Tu mundo, más eficiente

Tag Archives | AEPD

FACUA pide a la AEPD multas contundentes contra Facebook y Cambridge Analytica por la filtración de datos

-La asociación denuncia a la filial en España de la compañía de Mark Zuckerberg y a la consultora próxima al entorno de Donald Trump por presuntas irregularidades en el tratamiento de informaciones personales de usuarios de la red social.

FACUA-Consumidores en Acción reclama a la Agencia Española de Protección de Datos (AEPD) que sancione de manera contundente a Facebook Spain y a Cambridge Analytica por la filtración de datos privados de 137.000 usuarios españoles, según las primeras estimaciones.

La asociación ha denunciado a la multinacional de Mark Zuckerberg y a la consultora que trabajó para la candidatura del presidente de Estados Unidos, Donald Trump, por las presuntas irregularidades cometidas en el tratamiento de informaciones personales sensibles de usuarios de esta red social. De esta forma, Cambridge Analytica habría manejado de manera fraudulenta los datos de 50 millones de potenciales seguidores del partido republicano para influir en las elecciones presidenciales del año 2016.

FACUA considera que esta compañía, con sede en Reino Unido, habría sustraído datos personales recogidos en Facebook, por lo que habría tenido acceso a informaciones personales de millones de personas. El enésimo escándalo que salpica a la Administración norteamericana ha salido a la luz gracias a la investigación conjunta de los prestigiosos diarios New York Times y Observer.

Todo esto sucede justo cuando la empresa de Zuckerberg ha dado a conocer que los usuarios afectados por la filtración masiva de datos ascienden ya a los 87 millones. Cifra que inicialmente se estimó en 50 millones.

La asociación entiende que hay una falta de diligencia por parte de los responsables de la custodia y vigilancia de los ficheros de datos personales de usuarios de Facebook.

En su escrito a la AEPD, FACUA incide en que el posible acceso ilícito a datos personales recogidos de Facebook implica poder conocer información relevante sobre la ideología, afiliación sindical, religión, vida sexual y creencias de los afectados.

La asociación remarca al organismo que el artículo 7 de la Ley Orgánica 15/1999, en su apartado segundo, señala que “sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias“.

En marzo de este año, Facebook Spain fue sancionada junto a WhatsApp con 600.000 (300.000 euros cada una) por tratar y comunicar datos sin consentimiento de los usuarios, tras la denuncia interpuesta por FACUA, y otras asociaciones y particulares.

Facebook ha admitido que, según sus propias estimaciones a raíz de investigaciones internas, un total de 44 usuarios se habría instalado directamente en España una aplicación denominada thisisyourdigitallife, que consentía el acceso a información personal de dichos usuarios y de sus contactos. La compañía usó, presuntamente, la información obtenida con esa aplicación para hacer un programa destinado a predecir las decisiones de los potenciales votantes e influir en ellos.

FACUA señala que la AEPD podría acabar imponiendo a Facebook Spain una nueva sanción por incumplir la Ley Orgánica de Protección de Datos (LOPD), acumulando la compañía multas desde 2016 que alcanzan los 1,65 millones de euros.

La asociación recuerda que el artículo 44 de la Ley Orgánica 15/1999, apartado cuatro, letras a, expone que es una infracción muy grave “la recogida de datos de forma engañosa o fraudulenta“. Las infracciones de este tipo “serán sancionadas con multa de 300.001 a 600.000 euros“, tal y como recoge el artículo 45 de esta misma ley en su apartado tercero.

 

Fuente: FACUA Consumidores en Acción.

Imágenes: Pixabay.

FACUA critica que la Agencia Española de Protección de Datos permita a Movistar recabar los datos de geolocalización de los dispositivos móviles de sus clientes sin pedir a estos consentimiento expreso

  • La AEPD permite a Movistar recoger la geolocalización de los móviles, en contra del criterio europeo
  • Protección de Datos no considera en su resolución un Dictamen que dice que la ubicación del usuario es información especialmente protegida, por lo que su recogida requiere de consentimiento expreso

FACUA-Consumidores en Acción critica que la Agencia Española de Protección de Datos (AEPD) permita a Movistar recabar los datos de geolocalización de los dispositivos móviles de sus clientes sin pedir a estos consentimiento expreso ni informar suficientemente bien sobre el uso que se dará a dichos datos, en contra del criterio europeo, que considera esta información como especialmente protegida. La asociación ha presentado alegaciones a la resolución de la AEPD, que archiva la denuncia de FACUA contra esta práctica.

