tres narices lo que una app haga con nuestros datos, pero cada vez hay más excepciones". 

Me diréis: "pero Iuris... ¿cómo haces una afirmación así?" Y yo os respondo con toda la amabilidad que me caracteriza: "Entrad a la App Store, iros a las apps gratis más descargadas y respondedme a tres cuestiones: 1) ¿Cuántas tienen una política de privacidad? 2) ¿Cuántas explican claramente en esa política de privacidad los datos que recopilan y el uso que hacen de ellos? y 3) ¿Cuántos os paráis a leer esa política de privacidad y valoráis objetivamente si merece la pena descargarla?". No hay más preguntas, Señoría.

A pesar de que seguramente la respuesta a las 3 preguntas no sea de mi agrado de momento, sé que cada vez hay más empresas que se preocupan por hacer las cosas bien y mostrar honestidad en sus proyectos, y en parte esto se debe a una creciente conciencia de la importancia de la privacidad de los usuarios, que la hay, y espero que siga por ese camino, por lo que espero que este post me reconcilie con el mundo y pueda ser útil a aquellos que quieran hacer las cosas medianamente bien. Voy a dar unas pinceladas muy muy básicas sobre cosas a plantearse a la hora de hacer una app; por favor, no quiero que nadie se piense que con esto "ya está todo hecho": cada app es un mundo y es necesario asesorarse por profesionales SIEMPRE. 

Al igual que para ser padres o madres nos planteamos una serie de cuestiones (¿tengo los medios para mantener a un churumbel? ¿estoy preparado para asumir las responsabilidades que conlleva? ¿qué tipo de educación le voy a dar? y un sinfín de etc),  para ser "padres de una app" también hay cuestiones que pararse a pensar seriamente, y eso es lo que voy a intentar haceros ver en este post.

Voy a usar como referencia este documento del ICO Inglés (Information Commissioner's Office), que es de 2013, por cierto.  Para los que no sepan lo que es, lo voy a resumir claramente en una frase: es el primo inglés de nuestra AEPD. Siempre recomiendo tener esta web a mano, ya que publican mucho material de interés en términos de privacidad y protección de datos. 

Vayamos al meollo..

¿Quién quiero que descargue y use esa app y qué datos quiero obtener de mi público objetivo? 

No es asunto baladí, ya que el desarrollo de la aplicación y las medidas a tomar variarán en función de mi público objetivo. No es lo mismo crear un juego para niños que una app para gestionar el ciclo menstrual de una mujer y tampoco es lo mismo crear una app para mi tienda que crear apps para comercializarlas y/o dar soporte posterior, lo que implica que mi posición en relación con la app pueda variar (¿seré Responsable o seré Encargado de Tratamiento?). Por ejemplo, a la hora de invitar a publicitarse en nuestra app (como comentaba ayer por twitter al hilo de una conversación con mi querida Laura) no es buena idea que en el juego para niños que estamos creando salte publicidad sobre un lubricante sexual. Al igual que se ha creado un horario infantil en la TV, en el mundo TIC deberíamos ponernos de acuerdo para tomar algunas medidas al respecto, ¿no creéis? 

En relación a los datos que quiero recabar con mi app (habrá que plantearse también si estos van a entrar en la categoría de "datos personales" o no), voy a poner otro ejemplo claro: Si mi app quiere mostrar publicidad de las ofertas para comprar fresas que hay cerca del usuario de mi aplicación, es muy posible que los datos de localización del dispositivo sean "mi pequeño tesoro", pero si lo que va a hacer mi app es mostrar frases de motivación para que el usuario empiece el día con buen humor, no creo que la localización sea muy necesaria. Empecemos planteándonos estas cuestiones porque de ellas dependerá y mucho el desarrollo y mantenimiento de nuestra aplicación. Una frase que me ha gustado mucho de la guía del ICO es la siguiente: "If you are unsure about whether the data you're dealing with is personal, it will likely be simpler to treat it as personal data from the start" lo que viene siendo un "ponte en lo peor, Manolo, y da por hecho que tratas datos personales desde el minuto 0". 

¿Cómo voy a gestionar los datos que obtengo de la app?

