//
Archivos

Leocadio Marrero Trujillo

Leocadio Marrero Trujillo ha escrito 350 entradas para PROTEC-DATOS

Utiliza WhatsApp en tu empresa cumpliendo el RGPD y la LOPDGDD

WhatsApp es la aplicación de mensajería instantánea por antonomasia. Según el último informe publicado por eMarketer, cuenta con más de 800 millones de usuarios activos, de los cuales más de 30 millones se encuentran en España. Debido a su amplia adopción por los usuarios, algunas empresas lo utilizan como medio de comunicación, bien sea de manera interna o con los clientes.

Imagen de acompañamiento

Las empresas que decidan utilizar esta herramienta deberán hacerlo cumpliendo con el RGPD, la LOPDGDD y la LSSI y con las condiciones indicadas por Facebook.

WhatsApp Business

Las empresas o autónomos que decidan apostar por esta herramienta de mensajería instantánea deberán utilizar WhatsApp Business (Google Play o App Store) y no la aplicación WhatsApp Messenger, que está diseñada para comunicaciones personales.

WhatsApp Business es una aplicación diseñada para cubrir las necesidades de los negocios. Según indican desde la compañía, ha sido creada para facilitar las comunicaciones con clientes, aportando herramientas que permiten automatizar, ordenar y responder mensajes de forma rápida.

Como sucede con cualquier herramienta de terceros, se han de leer, comprender y  seguir los términos y condiciones especificados por la compañía; de lo contrario, WhatsApp podría suspender la cuenta. El principal motivo por el que se puede suspender una cuenta es utilizar versiones alteradas y aplicaciones no oficiales, aunque también hay otros como difundir spam. Todos estos usos no autorizados se pueden consultar en la sección «Uso aceptable de nuestros servicios».

Utilizar aplicaciones no oficiales es motivo de sanción por parte de WhatsApp, pues supone un riesgo para la privacidad y seguridad, ya que un tercero sin autorización podría estar accediendo a los datos.

Utilizar WhatsApp de manera interna en la empresa

Desde avisar que se está enfermo, informar que se va a llegar tarde, solicitar un cambio de turno, etc., la aplicación de mensajería es utilizada en multitud de empresas de forma interna para comunicarse con el resto de compañeros y personal de la organización. Si el empleador ha creado un grupo para este tipo de comunicaciones internas, debe avisar previamente a todos los miembros. Estos han de poder aceptar o rechazar ser incluidos en dicho grupo libremente, sobre todo si hacen uso de sus teléfonos particulares. Además, los miembros del grupo podrán revocar el consentimiento y ejercer sus derechos en cualquier momento.

En la primera comunicación que se realice con los miembros del grupo es recomendable que figure cierta información legal «primera capa». Un ejemplo de esta primera comunicación sería:

  • Responsable: nombre y apellidos del responsable del tratamiento.
  • Finalidad: objetivo de la comunicación.
  • Legitimación: base jurídica en la que se basa el tratamiento.
  • Destinatarios WhatsApp y nadie más, salvo obligación legal.
  • Derechos: acceder, rectificar y suprimir los datos, así como otros derechos, tal y como se explica en la información adicional.
  • Información adicional: puede consultar la información adicional y detallada sobre protección de datos en la página web: https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos 
  • Contacto: correo del responsable del tratamiento o del Delegado de Protección de Datos (DPD).

Utilizar WhatsApp para comunicaciones con clientes

WhatsApp puede ser también utilizado como canal de comunicación con clientes o como medio para un primer contacto.

La empresa que desee comunicarse con sus clientes por medio de la aplicación de mensajería instantánea revisará si este tratamiento es lícito, y lo será si cumple con alguna de las condiciones descritas en el artículo 6, licitud del tratamiento, del RGPD. Como precedente se encuentra la resolucióndel Procedimiento E/01824/2019 de la AEPD.  En dicho procedimiento se presentó una reclamación ante la AEPD contra Vodafone España, S.A.U. por parte de un cliente al que la compañía contactó por medio de la aplicación de mensajería WhatsApp sin que este lo hubiera autorizado. El procedimiento terminó siendo archivado por la AEPD, ya que según el artículo 6.1.b) del RGPD, el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Otra de estas causas de licitud sería que el usuario hubiera dado su consentimiento.