Movistar se dirigió a sus clientes de telefonía móvil a través de un SMS en mayo de 2016 para informarles de que iba a comenzar a tratar los datos de tráfico de internet y ubicación de las comunicaciones de los dispositivos móviles. La advertencia indicaba a los usuarios que si “en el plazo de 30 días” no manifestaban su oposición, la empresa daba por hecho que consentían el tratamiento de sus datos. FACUA denunció el pasado mes de junio ante la AEPD que este tipo de uso de datos personales requiere del consentimiento expreso de los afectados, ya que se trata de información personal especialmente protegida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

En su resolución, para eximir a Movistar de responsabilidad, la AEPD dice que, de acuerdo a La Ley Orgánica de Protección de Datos, sólo es necesario el consentimiento expreso para la recolección de datos especialmente protegidos. Según la AEPD, “no puede determinarse que” los datos que Movistar pretende recabar (navegación por internet y ubicación del dispositivo móvil) “puedan ser considerados datos especialmente protegidos, ya que ni la navegación por internet, ni la ubicación en la medida que no sean asociados a otros tipos de datos personales del afectado pueden constituir un conjunto de datos que proporcionen información sobre la ideología, afiliación sindical, religión y creencias del mismo“.

Sin embargo, la Agencia no comparte que a través del servicio de geolocalización de un dispositivo móvil pueda tenerse conocimiento en tiempo real de si un usuario visita alguna clase de templo religioso, un local perteneciente a un grupo político o sindical o que pueda identificarse de alguna forma con sus hábitos sexuales, por citar algunos ejemplos de datos especialmente protegidos de acuerdo con la Ley Orgánica de Protección de Datos (artículo 7).

Por este motivo, FACUA ha presentado alegaciones a la decisión de la Agencia. En su escrito, la asociación insiste en que las autoridades europeas de protección de datos (incluyendo la propia AEPD) indicaron en el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes que los dispositivos móviles “revelan detalles íntimos sobre la vida privada de su propietario”, por lo que “el consentimiento no puede obtenerse a través de condiciones generales“. El Dictamen indica expresamente que “el consentimiento debe ser específico para los diferentes fines para los que se procesen los datos“.

La AEPD no menciona este Dictamen ni lo tiene en consideración para su resolución, lo que puede suponer que en España se estén aplicando criterios distintos a los exigidos por otros Estados miembro que sí consideren el contenido de este Dictamen.

Se da la circunstancia, además, de que la propia Agencia participó en la elaboración de dicho Dictamen. De hecho, el Grupo de Trabajo del Artículo 29, encargado de su redacción, es un grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembro (incluida la AEPD), el supervisor europeo de protección de datos y la Comisión Europea. No deja de ser paradójico que la Agencia decida no aplicar, o se olvide en su resolución, de un Dictamen en cuya elaboración participó.

Información insuficiente a los usuarios

Por otro lado, FACUA insiste en que el mensaje SMS que Movistar envió a los usuarios sobre la recopilación de los datos de geolocalización no contiene información suficiente sobre la finalidad y alcance de la recogida, por lo que no se ofrecía a los consumidores toda la información necesaria para tomar una decisión motivada a la hora de consentir o no su tratamiento.

Solicitamos consentimiento para tratar los datos de tráfico de internet y ubicación de las comunicaciones de su dispositivo móvil, con la finalidad de optimizar y mejorar la cobertura de sus servicios móviles, garantizar la seguridad de redes, sistemas y equipos mediante la prevención y defensa ante incidentes de ciberseguridad y comunicarles ofertas personalizadas sobre productos de Movistar“, decía el SMS.

Fuente: FACUA-Consumidores en Acción.

