Correos Comerciales: Cuándo incumplen la ley
Archivado en la categoría (Protección de datos) por Teresa
Publicado el 03-12-2009

Seguro que has recibido en algún momento un correo electrónico con información comercial de una tienda o portal a los cuales nunca distes tus datos y ni siquiera conoces. En este post vamos a informarte sobre cómo ejercer tu derecho de oposición para así evitar que utilicen tus datos para fines comerciales.

Para ello vamos a hacer uso de un correo electrónico que recibió uno de las personas que integran el equipo de PRiSE, pero antes de nada, veamos qué es el derecho de Oposición.

Según el Título III, Capítulo IV del Real Decreto Real Decreto 1720/20077, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: […]

b) Cuando se trate de ficheros que tengan por finali­dad la realización de actividades de publicidad y prospec­ción comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa res­ponsable de su creación.

Ahora que sabemos qué es, analicemos el correo comercial que recibimos y que vamos a utilizar de ejemplo. En el asunto teníamos un correo comercial general, sin referencia a la persona en concreto y que contenía la palabra «Publicidad».

Desde XXXXX nos ponemos en contacto con Vd. para informarle de XXXXX es responsable de un fichero de datos de carácter personal, en el cual se encuentran incluidos los datos de sus clientes, incluida su dirección de correo electrónico, cuya finalidad es la gestión de las relaciones comerciales con Vds., así como la comunicación de productos y servicios ofertados por XXXXX. Para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición, deberá remitirse un escrito XXXXX en el que se concrete la solicitud correspondiente y al que acompañe fotocopia del Documento Nacional de Identidad del interesado, a la siguiente dirección: MMMMM

Hasta aquí todo bien: Te informan de tus derechos y cómo ejercerlos, la finalidad de la recogida de tus datos, etc., pero el correo seguía tal que así:

Queremos contar con su confianza, por lo que en el supuesto de que no nos indique expresamente lo contrario dentro del plazo de 30 días a contar desde la recepción de esta comunicación, entenderemos que nos da su consentimiento para el tratamiento de sus datos personales para los fines indicados anteriormente.

Aquí falló el correo: este último párrafo va en contra de la LSSI y de la LOPD, ya que tienes el derecho de oposición a que utilicen tus datos con esos fines, independientemente de que pasen 30 días o no. Tienes el derecho de oposición siempre que se realice una recogida de datos, sin límite de plazos. En los derechos no es válido el silencio positivo, es decir, que se considere cierto si no se dice nada.

En nuestro caso, para ejercer el derecho de oposición tendríamos que enviar una solicitud personalísima dirigida al responsable del tratamiento explicando cuáles son los motivos que justifican el ejercicio de este derecho.

La empresa deberá responderte en un plazo máximo de diez días (contando desde el día que reciben la solicitud) En caso de que no recibas respuesta o no se realice el proceso de excluir tus datos del tratamiento que se le está dando actualmente, podrías recurrir a la Agencia Española de Protección de Datos con tu caso.

Como comentamos anteriormente, en el asunto dejaba claro que era un correo publicitario general. En caso de que esto no fuera así, es decir, no pusiera «publicidad» y fuera un correo dirigido a la persona en cuestión, en vez de un derecho de oposición, se  podría denunciar directamente a la Agencia Española de Protección de Datos por incumplimiento del Artículo 20 incluído en el capítulo III, «Comunicaciones comerciales por vía electrónica», de la LSSI:

Artículo 20. Información exigida sobre las comunicaciones comerciales, ofertas promocionales y concursos.
1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan.
En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra «publicidad».

Otro punto a tratar es que el envío por correo en todo caso, no debe suponer ningún coste extra, ya que como podemos ver en el Artículo 51 del Real Decreto 1720/20077, de 21 de diciembre:

A tal efecto, deberá concederse al interesado un medio sencillo y gratuito para oponerse al tratamiento. En particular, se considerará cumplido lo dispuesto en este precepto cuando los derechos puedan ejercitarse mediante la llamada a un número telefónico gratuito o la remisión de un correo electrónico.

No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, los supuestos en que el responsable del tratamiento establezca como medio para que el interesado pueda ejercitar su oposición el envío de cartas certificadas o envíos semejantes, la utilización de ser­vicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impli­quen un coste excesivo para el interesado.

