Entradas

Sanciones de Protección de Datos de 20 millones de euros

Sanciones de Protección de Datos de 20 millones de euros

Según el diario “El Economista”, la vulneración de determinados preceptos del nuevo Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018, puede conllevar sanciones de hasta 20 millones de euros.

Las sanciones pueden suponer, en el caso de las empresas, una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

A falta de tres meses para que la norma esté en vigor y sea de obligado cumplimento, las empresas, autónomos y administraciones públicas, como encargados del tratamiento de los datos, han de aplicar medidas técnicas y organizativas para garantizar y demostrar que cumplen la nueva normativa.

El Reglamento europeo trae consigo novedades en materia de derechos y obligaciones como el derecho de los ciudadanos a exigir indemnizaciones ante el tratamiento ilícito de datos de carácter personal.

En este sentido, el RGPD implica la llegada del Registro de Actividades de Tratamiento, la figura del Delegado de Protección de Datos (DPO) y los derechos del ciudadano al olvido, la portabilidad de los datos, y la limitación del tratamiento de los mismos.

 

Proteción de datos sanciona a Google

PROTECCIÓN DE DATOS MULTA A GOOGLE

Según informa “El País”, la Agencia Española de Protección de Datos (AEPD) ha sancionado a Google por tratar sin consentimiento datos personales recogidos a través de redes WiFi con los coches de su servicio Street View entre 2008 y 2010. La Agencia considera que la compañía tecnológica ha cometido una «infracción grave» de la Ley de Protección de Datos y deberá pagar 300.000 euros por ello. Leer más

Sanciones por videovigilancia

Sanciones por videovigilancia

Sanciones por videovigilancia. Las sanciones por videovigilancia copan gran parte de las sanciones impuestas por la Agencia Española de Protección de Datos. Las cámaras de videovigilancia en muchos casos, se encuentran mal instaladas y pueden llegar a provocar este tipo de sanciones.

Un ejemplo de estas sanciones, es la apertura de un nuevo expediente sancionador contra el Corte Inglés, al detectar otra vez que las cámaras de videovigilancia de uno de sus centros comerciales pueden grabar la vía pública. En concreto, esta vez el cuestionado es el establecimiento que el grupo tiene en Badajoz.

No es el primer procedimiento de la Agencia iniciada por la denuncia de un particular, frente a la cadena. En un caso anterior, la agencia comprobó los hechos y detectó que efectivamente había ocho cámaras capaces de captar vehículos y ciudadanos situados en la calle, lo que a juicio de Protección de Datos no era «necesario para la finalidad obtenida», además de que no resultaba «idóneo, adecuado ni proporcional».

Por ello, la agencia entendió que estas imágenes infringían la Ley de Protección de Datos y así lo ratificó de hecho la Audiencia Nacional después del recurso presentado por El Corte Inglés contra la decisión de la AEPD. «Ha quedado acreditado que el sistema permite seleccionar cualquiera de las cámaras y desplazar su enfoque 360º, alcanzando su ángulo de visión la vía pública y a las personas que circulan por la misma», valorando estos hechos como «un tratamiento excesivo y no proporcional de las imágenes en relación con el ámbito y las finalidades que podrían justificar su recogida, toda vez que la seguridad demandada podría igualmente obtenerse por medios menos intrusivos para la intimidad de las personas afectadas».

En lo relativo al caso del centro de Las Palmas, la AEPD apenas necesitó 10 meses para pronunciarse después de la denuncia del mismo particular que ahora ha desencadenado el expediente sobre el centro de Badajoz. La multa fue de 40.000 euros por contar con cinco dispositivos de grabación que podían alcanzar la vía pública e incluso algunos comercios de la zona. “La instalación de videocámaras en lugares públicos, así como la seguridad pública, es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad», resolvió la AEPD.

El Corte Inglés interpuso un recurso, que todavía no ha sido resuelto por la Audiencia Nacional. Mientras, la cadena de distribución encara su tercer expediente sancionador por su centro de Badajoz, un asunto por el que vuelve a enfrentarse a una multa de entre 40.000 y 300.000 euros al referirse a una infracción grave.

