Una alemana, una española y un crédito sospechoso

Hola de nuevo, lopder@s!

En este post, a petición de mi querido Raúl Gámez, voy a comentar, hasta el día de hoy, la Resolución más curiosa que he visto en la web de la AEPD, Esta vez no termina con un multazo, por lo que no esperéis que alguno sufra en sus bolsillos la embestida de la AEPD; lo interesante del caso es cómo empieza y cómo se desarrolla; esta vez el final quizás deje con un cierto sabor agridulce (y no precisamente por la ausencia de multa). Como siempre, la Resolución la dejo aquí (y te invito a leerla encarecidamente). Vamos a ello:

Era un 20 de enero de 2016 cuando se recibe en la AEPD una carta un poco diferente. El matasellos dice que viene de Alemania, de un lejano lugar llamado Hamburgo y el remitente, impronunciable para un hispano-hablante, resulta ser aquella prima a la que conocíamos apenas de oídas: la Agencia de Protección de Datos de Hamburgo. "Vaya marrón, a ver qué quiere esta ahora", debió pensar la AEPD. Al abrir la carta, resulta que no es una felicitación tardía de Navidad: es todo un escrito en el que nuestra prima hamburguesa desarrolla lo que parece una especie de informe bastante currado sobre las actividades de una empresa con matriz en Alemania pero tentáculos en diferentes lugares europeos, entre otros, España. La prima harmburguesa nos envía una carta para decirnos que algo le huele a chamusquina en Alemania y parece que, cierta parte de ese olorcillo a quemado, viene de más abajo de los Pirineos: nos pide ayuda para identificar el foco y nos abre el camino para ir con la manguera.

Puntos clave de lo que le huele a chamusquina a la prima teutona:

- Tenemos un grupo empresarial, que se dedica a esto de los créditos rápidos, la mar de majo y cuya matriz está en Alemania pero tiene una filial en nuestra patria querida, que actúa un poco a su rollo pero interacciona fuerte con la matriz. 

- Recopilación de Datos que hacen las filiales (también, por supuesto, la española). 

El textual de lo que dice la prima teutona es revelador: "Para preparar la aprobación del crédito, las empresas filiales de XXXXXX  recopilan un amplio abanico de datos de carácter personal que se inmiscuyen de lleno en la intimidad de sus clientes". Y ojo que la cosa se pone fea: aparte de la información que da el solicitante para obtener su crédito, este conglomerado recopila información del pobre solicitante obtenida gracias al rastro que va dejando en lo que navega por webs asociadas al conglomerado presunto. La prima teutona sospecha que esta recopilación de datos a mansalva da como fruto la elaboración de un perfil muy amplio del solicitante. Es más, para completar bien el perfil, el conglomerado tira también del Facebook del pobre solicitante (eso sí, tras tener su ok voluntario, cosa también un poco cuestionable a juicio de la prima harburguesita, ya que ofrece compensaciones si el solicitante dice aquello de "sí quiero"). Por si esto fuera poco, el solicitante tiene que dar la contraseña de sus cuentas bancarias en internet para que el conglomerado presunto verifique que sus cuentas han tenido movimientos "sexis" en los 60 días anteriores a la solicitud del préstamo. Y todo esto se hace a cambio de que te presten una pequeña cantidad de dinero; no quiero ni pensar lo que pedirían si les pides un pastizal.

- Consentimiento no otorgado libremente. 

Ojo al textual de la carta de la prima teutona: "(...)...los clientes que deciden pedir dinero prestado a KREDITECH se sienten fuertemente obligados a hacerlo, ya que no tienen acceso al mercado de capitales normal y a los créditos a tipos de interés normales. Obviamente, necesitan con urgencia un dinero que ningún banco comercial les prestaría"(...). 

Es decir: aquí se cuestiona algo de lo que ya he hablado en alguna ocasión por aquí: la cuestionable libertad a la hora de consentir el tratamiento de algunos de nuestros datos. Hay que tener en cuenta dos cosas: 

1) la necesidad urgente de conseguir una cantidad de dinero y 

2) el interés que se paga si el conglomerado presunto te lo presta: 3.752%.

La prima alemana hace hincapié en ambas cosas, y nos informa de que eso en su casa se llama usura y que está prohibido, para más inri.