Para más información sobre el derecho de Oposición:

  • En el Real Decreto 1720/20077, de 21 de diciembre:
    • Título III. Derechos de acceso, rectificación, cancelación y oposición.
      • Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
      • Capítulo IV. Derecho de oposición.
        • Artículo 34. Derecho de oposición.
        • Artículo 35. Ejercicio del derecho de oposición.
        • Artículo 36. Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos.
    • TÍTULO IV. Disposiciones aplicables a determinados ficheros de titularidad privada
      • Capítulo I. Ficheros de información sobre solvencia patrimonial y crédito.
        • Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
      • Capítulo II. Tratamientos para actividades de publicidad y prospección comercial.
        • Artículo 51. Derecho de oposición.

En este enlace podrás encontrar más información y documentos modelos para ejercer tu derecho de oposición.

Si eres una empresa y necesitas ayuda para poder garantizar que estos derechos se cumplan, ponte en contacto con nosotros.

(0) Comments    Read More   
Realizar una petición de acceso a tus datos
Archivado en la categoría (Protección de datos) por PRiSE
Publicado el 18-11-2009

Sería comprensible que si nos suscribimos a un servicio voluntariamente, no tendría mucho sentido que preguntásemos al responsable del servicio sobre que datos tiene. Es obvio, los datos que nosotros mismos dimos.

Pero esta simplicidad no exime ni responsabilidades ni la posibilidad de preguntar por parte del usuario.

Partamos del siguiente escenario: el usuario U_Pedro se da de alta al servicio S_Reja que la empresa E_Beige dispone de forma on-line a través de su página web. Para darse de alta, utiliza un formulario on-line que le solicita su nombre y su correo electrónico.

A través de ese momento, existen ciertas obligaciones y responsabilidades de E_Beige sobre los datos de U_Pedro.

E_Beige deberá tener inscrito en la Agencia Española de Protección de Datos un fichero con la finalidad del servicio S_Reja. No entraremos en este post sobre las medidas de seguridad que necesitaría el fichero, así como otros conceptos vinculantes.

Imaginemos que llegado un momento, el U_Pedro decide realizar una petición de acceso a sus datos. Derecho que la LOPD le otorga.

La ley describe que las peticiones de acceso deben ser personales, por lo que uno debe identificarse al realizar la petición.

TÍTULO III Derechos de acceso, rectificación, cancelación y oposición

CAPÍTULO I Disposiciones generales

Artículo 23. Carácter personalísimo.

1. Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado.

2. Tales derechos se ejercitarán:

a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.

Artículo 25. Procedimiento.

1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:

a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.

….

Entonces la vía correcta sería a través del correo ordinario con una copia de nuestro DNI o a través de un correo electrónico firmado con nuestra firma reconocida y con el documento de petición también firmado electrónicamente. Siempre dirigido al responsable del fichero.

Como habíamos dicho, U_Pedro decide realizar un acceso a sus datos sobre el servicio S_Reja. Como quiere hacerlo correctamente, se prepara el modelo de petición de acceso de la AEPD y busca en la página web deformulario datos E_Beige su política de Privacidad, y esto es lo que encuentra: «Si es usuario de nuestros servicios puede ejercer los derechos de acceso, rectificación, cancelación y oposición poniéndose en contacto con nuestro administrador web». ¿El administrador del sitio web es el responsable del fichero? Puede ser :) Y un link hacia un formulario…

Sorprende como algunas organizaciones han entendido los artículos citados: un formulario web que nos da la oportunidad de realizar una petición de nuestros derechos. Imaginemos que esas peticiones acabarán llegando al responsable del fichero. ¿Pero como garantizamos nuestra identidad si el formulario sólo nos deja ingresar nombre, apellido y comentario? Sin comentarios… De todas formas, ellos han especificado esa vía gratuita, así que nosotros podemos utilizarla. En otro post veremos que soluciones ofrece PRiSE para empresas y organizaciones para resolver este problema.

Aún así, U_Pedro quiere hacer las cosas correctamente, así que busca en las agencias competentes los ficheros declarados por E_Beige para buscar el responsable del fichero y poder traspasar su petición. Otra sorpresa para U_Pedro, ninguno de los ficheros declarados hace referencia a la finalidad del servicio S_Oreja. Legalmente no existe tal responsable del fichero. Menos mal que nos queda utilizar ese formulario de la web. También veremos en otro post qué hacer si nuestros datos acaban en un fichero no declarado en ninguna de las agencias competentes.

