La empresa y las RRSS del candidato: Opinión 2/2017

Buenas noches/madrugadas, Lopder@s.

No me considero una persona excesivamente mística (un poco supersticiosa sí, en algunas cosas puntuales que otros llamarán manías), pero hoy debo confesaros que el tema del post me ha venido rodado, y todo ha empezado a raíz de una breve conversación que tuve esta tarde con una toguita muy maja del norte: @therearW. El caso es que tras hablar con ella un poco sobre la incidencia de las RRSS en el contexto laboral, al llegar a casa me he encontrado, en lo que hacía aquello que he bautizado como iurisfrikear (no tengo una definición "entendible"), con este documento: Opinion 2/2017 on data processing at work - wp249 . Como me pierde la curiosidad, no he podido evitar abrirlo y ponerme a leerlo, e, inevitablemente, mi conversación de esta tarde con Irati me ha venido a la mente al llegar a este punto: "Processing operations during the recruitment process". Pero es que hay más, resulta que el documento también tiene este otro punto: "Processing operations resulting from in-employment screening" que quiero dejar aquí sutilmente con la intención de hacer un segundo post sobre él. ;-)

Para esta entrada, como decía, me voy a centrar en el tratamiento de datos relacionados con las RRSS sobre los candidatos a un empleo. Esto que queda tan "formal" en el papel se resume en lo siguiente: Mandas tu CV a una empresa para optar a uno de los puestos que ofrece y, el empresario/equipo de selección, pone tu nombre en Google o accede al perfil que tú mism@ pones en el CV y... pues ya sabes: ve más información de la que quizás desearías. Y esa información quizás puede jugar en tu contra en función de muchas variables. 

Cuando pienso en esto, me vienen a la mente los eternos debates que tengo con una de mis mejores amigas, que es, digamos, una crack en esto de la selección de personal. No son pocas las veces que hemos charlado sobre la importancia de poner o no la foto en el CV o si es interesante/legítimo para la empresa conocer cosas del candidato que no están relacionadas directamente con el puesto que desea conseguir. Es un tema complicado en el que caben mil aristas o posturas. Si tengo que "mojarme", taxativamente diré que todo depende en la vida,y que honestamente, nunca me han gustado los argumentos que culpabilizan a la víctima (desde el "no haber firmado" hasta el "se lo buscó"). No olvidemos que el candidato muchas veces está en una posición de inferioridad,y más en un contexto económico y social como el que vivimos. Más adelante,con un ejemplo un poco "especial", lo explicaré más gráficamente. No obstante, hay que tener en cuenta muchas cosas: desde el puesto en sí hasta el cuidado que tenga el candidato a la hora de cuidar su reputación online o la "curiosidad" que tenga el seleccionador en el perfil que le interesa para su empresa (en el que también entra otra reputación: la corporativa, porque la contratación puede tener cierta incidencia - positiva o negativa- para ella). El tema es que es un tema un poco espinoso por las aristas que tiene: una especie de macedonia en el que el límite entre la vida personal y la profesional cada vez es más difuso, ya que acaban interactuando muy estrechamente gracias a la red de redes (y el popurrí entre derechos e intereses, legítimos o no, es de aúpa).