Puestos a crear, por ejemplo, una app para mi tienda y asumir el rol de Responsable, aquí el mundo es muy amplio: desde dónde los voy a ubicar físicamente y qué medidas voy a tomar para mantenerlos seguros (cuidado con las transferencias internacionales) hasta ¿voy a externalizar el mantenimiento de mi app? o ¿a quién le voy a ceder los datos que origine y trate mi app? pasando por ¿cómo gestiono los consentimientos de los usuarios? ¿cómo les informo de todo lo que exige la normativa, incluidos los Derechos ARCO?. 

Por ejemplo, en relación a este último asunto, es muy importante adaptar el lenguaje a mi público objetivo y tener un sitio accesible en el que expliquemos todo lo que vamos a hacer con los datos. Y esto debes hacerlo antes de darle bombo y platillo a tu app. Lo más sencillo y habitual es habilitar un trocito de tu web para ello (y por favor, sé cuidadoso con cumplir la normativa también en tu web: avisos legales, cookies, cláusulas...)  y poner enlace directo desde el sitio de descarga de tu app. Y no lo dejes para la posteridad: si haces cambios en la app acuérdate de avisarlo al usuario, y no sólo en la web, en la propia app es importante tener algún mecanismo que avise al usuario de los cambios producidos. Y en relación al consentimiento ten clara una cosa: "es revocable" y no siempre la descarga de una app implica que el usuario acepte cualquier cosa: adapta tu app para gestionar los tipos de consentimiento que requieras, no te bases en el demodé "ACEPTO TODO". Ofrecer un lugar en tu app para que el usuario gestione la configuración de la misma de forma sencilla y darle opciones para que tome decisiones es un buen método, no puede ser cuestión de un "acepto todo o nada". Haz de tu gestión de la privacidad tu seña de identidad, el usuario cada vez da más importancia a estos temas, tal y como decía antes. y es un elemento diferenciador que puede hacer que un usuario "te compre" o se vaya a la competencia.

Para terminar el post os voy a dar unos datos para que entendáis la importancia económica del mundo de las apps:

- Se calcula que más de 1 millón y medio de puestos de trabajo en Europa están  relacionados con el desarrollo de aplicaciones.

- Los usuarios de smartphones pasamos más de un 89% del tiempo que usamos el móvil trasteando con apps.

En este link te dejo información sobre estos datos para que te hagas una idea del pastizal que mueve el mundo de las apps.

Consejos finales: 

Si le has dado muchas vueltas y te has planteado todo lo anterior y, a pesar de todo, te has decidido a hacerte papi de una app, me quedan dos cosas por decirte:

- Conoce tu app: analiza y verifica su funcionamiento, los permisos, la información que das al usuario, su funcionalidad, su mantenimiento y su usabilidad, las implicaciones legales que conlleva y todos los asuntos colaterales. Crear una app es casi como tener un hijo: es muy bonito pero asumes responsabilidades y obligaciones y eres responsable de llevarle por el buen camino. Y si va por mal camino, te tocará "pagar la gracia".

- Confía en profesionales, no tires del "yo controlo" que ya sabemos cómo acaba. 

Y hasta aquí llega el post de hoy, espero que lo encuentres interesante y gracias por pasarte por este rinconcito de la red de redes.

¡Hasta la próxima!

Post express: El amor en tiempos de la LOPD

Hola de nuevo, amig@s!

Estamos rozando el 14 de febrero y nos sobrevuelan mensajes de amor (especialmente de marcas y grandes almacenes, algunos con muy poco acierto, ahora que hablamos del tema) que intentan sacar tanto nuestro lado más romántico como el más consumista, con mensajes tipo: "demuéstrale a esa persona que la quieres regalándole este producto tan bueno". Yo que nunca he sido una romántica de príncipes azules ni de flores ni de bombones, cuando llega esta fecha me sale la vena más darkside y hago uso de mi fina ironía cuando algún osado u osada me pregunta que cómo celebro este día tan señalado. Este post express va a ser lo único que haga de "especial" por el día de San Valentín, así que aquí va mi momento romántico del año: "El amor en tiempos de la LOPD". La idea es un poco rara, ya os lo aviso: voy a "traducir" lo que dice la LOPD a términos amorosos. A ver qué sale.  ; -)

1) El principio de calidad del amor.

"El amor que sientes por tu churry será exacto y puesto al día de forma que responda con veracidad a la situación actual del afectado". Esto lo que quiere decir, ni más ni menos, es que pongas en orden tus sentimientos: ¿quieres a esa persona? pues.. ¡no dejes de expresar tus sentimientos sin que haya una fecha señalada por medio, copón! Y esto va también en el otro sentido; retocando una mítica frase de la gran Lola Flores: "si NO me queréis, irsen!", es decir: que si pones al día tus sentimientos y ves que no se corresponden con los de tu churry, mejor vete y pega la vuelta, no seas melón. 

El amor y los datos personales, deben estar siempre actualizados. Palabrita de Iurisfriki!

2) El derecho de información antes de enamorarse.  

Hay que saber muy bien a quién le entregas tu corazoncito: quién es, qué va a hacer con ese trocito de tí, para qué lo quiere y a dónde puedes llamarle o contactarle para mandarle a paseo si lo que prometió no es la realidad. Al hilo del punto 1, hay que recordar que no se permite la recogida de corazones por medios fraudulentos o desleales. Para que una relacion triunfe, sinceridad desde el momento uno o el barco velero cargado de corazones se va a pique como el Titanic.

3) Consentimiento del enamorado.

No hay relación posible si no tenemos el consentimiento de nuestro partenaire. El amor es cosa de dos (o de más, que eso ya son cosas muy personales en las que prefiero no entrar)  y si uno no da su consentimiento con toda libertad y sin presiones, no es amor. Además, este consentimiento tiene que ser expreso, no vale que sea un "tal vez" o un "quizás" o las modalidades modernas de un "me gusta" o RT. Si no hay un buen consentimiento, no hay un verdadero amor y recuerda que el consentimiento es revocable, así que si te lo revocan, no seas plasta y busca otro consentimiento bueno y de calidad. ;-)

Además, en relación con las demostraciones de amor para cumplir con el principio de calidad del amor que expuse en el punto uno, ten en cuenta que no es necesario convertirse en un Spammer del amor enviando a todas horas whatsapps con extra de azúcar: Corres el peligro de recibir una solicitud de baja como un piano, QUE TENDRÁS QUE OBEDECER, por cansino. 

4) Seguridad del corazoncito.

Somos responsables de mantener el corazoncito de nuestra pareja en las mejores condiciones: ni tirarlo por el balcón, ni jugar al fútbol con él ni aplastarlo como si fuera una esponja. Si no cuidamos el corazoncito, puede pasar que se marchite y se vaya y nos quedemos plantados por no saber cuidarlo como debemos. Y no sólo somos responsables del cuidado del corazoncito ajeno; es que lo primero que tenemos que hacer es cuidar el nuestro: no le des tu corazoncito al que lo vaya a meter en una picadora o lo vaya a dejar solito en la calle a la vista de todos. 

5) Derecho de cancelación del amor.

Asegúrate de ejercitarlo siempre que veas que no tratan tu corazoncito como se debe. No debes esperar a que lo ejerciten por ti y te den la patada: si ves que la calidad no se cumple, no lo dudes: cancela, respeta tu propio plazo de bloqueo y verás como en un tiempo, puedes poner a disposición de quien tú quieras tu corazoncito repuesto y curado. ;-) 

6) Registro de incidencias amorosas.

Si te ha sentado mal algo que haya hecho tu pareja o si eres tú el que ha metido la gamba, haz que no quede en saco roto: notifica y gestiona las situaciones y toma medidas correctoras para que no se vuelvan a producir. No vale irse a dormir enfadado y que el cabreo nos dure varios días: haz frente a las situaciones y toma medidas al respecto. Y aunque no creo que ser rencoroso sea útil, es verdad que igual acordarse de las situaciones y de las medidas tomadas para arreglarlas puede ser algo que nos sirva para que nuestro registro de incidencias amorosas no crezca demasiado.

7) Identificación y autenticación.

