5 Situaciones Anti-LOPD a desterrar (basado en hechos reales)

¡Hola de nuevo!

En  este post voy a contar casos reales con los que me he encontrado en los últimos tiempos y que son la máxima expresión del desconocimiento general que hay en torno a la materia de protección de datos. Desconocimiento y cierto desinterés, que todo hay que decirlo. Siempre insisto en la necesidad de concienciar a la persona antes que entrar en vereda con el trabajador y con su jefe; la formación en materia de protección de datos (bajo mi opinión), debe partir desde el más básico de los puntos: tus datos como persona física. Es por eso por lo que, para tener unos mínimos conocimientos de protección de datos y privacidad no debe requerirse más que el hecho de "ser". Si eres una persona y tienes un nombre, ya puedes (y debes) conocer algunas pautas de la materia que te permitirán protegerte en un mundo hiperconectado como el que se avecina.

Y ahora, tras esta reflexión, voy a enumerar las situaciones más anti-LOPD que me he encontrado en los últimos tiempos, con el fin de que si lo lees, te acuerdes de este post y sepas que algo no va bien...

1) Aquel mítico "Acepto la LOPD".

Me lo encontré en una web y la verdad es que estuve un buen rato analizando la frase. Obviamente, la idea era que mis datos fueran procesados para obtener un servicio y al que elaboró el formulario no se le ocurrió otra cosa que irse al grano. Querido amigo: no acepto la LOPD, cuando pulso (la LOPD viene aceptada "de fábrica"), lo que aceptaré (en su caso), serán las condiciones que me tienes que explicar en la cláusula que deberías poner.

2) Esa app de videovigilancia que envía las imágenes a Marte y las conserva hasta que vuelva a pasar el Cometa Halley.

Afloran las aplicaciones sencillas y gratis para que hagas de tu casa o tu negocio un auténtico plató de TV. Está de lujo instalar un sistema de videovigilancia con dos clicks y que no te cuente un duro, pero tienes que ver más allá de eso. Si la app va a grabar tu casa, en principio, la LOPD no aplicaría, pero yo no dejaría de plantearme quién va a tener acceso a esas imágenes y durante cuánto tiempo. Instalar una app y no preocuparse por esto es muy temerario, no son pocos los casos en los que en tres clicks se puede acceder a los servidores que guardan esas imágenes y ser espectador de una especie de Gran Hermano no autorizado. Y claro, rizando el rizo, imagínate que encima es un caco (de esos que quieres ahuyentar con las cámaras): ¡le estás dando el trabajo hecho! Le facilitas horarios en los que está la casa libre, lugares donde escondes los dineros, información personal tuya y de tu familia o los que te visiten (desde el del Gas hasta tu grupo de amigos o aquella tía del pueblo que viene una vez al año a engancharte los mofletes) ... ¿No te parecen motivos suficientes como para darle un par de vueltas al asunto?

En el caso de que la app la quieras para tener "segura" tu empresa, aparte de lo que acabo de comentarte, te metes en un jardín con la LOPD y sus medidas de seguridad como poco (amén de las más que probables transferencias internacionales), además de normativa laboral, así como base. Si fuera tú, le pondría velas a San Pancracio para que no tengas que usar las imágenes y acabes con una multaza en bonito primer plano.

3) La app gratis para gestionar los RRHH de la empresa o los clientes y que me permite mandar newsletters a mansalva.

Íntimamente relacionado con el caso anterior. Te encuentras con una maravillosa app que te permite gestionar los CV's que te llegan, crear expedientes de posibles fichajes o controlar los movimientos del personal de tu empresa (altas, bajas, permisos....), todo es idílico hasta que ves que los datos que subes los mandan a Plutón y que, por mucho que tengas toda la buena intención de eliminar de vez en cuando, la información sigue ahí, como un ente. Y para rematar la faena, el gestor/creador de la app los está vendiendo a terceros con pocos escrúpulos o bien, ha puesto una contraseña tan complicada como 1234 y que le roben los datos es tan esperable como que amanezca mañana ¡Vaya berenjenal! Aparte de las transferencias de datos que comentábamos antes y de la vulneración de principios básicos de la LOPD, estamos obviando las medidas de seguridad de la normativa y faltando el respeto a los titulares de esos datos (aunque tengamos suerte de que no lleguen a enterarse jamás), que son los que hacen que nuestro negocio funcione. Perdemos credibilidad, confianza y, al final, perderemos dinero. Como se ha dicho mil veces: Los datos personales son un activo (o si no...¿por qué crees que ha pagado Microsoft el pastizal por Linkedin?).

