Una alemana, una española y un crédito sospechoso

Hola de nuevo, lopder@s!

En este post, a petición de mi querido Raúl Gámez, voy a comentar, hasta el día de hoy, la Resolución más curiosa que he visto en la web de la AEPD, Esta vez no termina con un multazo, por lo que no esperéis que alguno sufra en sus bolsillos la embestida de la AEPD; lo interesante del caso es cómo empieza y cómo se desarrolla; esta vez el final quizás deje con un cierto sabor agridulce (y no precisamente por la ausencia de multa). Como siempre, la Resolución la dejo aquí (y te invito a leerla encarecidamente). Vamos a ello:

Era un 20 de enero de 2016 cuando se recibe en la AEPD una carta un poco diferente. El matasellos dice que viene de Alemania, de un lejano lugar llamado Hamburgo y el remitente, impronunciable para un hispano-hablante, resulta ser aquella prima a la que conocíamos apenas de oídas: la Agencia de Protección de Datos de Hamburgo. "Vaya marrón, a ver qué quiere esta ahora", debió pensar la AEPD. Al abrir la carta, resulta que no es una felicitación tardía de Navidad: es todo un escrito en el que nuestra prima hamburguesa desarrolla lo que parece una especie de informe bastante currado sobre las actividades de una empresa con matriz en Alemania pero tentáculos en diferentes lugares europeos, entre otros, España. La prima harmburguesa nos envía una carta para decirnos que algo le huele a chamusquina en Alemania y parece que, cierta parte de ese olorcillo a quemado, viene de más abajo de los Pirineos: nos pide ayuda para identificar el foco y nos abre el camino para ir con la manguera.

Puntos clave de lo que le huele a chamusquina a la prima teutona:

- Tenemos un grupo empresarial, que se dedica a esto de los créditos rápidos, la mar de majo y cuya matriz está en Alemania pero tiene una filial en nuestra patria querida, que actúa un poco a su rollo pero interacciona fuerte con la matriz. 

- Recopilación de Datos que hacen las filiales (también, por supuesto, la española). 

El textual de lo que dice la prima teutona es revelador: "Para preparar la aprobación del crédito, las empresas filiales de XXXXXX  recopilan un amplio abanico de datos de carácter personal que se inmiscuyen de lleno en la intimidad de sus clientes". Y ojo que la cosa se pone fea: aparte de la información que da el solicitante para obtener su crédito, este conglomerado recopila información del pobre solicitante obtenida gracias al rastro que va dejando en lo que navega por webs asociadas al conglomerado presunto. La prima teutona sospecha que esta recopilación de datos a mansalva da como fruto la elaboración de un perfil muy amplio del solicitante. Es más, para completar bien el perfil, el conglomerado tira también del Facebook del pobre solicitante (eso sí, tras tener su ok voluntario, cosa también un poco cuestionable a juicio de la prima harburguesita, ya que ofrece compensaciones si el solicitante dice aquello de "sí quiero"). Por si esto fuera poco, el solicitante tiene que dar la contraseña de sus cuentas bancarias en internet para que el conglomerado presunto verifique que sus cuentas han tenido movimientos "sexis" en los 60 días anteriores a la solicitud del préstamo. Y todo esto se hace a cambio de que te presten una pequeña cantidad de dinero; no quiero ni pensar lo que pedirían si les pides un pastizal.

- Consentimiento no otorgado libremente. 

Ojo al textual de la carta de la prima teutona: "(...)...los clientes que deciden pedir dinero prestado a KREDITECH se sienten fuertemente obligados a hacerlo, ya que no tienen acceso al mercado de capitales normal y a los créditos a tipos de interés normales. Obviamente, necesitan con urgencia un dinero que ningún banco comercial les prestaría"(...). 

Es decir: aquí se cuestiona algo de lo que ya he hablado en alguna ocasión por aquí: la cuestionable libertad a la hora de consentir el tratamiento de algunos de nuestros datos. Hay que tener en cuenta dos cosas: 

1) la necesidad urgente de conseguir una cantidad de dinero y 

2) el interés que se paga si el conglomerado presunto te lo presta: 3.752%.

La prima alemana hace hincapié en ambas cosas, y nos informa de que eso en su casa se llama usura y que está prohibido, para más inri.

- Retención indefinida, lo que se traduce en que: "o pides que te borre o ahí te quedas" (y cuando digo "borre" quiero decir "me anonimizas").

Tras este informe, la AEPD se levanta de la siesta y se pone a currar (me encanta tirar de tópicos...XD). Se va a la web de la filial española y revisa un poco lo que ve: desde los textos legales hasta si tiene declarados ficheros y de qué tipo, se pasa por la sede para que le expliquen como hacen las cosas y a pedir y pedir documentación (que si contratos de encargo de tratamiento, por ej. del Call Center que tienen en Rumanía, que si el envío de publi se hace bien... ), lo que se dice: un cisco. Además de esto, la AEPD accede a los sistemas de información de la filial y se encuentra con que se registran datos del solicitante como estos (y me remito a los más llamativos, que hay más): 

• Localización actual (longitud, latitud), 
• Dirección de trabajo, 
• facebookData, 
• balance de pagos del cliente (pagos adelantados, pagos pendientes... en relación al préstamo pedido al conglomerado presunto, sospechamos),  
• IP de conexión y el agente de usuario (navegador), 
• Datos externos (identificador del dispositivo), 

Como curiosidad, os cuento dos cosas más: los datos recorren más países que Willy Fog y el conglomerado presunto dispone de un procedimiento de bloqueo (una de mis eternas peleas) tan majo como este:

- Datos de solicitudes no finalizadas: se bloquean siete días después de suinicio y se borran en 180 si no han sido completadas.

