lunes, 19 de septiembre de 2016

¿Reglamento General de Protección de Datos de la UE low cost?

    Las empresas deben irse preparando para cuando sea de aplicación el Reglamento General de Protección de Datos de la Unión Europea.
    ... La AEPD está comprometida con conseguir que la aplicación del RGPD se produzca con pleno respeto a sus disposiciones y, al mismo tiempo, con ofrecer la mayor flexibilidad posible...
    Esta cita está extraída de la nota de prensa titulada Implicaciones prácticas del Reglamento General de Protección de Datos para entidades en el periodo de transición. En ella la AEPD destaca aspectos que hay que empezar a tener en cuenta; y entre ellos cito:
    1. El consentimiento.
      • A partir de mayo de 2018 sólo serán válidos los tratamientos de datos cuando las personas hayan prestado un consentimiento conforme al considerando 25 del RGPD.
    El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. ... El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. ...
    1. La Información
      • Las empresas han de cumplir con cuestiones a las que actualmente no les obliga la legislación vigente, por ello se les recomienda que se vayan adaptando progresivamente para cumplir entre otros con el considerando 39 del RGPD.
    Todo tratamiento de datos personales debe ser lícito y leal. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. ... Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. ...
    La AEPD sugiere algunos medios para empezar a cumplir con la obligación de informar, tal y como se refleja en el artículo publicado en elEconomista.es titulado Protección de Datos aconseja ajustarse al nuevo Reglamento.
    Este periodo transitorio debería ser utilizado por las organizaciones para realizar una adaptación progresiva por varias vías. Por una parte, muchas organizaciones pueden proporcionar esa información adicional sin costes o esfuerzos excesivos utilizando para ello sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación.
    La información general puede ser realizada a bajo coste (low cost) desde una página web estática accesible por todos los clientes; pero personalmente creo que muchas organizaciones deberán implementar un portal web dinámico que permita a todos y cada uno de los clientes saber en todo momento qué tratamientos de todos los posibles que realiza la empresa se están realizando con sus datos. Además, el consentimiento y la información deben ser coetáneos, ya que el RGPD requiere que el consentimiento sea informado.
    "El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen,..."
    ¿Se puede considerar un consentimiento informado el que se dio tácitamente antes de la aplicación del RGPD? o ¿bastaría con publicar en una página web lo que la organización hace con los datos a día de hoy para cumplir con el RGPD? Desde mi punto de vista, no y no. Primero, porque fue un consentimiento tácito y no sería válido; segundo, porque cuando tácitamente fue prestado no hubo información de la finalidad para la cual se recogían los datos. Luego, la información ha de ser previa al consentimiento, y no al revés.
    Desde mi punto de vista, tampoco sería válido que la organización aproveche este periodo transitorio para publicar en su web todo tipo de tratamientos de datos que considere que podría realizar en un futuro para que así se considere lícito un hipotético tratamiento en base a que ya lo tenía previsto o lo venía realizando antes de la aplicación del RGPD.
    Esta cuestión ha suscitado cierta controversia en colectivos legales y técnicos donde se preguntan si habría que renovar todos los consentimientos tácitos, y mi respuesta es que si.
    Yo ni como ingeniero ni como abogado se que están haciendo con mis datos las operadoras telefónicas, entidades financieras, centros comerciales, ... Lo que si se es que seguro que soy un cliente más que alimenta el volumen de datos de algún Big Data desconocido para mi y que potencialmente podría reportar cuantiosos beneficios directa o indirectamente a sus propietarios, a la vez que perjudicar mis intereses personales.
    Creo que la finalidad del RGPD es devolver el control sobre los datos personales al titular de los mismos y para ello se hace inevitable que todas las organizaciones soliciten expresamente mi consentimiento, una a una y tratamiento por tratamiento, informándome previamente de qué datos recogen y con qué fin lo hacen.
    También hay que tener en cuenta que la autorización según el RGPD se da en un instante de tiempo y para una finalidad concreta, si la finalidad cambia o se modifica de forma sustancial, deberán de volver a recabar el consentimiento explícito. Junto con el consentimiento se debería de guardar la versión de la información que se suministró al usuario; y no debería de haber ninguna cláusula legal que indique que la información sobre el consentimiento será la vigente en una página web, salvo que previamente se recabe el consentimiento expreso de la modificación de la misma a todos y cada uno de los titulares de los datos.
    Inevitablemente, llegamos a un complejo sistema informático de gestión de consentimientos y esto ya no es low cost.
    La UE parece centrarse en proteger la privacidad de sus ciudadanos, mientras que algunos estarían dispuestos a vender sus datos por el módico precio de 694€ anuales. Bien mirado esto son casi 58 €/mes con los que podrías pagar el ADSL de tu hogar. Un análisis rápido del coste/beneficio creo que podría ser favorable a esta hipótesis.
    Para las operadoras europeas es una nueva oportunidad de dar un valor añadido a sus clientes. Según el siguiente artículo publicado en elconfidencial.com
    Parece que pretenden crear una gran base de datos en tiempo real que contendrá toda la información sobre sus clientes: localización, información sobre pagos que hacen, ‘apps’ que consumen, películas que ven, música que escuchan en 'streaming'... todo.
    ¡Un “gran hermano” que nos va a proteger de los norteamericanos!.
    Si esta nueva base de datos la hacen antes de la entrada en vigor del RGPD, bastará con un consentimiento tácito de sus clientes. Quizás en este momento, les baste con una nota en una factura, una ventana emergente, una carta que diga que si no te niegas serás incluido, ... Pero si así fuera, cuando empiece a aplicarse el RGPD no será válido su tratamiento y deberían de solicitar una autorización expresa e informada.
    Las operadoras demuestran que recogen muchos más datos de los que necesitán para dimensionar la red o gestionar sus servicios (v.g. apps que consumes o películas que ves) , y son muchos los interrogantes que surgen.
    ¿Agrupan todos los datos de todos sus clientes en una base de datos altruistamente con la única finalidad de evitar que las empresas americanas hagan uso de ellos?