Para poner la guinda al pastel, resulta que la maravillosa app es capaz de enviar tropecientos mil emails contando lo maravillosos que somos, pero ninguno de esos tropecientos emails llevan incluidos las premisas básicas de la normativa, ni hay posibilidad de cuadrar las bajas que nos piden los receptores. Pues bien, que sepas que por cada email que envías desde Plutón es una papeleta que compras para que la AEPD te traiga el premio gordo.

Por cierto, aplicable a este punto y al anterior: Si te da como garantía de tomarse en serio la protección de datos el enterrado Safe Harbour, al igual que si alguien se va a por el pan y vuelve sin haberse comido un trocito...NO ES DE FIAR (ni uno ni otro).

4) Déjame tu DNI que lo fotocopio y me firmas el papel (en el que está fotocopiado tu DNI) para eso de la LOPD.

A día de hoy, no he encontrado nada en la LOPD que exija que nadie fotocopie tu DNI (a excepción del ejercicio de derechos ARCO) ni, mucho menos, que le tengas que firmar la fotocopia, así por las buenas. Me remito al punto 1) : ¿y mi formulario? ¿para qué quieres saber los nombres de mis padres? ¿y mi cláusula LOPD?. Por no hablar de los peligros de que alguien tenga por las buenas ese documento oficial (¿y si se le ocurre ponerse a afiliarme a cualquier partido o contratar algún tipo de servicio con alguna empresa que se tome la LOPD como el que fotocopia mi DNI?). La manía de pedir el DNI jamás la he entendido, si os soy sincera. Leí hace poco en un periódico una carta de una lectora que se quejaba precisamente de esto: de la cantidad de gente que tiene el DNI de cualquiera de nosotros. Parece que nos hemos acostumbrado a usar el DNI como comodín para todo y, a la vez, nos dicen que cuidado con a quien damos los datos personales. ¿No es un poco contradictorio todo esto?

5) Aceptar el "Te lo hacemos gratis con la Tripartita".

Me llaman a la ofi y lo cojo y, para mi sorpresa... ME OFRECEN LOPD A COSTE 0. Me pilló de buenas y le dejé que me hablara de lo sencillo que es, que no me iba a costar nada y que ellos se encargaban de TODO (entendiendo como TODO la declaración de ficheros, exclusivamente). Tras escuchar pacientemente al pobre comercial, cuando terminó y me preguntó que qué me parecía, le expliqué con toda la amabilidad que me salió que no estaba interesada en que me estafaran. Ante el incómodo silencio. le expliqué por qué estaban ofreciendo NADA y por qué lo sabía. El pobre comercial aguantó el chaparrón como pudo (intenté ser lo más amable posible, al fin y al cabo, el que menos culpa tiene es él) y la cosa no fue a mayores, pero oye, yo me quedé tan agusto.

Como veis, las situaciones anti-LOPD abundan que da gusto, incluso los que nos dedicamos a esto nos encontramos con este tipo de situaciones a diario. Si os digo la verdad, suelo intentar quitarme el "uniforme LOPD" cuando no trabajo, por dos motivos: 1) por tomar aire fresco y no vivir en una caja y 2) para poder ponerme en la situación del que no tiene ni idea de esta temática y poder detectar los errores que pueden cometer las empresas a las que asesoro. 

Y hasta aquí llega el post de hoy; os deseo una muy feliz semana y mucha suerte (y paciencia) a mis queridos unedianos, que, acabados los exámenes, empiezan la larga cuenta atrás para conocer sus notas.