- Datos de solicitudes finalizadas y no concedidas: se bloquean a los 30 días y se borran a los tres años.

- Datos de créditos concedidos: se bloquean 30 días tras el pago del préstamo y se borran diez años después.

Además de todo esto, la AEPD recurre a Infojobs para informarse sobre el conglomerado presunto (no, no es coña) y se encuentra con esto (literal): 

<<El grupo XXXXXXX usa big data y complejos algoritmos de aprendizaje automático.

Basado en 20.000 puntos de datos, su tecnología propietaria permite a sus servicios financieros el adquirir, identificar, valorar, pagar y aumentar sus clientes en segundos.

Los procedimientos automatizados combinados con algoritmos de auto-aprendizaje aseguran una rápida y adecuada atención al cliente mientras se minimizan el costo y espacio para el error humano. >>

Vale, o sea que la AEPD recurre a Infojobs para hacer su trabajo. Pues qué campechano todo. ¿no?

Tras todo este berenjenal, nos encontramos con los fundamentos jurídicos (que no voy a reproducir para no aburrir al personal) y con las conclusiones de nuestra AEPD, que os resumo:

1) "(...)... no hay indicios de los que se desprenda que LA FILIAL no actúe diligentemente, ya que cuenta en todo momento con el consentimiento de sus clientes, tanto en la toma de datos personales, como para las cesiones y transferencias internacionales de sus datos, o bien para el acceso de ficheros de terceros, señalando además que su clientes en todo momento podrán ejercitar sus derechos ARCO...(...)"

2) "(...)...no estamos ante un supuesto donde se tomen datos únicamente para evaluar determinados aspectos de su personalidad, ya que existe además la finalidad de formalizar una relación contractual, es decir un préstamo.Además el ciudadano siempre podrá impugnar el tratamiento de sus datos ante los órganos administrativos y judiciales competentes....(...)"

3) Y ojo con lo siguiente: Si os acordáis, al principio del post comenté que había algo que le olía a chamusquina a la prima teutona, y al empezar a analizar la Resolución, os he destacado en rojo y negrita lo siguiente: eso en su casa se llama usura y que está prohibido. Exacto, mis queridos amigos: parece que todo esto se ha montado porque la prima hamburguesa cree que el conglomerado presunto realiza sus actividades rozando lo ilegal, acorde con la normativa alemana. Es decir: que aparte del tratamiento de datos cuestionable, la finalidad del mismo es prestar un servicio con tintes de usura, insisto, según la normativa alemana que menciona nuestra prima teutona. Claro, la AEPD que es muy perspicaz, deja claro en la Resolución que...

 " (..) ...la Agencia Española de Protección de Datos, no es competente para dirimir cuestiones civiles, tales como si los tipos de interés son o no acordes a derecho según las prácticas bancarias españolas, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil...(...)"

Chimpún.

Cosas que, personalmente, me llaman la atención y me hacen pensar en lo divino y lo humano:

1) Me gusta la colaboración entre Agencias de Protección de Datos: los datos personales "vuelan" y es imprescindible que se tiendan la mano y colaboren. Punto para la prima alemana y para nuestra AEPD por darse la mano y bailarse unas sevillanas en lo que se toman unas pintas.

2) Me da cierta envidia la actuación de la prima teutona en lo que parece una cierta defensa de sus ciudadanos e, incluso, de los ciudadanos españoles. Ya sé que la función de la AEPD no es verificar si se practica usura o canto gregoriano a grito pelao a las 4 de la mañana por el centro de Madrid; pero también es verdad que al final los datos se usan para algo y, aparte de verificar que el tratamiento es acorde a la normativa de protección de datos, echo de menos una cierta prevención en que la finalidad es correcta (e insisto, no sólo a nivel protección de datos). 

Y lo tengo que decir: me parece excesivo que para pagar un préstamo se te invite a dejar fisgar en tus perfiles de RRSS. Uno en sus RRSS no está sólo, y además, que no entiendo y no veo sostenible lo que tiene que ver el tocino con la velocidad: que yo pague religiosamente mi deuda no tiene que ver con que le de a "Me gusta" a las fotos de la playa del vecino (¿o es que eso denota que voy a dejar de pagar porque tengo mono de playa?). Ya, ya lo sé: Big data, algoritmos o lo que queráis, pero no, no me parece admisible.

3) La AEPD tira de Infojobs para investigar. Lo flipo: entre los que buscan curro y las investigaciones de la AEPD, el Señor Infojobs debe estar más contento que unas pascuas con sus visitas. 

Y hasta aquí llega el post de hoy; espero que os haya gustado, queridos frikis de la protección de datos!

Un día en la vida de Jorge: el cuento de las migas de pan (versión 2015).

Hola a tod@s!