martes, 14 de junio de 2016

¡Los datos están más ciberseguros en la nube! o ¿quizás no?.

En una interesante presentación sobre la privacidad de los datos tuve la oportunidad de oir los puntos de vista de un miembro de los cuerpos y fuerzas de seguridad del estado, un abogado, un informático y un hacker.
Pasando mis notas a limpio observo todavía con más vigor los diferentes puntos de vista con los que se puede ver esta cuestión.
Para el miembro de los cuerpos y fuerzas de seguridad del estado el cibercrimen esta aumentando y es difícil resolver los casos. Cada vez se producen más fraudes mediante el robo de datos; y recomienda no perder el control de tarjetas bancarias, DNI, ... documentos que a veces se facilitan con excesiva facilidad a cualquiera que los pide por Internet. 
Mediante la ingeniería social se producen un gran número de fraudes. Sorprenden las claves que algunos usuarios, que se pueden considerar expertos, utilizan : dadada o password. También sorprende que otros utilicen la misma clave en todos los servicios que usan, con lo cual conocida una los delincuentes tienen la llave de acceso a todas sus cuentas.
Actualmente se ha incrementado el robo de datos y la usurpación de cargos en las empresas. Una vez que los ciberdelincuentes se han hecho con ellos, solicitan la transferencia de fondos a los departamentos financieros sin que éstos lleguen a dudar de la veracidad de la petición. Recientemente se ha desarticulado una red dedicada a esta actividad y que habría conseguido lucrativos beneficios.
Según comenta, la información necesaria la obtienen con facilidad de las redes sociales donde los ciberdelincuentes aplican el Big Data para identificar a sus víctimas.
Además, no deja de sorprender que en la Deep web se compren y vendan datos como un servicio más, y donde el pago con Bitcoins hace que se pierda la trazabilidad de los pagos.
Para el abogado no existe una consciencia social sobre el problema del fraude y por lo tanto no se utilizan medios de protección.
Según comenta, todo lo digitalizable será digitalizado y susceptible de ser atacado.
Cita alguna conocida red social que guarda tanto los mensajes que se enviaban como los que no se enviaban, y es que dice más de una persona lo que calla que lo dice. La popularidad de las redes sociales llevan a que las empresas discutan o acuerden temas estratégicos a través de ellas con la confianza de que sólo los interlocutores participan en la conversación, pero ¿quién lo garantiza? Esa información nutre de mayor calidad a los análisis de Big Data y de información sensible de gran valor.
En no pocas ocasiones, por accidente alguna empresa ha sospechado que había accesos no autorizados a su red y cuando un experto lo ha analizado ha constatados que llevaban mucho tiempo haciéndolo. Las estadísticas no son excesivamente fiables porque las empresas no denuncian porque no lo saben o por mantener una reputación en la red.
Con el nuevo RGPD todas las empresas que traten datos de europeos se verán afectadas independientemente del país donde estén radicadas, por lo que empiezan a tomar conciencia del problema y de la potencial multa que impone el RGPD.
La falta de consciencia hace que actualmente estemos en un estado de autoprotección y hace falta que regulaciones transnacionales protejan los tratamientos de datos que se puedan realizar.
Para el informático los riesgos cibernéticos pasan por la posible pérdida de los datos que podría implicar la quiebra del negocio. Aquí, por experiencia propia, ¡estoy totálmente de acuerdo!
Entre los posibles fallos están los clásicos como : un fallo de suministro eléctrico, incendios, robos, ... y los ataques informáticos. Los ataques pueden ser tanto externos como internos y los más peligrosos son los internos. Contra los ataques externos es más fácil protegerse, ya que un trabajador descontento, despedido, ... que ha tenido acceso a información sensible, puede utilizarla para vengarse o comerciar con ella. 