Este procedimiento está en fase de alegaciones. Por parte de la cadena, han dicho que argumentarán que ninguno de sus sistemas de videovigilancia incumple ya la Ley de Protección de Datos. Recuerdan que la primera sentencia de la Audiencia Nacional mostró cómo colocar los dispositivos y que El Corte Inglés adaptó el tiro de cámara para cumplir la normativa a raíz de aquella resolución.

En la actualidad, subrayan, la compañía respeta el derecho de los ciudadanos y las cámaras solo enfocan la puerta. Añaden que no existe ninguna otra intención más allá de la seguridad y que ha habido otras denuncias en este sentido que no han salido adelante.

Sanción por uso indebido de Cookies

Sanción por uso indebido de Cookies

[one_second]

Sanción por uso indebido de Cookies

El pasado 8 de  mayo de 2015 se dictó la primera sentencia de la Audiencia Nacional en la que se confirmaba la sanción  por uso indebido de cookies a una empresa, dicha sanción económica fue impuesta por la Agencia Española de Protección de datos. Esta resolución se dictó a una modesta empresa de joyería, propietaria de varias webs y una tienda online, coincidiendo además con el hecho que fue también la primera resolución sancionadora emitida por la Agencia.

Vamos a analizar este procedimiento sancionador previo, que ha dado lugar a la sentencia dictada por la Sala de lo Contencioso Administrativo de la Audiencia Nacional.

La resolución de la Agencia se dicta en esencia por un incumplimiento del artículo 22.2 de la Ley 34/2002, de Sociedad de Servicios de la Información (LSSI).

  1. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

En este punto, la ley se centra en el consentimiento informado previo que tiene que dar el usuario (dentro de lo posible) para que se puedan usar las cookies del sitio web (a no ser que estas resulten indispensables para el funcionamiento de la web).

En continuación a lo anterior, el artículo 38.4.g) de la LSSI, califica como infracción leve: ”g) El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya infracción grave.”

En este artículo se clasifica como pena leve, el incumplimiento del anterior derecho al consentimiento informado del artículo anterior.

[/one_second]

[one_second]

En este caso concreto, la AEPD destacó que: “quedó acreditado que dos entidades utilizaban cookies propias y de terceros en los terminales de los usuarios que acceden a los sitios web de su titularidad sin informarles, de forma clara y completa, sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas. Asimismo, quedó probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

En consecuencia, cada una de las entidades cometió una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) siendo sancionadas con una multa de 3.000 y 500 euros respectivamente”.

A continuación, la AEPD  expone, que a pesar de que la conducta no infringe el artículo 38.4.g) de la LSSI, sí se encuentra dentro del el artículo 22.2 sobre el consentimiento informado.

Sentencia de la Audiencia Nacional

La defensa de las partes se basó en la falta de intencionalidad a la hora de  la comisión de la infracción, así como también en la diligencia prestada en la rectificación de las posibles infracciones además de la ausencia de beneficio económico por dichos incumplimientos. De manera subsidiaria, solicitaron que la cuantía de la sanción impuesta a una de ellas fuera dentro del mínimo de 500 euros.

Para la Audiencia Nacional, los hechos en que se basa la resolución sancionadora es por la instalación y utilización de “cookies” en los terminales de los usuarios que accedían a los sitios web titularidad de las partes recurrentes, sin haberles facilitado, previamente, información clara y completa sobre el uso y finalidades de dichos dispositivo y sin contar, tampoco, con un consentimiento válidamente otorgado por no haberse obtenido mediando una información previa correcta.

En relación con la falta de culpabilidad, tenemos que volver a reseñar que es sabido que se puede incurrir en responsabilidad por la infracción que estamos examinando tanto de manera intencionada o dolosa como por descuido, negligencia o aún a título de simple inobservancia – art. 130.1 de la Ley 30/1992, de 26 de noviembre -, tal y como hemos reflejado al analizar la primera infracción.

En resumen, la sentencia determina que en los casos de incumplimiento del consentimiento informado previo del usuario a la utilización de cookies, no puede ampararse en la ausencia de culpabilidad  (aún prestando cierta diligencia para el subsanamiento de errores).