Esta semana quiero hacer un post ilustrativo de cómo todos los días cada uno de nosotros versionamos aquel cuento que hablaba de un personaje que dejaba migas de pan por el camino que recorría para poder seguirlo después y volver a casa (no recuerdo si el cuento era Hansel y Grettel o Pulgarcito... será la edad). Mi peculiar versión 2015 de este cuento la va a protagonizar Jorge, un empleado de una inmobiliaria que vive en una gran ciudad y comparte su vida con Miguel, con quien tiene 2 preciosas niñas. Jorge es un joven de su tiempo: vive conectado a Internet y es usuario de redes sociales y múltiples aplicaciones (tanto desde el móvil como desde su tablet y, a veces también desde el pc). Vamos a ver cómo transcurre un día normal en la vida de Jorge.

7;30 am. Suena la alarma del móvil. Jorge se despereza poco a poco. Como tenía problemas de insomnio, decidió instalarse una app en el móvil que le ayuda a dormir y que, para ello, emite un sonido de lluvia que le relaja. La conecta todos los días y gracias a ella, se despierta de mejor humor cada mañana. Jorge se levanta y se mete en la ducha. Media hora después está listo para desayunar.

8:00 am. Miguel ha decidido tener un detalle bonito con Jorge y le ha preparado un megadesayuno con crepes, zumo y café. Jorge no se resiste a subir una foto a sus RRSS con el detalle. Y 10 segundos después, la foto está subida a la red y empiezan los comentarios.

 

8:30 am. Tras vestirse, Jorge se dispone a coger el metro para ir a trabajar, pero antes recuerda que tiene que comprarse el abono que le ha caducado hace unos días. Se acerca a la máquina, mete la tarjeta del abono y paga con su tarjeta de crédito. Baja al andén y ve que hay un retraso en las frecuencias por lo que seguramente llegue tarde a trabajar. Decide enviar un whatsapp a su jefe avisándole de la situación. Tras ello, decide comentar en sus RRSS  también lo sucedido. 

9:30 am Por fin llega Jorge al trabajo. Nada más entrar, ficha con la tarjeta en la máquina de la puerta. Y empieza su jornada. 

Enciende el pc y se conecta a la web de música en streaming en la que se hizo cuenta unos meses atrás. Consulta su email para ver si tiene alguna cita programada y se lanza a la búsqueda de pisos de particulares para ver si puede "captar" alguno para su negocio. Durante la mañana recibe algunas visitas y hace algunas llamadas a los proveedores. Además, toca llamar a la compañía telefónica porque tienen una pequeña avería en la conexión. Aprovecha el rato sin internet en la ofi para apuntarse, mediante su móvil, a un curso de inglés que le ha llegado al mail y llama al centro de salud para concertar cita para vacunarse, como todos los años, contra la gripe. Menos mal que le ha saltado el aviso del móvil que programó hace 2 años; si no, no se hubiera acordado.

2:30 pm Hora de comer. Sale de la oficina y llama a Miguel. Quedan en el bar de la calle paralela a la oficina. Una vez allí, pide el menú del día y queda encantado, como siempre. Se conecta a su usuario en una web en la que te dan descuentos por opinar de los restaurantes que se anuncian en dicha web y les pone por las nubes. A las 16:00 pm toca volver al trabajo pero aprovecha antes para pasar por el banco y sacar algo de dinero.

7:00 pm. Hora de salir de trabajar. Llama a Miguel para avisarle de que va a pasarse por el súper a comprar algo para la cena. Esta vez se va en el bus. Mientras va en el bus, busca vuelos para las vacaciones y saca alguna foto por la ventana. Han puesto las luces de Navidad y no desaprovecha la ocasión de compartirlo en sus RRSS. Cuando llega al súper, abre la lista que elaboró en la app del móvil que instaló para no olvidarse de nada y coge un carrito. Al terminar, es hora de volver a casa.

8:30 pm. Llegada a casa. En lo que hace la cena, aprovecha para ayudar a las peques con los deberes. Tras la cena, juegan un rato online con el ordenador y les acuesta. 

10:30 pm. Toca rato de relax. Tras una charla con Miguel en lo que se cuentan mutuamente su día, enciende su libro electrónico para descargarse algo de lectura para los siguientes viajes en el metro. 

12:00 am. A la cama. Conecta la app para dormir, pone la alarma y se queda plácidamente dormido. Desea buenas noches a seguidores y amigos en las RRSS.

 

Y así es un día en la vida de Jorge. Si le cambiamos el nombre, puede ser casi un día en la vida de cualquiera. Vamos a analizar todas las miguitas que ha podido dejar durante este día:

1) La aplicación de alarma y música para dormir sabe a la hora a la que se levanta y a la que se acuesta. Y sabe también que tiene algunos problemas de sueño (que para eso la descargó, claro).

2) En sus RRSS ha compartido información de su día: desde la foto del desayuno, hasta los problemas con el transporte para llegar a su casa, las conversaciones con su jefe, con su chico, las fotos que ha hecho de la decoración navideña, ha informado de cuándo finaliza su día..En el mail ha dejado claro, además, que le interesa formarse en inglés.

3) Las llamadas podrían revelar que es proclive a coger gripe o bien, que le ha recomendado su médico vacunarse para evitarlo. Por cierto, que la app "reminder" del móvil también es depositaria de esta información, aunque incompleta, claro, porque no sabemos el motivo de que se vacune anualmente.