¡Hasta la próxima!

Cuando tu móvil es "Garganta Profunda": Terror en el Supermercado

¡Hola a tod@s!

Esta semana voy a escribir sobre un tema que parece un poco futurista pero no es así; es algo que ya tenemos casi encima (creo que lo mencioné en un post hace bastante tiempo) y, al menos para mí, tiene connotaciones que trascienden las temáticas principales de este blog: la privacidad, la protección de datos y el frikismo. Pongámonos en situación..

Imagínate que estás en una tienda mirando unos pantalones que te encantan. Revisas la talla, el tejido, piensas con qué lo puedes combinar y todo es estupendo hasta que te armas de valor y le das la vuelta a la etiqueta para ver cuánto cuesta. EEERROOOOR : se te va de presupuesto y no puedes darte el capricho. Decides abortar misión y te vas a las conservas, que algo habrá que cenar al llegar a casa. En cuanto llegas al pasillo, te suena el móvil: "Pantalón vaquero LENNIS rebajado: 9,90 euros". Vaya, es justo el pantalón que habías decidido no comprar hace apenas 5 minutos. ¿Y ahora qué? 

Lo que hagas con el pantalón a mí me trae sin cuidado. Lo que me interesa a efectos de este post es lo que ha pasado para que justo te llegue ese mensaje referido a ese pantalón. Y de eso es de lo que te voy a hablar ahora mismo. Para ello, me voy a remitir a este documento: Working Paper on Location Tracking from Communications of Mobile Devices (si clickeas encima, se te descarga en pdf). que es el resultado de la reunión, el pasado Octubre, del Grupo Internacional de Trabajo sobre Telecomunicaciones y Protección de Datos. 

La situación os la expongo muy sencillamente en la infografía (lo sé, es un poco cutre, pero espero que sirva para entender mejor el post): 

Así, vemos que el Cliente B (el que está en la calle), no tiene ninguna flecha porque su dispositivo ni está emitiendo ni está recibiendo nada debido a que  la señal que emite el dispositivo de la tienda no llega a la calle, que es donde está. Los otros dispositivos de los demás sí están mandando información al dispositivo del emisor y recibiendo la información que éste les envía, información que puede ser desde el departamento en el que están hasta el tiempo en que están en él. En teoría, cuanto más tiempo estén en una zona, más interesados estarán en los productos expuestos allí.

¿Cómo sucede esto y qué implicaciones tiene sobre nuestra privacidad?

1) No es necesario que el individuo efectúe una acción activa para "aceptar" estos intercambios de información: si ya llevas el WIFI de tu móvil o el Bluetooth conectado, tu dispositivo empieza a emitir y a recibir información en cuanto entras en el "radio de alcance" del Dispositivo emisor. El individuo no es consciente de esto en la mayoría de las ocasiones.

El individuo no sabe ni que su dispositivo está dando información suya
ni que, además, está recibiendo información.

2) La información obtenida puede ser muy valiosa: desde cuánto tiempo ha estado el individuo en "x" lugar hasta, si se juntan la informaciones procedente de otros dispositivos emisores, la "ruta" que ha seguido durante un tiempo determinado, el tiempo que ha estado en cada punto, etc.

3) Creación de listas negras o blancas sobre la base de la información obtenida. Por ejemplo: El empleado "X" tarda más que el empleado "Y" en colocar los paquetes de kleenex (porque pasa más tiempo en la zona determinada) o ha habido robos en el comercio "A" y en el comercio "D" y coincide el momento de los robos con la estancia del individuo "W" en ambos comercios.

4) ¿Qué información pasa nuestro dispositivo al dispositivo emisor? Puede que no sólo le dé esos datos de localización y tiempo; igual le envía los datos de nuestra última búsqueda en Internet o las fotos de nuestro viaje a Irlanda. O incluso igual le envía la conversación que estamos teniendo con nuestro primo usando la mensajería instantánea.

¿Qué recomendaciones nos dan en el Documento?