Es por esto que desde Equal, apostamos siempre por una regulación cuidadosa con las cookies, ya que las sanciones pueden llegar hasta los 200.000 euros, incluso para empresas de pequeña entidad.

[/one_second]

DOS DE CADA TRES PYMES INCUMPLEN LA LEY LOPD

Dos de cada tres PYMES incumplen la Ley Orgánica de Protección de Datos

[one_second]

95% de las PYMES incumplen la Ley LOPD

     La Ley Orgánica de Protección de Datos de Carácter Personal  (LOPD) establece una serie de exigencias a aquellas empresas, profesionales y administraciones públicas que sean titulares de datos de carácter personal.

    Si bien en los últimos tiempos está citándose mucho en medios de comunicación y entornos laborales y empresariales, su operativa sigue siendo una incógnita para una gran mayoría.

      Una clara muestra de ello, es el dato facilitado por la Asociación Profesional de la Privacidad de Castilla La Mancha, que confirma como el 95% de las pymes incumplen la Ley, con faltas catalogadas como graves o muy graves según el baremo que establece la LOPD. Concretamente, el 70% de las infracciones cometidas están consideradas graves o muy graves, con sanciones que oscilan entre los 40.001 y los 300.000 euros y los 300.001 y los 600.000 euros respectivamente.

[/one_second]

[one_second]

     Estas cifras provienen de un estudio llevado a cabo por la citada asociación, para el cual se ha contado con la participación de 200 empresas. Las incidencias detectadas en la aplicación relativa a protección de datos de estas compañías podrían haber significado hasta seis millones de euros en multas, una cifra nada desdeñable, más cuando estamos en plena crisis.

     Estos datos son extrapolables al conjunto del tejido empresarial español, según estudios recientes de la AEPD.

     Equal Consulting Protección de Datos es una de las pocas empresas que prestan servicio de auditoría a empresas de forma completa y cumpliendo las directrices de la Ley con seriedad, responsabilidad y eficacia. La función que desarrolla Equal es muy importante, puesto que el incumplimiento de esta ley conlleva importantes sanciones económicas. En la mayoría de las ocasiones, esas infracciones se producen como consecuencia de actuaciones negligentes ocasionadas por la falta de conocimiento de la normativa o por no haber adoptado las medidas impuestas por la misma. Y es que nunca se debe olvidar que el desconocimiento de una ley no exime de su cumplimiento.

 [/one_second]

Sanción a Orange

Sanción a Orange por enviar SMS sin consentimiento

[one_second]

Sanción a Orange por enviar SMS sin consentimiento

No es la primera vez que la Agencia Española de Protección de Datos recibe denuncias de antiguos clientes de diferentes empresas teleoperadoras por la comisión de infracciones en materia de privacidad. Dichas infracciones derivan con frecuencia del envío masivo de SMS de contenido comercial realizadas en el marco de diferentes campañas publicitarias, efectuadas haciendo uso de bancos de datos de sus anteriores clientes.

Esta vez la sancionada ha resultado ser la compañía francesa Orange como consecuencia de una denuncia interpuesta hace apenas un año. En la misma el denunciante  indicaba que tras haber realizado un cambio de portabilidad móvil causando baja en la compañía aludida, ésta no adoptó todas las medidas prescritas por la legislación en materia de protección de datos para asegurarse de que los procedimientos instaurados en ese momento para tramitar las bajas funcionaban de forma efectiva, añadiendo que tras haber remitido un fax y una carta certificada solicitando a la compañía, la baja de la línea, la anulación de las facturas y la oposición al envío de SMS de carácter publicitario, el denunciante continuaba recibiendo de forma reiterada mensajes publicitarios en su teléfono móvil.