También se debe cumplir con lo indicado en el artículo 13 del RGPD. En este se indica que el responsable del tratamiento informará al interesado sobre su identidad, los fines del tratamiento para los cuales son destinados los datos personales y la base jurídica en que se apoya, entre otros aspectos.

WhatsApp Business cuenta con una API (Application Programming Interface) que permite implementar diferentes funciones de la aplicación en otros productos software utilizados en la empresa, como es el caso del CRM, para la gestión de la comunicación con los clientes. Dentro de esta API se ofrece a los usuarios una función que permite obtener el consentimiento de los usuarios antes de comenzar a interactuar con ellos por medio de WhatsApp.

WhatsApp Business permite establecer mensajes de bienvenida en nuevas conversaciones o cuando estas tengan una antigüedad superior a 14 días. En este mensaje se recomienda indicar la información básica sobre el tratamiento de datos, denominada «primera capa».

Es recomendable que solamente se use WhatsApp como canal de comunicación a nivel informativo o como envío de publicidad, no como medio para compartir datos personales o información confidencial. Esto se debe a que se escapan del control de la empresa al depender de la política de privacidad de WhatsApp. Además, el responsable, en caso de violación de los derechos, será la encargado del tratamiento de nuestra empresa, tal y como indica el artículo 5 del RGPD.

Cuando se pretendan realizar comunicaciones comerciales por medio de la aplicación, se deberán seguir las pautas que indica el artículo 21 de la Ley de Servicios de la Sociedad de la Información y del comercio electrónico o LSSI:

  • Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, como es WhatsApp, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  • El punto anterior no será de aplicación cuando exista una relación contractual previa, siempre que se hayan obtenido de manera lícita y sean empleados para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa similares a los ya contratados.
  • El prestador del servicio deberá ofrecer la posibilidad al destinatario de oponerse al tratamiento de sus datos con fines comerciales mediante un procedimiento sencillo y gratuito, tanto en el momento de la recogida como en cualquiera de las comunicaciones.

Otras cuestiones a tener en cuenta al usar WhatsApp Business

Además de las consideraciones legales que conlleva el uso de WhatsApp en la empresa, se deben tener en cuenta otras cuestiones:

  • El responsable del grupo deberá utilizar dispositivos seguros y nadie, salvo que haya firmado previamente un acuerdo de confidencialidad, podrá interactuar con el grupo.
  • Se formará a los miembros de la organización sobre el correcto tratamiento de los datos personales de los clientes y el uso adecuado de los grupos internos de la organización.
  • Si un usuario desea ejercer sus derechos se contactará con WhatsApp informando sobre el derecho que se desea ejercer y se pondrá en copia del correo al interesado.
  • Se evaluarán los riesgos para la protección de datos personales (por ejemplo, mediante la herramienta de la AEPD) que implica utilizar esta aplicación o cualquier otra similar antes de implementar su uso para cualquier tratamiento. También se establecerán las medidas técnicas y organizativas necesarias para que su uso sea lo más seguro posible.

Si usas WhatsApp para tu negocio no olvides hacerlo de forma legal. ¿Tienes en cuenta todas estas cuestiones? ¡Protege tu empresa!

Fuente: INCIBE

¿Tu casa también es tu oficina? ¡Protégela!

¿Tu casa también es tu oficina? ¡Protégela! Actualmente la tecnología que poseemos en nuestros hogares nos permite continuar con nuestras «tareas de oficina» cuando llegamos a casa. Abrir el correo de la empresa para estar al día de las últimas notificaciones recibidas, realizar un pedido a uno de nuestros proveedores o actualizar la lista de clientes son solo algunas de las tareas corporativas que podemos realizar cómodamente desde nuestro hogar. Hasta aquí todo parecen ventajas pero, ¿y si hablamos de la seguridad? ¿Tomamos en casa las mismas precauciones que en la oficina? ¿Realmente conocemos todas las medidas de seguridad que necesitamos? Por si acaso, toma nota y sigue nuestros consejos.