1º) Que se informe al individuo de que esta tecnología de localización está funcionando. Por ejemplo, como se hace con las cámaras de videovigilancia. Carteles, avisos por megafonía.. El documento recomienda la creación de un Logo Común para que el individuo lo reconozca y sea consciente de que está en una zona con esta tecnología activada y, que además, se le informe de quién usa esta tecnología (es decir, quien es el "dueño" del Dispositivo Emisor) y con qué fines lo está haciendo (por ejemplo, para enviarle al individuo ofertas "personalizadas"). Además, se recomienda también que se limite el "radio de acción" a las instalaciones del "dueño", con especial cuidado de abstenerse de incluir de este "radio de acción" zonas especialmente sensibles como los baños o las zonas reservadas para los primeros auxilios.

2º) Anonimización. Los dueños de los Dispositivos Emisores deben anonimizar o eliminar los datos que obtengan de estos mecanismos tan pronto cuando ya no sean necesarios para cumplir con la finalidad con la que los obtuvieron. 

3º) A vueltas con el Consentimiento. El documento pone en duda que la aceptación de una actualización de una aplicación determinada sea suficiente como para que se tenga al individuo como verdaderamente informado. Consentimiento necesario también para que se puedan compartir los datos obtenidos con terceros. 

4º) Información clara. Las organizaciones que quieran hacer uso de estos mecanismos deben preocuparse y facilitar que el individuo tenga un cierto control sobre esto: revocar el consentimiento prestado, posibilidad de que pueda eliminar total o parcialmente los datos recogidos previamente..

5º) Se ve MUY NECESARIO que esta tecnología de seguimiento no se use para interceptar el contenido de las comunicaciones de los individuos. Esto es fundamental e imprescindible, en mi opinión.

6º) Implicación también de los fabricantes de dispositivos y de los profesionales de los protocolos de red: diseño de mecanismos para que el individuo active o desactive estos intercambios de datos e inclusión "por defecto" de medidas preventivas.

Llegados a este punto, se me ocurren muchísimas preguntas, pero voy a dejaros apenas 5 para no extenderme más. Las dejo abiertas, por si alguien se anima a responder. ;-)

- ¿Y si el "individuo" es un menor?
- ¿Es ético/moral/adecuado incitar al consumo usando estos mecanismos? ¿Nos parecería bien que una máquina tragaperras emitiera "cantos de sirena" a un ludópata?
- ¿Dónde queda el Consentimiento Expreso requerido por la LSSI? 
- ¿Y si es el Estado el que usa estos dispositivos?
- ¿Cómo y con qué medidas se va a guardar esta información?

....

Por cierto: me he referido a los móviles para simplificar el post, pero seguramente llevas encima otros dispositivos igualmente inteligentes que pueden servir para emitir y recibir información. ¿O tu reloj inteligente no lo hace? ¿Y qué hay de esa pulsera que tan amablemente te dice los pasos que has dado hoy?

 

Y hasta aquí llega el post de hoy; espero que lo hayáis encontrado interesante y muchas gracias por pasar este tiempo "conmigo". ;-)

¡ Feliz Semana de la Protección de Datos!

¿Te ha gustado? Compárteme en RRSS. ;-) Y pasa a saludarme por mi perfil de twitter, que me hará ilusión. Me puedes encontrar aquí.

Los Big Zascas de la AEPD en 2015. La lotería que no quieres que te toque.

Hola a tod@s!

Os voy a ser sincera: este post nace de mi enfado porque no me haya tocado la lotería de Navidad. Soy de esa gente que sólo juega a este tipo de cosas en Navidad: apenas llevo un par de números y uno de ellos siempre es uno muy especial para mí (qué típico, ¿verdad?). Pues nada, como no me ha tocado la lotería y estoy profundamente mosca por ello, se me ocurrió hacer un post hablando de los "agraciados" de la lotería de las sanciones de la AEPD de este año 2015, así que mirémoslo por el lado bueno: he transformado algo negativo en algo positivo (aunque debo confesar que ha sido uno de los posts más laboriosos hasta ahora). Así que ya sabéis: el cabreo no se crea ni desaparece, sólo se transforma. :-P

Avisos sobre el post:

1) Es posible que haya metido la gamba en algún dato: el método usado ha sido un excell de toda la vida (bueno, más bien un Libreoffice Calc) y no quiero ir de sobrada retando a cualquiera a que encuentre un fallo, así que vaya el reconocimiento por delante, por si las moscas.