Regla de oro: Las contraseñas NO SE COMPARTEN. Aunque estés emparejado y enamorado como el #iurisobri, tus RRSS son tuyas y tu email también. Se trata de compartir sentimientos, incluso cuenta bancaria y gastos, pero no compartas tu personalidad ni pierdas tus derechos sobre tu privacidad. No seas canelo y respeta tu autonomía, querer a alguien no es desaparecer como persona e integrarte en otro ser. 

8) Códigos tipo amorosos.

Por acuerdo entre las partes se pueden establecer reglas de funcionamiento de la pareja siempre que sean repetuosas con los principios amorosos y las normas existentes. ¿Con qué familia comemos los domingos? ¿Qué día de la semana reservamos para ver cine iraní? ¿Quién paga la cena cuando salimos los martes? ¿Cuál es el procedimiento a seguir en caso de que hagamos algo que va a sentar mal  a nuestra pareja? Todo esto se puede acordar usando un código tipo. 

Y hasta aquí llega el post express de hoy: espero que os haya parecido interesante y os haya hecho sacar vuestro lado más romántico acompañado de una sonrisa. 

Por cierto: si quieres demostrar un poquito de amor por lo que escribo, puedes hacerme un regalito de San Valentín votando mi blog para los premios del Día de Internet. No tienes que meter ningún dato, sólo entra aquí y dale a "VOTAR ESTA CANDIDATURA". Te lo agradeceré from the bottom of my heart. ;-)

¡Un besazo y hasta la próxima!

La AEPD se pronuncia sobre el Certificado de Antecedentes Penales o del Registro Central de Delincuentes Sexuales.

Hola a tod@s.

Para el post de esta semana he decidido comentar el informe 401/2015 de la AEPD. Este informe da respuesta a una consulta de una empresa en la que le plantea a la AEPD si debe o no solicitar el Certificado de antecedentes penales o el futuro o certificado negativo del Registro Central de delincuentes sexuales para sus  solicitantes de empleo. Todo viene por la modificación que introduce la Ley 26/2105 sobre la Ley 1/1995 de Protección Jurídica del Menor en  la que se establece el requisito del certificado negativo para poder tener acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores.

Vamos a ver qué dice la AEPD:

La empresa que realiza la consulta se dedica a la prestación de servicios de transporte público de viajeros por carretera, por lo que, como se dice en el mismo informe, "cuenta con numerosos trabajadores que en el desarrollo de su actividad están en contacto habitual con menores (conductores, azafatas, agentes de ventas, personal de estaciones de servicios, etc.)”. Parémonos un momento en este punto: ¿Qué contacto puede tener el personal de este tipo de entidad con menores?

Por ejemplo: en un autobús que realice cualquier ruta hay una alta probabilidad de que viaje algún menor, por lo que tanto azafat@s como conductores/as podrían tener un cierto contacto con ellos, sería posible además que además el billete para esa ruta lo comprara una persona acompañada por un menor...Y si le damos vueltas, podemos encontrar 30000 ejemplos de situaciones de este tipo. Sólo con pensar un poco, podemos entender que cualquier persona (incluso poseída por el espíritu del rey Herodes), tiene contacto con menores a diario (en el metro, en el bus, andando por la calle...). Se me ocurren pocos ejemplos de situaciones en las que la posibilidad de contacto con menores sea casi nula, una de ellas sería pensar en el trabajador de una plataforma petrolífera o un astronauta, por ejemplo. Incluso el trabajador de cualquier oficina o despacho tiene una alta probabilidad de tener algún contacto con algún menor (ese cliente que va a verte con la familia al completo o el día en que los niños no tienen cole y se ven arrastrados a acompañar a sus progenitores a hacer recados). 