Cómo teletrabajar de manera segura

  • No regales tus datos a la primera de cambio. Protege tu equipo y tus dispositivos móviles con credenciales de acceso y diferencia tus cuentas personales de las profesionales. Recuerda utilizar siempre contraseñas robustas y el doble factor de autenticación siempre que sea posible.
  • Mantén los sistemas operativos y las aplicaciones actualizados, tanto los que usas profesionalmente como a nivel usuario. Instala software de repositorios oficiales y nunca olvides disponer de un antivirus.
  • Cifra tus soportes de información para proteger los datos de tu empresa de posibles accesos malintencionados y garantizar así su confidencialidad e integridad.
  • Realiza copias de seguridad periódicas de todos tus soportes para garantizar la continuidad de negocio en caso de que ocurra cualquier incidente de seguridad o cualquier otro posible desastre (robo o pérdida del dispositivo, avería, etc…). Comprueba regularmente que estas copias pueden restaurarse.
  • Si necesitas acceder a la información almacenada en los equipos de la empresa, evita el uso de aplicaciones de escritorio remoto. Estas herramientas pueden crear puertas traseras (backdoors) a través de las cuales podría comprometerse el servicio o las credenciales de acceso de usuario y por lo tanto permitir el acceso a los equipos corporativos. Además, al usar este tipo de aplicaciones aceptamos ciertos términos y condiciones de uso que podrían otorgar algún tipo de «privilegio» a las mismas sobre nuestros equipos e información.
  • En lugar de las aplicaciones de escritorio remoto, conéctate a tu empresa de forma segura a través de una red privada virtual o VPN, del inglés Virtual Private Network. De este modo, la información que intercambiamos entre nuestros equipos viaja cifrada a través de Internet. Documéntate sobre las diferentes opciones para elegir una VPN segura y que mejor se adapte a tu organización.
  • Si en casa disponemos de conexión Wifi, debemos asegurarnos de que la configuración es correcta y segura. Así evitaremos que un ciberdelincuente pueda conectarse a ella y robar nuestra información o la de nuestros clientes.
  • Recuerda que aunque trabajes desde casa, siempre debes garantizar la seguridad de tus datos y cumplir con las exigencias de seguridad marcadas por la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
  • Si utilizas dispositivos móviles (smartphonestablets, ordenadores portátiles, etc.) para acceder a tu información corporativa, instala aplicaciones de administración remota. En caso de robo o pérdida, te permiten localizarlo o realizar un borrado de los datos si fuera necesario.
  • Si no dispones de una VPN, cuando viajes evita el uso de redes wifi públicas (hoteles, cafeterías, aeropuertos, etc.), utiliza las conexiones 4G/5G en su lugar y accede a servicios utilicen comunicaciones seguras (SSL, HTTPS, etc.).
  • Cuando la información deje de ser necesaria para tu organización, debes borrarla de forma segura. Si se trata de soportes no electrónicos (papel, negativos fotográficos, radiografías, etc.) será necesario utilizar una trituradora. Para los soportes electrónicos utiliza el proceso de sobrescritura, si quieres reutilizar el dispositivo, o el de desmagnetización o destrucción física, en el caso de que quieras desecharlo.

Si tu casa a veces también es tu oficina, ahora ya sabes cómo protegerla. ¡Protege tu empresa esté donde esté!

Fuente: Incibe

Nuevo curso: Introducción a la LOPD y GDD paso a paso

team-965093_1920 PIXABAY CURSO

  1. CURSOS DE PROTECCIÓN DE DATOS Y PRIVACIDAD.
    1. INTRODUCCIÓN A LA PROTECCIÓN DE DATOS.
      1. Objetivos. Formar a los trabajadores sobre las normas de seguridad existentes en materia de protección de datos personales. Adquiriendo los conocimientos y habilidades necesarios para poder tratar los datos personales en sus organizaciones de forma adecuada y legal.
      2. Temario.
        1. Unidad 1: La protección de datos y sus obligaciones. Introducción.
        2. Unidad 2: Obligaciones del responsable del tratamiento. Registro de actividades de tratamiento.
        3. Unidad 3: Principios de la protección de datos.
        4. Unidad 4: Derechos de los interesados.
        5. Unidad 5: Evaluación de impacto y análisis de riesgos.
        6. Unidad 6: Medidas de seguridad para la protección de datos.
        7. Unidad 7: Delegado de protección de datos.
        8. Unidad 8: Programa de cumplimiento interno.
        9. Unidad 9: Derechos digitales y su protección.
  • Material: Manuales del curso completo y ejercicios.
  1. Tiempo: 20 horas. 12 horas de formación teórica y 8 de ejercicios.
  2. Precio: 360 €/alumno. Mínimo 10 alumnos.
  3. Solicitud de inscripciones: info@protec-datos.com
  4. Convocatoria: junio-2019
  5. Lugar de celebración: Gran Canaria

 

El RGPD regula el denominado Registro de Actividades de Tratamiento ¿Cuándo es obligatorio implementar este Registro?