El documento pone de inicio el punto en el hecho de que el acceso o no a ellos depende de las configuraciones de privacidad que haya establecido el candidato sobre sus perfiles en RRSS. Esto es un poco simple en inicio (aunque realmente la cosa se complica si pensamos en lo fácil que es hacer un pantallazo de un perfil "cerrado" y hacerlo "público" a la fuerza, por ejemplo, pero no quiero emparanoiar a nadie; solo lo dejo por aquí y cada uno que, simplemente, reflexione 😉): si tus perfiles están "abiertos" a todo kiski, será más sencillo su consulta. Otra cosa es que nos planteemos la legitimidad o no de "auto-invitarse" a una casa que te has encontrado con la puerta abierta: de sentarte en su mullido sofá, ver qué libros o películas tiene o interesarte por su álbum familiar. Si haces todo eso, ya tendrás una idea muy "completa" sobre el propietario de la casa: desde sus intereses o gustos (¿la Historia, quizás?) hasta que le gusta ir de caza, en caso de que en el álbum familiar te encuentres una foto en la que el propietario aparezca, sonriente, posando con un rifle y un elefante muerto. El problema es que igual al que tiene que decantarse por ti no le gusta demasiado eso de la caza, y no creo que vayas a tener la oportunidad ni de decirle: un "lo siento mucho, no volverá a pasar", ya que probablemente no vas a enterarte de que estuvo allí. Al igual que el infiltrado en tu casa, el infiltrado en tus RRSS no parece que vaya a dejar huella: entrará, oteará y saldrá sin hacer ruido ni descolocar el jarrón chino que tienes en la estantería, pero se irá con una idea sobre ti que es posible que no tenga nada que ver con la imagen que tú le quisieras dar en la entrevista: en función de lo que vea y de cómo perciba eso que ve, serás descartado o invitado a entrevista. Cruza los dedos. 😒. En este caso, el documento indica también que el hecho de que los perfiles estén abiertos, no implica un acceso libre para ellos; lo de siempre: que esté en internet, no implica "gratis" ni "sin dueño" ni "regalo" ni "objeto perdido", recordando algo lógico: los datos que tratemos (y recuerden en este punto la amplitud del concepto "tratamiento") deben ser los exactos y necesarios para la finalidad concreta. Por ejemplo: ¿es relevante que, para un puesto meramente administrativo, el candidato haya estado en Italia? ¿lo es para un puesto de presentador de TV que el candidato es un friki de Harry Potter? Lo que decía: muchas aristas y matices.

El documento pone el foco también en que el empleador debe: 

1) Borrar todo tipo de datos recopilados sobre un candidato que no le convenza o que le rechace la oferta de empleo.

Esto que parece un poco obvio, no se cumple en general, porque muchas empresas guardan y guardan y guardan "por si acaso" toneladas de CV´s en sus sistemas. Es como cuando tu madre te pone la chaqueta encima antes de que salgas de casa y te dice: "por si acaso luego refresca", y ves que hay un olorro de calor como el que estamos pasando estos días. Madres del mundo: no va a venir una Glaciación en lo que sale el niño a la calle; Empresas del mundo: si no os interesa, no les tengas ahí "por si acaso" hasta que venga la Glaciación.

2) Informar al candidato (sobre todo en la oferta de empleo), de los tratamientos de datos que va a realizar sobre su información personal (a los efectos de que éste pueda decidir libremente si presentar su candidatura o no teniendo en cuenta no sólo el puesto en sí, sino lo que va a hacer el empleado con sus datos y sobre qué datos lo va a hacer). Conozco un caso de un despacho de cracks que hace algo parecido; si alguno de los integrantes lee estepost, sabrá que me refiero a ellos (y espero que me salude, ya que tenemos alguna que otra interacción por twitter, por cierto). 😏

3) Por último, recuerda el documento que no hay base legal a la que el seleccionador o la empresa se pueda agarrar para que el candidato se vea obligado a "permitir" el acceso de cualquiera de ellos a sus perfiles personales. Es decir: que, legalmente, tienes todo el derecho del mundo a rechazar esa invitación a ser amigos. Otra cosa son las repercusiones que pueda tener, pero, legalmente, no hay a qué agarrarse para sentirte obligado a abrir la veda.

Para finalizar, quiero hacer un llamamiento a la cordura tanto de candidatos como de empresas; los primeros, en la elección sobre accesibilidad general de su perfil (trastead los botoncitos sobre las configuraciones de privacidad, que os creéis que son como los intermitentes del coche: INTOCABLES) e, incluso, sobre la decisión o no de tener perfiles con sus datos completos y exactos; y a las empresas: "abierto" no es una invitación y valoren, a poder ser, los CV´S, que para algo la gente se los trabaja. Recordemos que, a día de hoy (y más con el estado en general del trabajo en España), el candidato está en una posición de clara inferioridad debido al desconocimiento o a la necesidad pura de trabajar. Seamos un poco lógicos y no invasivos.