2) Esto no es una herramienta de "fiscalización" del trabajo de nadie, es decir: la intención es que pueda ser útil, exclusivamente. No es un post en plan "preguntas frecuentes que caen en el examen": es un post informativo que, espero, pueda servir a alguien, ya sea para concienciar o para tener una idea de cómo van las cosas a nivel LOPD.

Y ahora, vamos al lío..
 

Datos iniciales:

• Total de resoluciones sancionadoras en 2015: 635.  

                Esto nos da una media de, aproximadamente, 2 sanciones de la  AEPD por día natural.

• Resoluciones sancionadoras que se basan en un sólo artículo: 485.

                Este dato evidencia que las 150 restantes vienen en pack, esto es: que se sanciona por vulneración de dos o más artículos de la normativa.

Lotería 2015 de la AEPD:

Empieza el sorteo,que rueden las bolitas!

EL GORDO se lo lleva el art 4.3 de la LOPD. Este artículo aparece 257 veces en las resoluciones sancionadoras. Parece que donde más fallamos es en respetar el Principio de Calidad de los Datos y la AEPD actúa en consecuencia. Os recuerdo que, como mínimo, es infracción grave cuya multa puede ir desde 40.001 a 300.000 euros. Haced cálculos y podréis suponer que el Gordo de Navidad realmente le ha tocado a la AEPD con tantas sanciones por este artículo.

 

El segundo premio va para el art 6.1 de la LOPD, con un total de 227 apariciones estelares en las resoluciones sancionadoras de la AEPD. Parece que no acabamos de entender que tenemos que tener el consentimiento inequívoco de los afectados para tratar sus datos. Nada, que no nos entra en la cabeza. La sanción prevista para estos casos también es de tipo grave y las multas oscilan entre las cantidades que indiqué en el párrafo anterior. Enhorabuena de nuevo a los agraciados, es decir: la AEPD.

El tercer premio sale de otro bombo y se va al 21  de la LSSI con un total de 62 menciones. Nos ubicamos en las infracciones graves cuya multa puede ir de 30.001 hasta 150.000 euros. Este tercer premio parece muy repartido. 

El cuarto premio se lo lleva el art. 11 de la LOPD, muy relacionado con el consentimiento, de nuevo. Aparece 48 veces en las resoluciones. Nos situamos como mínimo, otra vez, en las infracciones graves, con los baremos ya indicados. Mi más sincera felicitación a la AEPD por este cuarto premio.

El quinto premio va para el art. 29 de la LOPD. Aparece un total de 40 veces en las resoluciones sancionadoras de este año 2015. Otra vez nos vamos a las infracciones graves. Felicidades, vaya suertudos estos de la AEPD! :P

Y vamos con la pedrea, en la que encontramos, entre otros, los artículos 5.1, el 9, el 37, el 10 de la LOPD... y podríamos seguir, pero creo que por hoy es suficiente. Como vemos, los premios de lotería de 2015 han venido muy repartidos y el sorteo se ha desarrollado con normalidad durante todo el año. Llegados a este punto, quiero invitarte a que evites comprar tu boleto de la mala suerte asesorándote sobre esta rama del Derecho cuanto antes y así disminuirás las posibilidades de que tu nombre esté dentro de los bombos. 

Empieza el 2016 con buen pie: de rojo, con algo dorado, comiéndote las uvas y con la tranquilidad de que el número que llevas tiene menos posibilidades de resultar "desgraciado" con la Lotería de la AEPD del 2016.

Yo te dejo las uvas, tú decides si tomarlas o no.