En base a los hechos descritos el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador con arreglo a lo dispuesto en el artículo 127 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por la presunta infracción del artículo 21 de la LSSI, tipificada como grave en el artículo 38.3 c) de la citada Ley, que dispone:

Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

  1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
  2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

[/one_second]

[one_second]

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

            La propia Agencia mediante resolución R/00953/2014 realiza una breve exposición sobre el concepto de “spam” y el marco jurídico que resulta aplicable en estos casos, así la mencionada resolución indica:

“Actualmente se denomina“spam”a todo tipo de comunicación no solicitada,realizada por vía electrónica. De este modo se entiende por “spam”cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa. Aunque se puede hacer por distintas vías, la más utilizada es el correo electrónico. 

Esta conducta es particularmente grave cuando se realiza en forma masiva. El envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española. 

El bajo coste de los envíos de correos electrónicos vía Internet o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades que ofrece en cuanto al volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada.” 

Respecto a los fundamentos alegados, además del anteriormente transcrito artículo 21 de la LSSI, se mencionan los artículos 19 y 22 de la misma, así como a la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre, en la que se informa y desarrolla la obligación de contar con la prestación del consentimiento previo para el envío de comunicaciones electrónicas para fines comerciales.

Tramitado el oportuno procedimiento y en base a los criterios esgrimidos, el Director de la Agencia Española de Protección de datos resolvió  imponer  a la entidad sanción por importe 1.500 euros.

[/one_second]

Sanción a Groupon de 20.000 por guardar datos de tarjetas de credito - Equal Protección de datos

Sanción a Groupon de 20.000€ por guardar datos de tarjetas de credito

[one_second]La Agencia Española de protección de datos ha aplicado una sanción a Groupon Spain S.L.U. con una multa de 20.000€ por guardar información de las tarjetas de crédito de sus clientes, según el procedimiento sancionador PS/00372/2013, donde se señala que durante los meses de Julio, Agosto y Septiembre han recibido escritos donde denuncian que aunque Groupon asegura  no almacenar datos de tarjetas de credito, estos campos se rellenan automáticamente en el proceso de compra, incluyendo el código de seguridad CCV o CVV.

El procedimiento sancionador cita textualmente:

Los inspectores de la Agencia solicitan al representante de GROUPON que les permita el acceso a sus sistemas para realizar un alta de usuario y compra, que permita examinar el funcionamiento del sistema.

a. Se realiza un acceso con el usuario de la representante legal de GROUPON en un ordenador que, según informa, no ha usado nunca, y se comprueba que el sistema muestra disponer de los datos de la tarjeta de crédito del usuario. No se recaba copia de dichas comprobación al constar los datos personales del representante legal de GROUPON.

b. Se procede a dar de alta como nuevo usuario a la representante legal de GROUPON, realizándose una compra. Se observa que en ningún momento se informa al usuario de que el dato de la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no.

 

[/one_second]

[one_second]Al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los anteriormente utilizados, si bien oculta parte de los dígitos del número de tarjeta, mostrando solo los cuatro últimos. Aparecen también como ocultos los dígitos del CVV. De esta forma, el usuario no tiene que aportar nuevamente los datos de la tarjeta en cada ocasión.

Groupon alega que los datos recogidos pertenecen a la pasarela de pago, pero estos datos son desmentidos en la inspección donde se determina que internamente Groupon tiene la posibilidad de guardar o no esta información para futuras compras, pero el cliente no dispone de dicha opción desde su panel de control.

A veces es difícil definir la linea entre lo que se puede y lo que no se puede hacer para cuidar y hacer las tareas mas fáciles al cliente con el fin de crear fidelidad y al mismo tiempo ajustarse a la protección de sus datos. Creemos que Groupon no actuó de mala fe y que el único objetivo era ofrecer facilidades para próximas compras de sus clientes, pero el deber de la Agencia Española de Protección de datos es velar por la protección del ciudadano.

Es en este caso donde una auditoria pudiera haberle evitado esta sanción a Groupon. La competencia y la complejidad de los tiempos que vivimos hacen que sean indispensable contar con profesionales que nos cubran las espaldas y velen por el cumplimiento de una normativa que es del bien común de todos, pero que en la practica puede resultar difícil aplicar si ve en conflicto con la consecución de objetivos económicos.

Sanción a Groupon

 Sanción a Groupon de 20.000 por guardar datos de tarjetas de credito - Equal Protección de datos

[/one_second]