Y hasta aquí llega el post; espero que os haya parecido interesante.

Un saludo y muchas gracias por pasar por aquí!

Ni Mamá, ni Papá: Di "Hola Mundo"

¡Hola de nuevo!

El post de esta semana sigue la senda que he tomado desde hace algún tiempo: la Privacidad de los menores. Parece que cada vez estamos más concienciados de su importancia, de las indeseables consecuencias que puede tener una gestión "imprudente" de la misma, y nos damos cuenta poco a poco de que este tipo de actuaciones las podemos hacer cualquiera de nosotros, la mayoría de veces, de forma involuntaria, eso sí. Es hora ya de que entendamos que realmente no es una cuestión sólo de papis y mamis; la infancia debe ser objeto prioritario de protección para tíos, primos, profesores, el kioskero, el florista o para el vecino del quinto; al menos en mi opinión. Aunque no soy especialmente niñera, tengo claro que la infancia debe tener Pole Position en las prioridades de toda Sociedad. Y sobre esta base, lanzo una reflexión al aire: 

Europa... ¿qué narices haces dejando que seres humanos agonicen en tus fronteras? Es imposible permanecer impasible viendo las imágenes de l@s que se juegan su vida para huir de la maldad, del infierno de las armas y de la crueldad, y que, al llegar a la Europa de los sueños, se encuentran con un muro infranqueable de incomprensión. Esta no es la Europa que nos vendieron; nunca nos dijeron que las fronteras iban a caer para el dinero y los datos personales, pero no para las personas. Tampoco imaginé una Europa tan egoísta, tan clasista y tan desmemoriada. 

Tras este alegato pro-personas que no he podido evitar (ni he querido, no voy a mentir a estas alturas) , voy a intentar retomar el post. Me ha llamado la atención esta noticia:  UC Baby shuts down ultrasound video service due to lack of security y he pensado que sería un tema interesante para escribir sobre él. Voy a resumir un poco la situación para que os hagáis una idea, pero lo voy a hacer a la manera #iurisfriking para hacerlo un poco ameno ;-). 

"Jacinta y Agripino (el de la infografía de la doble vida que podéis ver aquí), van a tener un bebé. Están tan contentos que deciden ir a una clínica que les ofrece hacer un vídeo en 3D de su pequeñín dentro de la tripa de Jacinta. El servicio incluye un vídeo molón para verle la carita antes de que nazca y la posibilidad de compartir las primeras imágenes del bebé en movimiento con amigos y familiares. Ambos creen que es una gran idea "presentar" al peque antes de que nazca y están tan entusiasmados que deciden hacerlo. A los pocos días de la cita en la clínica, les avisan de que el vídeo está listo y pueden acceder a él introduciendo en la web de la empresa un ID que les han proporcionado más un correo electrónico y una contraseña. 

El problema llega cuando a los pocos días se enteran de que no son los únicos que pueden conocer a su bebé ya que el vídeo está a la vista del mundo entero por una incidencia de seguridad en la web de la clínica y, para más inri, resulta que, además del vídeo, se pueden ver también otros datos, como el nombre de la familia, ciudad o pueblo y la hora y el día que se realizó el vídeo. Por lo que parece, la clínica no tomó las precauciones debidas para proteger sus servidores y lleva funcionando desde el año 2005, sin que se hayan preocupado por mantener y actualizar las medidas de seguridad casi desde entonces". 

Toda una "negligencia", ¿no creéis?

Pues esto es lo que sucede cuando nos quedamos obsoletos en temas de privacidad y seguridad; cuando nos aferramos al Windows 95 y nos despreocupamos por estar al día en estos temas. Es como llevar un bikini en pleno invierno. Porque la obsolescencia no afecta sólo a las máquinas, también nos afecta a nosotros: es como algún que otro cabestro que a estas alturas de la peli se empeña en no llevar puesto el cinturón de seguridad en el coche. Oiga, que no es sólo ya por su propia seguridad, es que si tampoco le pone el cinturón al niño está poniendo en riesgo otra vida más por su indefendible cabezonería. 