Los responsables y encargados deben mantener este registro por escrito, incluso en formato electrónico, en el que se incluya una descripción de los tratamientos de datos que realicen con la siguiente información:

-Nombre y datos de contacto del responsable, y en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

-Fines del tratamiento, descripción de categorías de interesados y de categorías de los datos personales.

-Categorías de destinarios a quien se comuniquen los datos personales, incluidos destinatarios de terceros países u organizaciones internacionales.

-Transferencias internacionales.

-Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos, así como las medidas técnicas y organizativas de seguridad adoptadas.
En el caso de los encargados de tratamiento, la información será similar a la indicada anteriormente, pero adecuada a la prestación de servicios de tratamientos de datos que realizan en favor del responsable.

Por ejemplo, se incluirá sus datos de contacto y del responsable de por cuenta que actúan, o las categorías de tratamientos efectuados por cuenta de cada responsable.

Según el RGPD, este registro de actividades no será obligatorio si la empresa u organización emplea a menos de 250 trabajadores, salvo que los tratamientos que realicen supongan un riesgo para los derechos o libertades de los interesados, no sean ocasionales o incluyan categorías especiales de datos (pj…opiniones políticas, raza, afiliación sindical, datos genéticos, biométricos, salud) o datos relativos a condenas e infracciones penales.

AEPD.

Para más información:

Sección web del RGPD

Guía del Reglamento General de Protección de Datos para responsables del tratamiento

La importancia de la información por capas en el Reglamento General de Protección de Datos

El marco aplicable a partir del 25 de mayo de 2018 obliga a proporcionar a los ciudadanos más información de la que exige expresamente la actual Directiva, de la que emana la LOPD.

La obligación de informar a los interesados cuanto se van a recabar, usar o almacenar datos personales ya estaba recogida en la Directiva 95/46/CE (Directiva de la que emana la actual LOPD). Sin embargo, el nuevo Reglamento General de Protección de Datos (RGPD) concede una mayor importancia a la información que se debe proporcionar a los ciudadanos cuyos datos van a tratarse, y contempla una lista exhaustiva de los contenidos que deben ser expuestos.

Esta obligación debe estar en consonancia con otro importante mandato: el de informar de forma concisa, inteligible y con un lenguaje claro y sencillo. En la actualidad abundan los casos de cláusulas informativas o políticas de privacidad cuya lectura puede prolongarse durante horas y que no se caracterizan por su claridad y concisión. La tarea de aunar ambas obligaciones representa todo un reto, puesto que cumplir la primera sin tener en cuenta la segunda debilitaría el derecho de los interesados a recibir una información adecuada y comprensible recogido en el nuevo Reglamento y podría llegar a considerarse una infracción de sus disposiciones.

La Agencia Española de Protección de Datos presentó recientemente nuevos materiales para ayudar a las pymes a cumplir con el nuevo Reglamento, en colaboración con las autoridades catalana y vasca de Protección de Datos. Entre ellos se incluía la Guía para el cumplimiento del deber de informar, en la que se ofrecen recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información dando así cumplimiento al nuevo marco normativo.

Una de las propuestas contenida en la Guía sugiere presentar la información que exige el Reglamento por capas: una primera que incluya un nivel básico de la información requerida, de forma estructurada y muy concentrada, para remitir posteriormente a otra capa que contenga esa información más detallada. El enlace entre capas dependerá del medio en que se proporcione la información.

En muchos casos la forma más adecuada será ofreciendo en la primera capa un enlace a otras direcciones web. En otros casos la primera capa podrá dirigir a una segunda que se encuentre impresa en el reverso de un formulario. En todo caso, el objetivo central es que en el primer bloque de información no falte ningún aspecto relevante, aunque sea expuesto de forma sintética, y que para el interesado resulte evidente y sencillo el modo de acceder a la información completa en las siguientes capas.