Y hasta aquí llega el post de hoy: Gracias por pasar este ratito por aquí y espero que os haya gustado este experimento casero inspirado, lejanamente, en la idea del Big Data. ;-)

Saludos a tod@s!

Especial Halloween: Las pesadillas de un consultor LOPD (¿truco o trato?)

Hola de nuevo!

Tras unos días un poco trastocados (en parte por el cambio de hora), retomo el blog para apuntarme a la moda asentada de un tiempo a esta parte en nuestro país: Halloween. Esta semana el post va a dar mucho miedo, especialmente si te dedicas a esto de la LOPD y la privacidad. Dado que no tengo mucha maña con los disfraces y que el arte de "decorar" calabazas no es lo mío, aprovecho el blog para contar las peores pesadillas que se pueden tener si te dedicas a esto. Si te quedas a leerlo, es tu responsabilidad. ;-)

1. "Aquí por operatividad, no cambiamos las contraseñas".

Es como si alguien te dice: "pues yo, por operatividad, me lío a tiros con el que me lleva la contraria".

Oiga,  usted no puede liarse a tiros con quien le lleve la contraria y tampoco puede excusarse en la "operatividad" para no cumplir la Ley. Reconozco que el ejemplo es un poco "hardcore" pero es la manera más gráfica de explicarlo: Si hay una Ley, tendrá que cumplirla, y deberá encontrar la manera de combinar "operatividad" con el cumplimiento. Y no hay más.

2. "Estaba en Internet". 

Un no parar: LO QUE ESTÁ EN INTERNET NO ES GRATIS..O al menos no lo es en el 99% de las ocasiones! Ya lo dije en un post anterior: que esté en Internet no implica que esté esperando dueño o que el dueño haya querido que todo el mundo pueda hacer lo que le dé la gana con eso. Y esto no sólo es aplicable a datos personales, lo es a fotos, a música, a vídeos.. Tengámoslo en cuenta SIEMPRE.

3. "He mandado una newsletter" (ojo: pongo "he mandado" y no "voy a mandar").

"He mandado" implica que al consultor LOPD le entren escalofríos: ¿habrá hecho antes una criba en el listado para sacar a los que no podía mandársela? ¿Habrá usado copia oculta?..etc. El matiz entre "he mandado" y "voy a mandar" puede marcar la diferencia: "he mandado" suele significar que lo ha hecho y ni se ha parado a pensar que tenía implicaciones que debería haber comentado contigo antes (para eso me pagas, te recuerdo);  mientras que "voy a mandar" suele implicar que ANTES de hacerlo, te pide que le orientes. Y eso nos hace feliz. Y si te gusta hacer feliz a tu consultor LOPD, que sepas que lo que nos hace más feliz aún es que nos hagas caso y apliques lo que te decimos. ;-)

4. "Lo he visto en las cámaras de videovigilancia".

Ah, muy bien.. ¿Y cuándo pensabas decírmelo? ¿Dónde está la confianza que un día nos prometimos? Pues nada; la primera noticia que tengo de que "has dado un giro a tu vida" y has puesto cámaras es porque necesitas esas imágenes para algo específico (por un robo, por ejemplo) o porque te ha denunciado alguien ante la AEPD. Esto es terrorífico; preferiría que me hubieras dicho que lo has visto en tu bola adivinadora..

5. "El ordenador murió y lo tiré a la basura".

Y así, sin más, acabó la relación. Ni ceremonia de despedida ni esquela en el periódico ni asegurarte de que has borrado todo antes de enviarlo a su "última aventura", ¿verdad?. Otra de las pesadillas más comunes del Consultor LOPD, que, a veces, tiene tentaciones ir al contenedor de destino a poner unas florecillas al difunto para que no se nos aparezca en forma de problemas.

6. "No, no guardo copia de seguridad; lo tengo todo en la nube".

Pesadilla Nivel 8 en la Escala "Richter". Y no digo más que ya hice un post en el que mencionaba este temilla.

7. "Mi web no usa cookies".