Os planteo unas cuestiones sobre la noticia: 

1) ¿La imprudencia ha sido sólo de la clínica, de los padres o de ambas partes?

2) ¿Qué peligros y consecuencias pueden derivarse de este tipo de sucesos? ¿Qué implicaciones veis tanto para el pequeñín como para los propios padres?

3) Acorde a la Normativa Española... ¿las imágenes del pequeñín se podrían proteger con la LOPD en la mano?

A ver qué es lo que pensáis; me interesan mucho vuestros puntos de vista. Podéis compartir vuestras respuestas en mi perfil de twitter . 

Y hasta aquí llega el post de hoy; muchas gracias por pasar por este rinconcito de la Red y que tengáis un estupendo fin de semana.

 

PDT: Por cierto, Feliz San Patricio a todos los irlandeses de corazón como yo. #IrishFriki 
;-)

¡I love Ireland!

La casa por el tejado: Ana, psicóloga "relax & take it easy".

Hola de nuevo!

Tras experimentar con la historia de Paco, aquel mecánico que acabó siendo un pseudo-modelo para la web del viejo taller de su ex-jefe, y cuya historia podéis leer aquí , me apetece retomar mi vena creativa esta semana contándoos la historia de Ana y Sergio. Este post nace de la conversación absolutamente interesante y enriquecedora que tuve en twitter con una profesional del medio: Marina Brocca, en la que coincidíamos en la necesidad de concienciar sobre LOPD y privacidad hablando claro y "a calzón quitado", como ella misma dice. Os recomiendo encarecidamente darle follow inmediato en twitter; es tan encantadora como gran profesional y encontraréis cosas muy interesantes en sus tweets. Como siempre digo, este blog pretende ser una herramienta de concienciación y acercamiento a la normativa de protección de datos desde un punto de vista amable y sencillo de entender para todo el mundo, por lo que igual, con estas historias un poco raras, me es más fácil explicarme y conseguir que cualquier posible lector cierre la pestaña de este blog entendiendo algunos aspectos de la LOPD. Si consigo esto, os aseguro que estaré re-feliz! 

Y ahora, vamos con la historia..

Os presento a Ana. Ana acaba de terminar sus estudios de Psicología y, tras muchos fines de semana trabajando en una conocida cadena de comida rápida, ha conseguido reunir el dinero suficiente para montar su propio gabinete psicológico. Ana tiene a su asesor de confianza que es el que le ha tramitado tanto el alta en la Seguridad Social como el alta en Hacienda e, incluso, le ha redactado el contrato de alquiler del local que ha elegido para su negocio, un local chiquitín con dos estancias: un despacho personal (con puerta con llave) en el que guardará los expedientes de sus pacientes, y la sala en la que pasará las consultas, donde sólo pondrá un diván, unas plantas para darle algo de alegría y unos cuadros. Ana cree que el dinero que ha pagado a su asesor está justificadísimo para evitar problemas con Hacienda y con la Seguridad Social, por lo que ya de inicio contaba con este gasto extra y no le ha importado pagarlo. Además, ha conseguido ahorrar bastante dinero comprando los modernos muebles para la consulta en una conocida tienda bastante barata. Lo primero que compró fue un tablón de corcho para colgarlo en la pared del despacho para organizar sus citas y un cuaderno para tomar notas durante las sesiones con sus pacientes. El asesor le comenta que tienen un servicio de LOPD que le recomienda contratar, ya que está obligada por Ley a cumplir la normativa sobre protección de datos. Ana agradece la recomendación pero la declina amablemente, ya que ya se ha gastado demasiado dinero en trámites administrativos y no cree que vaya a pasar nada por no cumplir la normativa; ninguno de sus compañeros de la carrera que tienen también consulta la cumplen y no ha pasado nada nunca, así que "relax y take it easy".