Podemos encontrar claros ejemplos que ponen de manifiesto la utilidad de presentar la información mediante capas, como es el caso de los avisos de cámaras de videovigilancia. De otra forma no sería posible condensar toda la información relevante sobre el tratamiento de datos. Otro ejemplo son los avisos de cookies en páginas web, en los que se informa del tratamiento de datos de los usuarios efectuado mediante estos dispositivos y del seguimiento que se hace de los lugares visitados, remitiendo a una capa adicional para obtener más información.

La propuesta de presentar la información por capas sugiere que el cumplimiento de esta obligación podría llevarse a cabo a través de tablas informativas visualmente similares a las tablas nutricionales de los productos que compramos en el supermercado. El Reglamento, de hecho, prevé que la información pueda ir acompañada de iconos, que la hagan más comprensible, accesible e intuitiva.

Esta iniciativa presentada por la AEPD y las autoridades autonómicas se alinea con la intención del legislador europeo de buscar fórmulas que promuevan la presentación de información de manera más sencilla y simplificada.

Fuente: AGPD

¿Por qué es importante prestar atención a los textos que acompañan a las apps que descargamos?

Después de la selección de la tienda de apps y de la configuración de los permisos de la aplicación en nuestro dispositivo llega el momento de fijarnos en una tercera barrera que protege nuestra privacidad.

Los términos y condiciones, o condiciones de uso y contratación, políticas de privacidad y otros documentos son elaborados por el proveedor del servicio (en este caso de la entidad que gestiona la app) y en ellos se regula la relación del usuario con respecto a los servicios que se ofrecen y los datos personales que se manejan. Una de las primeras acciones que el proveedor nos obliga a hacer cuando adquirimos o instalamos la aplicación, y siempre antes de usarla, es manifestar nuestra aceptación de los términos y condiciones. Esta aceptación antes era implícita en muchos casos (si usted está aquí utilizando este programa está aceptando los términos…), pero los proveedores la van explicitando cada vez más. Por ejemplo, se muestran los términos y al en la parte final se incluye un botón para aceptarlos o abandonar, o se muestra una casilla de verificación y un enlace que lleva a la página de los documentos.

Sigue leyendo

La AEPD lanza un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones

La Agencia publica esta nueva sección para conmemorar el Día mundial de los derechos de los consumidores que se celebra cada 15 de marzo

  • Existen varios organismos competentes en esta materia, por lo que resulta fundamental que el ciudadano sepa ante cuál tiene que presentar su reclamación en función de las circunstancias concretas y cómo debe hacerlo
  • Este espacio web forma parte del conjunto de iniciativas adoptadas por la Agencia para fomentar la concienciación de los ciudadanos sobre los derechos que les asisten y cómo ejercerlos
  • La sección ha sido elaborada por la AEPD en colaboración con la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital y la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición

(Madrid, 14 de marzo de 2017). Con motivo de la celebración del Día mundial de los derechos de los consumidores el 15 de marzo, la Agencia Española de Protección de Datos (AEPD) ha publicado un espacio web para ayudar a los ciudadanos a reclamar sus derechos en materia de telecomunicaciones.

La creación de esta sección forma parte del conjunto de iniciativas adoptadas por la Agencia para fomentar la concienciación de los ciudadanos sobre las garantías y los derechos que les asisten y cómo ejercerlos. Por un lado, una gran parte de las denuncias que recibe la Agencia en asuntos como la inserción indebida en ‘ficheros de morosidad’ o la contratación irregular tiene relación con el sector de las telecomunicaciones y, por otro, al haber varios organismos públicos con competencias en esta materia, resulta fundamental que el ciudadano conozca ante qué organismo debe presentar su reclamación en función de las causas que la motivan.

La Secretaría de Estado para la Sociedad de la Información y la Agenda Digital (SESIAD), la AEPD y los organismos de consumo son las principales entidades públicas con competencias en materia de telecomunicaciones, cada una en sus respectivos ámbitos. Para que el ciudadano pueda obtener una respuesta adecuada a su reclamación es esencial que la plantee ante el organismo adecuado, así como aportar la máxima documentación posible.