- Retención indefinida, lo que se traduce en que: "o pides que te borre o ahí te quedas" (y cuando digo "borre" quiero decir "me anonimizas").

Tras este informe, la AEPD se levanta de la siesta y se pone a currar (me encanta tirar de tópicos...XD). Se va a la web de la filial española y revisa un poco lo que ve: desde los textos legales hasta si tiene declarados ficheros y de qué tipo, se pasa por la sede para que le expliquen como hacen las cosas y a pedir y pedir documentación (que si contratos de encargo de tratamiento, por ej. del Call Center que tienen en Rumanía, que si el envío de publi se hace bien... ), lo que se dice: un cisco. Además de esto, la AEPD accede a los sistemas de información de la filial y se encuentra con que se registran datos del solicitante como estos (y me remito a los más llamativos, que hay más): 

• Localización actual (longitud, latitud), 
• Dirección de trabajo, 
• facebookData, 
• balance de pagos del cliente (pagos adelantados, pagos pendientes... en relación al préstamo pedido al conglomerado presunto, sospechamos),  
• IP de conexión y el agente de usuario (navegador), 
• Datos externos (identificador del dispositivo), 

Como curiosidad, os cuento dos cosas más: los datos recorren más países que Willy Fog y el conglomerado presunto dispone de un procedimiento de bloqueo (una de mis eternas peleas) tan majo como este:

- Datos de solicitudes no finalizadas: se bloquean siete días después de suinicio y se borran en 180 si no han sido completadas.

- Datos de solicitudes finalizadas y no concedidas: se bloquean a los 30 días y se borran a los tres años.

- Datos de créditos concedidos: se bloquean 30 días tras el pago del préstamo y se borran diez años después.

Además de todo esto, la AEPD recurre a Infojobs para informarse sobre el conglomerado presunto (no, no es coña) y se encuentra con esto (literal): 

<<El grupo XXXXXXX usa big data y complejos algoritmos de aprendizaje automático.

Basado en 20.000 puntos de datos, su tecnología propietaria permite a sus servicios financieros el adquirir, identificar, valorar, pagar y aumentar sus clientes en segundos.

Los procedimientos automatizados combinados con algoritmos de auto-aprendizaje aseguran una rápida y adecuada atención al cliente mientras se minimizan el costo y espacio para el error humano. >>

Vale, o sea que la AEPD recurre a Infojobs para hacer su trabajo. Pues qué campechano todo. ¿no?

Tras todo este berenjenal, nos encontramos con los fundamentos jurídicos (que no voy a reproducir para no aburrir al personal) y con las conclusiones de nuestra AEPD, que os resumo:

1) "(...)... no hay indicios de los que se desprenda que LA FILIAL no actúe diligentemente, ya que cuenta en todo momento con el consentimiento de sus clientes, tanto en la toma de datos personales, como para las cesiones y transferencias internacionales de sus datos, o bien para el acceso de ficheros de terceros, señalando además que su clientes en todo momento podrán ejercitar sus derechos ARCO...(...)"

2) "(...)...no estamos ante un supuesto donde se tomen datos únicamente para evaluar determinados aspectos de su personalidad, ya que existe además la finalidad de formalizar una relación contractual, es decir un préstamo.Además el ciudadano siempre podrá impugnar el tratamiento de sus datos ante los órganos administrativos y judiciales competentes....(...)"

3) Y ojo con lo siguiente: Si os acordáis, al principio del post comenté que había algo que le olía a chamusquina a la prima teutona, y al empezar a analizar la Resolución, os he destacado en rojo y negrita lo siguiente: eso en su casa se llama usura y que está prohibido. Exacto, mis queridos amigos: parece que todo esto se ha montado porque la prima hamburguesa cree que el conglomerado presunto realiza sus actividades rozando lo ilegal, acorde con la normativa alemana. Es decir: que aparte del tratamiento de datos cuestionable, la finalidad del mismo es prestar un servicio con tintes de usura, insisto, según la normativa alemana que menciona nuestra prima teutona. Claro, la AEPD que es muy perspicaz, deja claro en la Resolución que...