A los pocos meses, Ana ya tiene un buen número de pacientes y le va genial, pero no tiene tiempo para limpiar la consulta y el despacho, tarea que hasta ahora había hecho ella misma. Ha pensado en contratar a Sergio, un chico que está terminando sus estudios y que se saca unas pelillas limpiando la consulta de una antigua compañera de Universidad de Ana. Esta compañera es la que se lo ha recomendado a Ana, ya que, al parecer,es todo un experto en dejar la consulta como los chorros del oro. Tras ofrecerle el puesto, llama a su asesor para tramitar el contrato laboral y así proceden. El asesor le vuelve a recomendar que consulte con un profesional y se adapte a la normativa de protección de datos, pero Ana vuelve a negarse ya que no ha tenido ningún problema hasta ahora. Sergio empieza a trabajar esa misma semana; irá los viernes de 4 a 5, que es cuando hay menos pacientes y podrá realizar mejor su trabajo. Ana, mientras él limpia, estará en el despacho que hay junto a la sala de consultas, repasando los casos de la semana siguiente. 

Mientras Sergio limpia, Ana le dice que tiene que salir a hacer unos recados, pero que no tardará en volver. Sergio le dice que aprovechará para pasar la aspiradora en el despacho y Ana le deja la llave. Mientras está en sus quehaceres, algo le llama la atención en el tablón del despacho de Ana: ve que el próximo jueves Ana tiene una cita con Javier XXXX, un chico al que Sergio conoce del barrio y con el que discutió hace poco por un tema de dinero. Por lo que dice en el tablón, Javier tiene problemas de ansiedad. Sergio ve que en el escritorio del despacho de Ana está el cuaderno en el que la psicóloga hace sus anotaciones durante las consultas y le entra la curiosidad tras lo visto en el tablón de Ana, así que lo abre y busca el nombre de Javier. Tras leer las anotaciones de Ana en el cuaderno, decide hacer unas fotocopias de las anotaciones sobre Javier y se las guarda en su mochila. Aprovecha también, mientras recoge los bártulos, para hacer una foto con el móvil de las anotaciones del tablón del despacho. En ese momento Ana vuelve de hacer sus recados y Sergio le informa de que ha terminado su trabajo y se va para casa. Sergio le da la llave del despacho y se despiden hasta la semana siguiente.

A las pocas semanas, Ana, mientras navega por internet, se mete en un foro en el que los vecinos del barrio comparten planes y noticias y  ve que, en uno de los hilos del mismo, hay una entrada en la que pone: INFO SOBRE JAVIER XXXX . Reconoce el nombre de su paciente y decide entrar en el hilo. Lo que ve, le deja con la boca abierta: Hay una foto colgada de su tablón, en el que viene las citas que tenía programadas con este paciente y con otros para el próximo mes y, además, un archivo con las anotaciones del cuaderno que ha hecho durante las sesiones con Javier. Ana sospecha que ha sido Sergio, ya que nadie más ha tenido  acceso a su despacho (que cierra con llave siempre que ella no está dentro). 

Ana llama de inmediato a su asesor y le cuenta lo sucedido muy nerviosa. El asesor le recuerda que le avisó sobre la necesidad de adaptarse a la normativa LOPD pero que ella se negó. El asesor le pasa la llamada al abogado LOPD con el que trabajan, que se pone al teléfono. Ana le cuenta lo sucedido y el abogado LOPD se lleva las manos a la cabeza. Aparte de detectar que no tiene nada preparado en torno a la normativa, le avisa de que es posible que reciba noticias de la AEPD y que no será una felicitación de Navidad, precisamente. Ana, que hasta ahora no ha tenido problemas, cree que bastantes cosas tendrá la AEPD como para ocuparse de ella y decide no tomar ninguna medida para adaptarse a la LOPD; ni siquiera despedirá a Sergio para evitar "ruido" . Cuelga el teléfono y retoma las citas con sus pacientes. Al día siguiente aparece Javier muy enfadado y le avisa de que ha visto sus datos en un foro de internet y va a ir a la AEPD; además, le dice que no piensa volver a sus sesiones con ella y que va a correr el rumor de que no es buena psicóloga y que regala los datos de sus pacientes. Ana no le da importancia y vuelve a pensar que la AEPD no va a perder el tiempo con ella teniendo otras cosas más importantes que hacer, pero a los pocos días, todo cambia..