Claro, y mi bici no tiene ruedas. Es muy posible que no sepas que tu web tiene cookies pero, por experiencia, puedo decirte que seguro que las tiene. Otra cosa es que sean de las "ultra-avisables", pero cookies tiene, seguro, y necesitamos cuadrarlo a nivel legal, así que..

¡NO ME DES CALABAZAS TAN ALEGREMENTE!

8. Tu nuevo cliente te dice: "Yo la LOPD ya la cumplo, que tengo declarados los ficheros"

Ah, muy bien. Pues que sepas que yo ya puedo dar una conferencia en japonés porque soy muy aficionado al manga. Tener declarados los ficheros NO IMPLICA que cumplas la LOPD; implica que tienes has dado el primer pasito para subir la montaña, pero aún no estás en la cima (ni siquiera has llegado a la mitad del camino, querido amigo). No sólo me pagas para que te declare los ficheros; el servicio LOPD es muchísimo más que eso (de hecho, eso es la parte más "light"). EN SERIO. El que te haya dicho eso o no sabe y te estaba cobrando por algo de lo que no tenía ni idea o, si no te lo han dicho y te lo has inventado tú solito, que sepas que tienes una imaginación admirable. Te dijeron "truco o trato" y cerraste un trato para que hicieran el truco del almendruco.

 9. "No puedo atenderte ahora..ni ahora, ni ahora, ni ahora..Pero ahora que me ha llegado la carta de la AEPD, me ha salido un huequín.."

Soy tu consultor LOPD, no soy ni tu madre ni tu padre: sólo quiero hacer mi trabajo. Entiendo que estás ocupadísimo, pero necesito que me hagas algo de casito. Mi afición no es molestar ni quiero ser una mosca cojonera, quiero evitarte problemas que, en el fondo, para eso me pagas. Si llamo a tu puerta es para que me recibas con chuches y no siempre con evasivas. Es preferible que abras la puerta y sea yo (que soy "zuzto")a que abras la puerta y esté la AEPD (que será "muelte"). ;-)

Y hasta aquí llega el post especial Halloween de esta semana; espero que te haya asustado mucho y muchas gracias por pasarte este ratín por este rinconcito tenebroso. ;-)

Feliz Halloween y...Hasta la próxima!

Hay vida (y peligros) detrás de las cookies..

Hola a tod@s!

Después de unos meses un poco liada con el trabajo y la UNED, retomo de nuevo mi pobre y abandonado blog para hablar de algo que me ha llamado poderosamente la atención al leer el Informe 011/2014 que ha publicado la AEPD en su web. Aquí lo tenéis disponible.

Bien, aparte de las derivas y cambios que llevamos viendo unos meses en torno a cookies, consentimiento, información y demás (ya hablaré en otro post de estas modificaciones), me encuentro con este inquietante párrafo en la página 3 del citado informe (y cito textual): “En segundo lugar, debemos precisar que el presente informe se refiere a los dispositivos que permiten el almacenamiento y recuperación de datos en equipos terminales de los usuarios, aunque por razones de estilo se acuda al término “cookies” con carácter general; pero entendiendo incluido en dicho término todo dispositivo de tales características, al igual que en la Guía de cookies antes indicada”. Ojo con el aviso a navegantes que nos envía la AEPD: “os estáis obsesionando con las cookies y hay vida más allá”. Seguramente cualquier informático que pueda leerme (sector al que pido disculpas por la guerra que les damos los de protección de datos), estará pensando:”Ay, picapleitos, tú no sabes lo que hay fuera”, pero para mí, con mi formación en leyes, me es en cierto modo complicado investigar a fondo estos temas. Por ello, me he puesto a “buscar” (o sea, tirar de Google) a qué dispositivos puede referirse la AEPD que no sean las cookies, y me he encontrado con los desconocidos (al menos para mí), web beacons o web bugs:

- Web beacons. Según la Wikipedia: "es una diminuta imagen, normalmente invisible, en una página web o en un mensaje de correo electrónico que se diseña para controlar quién lo lee. Normalmente se utilizan para realizar análisis web. Su tamaño es inapreciable, pudiendo ser un único píxel en formato GIF y de color transparente (invisible). Se representan como etiquetas HTML y pueden incluir código JavaScript”.