Bien, dicho esto.. ¿podemos pensar que todas las actividades económicas entran dentro de la noción de "contacto habitual con menores"? Obviamente no,  y eso es lo que ha dicho la AEPD de forma muy clara en este párrafo: (...) "No así en aquellas profesiones que, aun teniendo un contacto habitual con el público en general, entre el que se encuentran los menores de edad, no están por su propia naturaleza destinadas exclusivamente a un público menor de edad, como sucede en el asunto planteado. Se trata por tanto de un criterio casuístico, que habrá que valorar para cada puesto de trabajo, y no objetivo o genérico". (...)  ¿Esto que quiere decir? Pues básicamente que no se puede exigir este certificado a mansalva, que habrá que ser muy puntillosos y que para ver si se debe exigir este tipo de certificado habrá que analizar el puesto de trabajo en cuestión al que opta el candidato. Es decir: que la AEPD entiende que pedir este certificado para un profesor es correcto, que pedirlo para optar al puesto de conductor de ruta de colegios o institutos lo es también pero pedirlo para trabajar como empleado en una gasolinera o como camarero en un bar, pues como que no. Así, lo que hace la AEPD es acotar bastante bien los casos "tolerados", cerrando la puerta a arbitrariedades peligrosas, en mi opinión. Es muy importante este punto ya que, por ejemplo, dejar esto "suelto" implicaría que muchas empresas se vieran legitimadas para exigir este certificado. Pensemos en un colegio: sin esta matización de la AEPD su equipo de recursos humanos podría pensar que debe pedir el certificado para todo el que quiera trabajar con ellos: desde limpiadores, hasta cristaleros o el personal de mantenimiento, los cuales, muy posiblemente, tengan un contacto con los menores similiar al mío que trabajo en una oficina. 

En relación a la conservación de estos datos, también da el informe un poco de luz: 

(...)"Dicha documentación podrá ser almacenada mientras deba cumplir los fines previstos. Por tanto, para las personas que pretendan acceder al ejercicio de tales puestos de trabajo, mientras dure el proceso de selección y hasta que no haya concluido. Sólo podrán conservarse los datos, bien de los que superen el proceso de selección y hayan accedido ya a tales puestos de trabajo, bien cuando la empresa justifique que los datos de tales procesos de selección serán conservados para su uso ulterior en otros procesos de selección a celebrar inmediatamente, y sólo en la medida en que los certificados se encuentren en vigor (recordemos que tienen una validez de tres meses) y no exista derecho de oposición de los interesados". (...)

Así, la AEPD es muy clara: sólo se puede conservar el certificado de los candidatos mientras dure el proceso de selección; en cuanto tengan a la persona elegida, la entidad debe deshacerse del resto de certificados  a excepción de que estos candidatos entren en nuevos procesos de selección que vayan a celebrarse inmediatamente después (y siempre que el candidato no se oponga).

 

 

En relación al afortunado que consiga el puesto de trabajo: "los datos en cuestión del certificado de antecedentes penales o del futuro certificado negativo del registro central podrán ser conservados durante la vigencia de la relación laboral y, una vez extinta, sólo durante el plazo de caducidad para el ejercicio de la acción de despido, en su caso". Si hubiera algún problema a posteriori, el empresario debe poder acreditar que cumplió con su deber de pedir el certificado a su personal, por lo que la conservación es necesaria, pero ojo: aplicando las medidas de seguridad exigibles que el informe dice que son las de NIVEL MEDIO.

 

Y como último aspecto, indicar que el propio informe recuerda que la validez del Certificado son 3 meses por lo que su conservación fuera de lo que recogen los párrafos anteriores y por más tiempo de estos tres meses, sería un peligro: transcurrido ese tiempo ya no tenemos la información actualizada por lo que el art.4 de la LOPD (Principio de Calidad de los datos) nos puede dar más de un disgusto que podemos "cuantificar" en el art.44 de la LOPD (traducción: que nos exponemos a sanción grave o muy grave).

Y hasta aquí llega el post de hoy, espero que os haya parecido interesante y muchas gracias por pasar este ratito por aquí.

Hasta la próxima! ;-)

 

La Protección de Datos en el Mundo: Irlanda y algunos de los derechos que reconoce a sus ciudadanos

Hola de nuevo a tod@s!

