20 de abril de 2008

¿Y tú quién eres?

El concepto del consentimiento previo al uso de cualquier dato de tipo personal (artículo 5 de la LOPD) no supone ningún problema cuando hablamos de una actividad comercial de tipo "presencial", como muy bien sabemos en Fersoft, puesto que nuestros consultores obtienen este consentimiento (firmado) del cliente o candidato en el 99,99% de los casos a partir de una sencilla explicación sobre las garantías que esa firma supone para la intimidad de la persona física que tiene delante, y de esta forma pueden tratar con sus datos con garantías legales para ambas partes.
Sin embargo el asunto se complica cuando la captación de datos se realiza por internet. La "ausencia" física del sujeto de los derechos hace que se tengan que recurrir a medios tecnológicos para comprobar por ejemplo que no se trata de un sistema automatizado que intenta hacer "spam" o un menor tratando de acceder a un contenido no adecuado. Pero estos no siempre funcionan correctamente.
De eso trata el procedimiento sancionador PS/00281/2007, instruido por la Agencia Española de Protección de Datos a las entidades ANTEVENIO, S.A. y BANKINTER, S.A., vista la denuncia presentada por DÑA. B.B.B. por el envío a su domicilio, a nombre de su hijo D. D.D.D. (en lo sucesivo el afectado), menor de edad, de una promoción comercial por parte de Bankinter, S.A. , habiendo utilizado para ello datos de carácter personal facilitados por la empresa Antevenio, S.A.
Resulta que el chaval accedió a una web de promociones comerciales que ya avisaba que era un servicio prohibido a menores, pero al rellenar el apartado correspondiente al año de nacimiento introdujo la cifra "95" (por 1995) y el sistema se lo admitió adjudicándole la bonita edad de ¡1.911 años! A partir de ahí se generó el tratamiento ilegal de los datos y el envío publicitario que dio lugar a la denuncia.
La sanción es de las de tipo ejemplar: El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad ANTEVENIO, S.A., por una infracción de los artículos 6.1 y 11.1 de la LOPD, tipificadas como grave y muy grave en los artículos 44.3.d) y 44.4.b) de dicha norma, respectivamente, una multa de 60.000 € (sesenta mil euros) y una multa de 150.000 € (ciento cincuenta mil), de conformidad con lo establecido en el artículo 45.2, 3, 4 y 5 de la citada Ley Orgánica; y SEGUNDO: IMPONER a la entidad BANKINTER, S.A., por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.000 € (sesenta mil euros), de conformidad con lo establecido en el artículo 45.2, 4 y 5 de la citada Ley Orgánica.
En total 270.000 €.

Podría parecer este un asunto alejado de la temática habitual de este blog, por tratarse de un caso de gran empresa, pero he querido comentarlo por ser un tema de captación de datos por internet.
Si en el mundo físico se da la circunstancia que tantas veces hemos comentado de que alrededor del 95% de los obligados al cumplimiento de la LOPD en el ámbito privado son micro-empresas (autónomos o menos de 9 empleados), lo más probable (aunque no tenga datos reales) es que este efecto de "atomización" se multiplique en internet debido a la cada vez mayor fácilidad para iniciar proyectos "virtuales".
Si un sistema de verificación que tiene detrás a una de las mayores empresas de marketing de este país con el apoyo de un gran banco, es susceptible de fallos como éste, ¿qué le puede pasar a la infinidad de webs y blogs comerciales que pueblan el hiperespacio internáutico con todo tipo de ofertas comerciales y una seguridad bajo mínimos?

El asuntó se comentó en Legal Protect y en Finanzas.com, y Miguel Angel Mata critica la resolución.

11 comentarios:

Juan Luis dijo...

¿Y cómo se resuelve esto? ¿Y si el menor de edad pone 1946 en su fecha de nacimiento? Ningún sistema puede detectar esa trampa.

esal dijo...

Es cierto que no puede comprobarse la edad a traves de Internet pero lo que si que puede hacerse es redactar un texto del tipo "la persona que inscribe sus datos confirma su exactitud" o algo por el estilo de manera que la carga de la prueba recaiga sobre quien da los datos y no sobre quien los recoge. Me parece sangrante lo de Bankinter aunque supongo que su dptmto juridico tirara contra Antevenio como responsable en la prestacion del servicio.
Por ultimo y enlazando con un post anterior sobre la disminucion de las sanciones, la proporcionalidad no se ve por ningun lado y carece de toda logica una sancion de este importe visto el "daño" realizado.

victor zurita dijo...