Así que a U_Pedro no le queda otra opción que utilizar el formulario. Envía un comentario solicitando que datos tienen sobre él y en que fichero de la Agencia está inscrito. Sorpresa positiva: sólo tardan un día en responderle desde E_Beige. Sorpresa negativa: le contestan a través de un correo electrónico: «Usted mismo fue quien solicitó darse de alta. Si quiere le podemos dar de baja.» Y en otro correo: «Los datos que tenemos son los que facilitó a través de nuestro formulario».

CAPÍTULO II Derecho de acceso

Artículo 27. Derecho de acceso.

1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

U_Pedro no cree conveniente tal respuesta a su petición, por lo que así se lo hace saber a E_Beige, y como ésta no le ofrece ninguna otra respuesta que darse de baja, decide ponerse en contacto con la Agencia para comenzar el trámite de tutela de derechos, en particular, el de acceso.

Así que se descarga documento de tutela que la Agencia tiene publicado

  • Rellena todos los datos necesarios: sus datos de contacto, los datos de la empresa E_Beige (haciendo referencia al servicio S_Reja)
  • Marca la documentación aportada

Imprime una copia y la firma manualmente, e imprime también los correo de la respuesta de la empresa E_Beige.

Envía la documentación junto a una fotocopia de su Documento de Identidad a través de correo ordinario, para que su firma manual sea válida.

CAPÍTULO II Procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición

Artículo 117. Instrucción del procedimiento.

2. Recibida la reclamación en la Agencia Española de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinentes.

Esperaremos la resolución de la Agencia sobre la tutela de U_Pedro.

En otro post veremos cómo realizar la tutela de derechos a través de un canal totalmente telemático.

Atentos a PRiSE, que un simple acceso da mucho de que hablar…

Si eres el responsable de una empresa o organización y al leer este post te han surgido dudas sobre tu gestión de datos personales, ponte en contacto con nosotros para que te ayudemos.

(0) Comments    Read More   
Salvaguardando nuestras contraseñas
Archivado en la categoría (Identidad Digital, Protección de datos) por Teresa
Publicado el 08-11-2009

Lock

Las contraseñas (o passwords, como dirían nuestros amigos los anglosajones) son parte de nuestra vida desde mucho antes que Internet se colara en nuestras vidas. En 1967, John Shepherd-Barron inventó el concepto de PIN (Persona Identification Number o Número de identificación personal) cuando trabajaba en el primer cajero de un banco londinense. Su primera idea fue utilizar una contraseña de 6 dígitos, pero al hablarlo con su mujer ella prefería 4 dígitos, ya que le resultaba más cómodo de recordar.

Pero a raíz de la popularización de Internet, cada vez más utilizamos un par «nombre de usuario» y «contraseña» para leer nuestro correo, escribir un comentario en un blog o ver las fotos de nuestra familia.

Como el nombre de usuario es algo que nos identifica dentro de la comunicación social que ocurre en Internet no existe ninguna recomendación a la hora de definirlo desde el punto de vista de la privacidad, exceptuando aquellas fundamentales como no utilizar nuestro DNI.

Con respecto a la contraseña, existen muchas recomendaciones que debemos leer y aplicar siempre cuando tengamos que establecer una nueva contraseña, como las dadas por el equipo de seguridad de Microsoft o por Inteco. Como resumen, nosotros en PRiSE recomendamos las siguientes directrices:

  • Tamaño de la contraseña: podemos clasificar las contraseñas, en función del número de caracteres que tienen, en débiles si tienen menos de 8 caracteres, fuertes si tienen entre 8 y 13, y muy fuertes si tienen 14 o más caracteres.
  • Caracteres a utilizar: las contraseñas que sólo tienen letras son muy fáciles de adivinar por un software especializado. Se recomienda que la contraseña tenga más de un número y, además, al menos un caracter especial de alguno de la lista !@#$%^&*-+<>?{}[]_.
  • Cambiar la contraseña periódicamente: cuanto más tiempo utilices la misma contraseña, más probabilidad tienes que sea adivinada o «capturada». Lo mejor es que la cambies de vez en cuando.