Informes de ciberamenazas prevén que aumenten los secuestros de información, ataques a móviles, ... y es que ¡es muy valiosa la información empresarial de la que vives!.
Evidentemente las PYMEs no tecnológicas sufren un mayor riesgo puesto que la ciberseguridad no es una actividad propia de su día a día. Si para las grandes empresas la seguridad absoluta no existe, una pequeña PYME deberá valorar el riesgo, la visibilidad, la facturación y el nivel de seguridad mínimo. 
INCIBE ha desarrollado un kit de autodiagnóstico que se puede descargar en : 
Por último, el hacker se definió como alguien políticamente incorrecto, ya que sino sería experto en seguridad. Empezó comentando que hace 20 años quizás era controlable, pero hoy vivimos en una suerte de Matrix que si colapsa nos devolverá a la edad de piedra.
Emergentes sectores como el IoT con sus miles de wearables serán un nuevo objeto de deseo de los delincuentes y que les permitirán saber todo sobre quien los usa.
Todos atacan a todos y es curioso ver el mundo en ciberguerra como lo muestra Norse : 
Terminó comentando que existen países con riesgo digital donde será difícil que los inversores apoyen cualquier iniciativa empresarial.
Tras esta interesante presentación, la pregunta es ¿la nube mitiga el problema o lo empeora? y en este caso la respuesta es unánime y contraria a la nube, ya que te deja expuesto a un tercero, a sus medidas de seguridad y a su protocolo de recuperación.
Contrasta notablemente con el punto de vista de los comerciales de los servicios en la nube que aseguran que ellos inviertes más recursos, tiempo y dinero en este aspecto de lo que lo haría una pequeña o mediana empresa. ¡Esto debería ser un hecho sin lugar a duda!
La solución se puede tomar con una moneda a cara o cruz.
Si bien los proveedores de servicios en la nube son más seguros desde el punto de vista de la ciberseguridad, un posible acceso interno o externo no autorizado que afecte a los datos o aplicaciones de la empresa, puede obligar a utilizar copias de seguridad que el proveedor del servicio quizás también haya perdido y que el cliente tenga en un formato incompatible con el proveedor o quizás ni las tenga confiando en el nivel de servicio contratado.
En este punto habría que estar muy seguro de cuál sería el protocolo de actuación del proveedor del servicio y cómo se recuperaría del bloque o pérdida de los datos.
También hay que valorar que quizás los centros de proceso de datos del proveedor son más atractivos para los ciberdelincuentes que los servidores de una PYME, por lo cual al estar en la nube has aumentado tu riesgo.
Sin olvidar que si hay un ataque interno o externo a su centro de proceso de datos y tiene éxito, los datos de todos sus clientes se podrían ver comprometidos.
O sea, que la PYME que en su día a día se dedica a otras materias, tendrá que buscar un rato para especializarse en ciberseguridad y evaluar el riesgo que correrán sus datos.
Por último y antes de tomar la decisión, no hay que olvidar leerse el contrato ya que seguramente el proveedor limitará su responsabilidad al importe de las cuotas de servicio abonadas por el cliente y preguntar sobre las coberturas de su ciberseguro.
En el artículo El impacto de la fuga de datos: 4 razones para tratar de evitarla se comenta un reciente caso que es un buen ejemplo de los riesgos comentados:
Cada vez es mayor la cantidad de organizaciones que migran parte de sus operaciones a la nube, así como las nuevas empresas que solo operan por Internet; por eso es importante estar preparados para todos los tipos de amenazas que puedan llegar a afectar el flujo normal de las operaciones. Esto es algo que las pequeñas empresas que contrataron los servicios de Moonfruit descubrieron en 2015, cuando el creador de sus sitios web los dejó offline como medida de seguridad… justo en la temporada navideña.
 El caso de Moonfruit sirve de ejemplo de cómo otros sitios web podrían manejar estas situaciones:

martes, 12 de abril de 2016

Los clientes no están en las nubes y tienen dudas sobre el Cloud

¿La cloud es segura? ¿Cumple con la normativa legal? ¿Los datos están seguros?
¿Realmente me ahorro dinero? ¿Cuánto es la inversión inicial? ¿Qué coste tengo mientras migro a la Cloud?
¿Qué ocurre con mi Legacy" ¿Pierdo el control de mi TI?
¿Cómo funcionan los SLAs? ¿Qué ocurre si se cae el servicio?
¿Puedo cambiar de proveedor Cloud? ¿Puedo tener varios?
Así  empezaba una presentación de uno de los congresos anuales que difunden las bondades del Cloud computing. 
Entre las preguntas las hay técnicas y legales, y es que el público asistente se repartía entre ingenieros y abogados al 50%. 
Las preguntas que realizaba el público asistente eran más legales que técnicas y en varias ocasiones el ponente se excusó diciendo que no era abogado o pidiendo que la consulta se trasladara al departamento legal.
¿Se cumple con la LOPD? ¿Dónde están mis datos? ¿Cómo puedo verificar que se cumple el LSA contratado?
Muchas son las preguntas y pocas las respuestas. Hay que hacer un acto de fe en que todo irá bien.
Ese mismo día se produjo hecho que llenaría los periódicos del día siguiente.
En El Confidencial el articulista se pregunta si ¿podemos estar tranquilos?
La culpa no es de un tercero
Entre las escasas explicaciones que ING ha dado como posibles causas del parón está, básicamente, la echar la culpa a un tercero. Los bancos trabajan con decenas de provedores informáticos para múltiples servicios: 'scorings' de hipotecas, brokers, gráficas que analizan las finanzas de los clientes, el 'chat' de asistencia... todo eso se suele contratar a terceras compañías que integran sus sistemas con los del banco. ¿Podría tener la culpa un tercero, como ha dado a entender ING?
"Para que un fallo en la plataforma de un tercero te tumbe todos los sistemas tiene que ser uno realmente grande, uno del que tengas una dependencia enorme. Hasta hace dos años no existía esta situación. Si eso ha cambiado, cosa que me extraña, sería un error ya que acabas dependiendo de una tercera compañía que no controlas al 100%. Puede que algún proveedor de los nuevos, de todas estas empresas 'fintech' que ofrecen visualizaciones y gráficas, haya tenido un fallo. Pero aún así, ¿por qué no mostrar la web antigua mientras resuelves el problema en la nueva? Ambas estaban caídas", explica Asensio.
Leer más: Apagón de ING en internet: ¿qué (o quién) ha tumbado su web durante todo un día?. Noticias de Tecnología http://goo.gl/otTH6o 
Un espectacular fallo que empequeñece otros anteriores, como los recogidos en el artículo: 9 Spectacular Cloud Computing Fails.
Buscando artículos que trataran sobre las debilidades del Cloud llegué a "Cloud computing : Recurso o problema" que trata sobre: Protección, acceso, transparencia, privacidad y confidencialidad. La presentación termina con una fábula de Esopo que nació aproximadamente en el año 500 a.c. y todavía hoy tenemos que tener en cuenta su moraleja.
Fábula de Esopo : El lobo y el pastor
Observó un pastor que siempre que sacaba a pastara su rebaño de ovejas, un lobo les observaba desde la distancia Al principio el pastor tenía cuidado de él como enemigo natural que es de las ovejas, pero como pasado el tiempo el lobo en ningún momento intentó robo ni trató de dañar a su rebaño, llegó a pensar el pastor que más que una amenaza podía considerar a aquel lobo como un aliado guardián.
Cierto día en que el pastor tuvo necesidad de ir al pueblo dejó sus ovejas junto al lobo y se marchó sin ningún temor, seguro de que bajo su custodia estarían a salvo.
El lobo, al ver llegar por fin el momento oportuno para dar rienda suelta a sus instintos, , se lanzó sobre el rebaño y mató a un buen número de carneros.
Cuando regresó el pastor tomó conciencia de su enorme equivocación, y dijo “Bien merecida tengo esta desgracia; porque sólo un imprudente tiene ocurrencia tal como la de dejar a un lobo al cuidado de las ovejas”
Moraleja
Dejar tus bienes al alcance de los codiciosos, trae efectos desastrosos
Lo interesante de la Cloud es que te ofrecen IaaS, PaaS,  SaaS, ... pero si surgen los problemas legales te puedes encontrar con que la responsabilidad es tuya por haber dejado tus datos en un proveedor que no era lo suficientemente bueno en su tratamiento, almacenamiento, ...
¿Hay que hacerse un especialista en la Cloud para poder analizar los riesgos del proveedor y después olvidarlo todo para centrarte en tu negocio?
Por si acaso habrá que dedicar al menos una tarde a leerse alguna guía de seguridad:. 
Sin olvidar los aspectos legales, ya que como se detalla en un excelente artículo del despacho de abogados “Ucelay“ titulado 
La contratación de servicios en la nube que permiten trabajar, almacenar o gestionar online no siempre cumple con la normativa aplicable en protección de datos (LOPD).En este sentido, el hecho de estar masivamente adoptados no impide que su uso se pueda considerarse ilegal y su empleo gravemente sancionado.
A mediados de marzo, estaba en una cena con otros abogados y uno me preguntó: ¿cómo desapareció www.ForInfor.net de Internet?
De nuevo le relaté los hechos acaecidos en 2005 y la sentencia de 2013. Donde el Internet Service Provider, que hoy diríamos que era un Cloud Service Provider, resolvió unilateralmente un contrato de ADSL, hosting, ... que hoy encajaríamos en IaaS, y donde el juez sentenció que debía aplicarse la cláusula de limitación de responsabilidad del contrato para compensar una negligencia que dio lugar a la destrucción total del negocio virtual. En esta sentencia se manifestó la "supercláusula de limitación de responsabilidad" donde se pueden incumplir todas las demás cláusulas del contrato por el módico precio de las cuotas que se paguen por el servicio.
Perplejo por el hecho y la sentencia me preguntó : ¿ésto podría volver a pasar hoy?
La respuesta no podría ser otra que una pregunta : ¿qué ha cambiado desde entonces?
El tiempo nos sitúa en escenarios más virtuales donde ya no sólo son los pequeños los que se exponen. Con el reciente caso de ING, eldiario.es plantea una nueva pregunta:
Seguramente los daños causados a ING no sólo afecten a su imagen, si no que generen cuantiosas indemnizaciones a sus clientes.
¿Los repetirá contra el supuesto tercero causante del fallo? 
¿Le aplicará la "supercláusula de limitación de responsabilidad"?.
Hay que leer con cuidado los acuerdos de nivel de servicio (ANS o LSA) no sea que lo máximo que se obtenga sea un descuento en la próxima factura. 

