QUE CARO RESULTA EL “LOW COST”
Que nadie se ofenda, pero quienes defendemos un trabajo profesional debemos crear espacios colaborativos y de difusión conjunta para multiplicar el mensaje y trasladar una imagen correcta y nítida del trabajo de adecuación a la LOPD. Hay muchas empresas que son el alimento perfecto de los oportunistas de la LOPD .
¿Cuánto crees que vale la protección de datos de las personas que confían que ti?
Si en este momento, una empresa decide que quiere adecuar su negocio a la LOPD y busca en Google servicios de protección de datos, encontrará tanto contraste de precios que no sabrá cuál elegir.
Cuando un buen profesional tiene que competir con estas empresas “low cost” puede que piense que debería dedicarse a otra cosa, pero lo cierto es que alguien que crea que un trabajo de implantación profesional cuesta menos de 150€ no es mi cliente ideal, porque eso que llaman adecuación a la LOPD y que cuesta 150€ desde luego no lo es, así que antes de emplear 150€ en algo que no te servirá en nada, utilízalos para irte a un viaje de fin de semana, y será mejor inversión.
Ningún trabajo que pretenda analizar de manera rigurosa tu negocio, valorar todos los flujos de información que manejas, investigar todas las vicisitudes que pueden surgir respecto a los datos personales que gestionas (propios y te terceros) y ofrecerte una solución para cada caso no puede costarte 150€ o menos. Contratar una “low cost” en protección de datos es tirar el dinero de tu negocio.
Por otro lado, y pese a que la propia fundación tripartita ha difundido en sus canales el fraude que supone la practica conocida como “LOPD a coste 0” y las consecuencias que acarrean para las empresas contratantes, parece que hay empresas que todavía no se han enterado del riesgo que supone aceptar este tipo de canje. De coste 0 nada, estás canjeando los créditos asignados para la formación de tus trabajadores y que serán los que se embolse la empresa formativa (unos 420€ en una empresa con menos de 10 empleados), y todo ello, sin que te hagan una verdadera implantación.
Siempre que escuches la palabra “gratis”, “rápido” “barato” o “coste cero” aplicado a una oferta LOPD, puedes estar seguro que no estás ante una propuesta seria ni profesional.
Un trabajo de adecuación serio lleva mucha implicación y horas de estudio de tu empresa, debes involucrarte de pleno en el proyecto y no quedarte esperando a que te den un documento de seguridad que nunca vas leer y que archivaras en un cajón, eso no es una implantación de la LOPD, ¡a saber lo que es!
¿Cómo puedes identificar una empresa seria en materia LOPD?
Lo cierto es que para cualquier empresario supone un verdadero caos decidirse por una empresa o por otra. Ellos valoran en función de la empresa que menos tiempo y dinero les cobre. Y eso ¡si es que deciden adaptarse!
Pero podemos hacernos una pregunta muy simple: ¿Cada cuánto tiempo pasan estas empresas “low cost” a revisar que los clientes tienen al día toda la documentación? Que los contratos de acceso a datos están firmados, que se están recogiendo los consentimientos adecuadamente, que todos los empleados tienen firmados los compromisos de confidencialidad, que todos los soportes están inventariados. Si tú, como buen profesional, te preocupas de todo esto de forma regular, es muy difícil que una “low cost” te gane la partida; un buen profesional no abandona a su cliente; le atiende, se preocupa y luego… le pasa la factura. Una “lowcost” no lo acompaña cuando hay problemas. Al final ¿Quién sale más caro?
Desde Gestiona Abogados insistimos en la importancia de una correcta adecuación a la normativa de protección de datos, así como de unas medidas de seguridad adecuadas para los datos que se van a tratar.
Las implantaciones baratas tienen un coste muy superior. Os dejo unos cuantos ejemplos:
La AEPD multa a una empresa por dar datos «excesivos» en la negociación de un ERTE
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 15.000 euros a una empresa por proporcionar datos excesivos de sus empleados durante el proceso de negociación colectiva de un Expediente de Regulación Temporal (ERTE). En una de las reuniones de la comisión negociadora, los representantes de la compañía entregaron a los sindicatos unas memorias USB que contenían dos archivos relativos al personal afectado por el ERTE y al personal no afectado.
Ninguno de los trabajadores incluidos en dichos ficheros había sido consultado para ello, y tampoco se les había solicitado consentimiento alguno para la cesión de sus datos, por lo que tres de los representantes de los trabajadores de la comisión negociadora decidieron presentar una denuncia. Al no ser un ERTE por causas económicas, la resolución de la AEPD certifica que mucha de la información contenida en los archivos «no era necesaria para la negociación«, como el DNI, la dirección postal personal, el número de cuenta bancaria, su salario o el número de teléfono.
A pesar de que la empresa alegó que el deber de sigilo y de confidencialidad propio de la negociación colectiva, que no permite a los miembros de la comisión negociadora compartir con terceros o hacer un uso diferente de la información que en ella se proporciona, la Agencia estima que su actuación constituye una infracción grave por proporcionar «datos excesivos».
El organismo, finalmente, fijó la sanción en 15.000 euros apreciando que no existía intencionalidad de la empresa y, además, no era reincidente (que finalmente quedaría en 9.000 euros dado que la compañía se acogió al pago voluntario y al reconocimiento de responsabilidad).
Sanción de la AEPD a un gimnasio de Murcia por incumplir la normativa en Protección de Datos
La Agencia Española de Protección de Datos (AEPD) ha multado con la cuantía de 1.500 euros a un gimnasio de Murcia por incumplir con la normativa de protección de datos, tras la denuncia presentada por uno de sus socios.
En su denuncia, el socio exponía ante la AEPD que el gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos. A su modo de ver, no se le puede obligar a proporcionar estos datos, por ser contrario a la LOPD.
La Agencia, al recibir la denuncia comenzó la investigación para determinar si hubo un incumplimiento de la LOPD. Para ello se puso en contacto con el gimnasio de Murcia para solicitarle documentación y consultar determinadas cuestiones: para qué actividades se emplean los datos biométricos, cómo se almacenan y cómo funciona el sistema.
Como expone la resolución de la Agencia, el gimnasio respondió que la finalidad del sistema es la de obtener una plantilla numérica basada en algoritmos que sirva como medio personal e intransferible para acceder a sus instalaciones a través de la comparación de patrones elaborados por el sistema partiendo de la huella digital. Señaló que el almacenamiento de los datos, es gestionado, custodiado y administrado por otra empresa que no los comparte con ellos.
Respecto a la cuestión referente a la posibilidad de oponerse al tratamiento de la huella dactilar ofrecida a los socios y alternativas proporcionadas, indica que previamente a la hoja de adhesión de socio, se informa al cliente de los derechos y de los datos biométricos que se recogen. El único modo de acceder es dar dichos datos, si no está de acuerdo no se recogen los datos y por tanto no se le inscribe como socio.
En un primer momento la Agencia dictó una sanción de 5.000 euros al gimnasio murciano por incumplir el artículo 4.1 de la LOPD, que establece: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
Tras las alegaciones presentadas por el denunciado, finalmente la sanción queda reducida a 1.500 euros. La Agencia considera que el tratamiento de los datos de reconocimiento de huella de usuarios de gimnasio para control de acceso por su titular y siendo el único medio de acceder, el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas, incumpliendo así el citado artículo de la LOPD.
Sanción de la AEPD por no informar adecuadamente de “las cookies”.
Según esta resolución de la AEPD “ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI” .
Su resolución detalla que estos sitios utilizan un conjunto de servicios con sus cookies correspondientes: de analítica web (Google Analytics, WordPress), información de visitantes (Automattic), medición de tendencias (Quantcast), inserción de vídeos publicitarios (Youtube) o de chat a través de la web (Zopim), entre otros.
Si bien en la propia resolución la AEPD considera que “la vulneración del requisito previo a la instalación de cookies no resulta sancionable” sí que considera constitutivo de infracción sancionable “utilizar cookies propias y de terceros (…) sin informar de forma clara y completa sobre el uso de las cookies que se instalarán y fines del tratamiento de la información recuperada a través de las mismas“.
La Agencia Española de Protección de Datos investiga a DIA por sus cupones descuento
«Con la utilización de cualquier cupón durante el mes de agosto 2018 aceptas recibir publicidad de socios comerciales del Grupo DIA, así como se cedan tus datos a dichos terceros».
Esta leyenda, impresa en los cupones descuento de quienes formaban parte del club de fidelización de la cadena de supermercados, provocó quejas de muchos usuarios, que entendían que sus derechos estaban siendo vulnerados. Para poder ceder los datos a terceros es necesario un consentimiento que no se puede deducir en ningún caso por utilizar un cupón
La Agencia Española de Protección de Datos ha iniciado actuaciones de oficio en relación a este tema: Las sanciones por la cesión de datos a terceros con fines publicitarios se resuelven, en caso de que el expediente se resuelva en contra del denunciado, con una multa que puede ir desde los 40.000 euros hasta los 300.000 euros.
Cuida los datos de tu empresa, son lo más importante para ti. Nosotros podemos ayudarte a conseguirlo con un servicio profesional y adaptado a tus necesidades.
LLámanos al 962915025, y uno de nuestros abogados estará encantado de atenderte. También puedes contactar en el correo electrónico: protecciondatoscertificado@gmail.com