Ana tiene una mañana horrible, recibe unas 20 llamadas de pacientes que le cancelan las sesiones y le dicen que no quiere que les trate más y, además, recibe una visita inesperada que no viene, precisamente, a tener una sesión con ella. Tras la visita, Ana llama a su asesor y le pide que le ponga con el abogado LOPD. La visita le ha dicho que seguramente abran procedimiento sancionador contra ella y que ha vulnerado no sabe cuántos artículos de la LOPD.  El abogado LOPD le dice que acaba antes si le dice los artículos que no ha vulnerado; pero se para específicamente en la parte que ha "levantado la manta". Le recuerda que, si hubiera hecho caso a su asesor cuando le avisó por segunda vez de que se adaptara a la normativa, habría sabido que al contratar a Sergio debió haberle trasladado, tal y como impone el art.83 del Reglamento de la LOPD: "la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio".  Además, como Responsable del Fichero debería "haber adoptado las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales" (vamos, que no debió dejarle entrar en el despacho o bien, de hacerlo, debió haber quitado antes la info del tablón y el cuaderno de anotaciones y haberse asegurado de que Sergio no podía acceder a ellos metiéndolos, quizás, en un armario bajo llave que estuviera bajo su exclusiva custodia). Esto de inicio y fijándonos sólo en lo que originó la visita inesperada, pero si encima le añadimos aspectos como que ni tenía ficheros declarados, o que ni había aplicado las medidas de seguridad de nivel alto que probablemente son las correspondientes a la información que trata.. ¡Imaginad cómo acaba el cuento!

Y encima, por si fuera poco,  tiene que enfrentarse a que, debido probablemente a la "mala publicidad" que le ha hecho Javier de lo sucedido, ha perdido muchísimos clientes, por lo que no sabe si podrá mantener la consulta abierta con los pocos que han quedado dispuestos a seguir su tratamiento con ella (seguramente porque el "boca a boca" no haya llegado de momento a sus oídos).

Y todo esto podría haberse evitado si hubiera reservado parte del dinero que ahorró con los muebles en adaptarse a la normativa; o igual podría haber contado con que, aparte del dinero con el que contaba para pagar a un asesor que le hiciera los trámites con Hacienda, la Seguridad Social y demás, debería haber reservado cierta parte a asesorarse con un profesional y haber empezado "la casa por los cimientos" (desde el momento 0) y no "por el tejado" (cuando ya tiene el problema).

                                  

Y hasta aquí llega el post de hoy; espero que os haya gustado y que lo hayáis encontrado interesante. Gracias por pasar este rato conmigo. ;-)

 

Saludos y hasta la próxima! 

Resolución Curiosa de la AEPD: ¿Por qué me sancionan? Pero si la LOPD ni existía!

Hola de nuevo!

Tras unos días intensos de vacaciones por el país vecino, retomo el blog con una resolución sancionadora de la AEPD realmente interesante para paliar un poco este síndrome post vacacional que arrastro. LOPDear un poco siempre es una buena forma de afrontar la #semanaoficialdelparraque cargando pilas. ;-). 

Vamos a ello:

Lo primero, los hechos:  El denunciante (un ávido internauta) descubre en Internet un documento en el que figuran sus datos personales. El documento maldito está en una web de una empresa X. Por lo que parece, allá por el año 1996, nuestro ávido denunciante cumplimentó un plan de empresa con esta empresa para hacerse emprendedor y es este el que aparece en la web. Enfado al canto del internauta y denuncia ante la AEPD. 