4) Tanto en el metro como en el bus y seguramente en el súper, su imagen probablemente ha quedado registrada en las cámaras de seguridad y su acceso ha sido "ticado" con su abono transportes. Además, al comprar el abono, el banco también sabrá que usó la tarjeta con este fin (como cuando paró a sacar dinero del cajero tras la comida), por lo que todas estas entidades pueden hacer un mapa de sus movimientos diarios. En el trabajo, el ticado lo hizo con la tarjeta de fichar, así que tanto la empresa instaladora como la de mantenimiento, además de su propia empresa, sabrán que ha llegado tarde. Sobre la comida, lo mismo: la opinión que dejó en la web, la tarjeta del banco con la que pagó..

5) En la app para la lista de la compra tiene apuntados algunos de los productos que consumen en su casa, por lo que podrían saberse algunos de sus hábitos de consumo (suyos y de su familia).

6) En el pc de casa dejó su rastro tanto en el equipo, como en la web de juegos online.

7) Finalmente, las búsquedas de libros electrónicos para la lectura en el metro también dejan "miguitas" sobre sus gustos literarios.

Ahora párate a pensar en todas las miguitas que ha ido dejando Jorge en sólo un día e imagínate toda esta información multiplicada por 10000000000000000000000000000. Simplemente en un día, generamos tanta información, así sin darnos cuenta, que en las manos equivocadas puede hacer que alguien con quien ni siquiera hayamos cruzado palabra, pueda conocer muchísimos datos de nosotros: 

- dónde hemos estado durante el día.

- problemas de salud.

- hábitos de consumo.

- gustos y aficiones.

- dónde y en qué nos gastamos el dinero.

- hora a la que nos acostamos y a la que nos levantamos. 

 

Lo malo de estas miguitas que dejamos es que no hay pájaro que se las coma y hagan que desaparezcan. No: la información permanece y debemos ser conscientes de ello y de las posibles repercusiones que esto puede tener en nuestra privacidad. Te invito desde este humilde blog a reflexionar sobre todo esto y a que mañana, cuando te levantes, te imagines las miguitas que vas dejando durante el día: ¿crees que das más info de la que te gustaría?. Las migas de pan de este cuento no son para volver a casa, son para llegar a ti: a lo que eres, a lo que haces, a lo que te gusta y a los lugares a los que vas. 

Y hasta aquí llega el post de hoy, espero que te haya gustado y te haga comerte la cabeza un ratito. La privacidad es cosa de todos, y es importante. De eso va este blog. ;-)

Un saludo y hasta la próxima!

¿Te ha gustado? Te pido dos favorcitos:
 Házmelo saber en twitter que me hará ilusión y vota en la encuesta que hay a la derecha (es una preguntita nada más) ;-)

Los 9 errores más frecuentes que cometemos con nuestros datos personales.

Hola de nuevo!

Fin de Julio y eso significa vacaciones para muchos de vosotr@s: playa, montaña, aviones.. Estas fechas significan descanso, desconexión, familia, amig@s.. y por eso el post de hoy quiero que sea un poco más personal, más centrado en ti fuera del ámbito laboral, en cómo eres cuando te quitas la toga, la corbata o el uniforme de trabajo. Siguiendo la senda de mi última entrada, en esta nueva entrega voy a hablar de los errores que TODOS cometemos como usuarios de internet (y pongo TODOS porque en esto hay 100% de homogeneidad: seas abogado TIC, lechero, repartidor de pizza, agricultor, político o estudiante, todos lo hacemos) y que tienen repercusión en cómo nos presentamos ante el mundo y cómo nos perciben los demás. Aquí va este post para reflexionar y darnos cuenta de esas pequeñas cosas que nos dan esa identidad digital que tenemos.

1) Dar nuestros datos a todo quisqui.

Este es el "error madre" de los errores. Mucha gente no es consciente de que sus datos personales son activos para cualquier empresa interesada en verdernos sus servicios, o interesada en que otra empresa quiera vendernos sus servicios (rizando el rizo). Promociones, concursos, regalos.. da igual, si nos interesa lo que ofrecen les damos hasta el grupo sanguíneo. Pensamos que lo único que va a pasar es que nos llenen la bandeja de SPAM y esto ya es Historia, amigos: el futuro ya está aquí y el SPAM es lo menos invasivo que nos va a pasar a partir de YA. En esta entrada hablé sobre esto; te invito a pasar por ella para conocer todo lo que puede saberse de nuestros hábitos de navegación.

2) Aceptar todo lo que nos ponen por delante.

Derivado del error anterior, obviamente. ¡No nos paramos ni 3 segundos a leer lo que estamos aceptando! Nadie se imagina que, en la panadería, el amable dependiente nos dijera, tras hacer nuestro pedido: "muy bien, son 12 euros más la mitad de su sueldo durante 5 años y una copia de las llaves de su casa". Cualquiera de nosotros nos daríamos la vuelta inmediatamente y saldríamos del local pensando que el panadero se ha vuelto loco. Pues bien, en internet no hacemos igual; aceptamos, aceptamos y volvemos a aceptar y si vamos a otra web haremos lo mismo.

En este punto debo hacer una crítica hacia mi propio "gremio" en general (es decir, que no sólo va por l@s Abogad@s Tic, sino por el mundo jurídico en general): la gente no nos entiende y creo que nosotros podríamos hacernos entender más. Cualquier documento jurídico supone para mucha gente un complicado enigma y para el 99% de las personas de a pie, un contrato es un conjunto de letras en arameo. Obviamente pasa lo mismo con las cláusulas LOPD, las cuales tienen su importancia tremenda: pedimos datos personales y le soltamos un rollo jurídico poco claro que ellos aceptan sin rechistar. Es un toma y daca: hay cero interés del usuario y complicación nuestra al querer aferrarnos a la legalidad para evitarnos algún sustillo con la AEPD.