jueves, 10 de marzo de 2016

El reglamento sobre protección de datos llega con multas espectaculares

El próximo reglamento de protección de datos unificará las normas aplicables en los países de la Unión Europea.
El reglamento contempla la responsabilidad tanto del que recoge los datos como la del que los procesa con multas que llegan al 4% de la facturación mundial o 20.000.000 €.
Según se publica en la web del Parlamento Europeo, literalmente, Las nuevas reglas sobre protección de datos sitúan a los ciudadanos en el asiento del conductor.
Los objetivos son mejorar la certeza jurídica y la confianza en el mercado único digital para los ciudadanos y empresarios. 
Las nuevas reglas reemplazarán a las actuales leyes sobre protección de datos en toda la Unión Europea, con lo cual la actual LOPD y su reglamento quedarán desplazados por la primacía del derecho europeo. Por ejemplo, ya no será obligatoria la inscripción de los ficheros de datos personales, pero habrá que hacer análisis de riesgos en cuanto a la seguridad de los datos personales.
A día de hoy, el documento todavía no ha sido traducido al español, así que voy a hacer un resumen de lo más significativo.
Los cambios más importantes que avanzan son:
  • Consentimiento claro y afirmativo. Una posible manera de implementarlo sería haciendo que el visitante de un sitio web tenga que marcar una caja de chequeo que autorice expresamente el tratamiento de sus datos personales. El silencia, es decir, si la opción ya estuviera marcada o el visitante no la activara, no habrá consentimiento. Además, debería ser igual de sencillo el proceso para retirar el consentimiento.
  • Menores en las redes sociales. Los menores de cierta edad deberán obtener el permiso paterno para poder abrir cuentas en las redes sociales (v.g. Facebook, Snapchat, ...). Se prevé que cada estado miembros puedan fijar libremente la edad entre los 13 y los 16 años.
  • Derecho al olvido. Los consumidores tendrán derecho a que sus datos personales sean borrados de las bases de datos de las compañías que almacenen sus datos personales, siempre que no haya  legitimidad para mantenerlos.
  • Derecho a saber cuándo tus datos han sido "hackeados". Las empresas y organismos deben notificar con celeridad a la autoridad de supervisión nacional de las brechas de seguridad que se produzcan en los datos para que los usuarios puedan tomar las medidas necesarias.
  • Lenguaje plano. La información debe de darse en un lenguaje claro antes de recoger los datos.
  • Multas. Hasta un 4% de la facturación mundial
  • Las empresas tendrán que tener un DPO (Data Protection Officer). Si manejan una cantidad significativa de datos sensibles o monitorizan el comportamiento de múltiples clientes. Las empresas cuyo objeto de negocio no sea el procesado de datos, no tendrán que tener un DPO. 
Se espera que sea aprobado en la primavera de 2016 y que sea de aplicación en 2018.

miércoles, 24 de febrero de 2016

Problemas en la nube : El puerto seguro (safe harbor) ya no es seguro y hay que usar el escudo de privacidad (Privacy Shield)

El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos 
El 5 de Octubre de 2015 los servidores de datos alojados en Estados Unidos dejaron de ser seguros por dos motivos:
Entonces, ¿en qué situación quedan los datos de los clientes que han contratado o usan algún servicio en la nube (cloud) que aloja sus datos en servidores alojados en Estados Unidos?
El 16 de octubre, las 28 las autoridades nacionales de protección de datos emitieron una declaración sobre las consecuencias de la sentencia;
In conclusion, the Working Party insists on the shared responsibilities between data protection authorities, EU institutions, Member States and businesses to find sustainable solutions to implement the Court’s judgment. In particular, in the context of the judgment, businesses should reflect on the eventual risks they take when transferring data and should consider putting in place any legal and technical solutions in a timely manner to mitigate those risks and respect the EU data protection acquis.
Al seguir utilizando estos servidores se está producido una transferencia internacional de datos a un país sin las suficientes garantías y que según el art. 34 de la LOPD requeriría:
  • Autorización de la Directora de la Agencia Española de Protección de Datos.
  • Como supuesto legalmente excepcionado, Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
La primera opción sería la más discreta para los afectados, ya que la segunda requeriría contactar con todos y cada uno de sus clientes para solicitar su consentimiento expreso a dicha transferencia. Interesante problema se plantea si hay clientes que lo consienten y otros que no.
Supongo que la opción que habrá adoptado la mayoría de las empresas afectadas será simplemente esperar al sucesor del puerto seguro que ha sido bautizado como el Privacy Shield o escudo de privacidad. Evidentemente, asumen el riesgo de ser multadas o demandadas por  los afectados por esta transferencia internacional de datos no consentida. Aunque de momento las Autoridades de protección de datos han anunciado que no planean realizar acciones coordinadas de aplicación de la ley.
El 2 de febrero de 2016 se alcanzó un acuerdo político
La Comisión Europea y EEUU anuncian un acuerdo para la realización de transferencias internacionales de datos
Las 3 claves del escudo de privacidad UE-EEUU
  • Obligaciones rigurosas para las empresas que trabajan con los datos personales de los europeos y estricta aplicación:
  • Salvaguardias y obligaciones en materia de transparencia claras para el acceso de la administración estadounidense
  • Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso
Muy resumidamente, lo que hace es diferenciar los datos de los europeos del resto de individuos, garantizando: el nivel de protección requerido por la UE a los primeros.
El mismo documento anterior, indica los pasos siguientes:
El Colegio ha encargado hoy al vicepresidente Ansip y a la Comisaria Jourová que preparen un proyecto de «decisión sobre el carácter adecuado de la protección» en las próximas semanas, que pueda ser adoptada por el Colegio, previo dictamen del Grupo de Trabajo del artículo 29 y previa consulta de un comité compuesto por representantes de los Estados miembros. Mientras tanto, del lado estadounidense se realizarán los preparativos necesarios para establecer el nuevo marco y las modalidades de seguimiento y nombrar al nuevo Defensor del Pueblo.
Ahora faltan semanas hasta que se desarrolle y, mientras, los problemas en la nube se diversifican:
  • La Directiva NIS (Network and Information Security) quiere establecer un nivel de ciberseguridad homogéneo en la UE.
  • El Reglamento General de Protección de Datos será aprobado en los próximos meses y se espera que aplicable en 2018. Cambia el procedimiento establecido en la LOPD y habrá que evaluar los riesgos. Entre los cambios está la responsabilidad tanto del que recoge los datos como la del que los procesa, con multas que pueden llegar a 20.000.000 € o el 4% de la facturación anual.
Infografía cortesía del Consejo de la UE
Las nubes que se divisan en el horizonte de la UE traen cambios para el 2016 y habrá que estar atentos a las reformas de la UE relativas a la Protección de Datos.