La página está dividida en cuatro espacios: Qué puedo reclamar y Dónde debo dirigirme; Cómo puedo reclamar; Preguntas frecuentes, donde los ciudadanos encontrarán la respuesta a casos concretos; y Qué documentación tengo que presentar en caso de contratación irregular o fraudulenta, por deudas derivadas de servicios de telecomunicaciones o por inclusión indebida en guías de abonados.

El espacio web ha sido elaborado por la AEPD en colaboración con la SESIAD y la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN) con el objetivo de que los consumidores y usuarios sepan desde el primer momento ante qué organismo pueden reclamar sus derechos en función de su problema concreto (disconformidad con la factura recibida, incumplimiento de oferta, contratación irregular de un servicio, información engañosa, cláusulas abusivas, etc.) La Agencia recuerda además que, en el caso de plantear una reclamación, su tramitación será más ágil cuantas más pruebas o indicios pueda aportar el usuario.

La inserción indebida en ficheros de morosidad y la contratación irregular, dos de las áreas en las que la Agencia tiene competencias, se encuentran entre las principales reclamaciones que plantean que los ciudadanos ante este organismo. Hay que tener en cuenta que la incorporación a un fichero de este tipo tiene unos efectos especialmente negativos para los consumidores, por lo que la Agencia considera que las empresas deben actuar con especial diligencia ante este tipo de situaciones.

Según datos de la última Memoria de la AEPD, uno de cada tres afectados denunció ante la Agencia por cuestiones relacionadas con el ámbito de la morosidad, en particular la inclusión indebida en ficheros de solvencia, la reclamación de deudas o la contratación irregular en servicios ofrecidos por operadoras de telecomunicaciones, entidades financieras o compañías energéticas.

Fuente: AEPD

Qué son las brechas de seguridad, cómo te pueden afectar y cómo protegerte

Te ofrecemos algunos consejos que debes tener en cuenta si crees que tu información puede haberse visto comprometida

Los vehículos en los que nos trasladamos son cada vez más seguros gracias a la eficacia de las medidas de seguridad que incorporan. En cualquier caso, no puede afirmarse que los vehículos sean completamente seguros, ya que el riesgo sigue existiendo. Los sistemas informáticos en los que nuestros datos personales son almacenados y procesados también son cada vez más seguros pero, como cualquier otro producto o servicio, se encuentran sujetos a posibles errores o fallos de funcionamiento que, en ocasiones, pueden terminar afectando a nuestra información personal, permitiendo que otras personas puedan tener acceso a nuestros datos personales. Esto es lo que se conoce como una “brecha de seguridad”.

Sigue leyendo

La confianza de nuestros clientes no tiene precio

Hace unos días el INCIBE  ha publicado este interesante artículo con el fin de que tomemos conciencia sobre la importancia que tiene en nuestra imagen y reputación las brechas de seguridad y las fugas de datos. Os animo a leer este pequeño artículo y a reflexionar sobre su contenido. Espero que os guste.

https://www.incibe.es/protege-tu-empresa/blog/confianza-nuestros-clientes-no-tiene-precio

Fuente: INCIBE

Un vecino de Las Palmas de GC denuncia a Jazztel (Orange) por un alta fraudulenta y le imponen dos multas de 35.000€ a la operadora

Un vecino de Las Palmas de Gran Canaria interpuso una denuncia ante la AEPD contra la compañía Jazztel. El motivo de dicha denuncia vino motivada por estar incluido en un fichero de moroso del cuál tuvo conocimiento cuando estaba en trámites de solicitar un préstamo para la adquisición de una vivienda.

Según Jazztel (ahora Orange), el vecino tenía una deuda con la compañía que ascendía a 341,04€ y procedió a registrarla en ASNEF. Según la propia investigación de la AEPD, la operadora realizó un tratamiento de los datos personales de la persona denunciante sin tener en cuenta los principios de consentimiento al tratamiento y de calidad de los datos. Sin el consentimiento inequívoco del denunciante incorpora sus datos personales a su fichero de clientes como titular de una línea de telefonía móvil; posteriormente, y siguiendo con la gestión de esos servicios, emite facturas a su nombre y –sin notificación de requerimiento de pago previo- incluye sus datos personales en Asnef y Badexcug asociados a una deuda que no le corresponde. Dicha acción ha resultado en la imposición de una sanción por vulneración del artículo 6.1 de la LOPD por la que se ha impuesto 35.000€ de multa y una segunda sanción por vulneración del artículo 4.3 de la LOPD por la que se ha impuesto otros 35.000€ de multa, para un total de 70.000€.