 

3) Poner cualquier cosa en las RRSS.

Paquito tuvo un mal día ayer en el trabajo y ha decidido despacharse contra su jefe en su Twitter, el cual, por cierto, permanece visible a todo el que quiera buscar a Paquito en Google (este punto lo afrontaré un poco más adelante). Cambia "Paquito" por "Kaitlyn" y tenemos un caso real que podéis ver en este link. Es una combinación de irresponsabilidad nuestra y mala suerte de tener un jefe "curioso". Lo que ponemos en las RRSS tiene sus consecuencias: desde las fotos de aquel finde entre amigos en la playa haciendo botellón, hasta ese comentario cabreado contra el Gobierno porque te ha subido el IBI. A día de hoy seguimos sin darnos cuenta de la enorme repercusión que tiene lo que hacemos en las RRSS.

 

4) La pereza que nos da gestionar nuestra privacidad en las RRSS y en internet en general.

Admitámoslo: nunca encontramos el momento perfecto para investigar lo que hay detrás de la opción "Herramientas de Privacidad". Nos da miedo lo desconocido o es que nos parece que meternos ahí va a ser más tedioso que ordenar los apuntes de la facultad o igual es que, volviendo a lo que comentaba en el punto 2), tenemos la certeza de que NO VAMOS A ENTENDER NADA. Sea por lo que sea, está siempre en la lista de "eternas cosas por hacer". 

5) Las "aplicaciones a ciegas".

Derivadas de los puntos 1) y  2) tenemos la versión TIC de las audiciones a ciegas del famoso programa de TV. ¿Que vemos que han sacado una app "gratis" (insisto: nada es gratis; el precio son nuestros datos) que hace unos fotomontajes super chulos? Pues ahí vamos, de cabeza, a aceptar todo lo que implica: desde acceso a nuestro mail, foto, contactos, hasta acceso ilimitado a las fotos que hagamos. Nos importa 3 narices lo que la app coja de nuestro equipo mientras podamos hacer el collage más extraño para subirlo a las RRSS.

 

6) Mantenernos en nuestra "zona de INseguridad": el miedo a lo desconocido.

En el momento en el que aprendiste a subir fotos a Facebook y a etiquetar a gente en tus publicaciones te sentiste como Di Caprio en TITANIC: EL REY DEL MUNDO y ahí te has quedado. Pues que sepas que a día de hoy te han destronado y te has quedado más antiguo que las VHS. Cookies, web beacons (de los que, por cierto, hablé en esta entrada), Big data.. hay tantas novedades que es NECESARIO que te pongas al día YA. A día de hoy en internet hay cursos GRATIS de todo tipo; aunque si eres una persona ocupada estarás pensando que no tienes ni ganas ni interés en empezar un curso que te serviría más como remedio para el insomnio que para formarte. Vale, lo admito, pero ten un poquito de interés: ¡tira de wikipedia o foros o pregunta!. Con la de cosas raras que se preguntan en Yahoo y por esto no veo demasiado interés teniendo en cuenta las implicaciones que tiene...

7) No conocer nuestros derechos.

¿Derechos ARCO? ¿Mandeee? "Quiero que me borren de su base de datos y punto". Y nos vamos a casa tan contentos imaginando al trabajador (que tendrá los mismos nulos conocimientos que nosotros) dándole al botón SUPRIMIR en el excell en el que nos tiene fichados. Pues no, te voy a decir un secreto: NI ES UN EXCELL (a estas alturas de la película cada vez menos empresas tiran del excell para la base de datos de sus clientes) NI TE BORRAN. Tienes que saber qué puedes exigir, cuándo y cómo hacerlo y qué consecuencias tiene pero no tienes ni pajolera idea ni ganas de ello; tú tiras del "que me borren" y con eso eres feliz. Craso error: si no conoces tus derechos difícilmente podrás exigirlos y tienes las de perder.

8) Trasladar la "pereza y el desconocimiento informático" a las generaciones futuras.

A los pocos meses manejan una tablet como el que maneja una piruleta, a los 13 ya tienen perfil en la red social de moda y a los 16 ya les vemos como los gurús informáticos de la familia. Pues no, oye, probablemente a tu churumbel le haya pasado lo que a tí: que se queda en su zona de "inseguridad" y no avanza ni tiene interés en ello. Craso error que nos lleva a los puntos 1), 2), 3), 4), 5) y 7) que tu pequeñín repetirá y hará real aquello de "de tal palo, tal astilla". Vamos hombre, le insistes en que tiene que estudiar y formarse porque quieres que viva mucho mejos que tú pero...¿ le dejas sólo ante el peligro a la mínima? En este post también hablé de ello; pásate a ver si conseguimos que cambies el chip. Unos dejan de herencia un piso, otros algo de dinero y tú...¿quieres que tus peques hereden la pereza informática?

9) Dar nuestros datos a todo quisqui.