Es decir: que estos pequeños “bichitos” podrían ser algunos a los que el informe señala con el dedo y que seguramente ni el usuario medio, ni el avanzado ni muchos de los que navegamos en la web, sepamos que existen y que pueden estar almacenando información nuestra mientras visitamos una web o leemos un mail. Investigando un poquito más, he llegado a este blog en el que los compañeros de @derecho_es profundizan un poco más en los usos y la descripción de los beacons: http://www.cuestionesinternet.es/que-es-un-web-bug/ Os recomiendo que os paséis por ahí y le echéis un vistazo ya que para mí ha sido muy didáctico y es de las pocas webs que no están en inglés y utilizan un lenguaje sencillo de entender.

Y llegados a este punto, me planteo..

• Después del informe de la AEPD.. ¿veremos en breve alguna sanción de la Agencia por el uso de estos dispositivos?
• ¿Conocéis más herramientas de este tipo?
• ¿Qué más sorpresas nos depararán las Resoluciones e Informes de la AEPD?

Y hasta aquí llega el post de retorno; os deseo que paséis buena semana y os pido que me hagáis partícipe de vuestras investigaciones y dudas con la aplicación de la LOPD y LSSI, es muy enriquecedor compartir experiencias y ver distintos puntos de vista.

Un saludo y hasta la próxima!

Si me quieres conocer un poco más, puedes seguirme en Twitter.

Los riesgos de hacer una campaña publicitaria con criterios de privacidad "low cost".

Hola de nuevo.

Para el post de hoy voy a usar un caso real que me ha pasado esta semana. Resulta que me llega este mail a mi correo personal :

Como podéis ver, el mail lo remite una famosa compañía telefónica low cost. Creo que se sobre entiende bastante bien a pesar de haber borrado, por motivos obvios, los datos que aparecían en el correo: mi amigo “X” que está tan contento como cliente de la compañía low cost me invita a unirme y, de paso, se saca unos puntitos que le darán algún beneficio (rebaja de factura o móviles algo más baratos, por lo que me dijo).

Como soy así de curiosa, le he preguntado a mi "recomendante" y me ha comentado que sí que era cosa suya, que había dado las direcciones de algunos amigos (yo he sido una de las afortunadas) en la plataforma que la compañía ha habilitado.

Es evidente que es un correo comercial que se pasa por el arco del triunfo la LSSI:

- Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Que un amigo de tu mail a una empresa no implica que tú estés de acuerdo con que ésta pueda remitirte ninguna comunicación comercial, por lo que hay que tener cuidado con estas cosas. El consentimiento siempre es imprescindible y necesario y además debe darlo el destinatario de forma expresa. A veces se nos olvida que el mail de alguien no deja de ser un dato personal y que, al igual que cuando recibimos publicidad en casa no suele hacernos gracia, con el correo electrónico (que no deja de ser un buzón también) puede sucedernos lo mismo.

Además, en el mail no da ninguna opción de oponerse al tratamiento de los datos; el mail que he recibido es tal y como os lo pongo.

Parece mentira que a estas alturas de la peli sigamos obviando algunas normas “básicas” sobre privacidad; que seas una compañía low cost no implica que tengas que aplicar políticas y métodos de privacidad también low cost.

Un saludo y hasta la próxima!

pdt: Sí, he dejado mi nombre en mitad del mail para que veáis que realmente lo he recibido personalizado y que se han equivocado, porque yo a día de hoy no puedo recomendarles dado que..NO SOY CLIENTE DE ELLOS! 

Actualizo hoy la entrada para comentar que, después del aviso que les he dado en twitter, me han contestado muy amablemente. Ahora estoy esperando que me den una respuesta clara sobre el asunto que, por supuesto, comentaré por aquí. ;-)

;-)

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84