Sin entrar a valorar lo injusto o desproporcionado de las sanciones impuestas, podemos extraer la falta de prudencia y respeto a la LOPD. Si las grandes empresas, con grandes medios económicos, establecen páginas web de captación de clientes, sin las minimas condiciones de seguridad, que cumplan los requisitos previos de calidad y proporcionalidad e incumplen sistematicamente la figura del consentimiento expreso.
Así, a la AEPD, en este caso no le queda otra que sancionar e intentar que sea ejemplarizante.
Después de ocho años, ya va siendo
la hora por parte del empresariado español de respetar y cumplir tanto la LOPD como la LSSI. Y si no
que las derogen....

Marketing Positivo dijo...

Como casi todo en esta ley, que por un lado es muy joven aún y además depende mucho de los avances tecnológicos, las fronteras entre lo legal y lo ilegal no están claras y se irán delimitando en sucesivas resoluciones.
De hecho la propia Agencia dice en la Resolución: "Asimismo, cabe destacar que la Agencia Española de Protección de Datos no ha tenido oportunidad de analizar un supuesto similar al que motiva las presentes actuaciones, relacionado con el consentimiento para el tratamiento y cesión de datos personales de menores de edad, prestado a través de sistemas de comunicaciones electrónicas, así como sobre las especiales cautelas que deban adoptar al respecto las entidades que recaban datos mediante formularios insertados en páginas Web, por lo que se estima que esta circunstancia minora igualmente la responsabilidad imputada a la entidad ANTEVENIO."
¿Cuál es el límite de la "diligencia debida" de la que habla la Agencia en un caso como este? ¿Serviría como propone @esal en el comentario anterior una modificación de las claúsulas legales? No estoy seguro, porque en la Resolución se citan varios avisos legales que constaban en la web de captación de datos.
Este es uno de esos casos que si le preguntas a Artemi Rallo en un acto público te mira con cara de plato y te dice: "No sé, es su problema, resuélvalo usted". La tesis es algo así como: "Los problemas que crea la tecnología por su capacidad de captación y tratamiento masivo de datos, que los resuelva la propia tecnología desarrollando mecanismos de control".

Marketing Positivo dijo...

esal: sobre el importe de las sanciones, otra vez olvidé reseñar que el envío objeto de la denuncia es de tipo postal, y por eso la vulneración es de la LOPD (más cara), no como en los casos comentados, que se referían a la LSSI (más económica).

Marketing Positivo dijo...

Victor: que las deroguen nooooooo!!!!, por favor ;)

Anónimo dijo...

Todo estos se puede arreglar a medio plazo cuando se popularice el uso del DNI electrónico, la firma electrónica, etc..
A corto plazo lo único que se me ocurre es pedir un número y caducidad de una tarjeta de crédito. Un niño puede coger una tarjeta a su padre e introducir sus datos en un formulario, pero supongo que en un caso así la Agencia no sancionaría.

esal dijo...

Hola de nuevo!!
Lamento mi falta de profesionalidad al haber hecho el comentario sin leer la resolucion. De vuelta de la "fastuosa" Sesion Abierta de Madrid de ayer, que daria para varios posts de 15 paginas si que quiero hacer un comentario. El primer "puro" (datos de menores) le cae a Antevenio no por una mala redaccion de sus clausulas sino por no poder acreditar que ha solicitado la fecha de nacimiento para controlar el alta de menores de edad.
El segundo "puro" viene impuesto porque Antevenio no puede acreditar que ha recibido consentimiento del afectado a ceder sus datos a entidades financieras.
La sancion a Bankinter se explica por la falta de digilencia exigible en el control de los datos recibidos por cesion de Antevenio ya que "no basta con plasmar en el contrato una serie de garantías sin realizar una mínima comprobación tendente a constatar que las mismas se cumplen".
Sigo insistiendo en que el dptmto juridico de Bankinter tirara contra Antevenio.
Me parece muy curioso tambien que el "proposito de enmienda" esgrimido por Antevenio (vamos a contratar una pesona para que controle estos temas, modificamos el diseño de la pagina y las clausulas, etc) sea utilizado por la AEPD para demostrar que no se ha ejercido la "diligencia exigible".

esal dijo...

Por cierto y sin animo de ser pesado con el tema, creo que no es trucoteca.com la pagina desde la que se recogieron los datos porque acabo de darme de alta diciendo que tengo 2 años. ;-)

Anónimo dijo...

Sin ir más lejos, el campo que hay en este blog arriba a la derecha, que dice suscribete !!!! NO SE AJUSTA A LA LOPD, ya que no informa sobre ella y pide un dato de caracter único (un email)

Marketing Positivo dijo...

Anónimo: obviamente discrepo. El usuario se da de alta en Feed-Blitz y es esta empresa la que almacena la información y envía los e-mail.
De todas formas es uno de los temas que ni en la LOPD ni en el Reglamento quedan claros: ocurre cuando se trata de aplicar una legislación aún local a un tema sin fronteras como es internet, y como no hay ningún Informe Jurídico sobre el tema, ni ninguna resolución...

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.