 " (..) ...la Agencia Española de Protección de Datos, no es competente para dirimir cuestiones civiles, tales como si los tipos de interés son o no acordes a derecho según las prácticas bancarias españolas, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil...(...)"

Chimpún.

Cosas que, personalmente, me llaman la atención y me hacen pensar en lo divino y lo humano:

1) Me gusta la colaboración entre Agencias de Protección de Datos: los datos personales "vuelan" y es imprescindible que se tiendan la mano y colaboren. Punto para la prima alemana y para nuestra AEPD por darse la mano y bailarse unas sevillanas en lo que se toman unas pintas.

2) Me da cierta envidia la actuación de la prima teutona en lo que parece una cierta defensa de sus ciudadanos e, incluso, de los ciudadanos españoles. Ya sé que la función de la AEPD no es verificar si se practica usura o canto gregoriano a grito pelao a las 4 de la mañana por el centro de Madrid; pero también es verdad que al final los datos se usan para algo y, aparte de verificar que el tratamiento es acorde a la normativa de protección de datos, echo de menos una cierta prevención en que la finalidad es correcta (e insisto, no sólo a nivel protección de datos). 

Y lo tengo que decir: me parece excesivo que para pagar un préstamo se te invite a dejar fisgar en tus perfiles de RRSS. Uno en sus RRSS no está sólo, y además, que no entiendo y no veo sostenible lo que tiene que ver el tocino con la velocidad: que yo pague religiosamente mi deuda no tiene que ver con que le de a "Me gusta" a las fotos de la playa del vecino (¿o es que eso denota que voy a dejar de pagar porque tengo mono de playa?). Ya, ya lo sé: Big data, algoritmos o lo que queráis, pero no, no me parece admisible.

3) La AEPD tira de Infojobs para investigar. Lo flipo: entre los que buscan curro y las investigaciones de la AEPD, el Señor Infojobs debe estar más contento que unas pascuas con sus visitas. 

Y hasta aquí llega el post de hoy; espero que os haya gustado, queridos frikis de la protección de datos!

Sí, Quiero (ser tu Encargado de Tratamiento). Pues firma aquí, ricura.

¡Hola hola!

Retomo el blog con un tema que últimamente me está dando no pocos quebraderos de cabeza: las complicadas relaciones con los encargados de tratamiento. Por si pasas por aquí por primera vez y esto te suena a chino, te voy a presentar al Encargado de Tratamiento tal y como lo hace la LOPD:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Para aclarar el tema, el Encargado de Tratamiento es el que "trastea" con los datos siempre bajo las órdenes e instrucciones del que verdaderamente decide lo que hacer con ellos, que no es otro que el Responsable (y aquí te dejo otro post de la menda para que veas por dónde van los tiros). Bien, en definitiva (y acorde con lo que hemos visto): el Encargado es "el mandao". Ejemplos de Encargados de Tratamiento hay a punta pala: desde el hosting de tu web hasta la agencia de publi a la que le has encargado un concurso o la asesoría que te lleva todo lo de laboral. La LOPD no sólo te dice quién es el Encargado de Tratamiento, también te dice que tienes que establecer unas reglas para que "el mandao" tenga claro que sólo puede trastear los datos siguiendo tus instrucciones y que no los va a usar para otra cosa que no sea lo que tú le traslades en esas reglas. Además, esas reglas incluirán las medidas de seguridad que debe implantar sobre esos datos y podrá preverse el destino de los datos cuando el Encargado termine su trabajo sobre ellos. Esto lo tienes en el art. 12 de la LOPD, el cual dice también que estas reglas deberán estar  en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Y aquí mi primer briconsejo: Por escrito SIEMPRE. La LOPD dice CONTRATO, NO DICE "condiciones de uso de una web"; ojocuidao que el matiz es canela fina.

Hasta aquí todo claro: Si hay Encargado, debe haber contrato. Y esa es la regla general. Otra cosa es que luego la cosa se complica porque nos encanta una app que ofrece una empresa en USA o en la Conchinchina (y que, por supuesto, tiene los servidores que la soportan o allí o en Groenlandia) y se nos olvida. Y para los problemas de memoria, además de las pasas, este link de la propia AEPD es imprescindible: 

https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php 

Descifrando...