Antes de que lo pienses: sé que estoy repitiendo punto. Y lo hago porque a estas alturas del post ya te habrás olvidado del punto 1) y es ¡LA MADRE DE TODOS LOS PUNTOS!. Confío en que, con esta pequeña vacilada, la próxima vez que te pidan los datos te lo pensarás dos veces.

Nada más por hoy; me despido deseándoos a los que os vayáis unas felices vacaciones, a los que vuelven, una entrada lo menos dolorosa posible, y a los que nos quedamos de momento, que el tiempo vuele hasta que nos toque a nosotros.

Un saludo y gracias por pasarte por aquí!

Si me quieres conocer un poco más, puedes seguirme en Twitter.

¿Cómo usan los menores las TIC´s? ¿Qué percepción tienen de la privacidad?Un pequeño análisis del estudio publicado el 28 de enero de 2014 por la Agencia Vasca de Protección de Datos.

Hola a tod@s!

Mi post de hoy va a ser un poco diferente, ya os aviso. Navegando por la red de redes, me he encontrado con un informe publicado por la Agencia Vasca de Protección de Datos en enero de este año y me ha parecido suuuper interesante! El informe incluye las conclusiones de un trabajo de investigación realizado entre alumnos de entre 6º de primaria y 1º de ESO , asociaciones de madres y padres de alumnos y educadores sobre el uso de las TIC´s y la percepción de la privacidad, y podéis consultarlo aquí (es un poco largo pero la lectura es muy amena, creedme). En este post voy a comentar algunos aspectos que refleja el estudio sobre los hábitos con las TIC´s de los alumnos, dejando un poco aparte a padres y profesores; y el motivo es muy simple: este blog habla sobre LOPD y privacidad y ver cómo se inician los futuros adultos en las TIC´s me parece que es la piedra angular de cómo estamos haciendo las cosas para que la gente sea consciente de la importancia de la privacidad y el uso responsable de datos personales e informaciones privadas. Vamos a ello!

Empieza el informe dejando claro que el móvil es el rey de la jungla entre los “pequeños”; en la franja de edad de 11 a 13 años es la herramienta básica de conexión/juego. Curioso también es que los primeros contactos con las TIC´s sean mediante tablets en niños de preescolar, les encanta! Así, la secuencia sería:

Tablet ► Móvil (los nenes de quinto se focalizan en Tuenti y Whats App, los de 1º y 2º de ESO añaden además Twitter y ya a partir de tercero, usan todo tipo de RRSS). En esto mi sobri de 4 años debe ser la excepción, ya que es mucho más ágil con el móvil que con la tablet, creedme. Me llama la atención también que conozcan y usen Twitter antes que Facebook; en mi caso, yo empecé por Tuenti, después pasé a Facebook, luego ya me familiaricé con Whats App y, por último, caí en las redes de Twitter. Parece ser que el uso básico del móvil también lo han olvidado, ya que apenas llaman; se comunican básicamente por RRSS (lo que mi madre hubiera agradecido esto cuando hace algunos añitos me pasaba horas y horas al fijo con mis amigas).

Respecto al uso que hacen, el “number one” de la utilidad lo tiene la comunicación con amigos y familia , el segundo puesto lo tiene el ocio (música, vídeos) y, el tercer, buscar información, pero parece ser que no son capaces de distinguir las fuentes fiables (y en esto creo que apenas se diferencian de los mayores, con toda sinceridad). En mi caso personal, la llegada de internet a casa fue con la excusa de tener acceso a más información para hacer los trabajos del instituto que la que recogía el Larousse; lo de la comunicación surgió a posteriori (con el desaparecido Messenger). Además, parece ser que se manejan que da gusto con las aplicaciones, pero cae el uso del entorno ofimático (al contrario de lo que nos pasó a las generaciones “veteranas”, a las que nuestros padres insistían con el aprendizaje de mecanografía y con que supiéramos todos los secretos del tratamiento de textos en word).

En relación al control del uso que hacen por parte de los padres parece ser que es minoritario, y que en este hecho influyen factores de desconocimiento de herramientas para ello y la dificultad de vigilar los dispositivos (el uso del pc de sobremesa era más sencillo de controlar).

Y el plato fuerte: ¿qué consciencia tienen sobre la privacidad? Pues claramente: apenas ninguna. El informe recoge que eso de la privacidad, la intimidad y la protección de datos les suena a chino, ya que lo que mola es enseñarlo todo y dejar las puertas abiertas de par en par (a la Señora Bernarda Alba de Lorca le daría un chungo si viviera en esta época, ¿no creéis?). ¿Y por qué piensan así? Básicamente por los modelos sociales que siguen: ven a sus ídolos enseñando al mundo prácticamente lo que hacen cada minuto y parece ser que lo perciben como el camino al éxito, y, más cercanamente, ven casi lo mismo en sus propios padres.. ¿cómo no van a percibirlo como algo bueno y correcto? Si algunos ven que hay fotos suyas en el vientre de su madre colgadas en las RRSS!

Tampoco son muy conscientes de la repercusión de lo que comparten en RRSS; el informe recoge el testimonio de cómo un alumno manifestó claramente su orientación sexual en una red social pero no quería que su madre se enterara de ello o el ejemplo de una chica que compartió una foto íntima en otra RRSS pero ni loca se le hubiera ocurrido colgar la misma foto en el tablón de clase. La conclusión de esto es clara: ven las RRSS como un juego, algo poco serio, frente a la percepción de seriedad que tienen de las redes sociales “in person”; como si creyeran que la vida digital es como un pseudomundo sin consecuencias. No me sorprende este resultado ya que en no pocas ocasiones (afortunadamente cada vez menos), oigo a adultos dispensar determinadas conductas y actuaciones en internet que minutos después censuran en caso de producirse en las relaciones “en cuerpo presente”.