“Según la investigación, la persona denunciante no ha contratado con Jazztel servicios de telefonía y por razones no acreditadas fue dada de alta en su base de datos de clientes como titular de al menos una línea de teléfono. Orange no ha aportado contrato alguno suscrito por la persona denunciante. ”

“Hay grabaciones sonoras donde la única persona que se identifica es la que dice ser el solicitante de contratación, no se identifica la voz femenina y no hace constar el nombre de la empresa de servicios contratada por Jazztel para dicha verificación, que trata de grabar la contratación y luego la verificación de esa contratación. Tampoco Orange ha aportado documento que acredite la contratación de una empresa de servicio para ese fin.”

“Orange no ha acreditado que remitiera el contrato para su firma o desistimiento, o la nueva tarjeta SIM que debió recibir la persona solicitante para poder usar el teléfono ni la dirección postal donde fue remitida.”

“Como consecuencia de dichos servicios emitió facturas que no fueron pagadas y que más tarde fueron el motivo de la inclusión de los datos personales de la persona denunciante en los ficheros de morosos. No consta que le fueran notificados los requerimientos de pago previos a la inclusión.”

“En este caso, consta documentado que en los ficheros de Jazztel se encuentran registrados los datos de la persona denunciante, asociados a unos servicios de telefonía no solicitados por ella. Tales datos personales fueron registrados en los ficheros de la empresa y tratado para la emisión de comunicaciones, facturas, gestiones de cobro e inclusión en ficheros de solvencia patrimonial y crédito.”

“El tratamiento realizado por parte de Jazztel no se ajusta a lo establecido en la LOPD. Para que dicho tratamiento resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Por tanto, corresponde a Orange acreditar que cuenta con el consentimiento de la denunciante para el tratamiento de sus datos personales y no consta que el operador lo tuviera con posterioridad. Resulta, por tanto, evidente la existencia de, al menos, una falta de la diligencia debida en los hechos imputados por parte de dicha operadora, que trató los datos de la denunciante sin su consentimiento.

La falta de pruebas (el contrato firmado -que en la grabación dicen enviar para devolver firmado o desistir en siete días- acompañado de copia de DNI o cualquier documento acreditativo de la identidad, o el recibí del envió del contrato y la tarjeta SIM con identificación del receptor y documentación de dicha identificación) que acrediten que la persona denunciante otorgó su consentimiento efectivo a la entidad denunciada en el tratamiento pone de manifiesto que esta operadora no ajustó su comportamiento, en el presente caso, a la diligencia de la actividad profesional que desarrolla exige a fin de garantizar el respeto al derecho fundamental a la protección de los datos personales.

Es requisito indispensable para que los datos del deudor puedan ser incluidos en un fichero de los creados al amparo del artículo 29.2, que quede acreditada la existencia de una deuda cierta vencida y exigible, y que ésta haya sido requerida previamente de pago antes de comunicar los datos del deudor al responsable del fichero común. Además, la obligación establecida en el artículo 4.3 de la Ley Orgánica 15/1999, implica que los datos que se incorporen a cualquier fichero deberán ser exactos y responder en todo momento a la situación actual de los afectados. La exigencia de que la deuda sea “cierta”, (artículo 38.1.a) del R.D. 1720/2007) responde al principio de calidad de los datos plasmado en el artículo 4.3 de la LOPD.

En este caso, Jazztel ha emitido facturas asociadas a los datos personales de la persona denunciante por servicios que no había contratado, asociándolos a una deuda que no le correspondía y, sin haberle requerido previamente, aquella entidad instó el alta de sus datos personales en ficheros de morosos, según el detalle que consta en los Hechos Probados.

En consecuencia, la persona denunciante fue tratada como deudora de una cantidad que no le corresponde, resultando que Jazztel hizo uso de unos datos inexactos.

Esta incidencia se produjo porque no efectuó las oportunas comprobaciones en los datos personales recogidos, y las consiguientes subsanaciones, que hubiesen evitado que se produjeran los hechos que sirven de causa al presente procedimiento sancionador.”

Fuente. AEPD.

Estadística del blog

  • 159.193 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: