Guía para la gestión y notificación de las brechas de seguridad de la AEPD

La Agencia de Protección de Datos (AEPD) en su objetivo de ayudar a los responsables de tratamiento de datos a cumplir con el nuevo Reglamento Europeo de Protección de Datos (RGPD) ha publicado una Guía para saber cómo actuar ante las posibles brechas de seguridad que puedan producirse.

Hasta el pasado 25 de mayo de 2018, fecha de aplicación del nuevo Reglamento, solo estaban obligados a notificar estas brechas de seguridad los operadores de servicios de comunicaciones electrónicas y los prestadores de servicios de confianza. A partir de la entrada en vigor de la nueva norma europea, esta obligación pasa a ser una imposición para todos los responsables del tratamiento de datos personales. Con la única excepción de que el responsable pueda demostrar que la brecha de la seguridad no supone un riesgo para los derechos y las libertades de las personas físicas.

Según el nuevo RGPD, las brechas de seguridad o violaciones de seguridad de los datos personales, son “todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En la guía publicada por la AEPD, que está disponible en este enlace, se establece un esquema a seguir para cumplir con la normativa sobre brechas de seguridad. Este esquema lo podéis ver en la imagen siguiente.

brecha-seguridad

Los responsables de tratamiento deben prepararse de antemano para solventar los problemas que supone una brecha de seguridad. Deben establecer un mecanismo de respuesta con las acciones a llevar a cabo en caso de que se produzca. En consecuencia, es necesario un proceso previo de preparación en el que se decidirán las medidas técnicas y organizativas para poder afrontar un incidente. Esto incluye la identificación de los agentes implicados en la gestión de la brecha, el análisis de riesgos y/o evaluación de impacto en caso de que sean necesarias y la definición de los “planes de respuesta a incidentes” o “plan de contingencia”. Todo este plan de acción, debe estar documentado.

La gestión de brechas debe ser tenida en cuenta desde el diseño de las actividades de tratamiento y formar parte de las medidas de seguridad para garantizar los derechos y libertades de las personas.

Una vez detectada e identificada esta brecha de seguridad, la Ley establece que los responsables de tratamiento deben notificar la incidencia a la autoridad competente. En caso de España, es la propia AEPD. El plazo para notificar es de máximo 72 horas, tras la detección.

Durante esta fase de detección e identificación se deben concretar las situaciones que se consideran incidentes de seguridad y las herramientas, mecanismos de detección o sistemas de alerta. Como se expone en la Guía, una vez identificado el incidente es necesario contar con medios para documentar el seguimiento del mismo, quedando anotados todos los aspectos del incidente en un registro de incidencias. En este punto debe aplicarse el plan de acción que anteriormente se haya aprobado.

Tras la detección y notificación, el siguiente paso es el análisis y la clasificación. En la Guía podéis obtener información sobre los distintos tipos de brecha de seguridad, para saber cómo clasificarla. De la clasificación del incidente de seguridad dependen las acciones a emprender durante los procesos de respuesta y notificación.

El siguiente apartado es el proceso de respuesta. En él, en primer lugar, hay que intentar contener el incidente, tras lo cual se erradica la situación generada por el mismo y se termina con las acciones de recuperación oportunas. Todo este proceso de respuesta debe quedar debidamente documentado y ha de elaborarse un informe de respuesta que tras su análisis permita extraer conclusiones y elaborar ejercicios de lecciones aprendidas.

Por último, en caso de que el incidente de seguridad obtenga la clasificación de brecha de seguridad, en la que se han comprometido datos personales, se deberá iniciar también el proceso de notificación.

Es fundamental documentar todo el proceso para que la AEPD constate que se ha actuado según la Ley, lo que evitará posibles sanciones.

Desde Cumple Protección de Datos te podemos ayudar en la gestión de brechas de seguridad y en todo lo relativo a cumplir con el RGPD. Pide presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , , , | Deja un comentario

Seis de cada diez Pymes españolas conoce el nuevo RGPD

El 63% de las pequeñas y medianas empresas españolas conocen el nuevo Reglamento Europeo de Protección de Datos, tal y como pone de manifiesto una encuesta realizada por la Agencia Española de Protección de Datos (AEPD) y la Confederación Española de la Pequeña y Mediana Empresa (CEPYME). Una cifra que destapa aún un importante desconocimiento.

El pasado 25 de mayo entró en vigor el nuevo RGPD, una nueva norma que armoniza la protección de datos a nivel europeo. Organizaciones, profesionales, negocios, empresas, administraciones… deben acatar sus dictámenes para evitar sanciones que pueden alcanzar hasta el 4% de su facturación.

La encuesta, cuyos resultados se pueden consultar en este enlace, pone de manifiesto la necesidad de aumentar la información y formación para que las Pymes españolas cumplan y conozcan sus obligaciones. Unas Pymes que suponen el 99,8% del tejido empresarial español. Aún es grave el nivel de desconocimiento, por nombrar algunos aspectos: la obligación de elaborar el registro de actividades le consta solo a un 60%, y las nuevas obligaciones del responsable del tratamiento son conocidas solo por el 59% de las Pymes.

encuesta.foto

Con el objetivo de aumentar la difusión sobre la nueva normativa, desde antes de su entrada en vigor, desde la Agencia y la Confederación se han llevado a cabo una serie de actividades por todas las regiones para dar a conocer las nuevas obligaciones. Y se han puesto a disposición de las empresas herramientas como la de Facilita_RGPD, que ha cosechado más de 450.000 accesos y que está disponible desde la web de la AEPD. Este test online permite obtener los documentos mínimos indispensables para facilitar, como su propio nombre indica, la adaptación al Reglamento. Ambas organizaciones han anunciado que seguirán su labor de información y difusión y pondrán en marcha más medidas en el campo de la formación.

Esta adaptación supone un gran esfuerzo para las pequeñas y medianas empresas, teniendo en cuenta, como refleja la encuesta la falta de recursos de estas entidades. Pero es un esfuerzo que consideran necesario. Así un 85% están dispuestas a contratar un servicio de asesoramiento; un 79% muestran su disposición a informarse mejor sobre el Reglamento y un 60% optan por gestionar la protección de datos con medios propios y el apoyo de las herramientas y guías de la AEPD.

La encuesta también refleja que cerca del 90% de las Pymes considera que se ha avanzado en protección de datos respecto a la anterior normativa, que creen que era peor. El 80% percibe como positivo el cambio.

Ahondado en los resultados de la encuesta se observa que la mayoría de los datos que recogen y tratan las Pymes son de bajo riesgo y son relativos a sus clientes, proveedores y empleados. En menor cantidad se encuentran los datos e imágenes obtenidas mediante vídeo vigilancia y los de formularios de Internet.

Desde la AEPD y la CEPYME resaltan la importancia de que las Pymes españolas cumplan con las normas de protección de datos. Supondrá una ventaja competitiva y aumentará su valoración respecto a sus clientes.

En la conclusión del estudio se establece: “extender el conocimiento, dimensionar bien las herramientas de implantación y las propias acciones de implantación, de acuerdo con los recursos a gestionar y el tamaño de las empresas, así como extender y profundizar la comprensión de los datos como fuente de valor, son condiciones que, sin duda, favorecerán el éxito del RGPD, sobre la base de una percepción y una idea general netamente positivas de esta regulación por parte de las Pymes”.

Desde Cumple Protección de Datos te podemos ayudar a cumplir con todos los parámetros establecidos por el Reglamento Europeo de Protección de Datos. Consulta a nuestros expertos y te asesoraran en lo que necesites. Pide presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , | Deja un comentario

Protección de datos y Prevención de delitos, manual de la AEPD

La Agencia de Protección de Datos ha publicado un manual sobre Protección de Datos y Prevención de delitos. En el documento de 46 páginas con fichas anexas se ofrecen pautas tanto para evitar incurrir en conductas que podrían ser delito como para evitar ser víctima de las mismas.

Como señala la Agencia en la presentación de este documento, la evolución de las nuevas tecnologías y el uso cada vez más extendido de dispositivos conectados a Internet y sus diversas aplicaciones, no solo ha supuesto ventajas a los usuarios, si no que también trae consigo una serie de riesgos en lo que a uso de datos personales se refiere y la consecuente posibilidad de ser víctima de distintos delitos.

Protección de datos y Prevención de delitos, manual de la AEPD

Con el fin de reducir estos riesgos y conocerlos y con el objeto de no incurrir en delitos y saber cómo defendernos de las malas praxis, el manual ofrece una serie de pautas para reconocer estos delitos y saber cómo actuar ante temas como “el descubrimiento y revelación de secretos; amenazas; coacciones; acoso; calumnias e injurias; violencia de género; delitos contra la libertad e indemnidad sexual; suplantación de identidad; delitos de odio; estafas, o daños informáticos”.

En el manual se muestran una serie de fichas con temas concretos como el el sexting, el grooming o el ciberacoso, definiendo estos y dando consejos de cómo actuar si los sufrimos como víctimas.

También se ofrece en el manual información para una navegación segura y garantizar el ejercicio de derechos en relación con la información personal, así como diferentes recursos a los que las víctimas de un delito o una infracción de la normativa de protección de datos pueden acudir para obtener información o presentar una denuncia.

Entre los consejos que podemos ver en este documentos destacamos los siguientes:

No compartas demasiada información personal en Internet, en particular en las redes sociales. Evita dar información personal y comprometida sobre tu identidad digital.

La difusión y reenvío de grabaciones e imágenes íntimas sin la autorización del/la interesado/a, aun cuando se hubiesen grabado con su consentimiento, o espiar el contenido del móvil de la pareja, es un delito.

El sexting es una práctica insegura. Desde el momento que se cuelgan fotos, vídeos o audios en Internet, o se envían a terceros, se pierde el control sobre su contenido.

Cuando las calumnias e injurias se realizan a través de Internet las penas son más graves.

No debemos olvidar que Internet proporciona una falsa sensación de anonimato que no existe, pues deja rastro de la información que difunde.

El robo de identidad se aprovecha de la información personal que difundes. La suplantación de identidad ocasiona graves perjuicios a la persona suplantada y puede llegar a ser un delito.

Publicar en las redes sociales fotografías que inciten al odio de personas, por ejemplo, por su origen, religión, orientación sexual, y etiquetarlas con mensajes ofensivos es un delito de odio.

Acude a las autoridades en caso de sospechar que has sido víctima de delito y para denunciar prácticas ilegales en Internet.

Desde Cumple Protección de Datos podemos ayudarte a cumplir con la protección de datos y a evitar ser víctima y autor de delitos. Pídenos presupuesto sin compromiso.

 

Publicado en Protección de Datos | Etiquetado , , , , , , , , , | Deja un comentario

Cómo comunicar la designación de Delegados de Protección de Datos a la AEPD

La Agencia de Protección de Datos ha dispuesto en su Sede electrónica un formulario para que las Administraciones Públicas y las entidades privadas obligadas a designar un Delegado de Protección de Datos (DPD) puedan comunicar este nombramiento, tal y como se establece en el nuevo Reglamento General de Protección de Datos (RGPD) que será aplicable el próximo el 25 de mayo.

La comunicación de este nombramiento de DPD debe realizarse ante la Agencia antes de la aplicación del nuevo Reglamento el próximo 25 de mayo. Para ello se debe acceder a este enlace con certificado electrónico y cumplimentar el formulario online.

cabecera-aepd

Como señala la AEPD, la figura del Delegado de Protección de Datos (DPD) es obligatoria para organizaciones que traten datos personales de forma intensiva o datos sensibles a gran escala, así como para organismos públicos. Además, aquellas empresas que pese a no estar obligadas por Ley consideren que deben implantar esta figura, también pueden cumplimentar el formulario.

El nuevo Reglamento Europeo de Protección de Datos establece en su artículo 37.7 que los responsables o encargados del tratamiento deben publicar los datos de contacto de su Delegado de Protección de Datos y comunicarlos a la autoridad de control.

El RGPD fue publicado en mayo de 2016 y entró en vigor en ese mismo mes. Sin embargo, será aplicable sólo a partir del 25 de mayo de 2018. La designación de los DPD en el ámbito público y en el privado que resulten obligados deberá haberse producido con antelación a esa fecha.

A través de la sede electrónica de la Agencia se pueden realizar los siguientes trámites:

-Registro electrónico AEPD
-Presentación de denuncias
-Presentación de una reclamación de tutela de derechos
-Solicitud de copia de la inscripción de ficheros
-Consulta del contenido de la inscripción
-Inscripción de ficheros
-Consulta del estado de la solicitud
-Quejas y sugerencias
-Información de Actividades AEPD
-Notificación preceptiva de quiebras de seguridad
-Comunicación del Delegado de Protección de Datos

Desde Cumple Protección de Datos podemos ayudarte y asesorarte con todos los trámites. No dudes en pedirnos un presupuesto sin compromiso.

Publicado en Protección de Datos | Etiquetado , , , , , | Deja un comentario

Multa de la AEPD: 600.000 euros Facebook y WhatsApp por incumplir protección de datos

En octubre de 2016 os informamos en el blog de Cumple Protección de Datos que la Agencia Española de Protección de Datos (AEPD) investigaría la cesión de datos de Whatsapp a Facebook, que se anunció en agosto de ese mismo año. Hoy conocemos el resultado de esta investigación. Una sanción de 300.000 euros a cada una de las firmas.

Facebook compró WhatsApp en 2014, dos años después la aplicación de mensajería instantánea comunicó a sus usuarios que compartiría datos con la red social con el fin de mejorar su servicio. Una cesión de datos que debía aprobarse obligatoriamente por los usuarios si querían seguir utilizando esta aplicación. La AEPD comunicó en su día que investigaría esta práctica.

Multa de la AEPD: 600.000 euros Facebook y WhatsApp

Tras analizar los términos de esta cesión, la Agencia considera que la Aplicación no cumple con la Ley de Protección de Datos a nivel nacional ni europeo y considera esta cesión ilegal, imponiendo una sanción de 300.000 euros.

Por otro lado, entiende la Agencia que Facebook tampoco cumple las normas con el tratamiento que realiza de estos datos cedidos, por lo que también le impone una sanción de 300.000 euros.

Según señala la AEPD, la Ley señala que el consentimiento que debe dar un usuario para el tratamiento de sus datos personales debe ser “libre, específico e informado”, hechos que no se cumplen en las acciones de WhatsApp y Facebook.

La forma en la que solicitó la Aplicación la cesión de los datos no fue en ningún modo libre y los usuarios no conocían el fin de esta cesión, incumpliéndose así la norma. En palabras de la Agencia, la información “se ofrece de forma poco clara, con expresiones imprecisas e inconcretas que no permiten deducir, sin duda o equivocación, la finalidad para la cual van a ser cedidos”, por lo que estamos ante un infracción catalogada como grave. Además, los nuevos usuarios no tienen la opción de negarse a esta cesión, ya estaba impuesta en las condiciones de servicio.

El tratamiento que hizo Facebook con estos datos tampoco fue consentido ya que la red social no pidió ningún consentimiento de forma explícita como señala la Ley, incurriendo también en una infracción grave. La red social trata los datos cedidos con finalidad publicitaria y de mejora de sus productos así como para otras finalidades, por lo que requiere de un consentimiento libre, específico e informado de los usuarios para tratar esos datos.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , , , , | Deja un comentario

Nueve de cada diez empresas españolas no está preparada para cumplir el RGPD

Quedan escasos tres meses para que el nuevo Reglamento Europeo de Protección de Datos entre en vigor. Será el próximo 25 de mayo. En este tiempo queda mucho trabajo por hacer para las empresas, que en un 90% no lo cumplirían a día de hoy.

Esta cifra tan poco halagüeña es la conclusión que ha dado un estudio realizado por la consultora IDC y el gigante informático Microsoft. En el análisis se asegura que las compañías invertirán 144 millones de euros para cumplir con las exigencias que marca la nueva normativa.

A nivel europeo, las cifras tampoco son para tirar cohetes. La media de la UE está en el 20% de las empresas que cumplen los requisitos. En el porcentaje de los que no cumplen, solo el 20% indica que tiene planes previstos que pondrán en marcha para asegurar cumplir las disposiciones del nuevo marco legal.

El estudio, del que se hace eco el diario económico Cinco Días, hace referencia a la situación de un centenar de compañías de más de 250 empleados de distintos sectores a cierre del año 2017.

El 96% de las empresas consultadas conocen que existe una nueva normativa en materia de protección de datos a nivel europeo, pero más de la mitad no conoce con total claridad cómo aplicarla. Se desconocen qué datos debe proteger, cómo debe gestionar este tratamiento de datos y qué medidas de seguridad son necesarias para cumplir con el RGPD.

Entre los problemas que se encuentran a la hora de aplicarla se encuentran los conflictos de intereses, la limitación de recursos, la ausencia de presupuesto y el desconocimiento de cómo aplicar la normativa.

Los responsables del estudio consideran que será imposible que el 100% de las empresas estén preparadas para cumplir con la normativa el próximo 25 de mayo, a pesar de que han contado con dos años para adaptarse.

Uno de los aspectos donde más se han hecho los deberes es el que hace referencia a la figura del Delegado de Protección de Datos. Un 66% de las empresas ya cuentan con este nuevo perfil profesional.

La nueva normativa ha aumentado el montante de las sanciones en caso de incumplimiento, con respecto a la actual Ley de Protección de Datos. Las empresas que no cumplan las normas se enfrentan a multas de hasta un 4% de su facturación.

Desde Cumple Protección de Datos podemos ayudar y asesorar a las empresas para que estén listas el 25 de mayo. Pide un presupuesto sin compromiso.

Publicado en Protección de Datos | Etiquetado , , , , , | Deja un comentario

ANF AC primera entidad que puede certificar a los Delegados de Protección de Datos

La Agencia Española de Protección de Datos ha concedido la autorización a ANF AC para poder certificar a los Delegados de Protección de Datos (DPD), una figura que será obligatoria para algunas entidades con la aplicación del nuevo Reglamento Europeo, el próximo 25 de mayo de 2018.

ANF AC ha obtenido el visto bueno una vez superado favorablemente la fase de revisión realizada por la Entidad Nacional de Acreditación (ENAC). De este modo se convierte en la primera certificadora acreditada para certificar a los Delegado de Protección de Datos.

Según establece el nuevo Reglamento Europeo de Protección de Datos (RGPD) la figura del Delegado de Protección de Datos es obligatoria para organizaciones que traten datos a gran escala o datos sensibles así como para organismos públicos, a partir del 25 de mayo de 2018.

La certificación de los DPD pretende aportar “seguridad y fiabilidad tanto a las personas que van a ejercer esta profesión como a las empresas y entidades que van a incorporarlas a sus organizaciones”, señala la AEPD. “Pero para poder trabajar como Delegado no es necesario contar con esta acreditación”, aclara.

La acreditación obtenida por la ANF AC es de carácter provisional , de un año de duración. La entidad obtendrá una autorización definitiva cuando haya superado favorablemente el proceso de acreditación ante ENAC.

Durante este primer año de certificación provisional, la ANF AC debe informar a los solicitantes de su condición de provisionalidad y de la posibilidad de no obtener el certificado de DPD aunque el candidato haya superado el examen, si finalmente la entidad no consigue acreditarse.

Las entidades interesadas en obtener la acreditación para certificar DPD deben ponerse en contacto con ENAC en el la dirección de correo electrónico: enac@enac.es para solicitar información sobre cómo iniciar el proceso de acreditación. En este enlace tenéis más información sobre el proceso de acreditación.

El RGPD regula con cierto detalle tanto la posición como las funciones de los DPD. Esta regulación es válida tanto para responsables y encargados privados como para autoridades y organismos públicos. Sin embargo, hay algún aspecto en que existen disposiciones diferenciadas para el sector público y, en todo caso, el perfil del DPD puede presentar particularidades en las organizaciones públicas. En este enlace se puede consultar cuáles son las funciones del Delegado en el caso de las Administraciones Públicas.

Publicado en Protección de Datos | Etiquetado , , , , , | Deja un comentario

Cumplir con la LOPD en el uso de WhatsApp

Cada vez somos más las personas que sucumbimos al uso de aplicaciones de mensajería instantánea, sobre todo de la más conocida, WhatsApp. Es raro aquel usuario que no está incluido en grupos, sin que en muchos casos haya sido preguntado si quiere entrar en él.

Las empresas ven en WhatsApp una forma de contacto directo e instantáneo con sus potenciales clientes, pero deben estar atentos y usarlo de forma correcta para evitar incumplimiento de la Ley Orgánica de Protección de Datos (LOPD).

WhatsApp

En estos días, los medios de comunicación se hacen eco de una resolución de la Agencia Española de Protección de Datos (AEPD) por la que se apercibe a un ayuntamiento por el uso indebido de WhatsApp, al haber creado un grupo en el que han incluido a algunos vecinos de la localidad sin que haya recabado su consentimiento. Su finalidad era informar a los habitantes de las actuaciones del consistorio.

La denuncia la realizó un vecino que se encontró inmerso en este grupo junto con otro centenar de habitantes sin que hubiese dado su consentimiento. El teléfono es un dato personal y como tal viene protegido por las disposiciones establecidas en la LOPD.

Entre ellas, la Agencia considera que el Ayuntamiento ha vulnerado los artículos 4.2 y 10 de la LOPD.

El artículo 4.2 señala que “Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos”.

Por su parte en el artículo 10 hace referencia al deber de secreto. “El responsable del fichero y quienes intervengan en cualquier fase de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o, en su caso, con el responsable del mismo“.

La Agencia explica en su resolución, que podéis consultar en este enlace, que el consistorio municipal incluyó los teléfonos sin que existiera una autorización de los titulares para ser usados con este fin de mensajería instantánea. Además en el grupo los teléfonos eran visibles para todos los componentes vulnerando el deber de secreto de no revelar datos personales a terceros.

Esta resolución no es la única de la que se tiene constancia. Hace algunas semanas la Agencia también apercibió a un restaurante que creó un grupo con los asistentes a una cena, sin pedir permiso a los comensales. Concluyendo que incurrió en una falta al no pedir este consentimiento.

En Cumple Protección de Datos os podemos ayudar a hacer un uso de WhatsApp de forma respetuosa con la protección de datos. Pídenos un presupuesto sin compromiso. Nuestros expertos os asesorarán adecuadamente para evitar sanciones.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , , , , | Deja un comentario

La AEPD permite la descarga digital de la inscripción de ficheros

El nuevo Reglamento Europeo de Protección de Datos que entra en vigor en mayo de 2018 obliga a elaborar un registro de actividades de tratamiento de los datos. Para facilitar su elaboración, la Agencia Española de Protección de Datos pone a disposición de los responsables del tratamiento la descarga de una copia digital del documento de inscripción de ficheros.

A través de esta herramienta los responsables pueden descargar en formato Excel o XML el contenido completo del documento de inscripción de ficheros que se presenta en el Registro General de Protección de Datos.

Este documento digital será muy útil, como explica la Agencia para tomarlo como base en la elaboración del registro de actividades de tratamiento que será obligatorio con la entrada en vigor de la nueva normativa europea, el 25 de mayo de 2018.

El nuevo RGPD elimina la obligación existente actual de notificar los ficheros de datos a la Agencia para su inscripción en el Registro General, pero obliga a que exista un registro de actividades de tratamiento que se haga con esos datos. En este registro de actividades, “los responsables deben obligatoriamente indicar los datos de contacto del delegado de protección de datos, describir qué datos recoge, con qué fin los trata, a quién o quiénes los comunica, si los transfiere a terceros países, qué medidas técnicas y organizativas aplica para preservar su seguridad, y cuándo podrá suprimirlos”. En el caso de las Administraciones Públicas además, “deberán indicar la base legal que legitima el tratamiento y el delegado de protección de datos y han de hacer público el inventario de sus actividades de tratamiento, siendo accesible por medios electrónicos, tal y como establece el artículo 31 del Proyecto de Ley Orgánica de Protección de Datos aprobado por el Consejo de Ministros el pasado 10 de noviembre”.

La Agencia permite descargar tres tipos de documentos:

  • Relación de ficheros (incluye el código de la Inscripción de cada uno de ellos junto a la información más relevante respecto a los mismos).
  • Copia de la resolución de Inscripción de un fichero.
  • Copia del contenido íntegro de la Inscripción de los ficheros de la entidad (máximo de 35 ficheros).

Para acceder a su descarga podrá realizarse mediante certificado de firma electrónica y para aquellos que no posean este certificado podrás solicitarlo por escrito, mediante correo postal o a través de un código que se facilita por correo electrónico.

Desde Cumple Protección de Datos te podemos ayudar a cumplir con el nuevo RGPD, pídenos un presupuesto sin compromiso.

Publicado en AEPD, Protección de Datos | Etiquetado , , , , , , | Deja un comentario

FACUA denuncia a Carrefour por su política de atención al cliente

La Organización de defensa de los consumidores FACUA ha denunciado a Carrefour España por lo que considera una práctica fraudulenta en su política de atención al cliente. Para acceder a este servicio, el usuario está obligado a aceptar ciertas condiciones entre las que se incluye el envío de publicidad.

FACUA ha interpuesto esta denuncia ante la Dirección General de Consumo de la Comunidad de Madrid, en ella señala que la compañía obliga a sus usuarios del servicio de atención al cliente de su página web (www.carrefour.es) a aceptar una serie de condiciones para poder tener acceso a este servicio. Entre estas condiciones se encuentra dar permiso a la empresa a enviarnos mensajes publicitarios, considerados spam, tanto por correo como por teléfono.

Concretamente, la denuncia expone como cuando un cliente accede a este servicio de atención, debe marcar una casilla en la que se asegura que se ha leído y aceptado las condiciones de uso. Al analizar estas condiciones, algo que muy poca gente hace, si somos realistas, encontramos dicha “trampa”, en la que se especifica que damos nuestro consentimiento para recibir este tipo de notificaciones publicitarias.

El texto de condiciones señala, tal y como ha remarcado FACUA, lo siguiente: “Asimismo, mediante el envío del presente formulario Usted consiente expresamente la cesión o comunicación de los datos que aporte a través del presente formulario (esto es nombre, apellidos, email, teléfono y número de tarjeta del Club Carrefour) a las siguientes sociedades del Grupo Carrefour con la finalidad de que puedan tratar dichos datos para hacerle llegar información, ofertas y mensajes publicitarios por cualquier medio, referente a los productos y servicios que cada una ofrezca en el sector en el que opera”.

Si no se aceptan estas condiciones, el usuario no puede enviar el formulario en el que expone su consulta al departamento de atención al cliente. Por lo que a la vista de esta organización, Carrefour obliga a sus usuarios de manera encubierta a aceptar el envío de comunicaciones publicitarias.

Facua denuncia a Carrefour

Para FACUA esta actuación va en contra de los que establece el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios, en el que se prohíbe expresamente que para acceder al servicio de atención al cliente, se tenga que aceptar previamente el recibimiento de spam publicitario.

En su artículo 21.2, de dicho Reglamento se indica que “se deberán identificar claramente los servicios de atención al cliente en relación a las otras actividades de la empresa, prohibiéndose expresamente la utilización de este servicio para la utilización y difusión de actividades de comunicación comercial de todo tipo“.

Además, para la organización de consumidores también se está incumpliendo el Real Decreto 1720/2007, que desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), en cuyo texto se explica que solo se podrán recabar datos personales con fines publicitarios si dichos datos han sido “facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial“.

Desde Cumple Protección de Datos os podemos ayudar a cumplir con la LOPD y otras normativas relativas al uso de los datos personales. Pídenos un presupuesto sin compromiso.

Publicado en LOPD, Protección de Datos | Etiquetado , , , , , | Deja un comentario