Imagen: José Carlos Sánchez Rodríguez (Infonuba)

La Agencia Española de Protección de Datos expedienta a la Agencia Tributaria de Sevilla por no proteger los datos de los ciudadanos tras una denuncia de FACUA

Imagen de la Web del Ayuntamiento de Sevilla.

– Datos privados quedaban al descubierto con tan sólo introducir el DNI en la web del organismo local.

– También se ha abierto procedimiento sancionador a Tecnocom, empresa gestora del portal en internet de la Agencia.

La Agencia Española de Protección de Datos (AEPD) ha iniciado un procedimiento de declaración de infracción de administraciones públicas a la Agencia Tributaria de Sevilla por no proteger los datos de los ciudadanos. El organismo ha iniciado estas actuaciones tras analizar una denuncia de FACUA Sevilla y otra en el mismo sentido del grupo municipal de Ciudadanos contra la Agencia Tributaria y la empresa que gestiona su web (Tecnocom) del pasado mes de septiembre.

Tras a investigación llevada a cabo sobre el caso, Protección de Datos considera que la entidad municipal ha cometido dos infracciones, una leve y otra grave. Sin embargo, el expediente no derivará en una sanción por tratarse de un organismo público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, que impide que una institución multe a otra.

En otra resolución sobre el mismo caso, la AEPD ha comunicado que inicia expediente sancionador a Tecnocom por una infracción grave de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esto podría suponer una multa para la empresa de entre 40.001 y 300.000 euros.

Datos personales al descubierto

FACUA Sevilla denunció en septiembre pasado que con tan sólo introducir el DNI de cualquier ciudadano en el enlace a la Oficina Virtual de la Agencia Tributaria de la ciudad se podían consultar, sin ningún otro tipo de comprobación de seguridad (como un certificado digital), datos personales como domicilio, número de cuenta bancaria, multas pendientes, si el usuario tiene deuda o embargos, matrícula del coche y si paga o no los impuestos municipales. Esta brecha en la seguridad de la web se mantuvo durante, al menos, varios meses, dado que el equipo municipal indicó que no habían modificado ni el contrato ni las condiciones de servicio de la web desde que había accedido al Gobierno local (al menos tres meses antes).

Tras la investigación llevada a cabo por la AEPD, el organismo considera acreditado que el contrato que mantienen la Agencia Tributaria de Sevilla y Tecnocom para la realización de trabajos de mantenimiento del Sistema Integrado de Gestión Tributaria y de Recaudación del Ayuntamiento de Sevilla no se ajusta a las previsiones de seguridad de los ficheros establecidas en la Ley Orgánica de Protección de Datos (artículo 12.2). Así pues, dicho contrato no contempla las medidas de seguridad que llevarán a cabo tanto la Agencia como Tecnocom para proteger el fichero de datos que manejan.

Esto derivaría en dos infracciones: una leve, tipificada en el artículo 44.2.d. (“son infracciones leves (…) la transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de esta Ley”) y otra grave, recogida en el artículo 44.3.h (“son infracciones graves (…) mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”).

Expediente sancionador a Tecnocom

Además del procedimiento de infracción a la Agencia Tributaria de Sevilla, la denuncia de FACUA también ha motivado la apertura de un expediente sancionador a Tecnocom, la empresa que gestiona la web del organismo.

La Agencia de Protección de Datos considera que la empresa no tomó las medidas de seguridad necesarias para garantizar la privacidad de los datos personales que manejaban a través de la web de la Agencia Tributaria de Sevilla. En este sentido, la AEPD recuerda en su resolución que el artículo 9.1. de la Ley Orgánica de Protección de Datos indica que “el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal”.

La vulneración de este artículo, recuerda la AEPD, supone una infracción grave, según se indica en el artículo 44.3.h de la citada norma, que considera como tal “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. Esto podría suponer una sanción de entre 40.001 y 300.000 euros, según indica la propia Agencia en su resolución.

Tras la publicación de las dos resoluciones de Protección de Datos, tanto la Agencia Tributaria de Sevilla como Tecnocom disponen de un plazo de quince días hábiles para formular sus alegaciones y proponer las pruebas que consideren convenientes antes de que la AEPD tome una resolución definitiva.

Fuente e imagen: FACUA Consumidores en Acción.