April 6th, 2011
La venta de los datos personales.
La explosión de la burbuja tecnológica a finales de los años 90 provocó que algunas empresas estudiaran posibilidades diversas a la hora de afrontar el pago de sus deudas y entre ellas, la venta de los datos personales de sus clientes, debate éste que ahora y con motivo de la crisis económica, aflora nuevamente.
Un ejemplo paradigmático de esas malas prácticas fue el caso de Toysmart.com empresa dedicaba a la venta de juguetes por Internet, y que trataba mayoritariamente con datos personales de menores de edad.
Pues bien, como Toysmart no podía hacer frente a sus acreedores, inició un proceso concursal dentro del cual quiso vender los datos personales de sus clientes para saldar así sus deudas, pese a que la empresa estaba adherida a la certificación TRUSTe (http://www.truste.com/) que prohibía precisamente esa posibilidad.
Ante ese hecho la FTC (Federal Trade Commission) reaccionó presentado una demanda contra Toysmart.com (para más detalles véase FTC v. Toysmart.com), alegando no solo la infracción de la normativa reguladora de los consumidores y de los usuarios –pues entendía que la obligación de privacidad formaba parte del contrato entre la empresa y el cliente- sino de la propia política de privacidad del sitio Web de Toysmart.com, donde explícitamente se decía que la información personal nunca sería compartida con terceros.
No hemos podido conocer el proceso que llevó a Toysmart.com a tomar esta nefasta decisión, ni la razón de la amnesia sobrevenida que provocó que la misma empresa que se había adherido a esa certificación de privacidad, se olvidara sin mas de sus propias promesas, pero lo que más sorprende de este caso es que nadie dentro de Toysmart hiciera saltar las alarmas ante la propuesta de venta de los datos personales de sus clientes o que si lo hizo, nadie le escuchara al menos hasta que la Federal Trade Commission presentó la citada demanda.
La primera pregunta es ¿que hubiera sucedido si la empresa hubiera contratado un Data Protection Officer antes de tomar esa decisión?. Y la segunda ¿un DPO hubiera evitado esa irregular actuación?. Read the rest of this entry »
February 23rd, 2011
La resolución de archivo E/01910/2008 de la AGPD plantea una cuestión de cierta trascendencia, como es el ámbito de aplicación de la ley 15/1999, y además pone de manifiesto la inutilidad, desde mi punto de vista, de recurrir aún al concepto de fichero para decidir si un dato personal queda dentro del ámbito de aplicación de la LOPD o no, ya que ello supone en la práctica dejar fuera del paraguas de la LOPD a ciertos tratamientos que, claramente, deberían ser tutelados por este derecho fundamental.
Todo empieza cuando la empresa A –aquí la denunciante- se da cuenta que una comercial que había trabajado para ella y que al parecer se llevó consigo la base de datos que contenía datos de los distribuidores -declarada ante la AGPD bajo el nombre de comercial-, utiliza esos mismos datos personales para enviar invitaciones a los distribuidores de la empresa A, pero curiosamente para presentar los productos de la competencia (la empresa B para la que ahora trabaja). Read the rest of this entry »
February 13th, 2011
Una reestructuración de las dependencias del responsable en la que se deshizo de los documentos con antigüedad mayor de cinco años, y que terminaron por cierto depositados sin destruir en unos contenedores de basura, provoca la apertura de un expediente por la AEPD (AP/00071/2009-R/00312/2010) que termina con la declaración de la infracción del artículo 9 de la LOPD (seguridad) y con un requerimiento para que el responsable adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción. Pero todo empieza unos días antes en las paginas de un periódico que publica una noticia en que exponía que el responsable se deshacía sin control de documentación ‘sensible”. Read the rest of this entry »
February 4th, 2011
Me gustaría empezar esta historia con unas preguntas básicas, dirigidas a madres y padres: en casa ¿quién sabe más de Internet?. No me refiero a la simple tarea de navegar por la red para localizar un restaurante, sino a llevar a cabo actividades diríamos más “intelectuales”, como es crear una dirección de correo electrónico, comprar un antivirus, consultar la cuenta bancaria o entrar en el Facebook. Si la respuesta es mis hijos, no os asustáis. Es lógico.
Otra pregunta: cuando con vuestros hijos miráis publicidad por televisión, cuántas veces os han preguntado ¿escucha madre, esto que dice este señor de la tele, no es verdad, no?”. Es bueno empezar a transmitir el sentido crítico a nuestros hijos con cosas pequeñas, porque así estarán preparados cuando algún día se lo pregunten a ellos por teléfono (sin que nosotros estamos a su lado, poniendo la oreja disimuladamente) y les digan “hola chica, ¿donde viven tus padres? ¿Qué coche tienen? ¿O de qué color tienes los ojos?”. Read the rest of this entry »
February 3rd, 2011
Una sentencia interesante.
El TSJ de la Comunidad Valenciana (sala de lo social), ha dictado una sentencia el día 16-02-2010 donde se analiza un supuesto habitual últimamente, como es el despido de un trabajador al acreditarse por la empresa el acceso a Internet del mismo en horas de trabajo, con visitas a páginas referidas al mundo multimedia, vídeos, piratería informática, anuncios, televisión, contactos, etc.
La auditoria interna.
La sentencia nos explica que la empresa realizó una auditoría interna de las redes de la información con el objeto de revisar la seguridad del sistema y detectar posibles anomalías en la utilización de los medios puestos a disposición de los empleados, cuyo informe fue entregado a la administración de personal de la empresa. Read the rest of this entry »