Una manera bastante óptima de generar una contraseña segura es utilizar una frase que nos resulte familiar, como el de alguna canción favorita, y utilizar la primera letra de cada palabra. Sobre dicha cadena de primeras letras, reemplazamos algunas vocales o consonantes por números o caracteres especiales que visualmente no nos resulte diferente a la palabra que obtuvimos al coger cada primera letra de cada palabra. Por ejemplo, si nos basamos en la canción «La casa por el tejado» de Fito y Fitipaldis:

La casa por el tejado —> Lcpet —> L[p3t

Aunque lo más cómodo desde el punto de vista del usuario es tener una sola contraseña para todas las cuentas, ya que nos facilita recordarla y no tener que apuntarla en ningún post-it (nunca hagáis esto, ¿ok?), es mejor tener varias contraseñas, en función del uso que vayamos a darle. Obviamente lo ideal es tener una contraseña muy fuerte diferente para cada uno de los portales, pero si no compaginamos usabilidad con seguridad, el modelo termina siendo un fracaso.

En PRiSE creemos que sería conveniente que tuvieras los siguientes «tipos» de contraseñas:

  • Contraseña personal de baja seguridad: esta contraseña será fuerte (de 8 a 13 caracteres) y la utilizaremos en aquellas páginas web que requieran registro y en la que no almacenaremos información privada sensible nuestra, como ocurre al registrarnos en un foro o en un blog. Estos sitios suelen ser más sensibles a los ataques de gusanos o troyanos y si, en el peor de los casos, dejan al descubierto nuestra contraseña, no nos afectará en otros sitios más sensibles como un portal de compra on-line.
  • Contraseña personal de alta seguridad: esta contraseña es de tipo muy fuerte (14 caracteres o más) y la utilizaremos en páginas web donde haya información privada sensible, como suele ocurrir en Facebook o Tuenti, o para leer nuestro correo electrónico como gmail o hotmail.
  • Contraseña para el trabajo: esta contraseña, que será de alta o baja seguridad en función del uso que tenga en la infraestructura de nuestro trabajo, debe ser diferente a una de las anteriores. Esto debería ser así ya que, aunque no lo creamos, puede que algún día se la prestemos a alguien de confianza en el trabajo para que pueda realizar alguna actividad nuestra que en ese momento no podamos. Si esto pasa algún día, mejor que no sea la que utilizamos también para leer nuestro correo personal.

Desgraciadamente, estas recomendaciones que damos en esta entrada no son aplicadas tantas veces como quisiéramos. A principios de Octubre nos enteramos de que se habían filtrado 10.000 contraseñas de cuentas de Hotmail por una persona anónima. Sobre dicha lista de contraseñas, se ha realizado un estudio estadístico, y podemos resaltar las siguientes conclusiones:

  • Un 37% de las contraseñas eran de tipo débil (7 caracteres o menos), 56% eran de tipo fuerte (entre 8 y 13 caracteres) y sólo un 6% eran de tipo muy fuerte (14 o más caracteres).
Tipos de contraseña

Tipos de contraseña

  • Un 45% de las contraseñas contenían sólo letras, 19% contenían sólo números, 30% mezclaban letras y números y sólo un 6% utilizaban también caracteres especiales.
Caracteres en las contraseñas

Caracteres en las contraseñas

Estas estadísticas demuestran que todavía queda mucho en la educación del usuario a la hora de que elijan contraseña. Aunque hay que decir a su favor que los bancos siguen haciendo un «favor» al mantener el PIN de 4 dígitos, ya que, ¿qué hay más seguro que un banco? ;-)

* La foto del artículo es propiedad de Amagill y está licenciado por Creative Commons Attribution

(0) Comments    Read More   
«Las luces funcionan… Cumpliendo con la protección de datos personales»
Archivado en la categoría (Protección de datos) por PRiSE
Publicado el 05-11-2009

La AVPD pone a disposición de las Administraciones Públicas y al público en general la adaptación realizada del video educativo en protección de datos, orginal del Comisionado de la Información del Reino Unido (Information Commissioner´s Office, ICO).

El video es una breve introducción dramatizada a los principios de la protección de datos. Su uso está pensado como parte de un programa de sensibilización y formación para los trabajadores que ayude a las organizaciones en el cumplimiento de los requerimientos legales y en la adopción de buenas prácticas. También es un material de difusión válido para la ciudadanía. Su duración es 22 minutos, está editado en euskera y castellano.

Visualización del video (109 Mb): Calidad alta

Más información en la página de AVPD.

(0) Comments    Read More