Y, por último.. no tienen un mínimo cuidado con sus contraseñas ni con el uso de pc´s compartidos, ya que parece ser que no se preocupan por cerrar sus sesiones cuando los usan (a mí ya se me han puesto los pelos de punta pensando en el Reglamento de la LOPD).

Mi conclusión sobre el estudio es clara: necesitamos acercar usos responsables a peques y mayores y tenemos el deber moral de hacerlo. Es verdad que luchamos contra la Sociedad de la ventana indiscreta, pero con una diferencia: antes el que miraba lo hacía a escondidas, sin que el espiado supiera que había alguien mirándole, y ahora es el espiado el que abre la ventana de par en par para ser observado. En mi humilde opinión, es evidente que no podemos ponerle puertas al campo, pero tampoco debemos cerrar los ojos ante estas exposiciones excesivas a la vida privada de los nenes. Si cultivamos unas buenas semillas de conciencia, en el futuro recogeremos buenos frutos, pudiendo llegar a la situación de que no hicieran falta ni normas ni reglamentos sobre privacidad porque ya tendríamos una sociedad comprometida con las buenas prácticas tanto con su propia intimidad como con la de terceros.

Y aquí termina este post algo distinto. Espero que os haya gustado, que os animéis a leer el informe y ya si me comentáis por twitter lo que pensáis sobre él, me haríais very happy!

Un saludo a todos, y que paséis buena semana (y cuidado con las alergias que este año la primavera parece que llega fuerte!).

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84

Pautas básicas para usar las RRSS en tu negocio: el informe 0244/2011 de la AEPD.

Hola a todos!

Hace unos días comentaba por twitter (@Smor84) la odisea personal que viví para poder confirmar con la AEPD unas dudas sobre el uso de RRSS por las empresas. El final (abierto) de la historia fue que, tras unas 4 llamadas, conseguí una respuesta por parte de personal de la AEPD que, tristemente, no acabó de convencerme. Era evidente que no me iba a quedar ahí, por lo que decidí abrir una investigación en profundo para ver si podía encontrar algo más o menos oficial que me diera unas pautas algo más claras sobre este tema. Y buceando, buceando..me encontré con dos informes: uno del año 2011 y el otro del año 2013. A pesar de que las cuestiones planteadas son algo diferentes (el informe de 2011 responde a una cuestión sobre la creación, por una empresa, de una cuenta en una RRSS con fines publicitarios y el de 2013 habla de la propia creación de una Red Social), el contenido de ambas me parece realmente interesante para afrontar la cuestión. En este post voy a aplicar aquello que nos decían de pequeños sobre el respeto a los mayores, así que voy a centrarme en el informe de 2011 y dejaré el de 2013 para otro post. El documento lo podéis consultar aquí.

Cosas interesantes del informe:

1. En relación a la responsabilidad del fichero: El informe comienza diciendo que no se aplicaría la exención de ejercicio de actividades domésticas al consultante (obvio) y que por ello asume la condición de “Responsable de Datos”. Llegados a este punto, ya vamos mal: yo conocía la definición de Responsable del Fichero o incluso, la difusa definición de Responsable del Tratamiento (y digo difusa porque, por mi experiencia, la denominación más usada es la de Responsable del Fichero), pero jamás había oído hablar de la existencia de un “Responsable de Datos”. Suponemos que la AEPD se refiere al Responsable del Fichero o del Tratamiento (según el art.3 de la LOPD:”persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”), y parece que suponemos bien, ya que el informe acaba llamando así al consultante, pero le avisa de que entiende que los tratamientos que va a hacer el consultante con los datos de terceros (dentro, por supuesto, de la Red Social) van a ir condicionados por las propias reglas de la Red Social; por lo que deja entrever que el cumplimiento de las características que da el art. 3 al Responsable del Fichero en este caso son relativas (quizás por eso se refiere al consultante con el intrigante apelativo de “Responsable de Datos”).
   
   
2. Consentimiento: Sabemos que el consentimiento es un punto vital en la normativa de protección de datos y que debe ir siempre acompañado (al igual que toda caña que se precie por su correspondiente tapa) por la información al afectado acerca de lo que se va a hacer con sus datos y quién es el que lo va a hacer. Claro, cuando nos registramos en una Red Social sabemos que los datos que introducimos son gestionados por ésta, pero eso no equivale a que todos los usuarios de dicha Red Social tengan derecho a ver nuestro perfil o a encontrarnos siquiera. Dice el informe que el consentimiento al pseudotratamiento éste dentro de la Red Social se entenderá por el hecho de convertirse en amigo o seguidor de la página de la empresa. Y.. ¿cómo le informamos al usuario de lo que supuestamente vamos a hacer con sus datos?pues según el informe hay que ubicarlo en nuestro perfil en la Red Social (claro, algo un poco difícil con el escaso espacio que suele haber ahí), por lo que se recomienda poner un enlace con la política propia de privacidad de la empresa (quizás más sencillo si la empresa tiene página web).
   