lunes, 18 de enero de 2016

Reclamación contra ISP por modificación del precio

Dada la impunidad con la que las operadoras modifican los términos contractuales interpretándolos como mejor les conviene, qué mejor negocio que ofertar un precio y modificarlo cuando les parece oportuno.
Los usuarios no saben que hacer cuando se encuentran en esta situación, y algunas asociaciones de consumidores intentan reclamar y se encuentran con situaciones como la descrita en este enlace; y siguiendo su lema "¿Te gusta este contenido? ¡Compartir es vivir! =)" me permito extractar lo siguiente:
Sorpresa: “Para siempre” no significa “para siempre”Al igual que ocurrió con la fibra óptica, el cambio en las condiciones de su tarifa de ADSL rompe con la promesa comercial de Movistar, que aseguraba que los precios originales eran “para siempre”.
Movistar se está acostumbrando a cambiar las condiciones de contratación de sus tarifas a su antojo, lo que le ha costado no solo las quejas de los usuarios afectados, sino demandas por parte de organizaciones de consumidores.
De hecho, Facua ha anunciado recientemente que su escrito contra la compañía ha sido admitido a trámite por elJuzgado de lo Mercantil número 8 de Madrid; y la ‘broma’ podría salir cara al operador si tenemos en cuenta que de llegar a buen puerto podrían tener que compensar a los casi cuatro millones de clientes afectados.
Lo más sorprendente de toda esta trifulca dialéctica y legal fue la explicación que desde Movistar dieron para justificar las subidas de precio: “La acepción etimológica del término ‘Para Siempre’ significa ‘por todo tiempo o por tiempo indefinido’ e indefinido supone ‘que no tiene término señalado o conocido’, en contraposición a las ofertas promocionadas con un término de vigencia reducido en el tiempo”.
Una argumentación que Facua consideró “tan enrevesada que parece de chiste, al tiempo que resulta insultante para los usuarios“.
Puede parecer hilarante y poco ajustada a derecho la respuesta para el cliente que ve como le incrementan el precio cada poco tiempo ofreciéndole una calidad de servicio que ni demanda ni requiere; pero refleja perfectamente el nivel al que se plantean estos temas legalmente.
Solo estas dos subidas de 5 y 3 euros aplicadas a los 4 millones de clientes, que estima el artículo anterior, le reportan a Movistar 32 millones de euros al mes. Cantidad suficiente como para filosofar sobre la etimología del Derecho mismo. Qué desilusión para los teóricos del Derecho que pensaban que servía para proteger al débil frente al poderoso e igualar los derechos y obligaciones de los hombres. ¡Claro que los romanos no tenían operadoras en la nube!.
Y como esta insignificante subida reporta beneficios millonarios, pues la competencia también la aplica:
¿Qué puede hacer el consumidor afectado?
Ponerse en contacto con una organización de consumidores que llegado el caso podrá presentar una demanda en defensa de los derechos de los mismos, o actuar directamente.
En mi caso, la subida fue de 10€ en la cuota mensual y un cambio de contrato del que no tuve constancia hasta que pedí explicaciones del importe que me estaba facturando mi operadora.
Lo primero que hay que hacer es interponer una reclamación directamente a la operadora e ir registrando cada contacto telefónico que se tenga con ella (mejor si se graban las conversaciones con sus operadores telefónicos). La operadora debería abrir una reclamación interna que tramitará y cuyo resultado comunicará al consumidor. Es importante que nos den el número de reclamación para hacer referencia a ella en futuros contactos.
Desde el primer contacto, lo mejor es empezar a anotar en una hoja cuando hemos tenido el contacto, quién fue el interlocutor, el motivo, si hay algún acuerdo, ... Todo ello, nos servirá posteriormente para documentar la reclamación.
Si pasado un tiempo prudencial no tenemos noticias de la operadora, deberemos volver a contactar con ella para pedir información del estado de la reclamación.
Si la reclamación ha sido cerrada de forma insatisfactoria para el consumidor, y consideramos que tenemos razón, el siguiente paso será reclamar en la Oficina Municipal de Información al Consumidor (OMIC).
Hay que tener en cuenta que es gratis, no se requiere un abogado y cualquier consumidor puede dirigirse a su OMIC para plantear una reclamación.
La reclamación no tiene que realizarse obligatoriamente en los formularios oficiales ni que seguir un formato fijo ni que presentarse personalmente; basta con que se exponga con claridad y ordenadamente lo sucedido, lo que se pide, y sobre todo las pruebas con que se cuenta.
Un ejemplo concreto, es el siguiente:
El 3 de Diciembre de 2014 presenté una reclamación a través del Registro electrónico del Ayuntamiento de mi localidad, dirigiéndola a la OMIC. El propio Ayuntamiento es el que la redirige al organismo adecuado.
La exposición de los hechos resume lo acaecido:
EXPONGO QUE:
XXX me ofreció por SMS mejorar sustancialmente las prestaciones de su servicio de ADSL sin incremento de coste.
La oferta consistía en:
  1. Duplicar gigas móvil
  2. Hasta 80 canales de televisión
  3. Renovar móvil por 0€
Todo ello, manteniendo la velocidad de 100Megas y el precio de 49,90 euros/mes que tenía.
Acepté la oferta y posteriormente intentaron que aceptara un incremento de la cuota mensual
de casi 10 euros sin IVA (aproximadamente un 19%).
Como no lo acepté cambiaron sin previo aviso la cuota mensual.