¿Qué hace en la AEPD?: Pues lo de siempre, investigar. Ven el documento en la web y le piden explicaciones a la entidad. La entidad responde cosas muy interesantes:

1) Que eliminó los datos cuando el denunciante lo pidió.

2) Que el documento siempre ha estado oculto hasta que Google lo encontró (a veces Google parece una madre en modo "a que voy yo y lo encuentro"?). 

Tras estas explicaciones, la AEPD vuelve a hacer la búsqueda y el documento ya no aparece. La entidad, tras recibir el inicio de procedimiento sancionador (1500 euros), escribe a la AEPD diciendo cosas, de nuevo, interesantes (ojo a la primera, que es un misil):

1) "En una búsqueda realizada con el buscador de Internet Google no aparece ningún resultado relativo al denunciante, y que éste facilita voluntariamente su información personal en diferentes redes sociales (facebook, Iinkedin, etc.), así como en organismos y otros, permitiendo acceder a todos sus datos (DNI, domicilio, teléfono, aficiones, email, etc.) de forma sencilla y clara. Entiende, por ello, que el denunciante no ha sufrido daño alguno por los datos que X mantenía con su permiso y que fueron eliminados en atención a su solicitud".  FAIL: Lo que está en Internet no es gratis, ni libre ni se puede usar (y menos si son datos personales y todavía menos si encima eres una empresa). En este caso la empresa no pelea por haber cogido los datos de la red de redes pero usar este argumento es como raro: No te sancionan por el daño que le has hecho al ávido internauta; te sancionan porque no tenías que poner esos datos en la red. Da igual que el sujeto cuelgue fotos de sus vacaciones, del cocido que se ha comido o se dedique a poner su teléfono en internet; no es relevante a efectos LOPD!

 

2) "Que el denunciante aprobó el uso de sus datos en el momento de realizar el estudio. (...) que no se formalizó en documento según la LOPD dado que este esta normativa es posterior al hecho". 

 

3) "Que en el momento en que el denunciante comunicó su oposición a que los datos figurasen publicados, tales datos fueron eliminados, a pesar de que contaban con su aprobación previa".

 

Quedaros con estos dos porque tienen un papel clave en la resolución, palabrita de  Iurisfriki. ;-)

Tras recibir la propuesta de sanción, la entidad vuelve a reiterar lo que ya dijo en el punto 1) - el FAIL gordote - y vuelve a echarle la culpa a Google por entrar donde no debía (de hecho, invita a la AEPD a ir contra Google; como si Google no tuviera ya sus propios problemas! :-P)

Y el desenlace es...

 

 

Lo predecible: la AEPD les sanciona con base en el art.9 de la LOPD. Ojo: esto es importante; no te están sancionando por el inicio de la historia (es decir, por la elaboración del documento del plan de empresa que se hizo en 1996, cuando, como bien dice la empresa, la LOPD no era ni un cigotito); te están sancionando porque en 2014 (vigente ya la ley) has incumplido una de las obligaciones base de la LOPD: QUE LOS DATOS ESTÉN SEGUROS Y BAJO CONTROL. Ni siquiera se para la AEPD a pensar en si tenías entonces o en si puedes probar ahora que tenías el consentimiento del afectado para tratar sus datos. Y da igual que el afectado se ponga a dar en Internet su grupo sanguíneo o comparta una foto como Dios le trajo al mundo. Te sancionan por vulnerar un principio de la LOPD y punto. Y encima, la propia AEPD te avisa de que te has librado de recibir también sanción por el art.10 de la LOPD, ojito.

Comentario Final Propio: Vamos a darle otra vuelta de tuerca a este caso. Pensemos.. El documento se elabora en 1996 y los hechos pasan en 2014, que es cuando el afectado ve sus datos ahí.. ¿No os suena raro? Me refiero a que esos datos deben estar más obsoletos que la cinta VHS; anda que no habrá cambiado la vida del ávido internauta desde esa fecha (para empezar, el número de teléfono, el cual la propia entidad manifiesta que no existe). El art. 4.5 de la LOPD lo dice muy claro: "Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados".