   
3. Derechos ARCO, ¿cómo puede facilitar la empresa su ejercicio dentro de la Red Social? Pues bien, la AEPD entiende que la actuación de la empresa en este caso también está limitada por la propia Red Social, por lo que la forma de hacerlo se limita a “dar de baja” a los amigos que lo soliciten o eliminar dichos datos del muro cuando reciba una solicitud de este tipo.Claro, mi duda es si al dejar de seguirte en twitter, la empresa debe entender que se está ejerciendo un derecho ARCO...¿debería dejar de seguir la empresa al usuario que deje de seguirla? Un poco complicado de cumplir parece y más si no tienes pocos seguidores precisamente,
    
4. Pone el informe también especial énfasis en que la empresa debe configurar su perfil en la Red Social restringiendo a terceros la visibilidad de la lista de las personas que le siguen o son “amigas” suyas, con lo que estaríamos rozando en cierto modo el deber de secreto que impone la normativa.
   
   
5. Y finalmente, la guinda del pastel: la empresa sólo es responsable del fichero si decide sacar los datos de los seguidores/amigos que tiene en
   la Red Social para gestionarlos desde un sistema propiamente suyo. Esto es especialmente importante ya que, cuando hablé con la AEPD, me dijeron que al usar una Red Social como empresa debía declarar el fichero, porque que actuaba como responsable del mismo, respuesta que no me convenció y por la que inicié la investigación que ha dado como resultado este post de hoy.

Nada más, espero que os haya parecido interesante y os ayude a la hora de conciliar la gestión de las RRSS de vuestros negocios con el cumplimiento de la normativa de protección de datos.

Un saludo!

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84

El peligro de usar las RRSS con fines dudosos: Facebook y "el vídeo en el que supuestamente sales" (pequeño homenaje a Facua).

Buenas tardes a todos:

Retomo hoy la sección sobre Resoluciones curiosas de la AEPD para intentar dar algo de color a estos días grises de octubre:

La protagonista de esta resolución es FACUA, la Asociación de Consumidores y Usuarios que, por lo que he visto últimamente, debe ser la pesadilla de las empresas aficionadas al fraude. Podéis conocerles a ellos y las campañas que hacen, aquí: (https://twitter.com/facua). Facua denuncia en la AEPD que bastantes usuarios de Facebook han visto cómo en su muro aparecía un mensaje (en teoría, mandado por uno de los contactos del usuario en Facebook) según el cual, el afectado salía en un vídeo. El usuario que intentaba ver el vídeo en el que supuestamente salía, se veía redireccionado a una página externa que simulaba ser una página de Facebook y que pedía, para poder ver el vídeo, la instalación de un supuesto componente informático. Además de todo esto, encima pedían el móvil al usuario (en teoría para comprobar su mayoría de edad) que, si lo facilitaba, veía cómo su línea quedaba inscrita en un servicio de SMS PREMIUM (con el consiguiente coste por mensaje recibido que eso conlleva). La finalidad y el objetivo que se conseguía era propagar el virus por los contactos en Facebook del usuario afectado siguiendo los mismos pasos descritos.

Así, teníamos un maremágnum de empresas “implicadas”: la primera, la responsable del servicio de tarificación adicional (a la que se suscribía, sin saberlo, el afectado al dar su móvil); la segunda, que había sido contratada por esta empresa de tarificación adicional para el desarrollo de una de las campañas de publicidad y una última implicada, que fue la encargada de la ejecución de la campaña contratada.

La empresa de tarificación adicional, entre sus alegaciones destacadas, intentó justificar que NO SE EFECTUABA NINGÚN TRATAMIENTO DE DATOS PERSONALES, basándose en que el número de móvil no es un dato personal. Además, agregó que se había paralizado esta campaña más que cuestionable, que había devuelto los ingresos obtenidos con ella y que no podía demostrarse que las webs desde las que se enviaba el citado virus eran suyas.

Al final, evidentemente, la AEPD decidió sancionar a las empresas implicadas (dejando claro, además, la existencia de un tratamiento de datos reafirmado por el hecho de que se usaban los perfiles de los afectados en Facebook; por lo que la alegación de que el móvil no lo era no debió servirles de mucho), quedando las sanciones repartidas así: 40.001 euros para la empresa encargada de la ejecución de la campaña (encargado de tratamiento en este caso) y 6.000 euros para la responsable del servicio de tarificación adicional (responsable del fichero).

En mi opinión, las sanciones impuestas son la consecuencia lógica de una práctica más que censurable basada en el engaño al usuario. Hay que tener cuidado con los enlaces que se abren ya sea en las redes sociales o en los mails que recibimos y desconfiar de las páginas que nos piden datos personales sin explicarnos lo que les impone la normativa.

Aquí os dejo la resolución por si queréis consultarla: https://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2013/common/pdfs/PS-00663-2012_Resolucion-de-fecha-22-03-2013_Art-ii-culo-6-LOPD_Recurrida.pdf

Espero que os haya gustado el post y además, os haya parecido interesante. Como usuarios y posibles afectados, tenemos la responsabilidad de denunciar este tipo de prácticas en el momento en que tengamos conocimiento de ellas. 

Desde aquí, mi humilde agradecimiento y pequeño homenaje a FACUA por actuar y conseguir dar un cierto escarmiento a las responsables.

Un saludo a todos!

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84