Todo ello, sin posibilidad “técnica” de volver a las condiciones originales porque el tipo de
contrato de partida ya no existe.
Destacar que no he recibido ni el móvil a 0€ ni tenía idea de que me hubieran facilitado los
80 canales de televisión.
Aunque no sería necesaria, para mi la mejor descripción de los hechos, es mostrar cronológicamente como se han desarrollado. Indicando el día, los interlocutores, el motivo del contacto, si hay algún acuerdo, ...
Por ejemplo:
...
...
Como ves la reclamación interna de la operadora puede dilatarse durante semanas o meses. No queda más remedio que ser paciente, pero una vez iniciada no prescriben ni caducan tus derechos.
Tras la exposición de motivos y la cronología de los hechos, indicamos claramente la petición que realizamos a la OMIC.
La petición puede ser la devolución de un importe facturado indebidamente, el cumplimiento de una obligación adquirida, ... o bien denunciar unos hechos que consideras ilegítimos.
Por ejemplo:
PIDO QUE:
Valoren las posibles irregularidades cometidas por XXX en lo que considero una
campaña de publicidad engañosa y dirigida a incrementar un 19% la cuota mensual de sus
consumidores y usuarios.
Destaco:
  • La publicidad engañosa que XXX envía a través de SMS a sus clientes para incitarles a cambiar de contrato.
  • Acepte el cambio y posteriormente intente que sea el cliente el que acepte voluntariamente el incremento de la cuota mensual.
  • El hecho de que XXX ofrezca “por el mismo precio” incrementar los servicios prestados sin que los clientes los hayan solicitado, y posteriormente “renombre los contratos” incrementando las cuotas mensuales.
  • Todo ello sin pedir el consentimiento del cliente y sin ofrecerle un plazo para que pueda cambiar de proveedor de servicios si no le interesa.
Por todo ello, pido que XXX llame como quiera al contrato, pero mantenga el nivel
de servicio que tenía cuando lo llamaba “YYY” con la cuota de 49,90 euros/mes.
Además, deberían valorar que ya que lo ha ofertado por “el mismo precio” que cumpla
con todo lo ofrecido en el SMS que recibí el 23 de Septiembre de 2014. Es decir:
  1. Que dupliquen los gigas del móvil
  2. Que ofrezcan los 80 canales de televisión.
  3. Que me envíen el código para que pueda renovar el móvil de aproximadamente unos 150 euros.
Sin otro particular, reciban un cordial saludo.
Por último hay que adjuntar las pruebas que tengas: transcripción de las grabaciones de las conversaciones mantenidas, copia de los SMS recibidos, facturas anteriores y posteriores, contratos, ...
La OMIC te comunica la recepción de la reclamación y su tramitación si procede.
El 12 de Enero de 2015 la OMIC me envía la contestación de la operadora en la cual insisten en que "según sus archivos" el cambio de contrato y tarifa lo solicité yo, y que todo era correcto.
Visto lo cual, la propia OMIC me facilita los formularios para continuar con la reclamación a través del Sistema Arbitral de Consumo.
De nuevo a través del Registro electrónico y limitándome a hacer referencia al escrito de reclamación presentado en la OMIC y a la contestación recibida, solicito el Arbitraje.
El 15 de Junio de 2015 me hacen llegar una propuesta de acuerdo por parte de la operadora que viene a decir :
... en atención a las alegaciones del cliente y con el ánimo de solventar la presente reclamación, hemos resuelto el abono de ... euros, de la diferencia de los citados servicios desde la fecha de alta (17/10/2014) hasta fecha de hoy, así como la finalización del compromiso del servicio ZZZ e indicando al cliente que desde fecha de hoy, puede solicitar el cambio del contrato ZZZ al que mejor se adapte a sus necesidades, o continuar en el actual contrato con las tarifas vigentes.
... 
Con respecto al terminal móvil a coste cero, les informo que en nuestra página web, figuran actualmente varios modelos a coste cero al adquirir un compromiso de permanencia, para cliente con línea fusión. El cliente puede solicitar en nuestra web el terminal que mejor se adapte a sus necesidades.
Si no aceptara estos términos, podría pedir que se siguiera adelante con el Arbitraje. No fue el caso y acepté los términos de la transacción.
Sorprendentemente las facturas de los meses posteriores seguían siendo las mismas y no se me devolvía el importe facturado en exceso. 
El 17 de Agosto de 2015 contacto para pedir alguna explicación y no tienen constancia del acuerdo alcanzado, tengo que insistir y finalmente me devuelven el importe comprometido, pero en ese momento no tenían terminales a coste cero en su web, así que nunca lo recibí.
Podría haber seguido reclamando el cumplimiento de lo acordado, pero es mejor cambiar de operadora.
Según leo la vía judicial ya tiene un precedente en el que "Un juez anula una subida de precios de Movistar Fusión por incumplir un contrato ofrecido "para siempre". Según dice el artículo la sentencia puede ser recurrida por lo que todavía no es firme. En cualquier caso, una gran noticia y una vía más de reclamación.. Como lo normal es que el importe que se haya facturado de más sean unos pocos cientos de euros, esta demanda se tramitaría en un juicio verbal donde no se requiere la asistencia de abogado ni procurador. Con el mismo contenido que solicitarías el arbitraje podrías rellenar el formulario y presentar la demanda de juicio verbal en el juzgado.
Mientras sólo reclame un pequeño porcentaje de los consumidores seguiremos leyendo titulares como éste : FACUA denuncia a Vodafone por la subida de tarifas que aplicará en abril a todos sus clientes