Yo lo dejo ahí; para la post-eridad (no he podido evitar el juego de palabras :-P). Os dejo el link de la resolución aquí por si queréis leerla.

Y hasta aquí llega el post de hoy; espero que os haya parecido interesante y nos vemos en la siguiente entrada.

Feliz #Semanaoficialdelparraque a tod@s y mil gracias por pararos a echar un ojito por este rinconcito de la Red. ;-)

 

 pdt: ¿Te ha gustado el post? Házmelo saber en mi Twitter que me harás la semanita postvacaciones mucho más feliz. ;-)

Historia de una accidentada vuelta al trabajo.

Hola de nuevo!

Para este post de inicio de septiembre quiero que te metas en la historia que te voy a narrar; es muy probable que ya lo hayas vivido y, es todavía más probable aún, que lo vayas a vivir en el futuro. Confía en mi pequeña bola de cristal ;-). Vamos a ello.

Llegas de vacaciones, con tu piel bien tostada por el sol y con millones de recuerdos y souvenirs en la maleta (algunos de ellos de dudoso gusto, por cierto XDD). Coges el coche, el metro, el burro, el drone o la moto para ir a la ofi y ya estás en la puerta, con cierta resignación por dejar atrás los días de desparrame. Abres la puerta del despacho, dejas tus cosas, te acomodas en la silla y enciendes el pc para consultar el correo..pero no se enciende! No tira: se pone la pantalla en negro o no te acuerdas de la contraseña. Bienvenido a la rutina querido amigo. 

Ante todo, que no cunda el pánico; hay que llamar al técnico a ver qué narices le pasa al cacharro, si hay algo recuperable. Te acuerdas de aquello que te decía el pesado consultor LOPD: "copias de seguridad, COPIAS DE SEGURIDAD" y das gracias por haberle hecho caso. O no. Confío en que sí porque si no, el valor de la información que has perdido por tu dejadez es dinero que has perdido, y tiempo.

Llamas al técnico, que casualmente pasaba por la zona y ha tardado nada y menos en llegar, y te dice que el pc no tira; que mejor vayas pensando en comprarte otro nuevo porque este ha pasado a mejor vida. En todo este rato ha habido repercusiones LOPD; te voy a enumerar algunas importantes:

1º: Te enfrentas a una incidencia LOPD. Es evidente que, tal y como dice el art.5.2.i del Reglamento LOPD, se ha producido una anomalía que compromete la seguridad de los datos (no tienes acceso a ellos: has perdido el control sobre ellos). Por cierto..¿llevas el registro de las incidencias? Echa un vistazo al art.90 del Reglamento para ver de qué te hablo..

2º: Has tenido que llamar al técnico para que te àuxilie para ver si el equipo era recuperable y podías recuperar la información que contenía. Aquí la repercusión estaría en el art.12 de la LOPD.

3º) El pc ha pasado a mejor vida por lo que vas a desecharlo y te comprarás uno nuevo. Tendrás que asegurarte de cumplir lo dispuesto en el art.92.4 del Reglamento antes de perder de vista a tu antiguo pc.

4º) Supongo que tendrás instalado un sistema o rutina de realizar copias de seguridad de tus sistemas al menos una vez por semana, y, además,espero que tengas también establecido un procedimiento que permita recuperar los datos para estos casos. Echa un ojo al art. 94 del Reglamento. ;-) 

Fíjate la de repercusiones LOPD que ha tenido tu vuelta al trabajo; seguro que ni te lo habías planteado. No te preocupes, confía en tu asesor LOPD y préstale un poquito de atención: evitarás pérdidas de dinero, de activos de tu empresa (la información lo es), de tiempo y minimizarás riesgo de ser multado por la AEPD. 

Feliz vuelta al trabajo, amigos!