En esta nueva entrada he querido seguir con mis investigaciones "amateurs" sobre la Protección de Datos en Irlanda, país que, aparte de tenerme enamorada, tiene unos caracteres especiales que lo hacen muy atractivo para investigar sobre protección de datos. En este post voy a dar unas pautas muy concretas sobre algunos de los derechos en torno a protección de datos que reconoce la normativa irlandesa; os recomiendo echar un vistazo a este post que hice hace unos meses con una pequeña comparativa de conceptos entre la Ley Irlandesa y la nuestra. La información la he sacado de la web del Data Protection Commissioner Irlandés, el hermanito irish de nuestra AEPD. Vamos a ello:

• El primer derecho que reconoce la normativa irlandesa es básico: "Right to have your details used in line with data protection regulations", que es más o menos el derecho a que la información personal del individuo sea usada conforme a la normativa de protección de datos. Al Data Controller (que viene a ser la versión irlandesa de nuestro Responsable del Fichero) le corresponden una serie de obligaciones que van desde mantener la seguridad de los datos que maneja hasta asegurarse de tenerla actualizada o no mantenerla cuando ya no sirve a los fines para los que la recogió.

• "Right to information about your personal details" , que vendría a significar que el individuo tiene derecho a conocer quién recoge los datos o para quién lo hace, los motivos o fines para los que recogen sus datos y las cesiones que prevean hacerse. Este derecho parece calcar lo dispuesto en nuestro artículo 5 de la LOPD, aunque a simple vista el nuestro es algo más completo.

• "Right to access your personal details" que sería la "irish version" de nuestro derecho de acceso. Este derecho se ve limitado por ejemplo, en la investigación de delitos. Además, con base en este derecho, el individuo puede objetar cualquier decisión sobre él generada automáticamente (es decir, sin intervención humana). Este derecho parece un mix hecho entre nuestro derecho de acceso y la impugnación de valoraciones reconocida en el art.13 de la LOPD.

• "Right to know if your personal details are being held" el cual parece reconocer el derecho del individuo a saber si una organización o entidad tiene datos personales suyos y dicha organización debe dar respuesta a la cuestión en un plazo de 21 días. Si la respuesta es positiva, además, deberá informar al individuo de por qué los tiene. Aunque parece similar al "Right to access your personal details" que hemos visto en el punto anterior, parece que en este caso la información que se da al individuo es sutilmente diferente: en el "Right to access your personal details" el individuo puede tener una copia de los datos que maneja la entidad y en este último además, puede tener acceso a los motivos de que la entidad tenga sus datos. Y ojo, la diferencia entre ambos también es económica: para ejercitar el "derecho de acceso irlandés", es posible que el individuo tenga que pagar una cantidad económica que nunca debe superar los 6,35 euros, mientras que para el "Right to know if your personal details are being held" no existe cargo alguno.

•  "Right to change or remove your details" que sería parecido a nuestro artículo 16 de la LOPD, el cual recoge los derechos de rectificación y cancelación. En caso de que una entidad recibiera una solicitud de este tipo, el plazo que tiene para responder son 40 días, mientras que en la ley española son 10 días.

• "Right to prevent use of your personal details" que yo lo entiendo como el derecho a solicitar que la entidad que tiene los datos del individuo "evite" su uso para fines diferentes a los originales (por ej. publicitarios). Me recuerda en cierto modo a nuestro derecho de oposición. De nuevo, la normativa irlandesa da un plazo de 40 días para que la entidad responda a la solicitud, frente a los 10 días para ello que prevé la normativa patria. 

• "Right to refuse direct marketing calls or mail" que no es otro que el derecho a no recibir llamadas o comunicaciones comerciales a no ser que lo hayamos autorizado antes, el cual parece calcadito a nuestro art.21 de la LSSI. Ojo que la normativa de la isla verde indica que el individuo, si quiere evitar este tipo de llamadas/comunicaciones, debe comunicárselo a su proveedor de servicios para que éste traslade la solicitud a la National Directory Database, que debe ser como la "Lista Robinson Patria" y dice que es una "offence to make direct marketing calls to any phone number listed in the NDD" (offence es "delito", así que parece que cometes un delito si te saltas a la torera la lista).

Y hasta aquí mi post con acento irlandés; espero que os haya resultado interesante y que estéis pasando un buen veranito!

Saludetes veraniegos iurisfrikis!

Galway