jueves, 14 de enero de 2016

Cambios en las Condiciones Generales de contratación de forma unilateral

Cuando veo que hay entradas de este blog que han sido visitados desde países de los cinco continentes, me pregunto si los sistemas judiciales y legislativos tienen un funcionamiento análogo o, si  por el contrario, les llama la atención las diferencias.
Evidentemente, con la globalización de servicios y proveedores estos casos jurídicos tienen una importancia vital para pequeños empresarios y emprendedores, ya que el Derecho Internacional puede hacer que terminen litigando en situaciones similares.
En el origen de este blog está el incumplimiento de la Condiciones Generales (CG) de un proveedor de servicios de internet, y en aquel momento, su contrato decía:
De la lectura literal se entiende que con publicar en su página web los cambios de las CG 30 días antes de su entrada en vigor era suficiente.
Como sentenció la Audiencia Provincial de Madrid en 2013, basta con enviar un correo a la cuenta que utilizaras en el momento de contratar el servicio unos instantes antes de cancelar el contrato, para que no considere la existencia de dolo por parte del proveedor y por lo tanto no tenga que asumir las consecuencias económicas de la misma.
Es un caso extremo sin apenas coste cuando es el proveedor el que cancela el contrato, así que variar alguna cláusula de las CG no les debería preocupar lo más mínimo. Diferente es por ejemplo cuando el cliente un día revisa sus recibos bancarios y ve que le están cargando una cantidad mayor desconociendo el motivo.
Después de buscar las CG de un ISP cualquiera como Orange, por fin encontré el enlace en uno de sus contratos.
Están escaneadas con una resolución de 1200ppp de un DIN A4 que contiene el "Formulario de contratación para los servicios de Orange del mercado residencial. Ofertas de ADS+Llamadas con Línea Orange". Recomiendo utilizar el zoom para poder leer la letra pequeña.
Por si acaso no la puedes leer, la url es http://www.Orange.es/legal. Desde ella te puedes descargar las CG que hoy son las siguientes:
En 2015 sigue diciendo que pueden modificar cualquier cláusula del contrato o parámetro del servicio con un preaviso de un mes.
Cualquier modificación unilateral de Orange será aplicada al cliente salvo que este decida resolver el contrato antes de su entrada en vigor, en cuyo caso no le aplican penalización alguna.
La redacción de esta cláusula es similar en otros ISP, por ejemplo Movistar incluso llega a decir que el cliente podrá resolver el contrato "sin perjuicio de otros compromisos adquiridos por el Cliente".
Y dado que las CG las varían los ISP cuando quieren hay que tener en cuenta que sólo será aplicable la vigente el momento de producirse el conflicto que pueda originar una reclamación y que no tiene que ser la última publicada.
Entonces cómo saber cuál es la aplicable en un determinado momento de tiempo, en Movistar lo han resuelto con un histórico de CG donde se ven algunas cuyo período de vigencia apenas ha sido una semana.
Esto es en el ámbito de los particulares, ¿será igual para los profesionales y empresas?. Tendré que analizarlo, pero lo que es seguro es que si una cláusula de las CG de contratación es abusiva para los particulares será nula por las leyes de protección de los mismos, y para los profesionales y empresas será válida.
Dado que varían con tanta frecuencia yo recomendaría a los equipos jurídicos que utilizaran herramientas de control de versiones para facilitar el seguimiento de los cambios en las CG y a los clientes que tengan que hacer valer unas determinadas CG que pidan una acta notarial que las detalle. No dejan de ser unos ficheros alojados en los servidores del ISP.
También hay que tener en cuenta que hoy en día es frecuente la contratación telefónica donde el ISP graba al Cliente y, el Cliente debería grabar al ISP cuando le realiza las ofertas telefónicas para evitar sorpresas como las que puedes leer haciendo click en este enlace.
Y si a pesar de todo te suben el precio del servicio sin previo aviso, en la siguiente entrada te contaré cómo reclamar tus derechos a través de la OMIC y el Arbitraje.