1) ¿Encargado de tratamiento? CONTRATO

2) ¿Los negocios con nuestro Encargado de Tratamiento suponen una transferencia internacional? Resumiendo, las opciones son dos:

         a) CONTRATO (si el país de destino de los datos tiene nivel adecuado de protección, cosa que no decido yo).

          b) CLÁUSULAS TIPO + AUTORIZACIÓN DE LA DIRECTORA DE LA AEPD (para lo cual hay que seguir un procedimiento muy clarito que tenéis perfectamente explicado en el link que os he pegado de la AEPD). 

Y ojo, ojazo: LOS DOCUMENTOS ES PREFERIBLE QUE VAYAN EN CASTELLANO. Cualquier cosa de estas que firmes en inglés, arameo o esperanto te va a poner obstaculillos para defenderte, según lo que me han dicho varios operadores de la AEPD. Me insisten en que son conscientes de que muchas empresas están guardando como oro en paño sus documentos en inglés y eso no es un escudo antiproblemas. Como consejo: mejor tenerlo en castellano, que es un idioma muy majo.

(Las reglas corporativas vinculantes las dejo fuera del post porque me centro en las relaciones básicas con los Encargados de Tratamiento).

Todo esto que es tan fácil y mecánico en la práctica se vuelve casi una pesadilla, sobre todo cuando hablamos de un Encargado de Tratamiento "lejano", ya que es muy raro el que se presta a colaborar y a seguir el procedimiento de firmar básicamente lo que es un contrato. 

Las excusas más típicas son: 

- Yo tengo mis medidas de seguridad bien puestas en mi web. FAIL (vuelve a leer arriba: CONTRATO). 

Me da igual lo que tengas puesto en la web ya que a eso no me puedo agarrar si la lías con los datos que te confío. ¿Qué parte de "contrato" no entiendes?

- Yo estoy en Privacy Shield. FAIL (vuelve a leer arriba: CONTRATO). 

Te pego EL LITERAL de lo que dice la AEPD: "Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD". 

- No voy a ir yo a cambiarle las reglas a una empresaca como XXX. FAIL

No es que vayas a cambiarle las reglas, es que necesitas garantías de que se va a portar bien. ¿O es que dejarías a tu pequeño y tierno gatito al cuidado de Jack El Destripador? Además que es que inviertes en tranquilidad, porque a la primera puerta que va a llamar la AEPD si hay problemas es a la tuya. No creo que de buen rollo tu Encargado piratilla vaya a sacar su espada para defenderte. 

Llegados hasta aquí, y sin ánimo de asustar al personal, te voy a pegar lo que dice el art. 20.2 del Reglamento de la LOPD para que veas que esto es sólo la puntita del Iceberg:

"Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento"

Es decir: a lo que ya nos ha quedado claro (el contrato) le unimos otro lío más (la obligación de velar porque el Encargado reúna las garantías de que cumple lo dispuesto en el Reglamento).  ¿Y esto cómo se hace? Pues cada maestrillo tiene su librillo, por lo que no me siento capaz de darte una respuesta rotunda. Lo que sí te puedo decir es que mirar si tiene ficheros declarados en la AEPD NO ES SUFICIENTE (que además, si no hay cambios a la vista, tendrás que cambiar de truquillo en año y pico, por cierto).

Consejos finales:

- Sé selectivo y escrupuloso con tus Encargados de Tratamiento.

- Ponte pelmazo para firmar contrato EN CASTELLANO. Si te encuentras con un "no", lo deseable sería no establecer relaciones con ese proveedor. 

- Una vez firmado el contrato, disfruta de tu amor con tu Encargado pero pídele que de vez en cuando te haga saber que él también te quiere en forma de pruebas de que se sigue portando bien (es decir, que te acredite que va cumpliendo lo que le pediste).

Y hasta aquí el post de hoy. Espero que te haya parecido interesante y que pases una estupenda semana.

Pdt: Por cierto, ya que publico hoy esto quiero recordarte que este sábado es un buen momento para seguir reivindicando una Justicia SIN TASAS, CON MEDIOS E INDEPENDIENTE. Te pego el link con más info y te animo encarecidamente a que te apuntes: la lucha sigue porque los motivos no han dejado de existir. Si estás por allí...¡no te olvides de saludarme!