La AEPD multa con un millón de euros a EQUIFAX por gestionar un fichero de morosos ilegal

La compañía recopilaba datos personales de supuestos deudores a través de boletines y diarios oficiales incumpliendo la normativa

Un millón de euros de multa. Ese es el importe que la Agencia Española de Protección de Datos (AEPD) ha impuesto como sanción a la compañía EQUIFAX por incumplir la normativa en materia de protección de datos.

La multinacional con filial en España (EQUIFAX IBÉRICA, S.L.) se encarga de la elaboración de informes de solvencia e historial crediticio de personas. Informes que son puestos a disposición de empresas (sus socios) y que la compañía explota comercialmente alcanzando una cifra de negocio, a fecha 31/12/2019, que ascendió a 42.259.655 €.

Debido al funcionamiento de uno de sus registros, la Agencia recibió cerca de un centenar de reclamaciones informando de diversas situaciones: inclusión de datos personales sin consentimiento, imposibilidad en la contratación de créditos o préstamos debido a la inclusión en ficheros de morosidad por deudas inciertas, etc.

A raíz de la investigación realizada por la AEPD, se constató que la información afectada provenía del denominado Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) propiedad de EQUIFAX. Un sistema de información crediticia que se nutría principalmente del Tablón Edictal Único del BOE (TEU-BOE), de los diarios oficiales de las Comunidades Autónomas, de los Boletines Provinciales (BOP) y a través de la sede electrónica o física de organismos o entidades de Derecho Público. En otras palabras, y según la denunciada, los datos eran obtenidos «de registros y fuentes accesibles al público» y se incluían en el FIJ para su consulta.

Las fuentes accesibles al público es un concepto que existía en la anterior Ley Orgánica de Protección de Datos (LOPD 15/1999), pero que ya no se aplica con el Reglamento General de Protección de Datos (RGPD). Tanto es así, que la Agencia insiste en este aspecto aludiendo a varios informes:

“[…] ya en la 10ª sesión anual se expuso que con el RGPD no puede hablarse de un concepto legal de fuente de acceso público como la existente con la anterior LOPD. El artículo 14.1 f) del RGPD tan sólo menciona dicho concepto para establecer la obligación del responsable del tratamiento de facilitar al interesado la información de si sus datos personales proceden de fuentes de acceso público, pero sin definir estas”.

Informe 136/2018 – Agencia Española de Protección de Datos

Es necesario tener en cuenta que las publicaciones de datos personales a través de boletines oficiales asociados a una supuesta deuda responden a la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial. Estos datos, por tanto, no podrían ser utilizados por terceros para otra finalidad tal y como detalla la Agencia Estatal Boletín Oficial del Estado atendiendo a las consultas realizadas por parte de varios afectados:

«De conformidad con lo anterior, esta Agencia Estatal considera que la reutilización de datos de tipo personal como nombres, apellidos, DNI asociados a deudas, publicados en el BOE, que vd. solicita, no sería un tratamiento lícito de datos de carácter personal de los previstos en el art. 6 de RGPD y, por lo tanto, de acuerdo con lo regulado tanto en el Reglamento (UE) 2016/679 como en el Ley orgánica 3/2018, de 5 de diciembre, no deben ser objeto de reutilización por terceros.»

¿Qué ha incumplido EQUIFAX con este fichero de morosos?

Principio de limitación de la finalidad

Este principio establece que «los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados […] de manera incompatible con dichos fines.»

En este caso, el origen de los datos, como ya hemos visto, proviene principalmente de diarios y boletines oficiales. Datos que han sido publicados para una finalidad concreta (interés público) y amparada por una norma con rango de ley.

Sin embargo, la finalidad que EQUIFAX persigue es otra finalidad distinta al interés público: la evaluación de la solvencia de los afectados y a la prevención del fraude.

Principio de licitud

El artículo 5.1.a) del RGPD requiere que los datos personales sean tratados de manera lícita, leal y transparente.

Entenderemos que un tratamiento es lícito cuando «el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.»

El interés perseguido por el responsable deberá ser, por tanto, legítimo para ser lícito. Dentro de esa licitud, durante el procedimiento llevado a cabo por la Agencia, EQUIFAX alegaba que el interés jurídico perseguido a través de su registro era conocer las deudas y reclamaciones de las personas físicas para dar «seguridad al tráfico mercantil», «prevenir la morosidad» y «valorar la solvencia patrimonial» de esas personas. Intereses incompatibles con respecto a la finalidad a través de la cual los datos fueron comunicados.

Principio de exactitud

El artículo 5.1.d) exige que los datos personales deben ser «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.»

Ha quedado acreditado que la información recabada por EQUIFAX a través de su FIJ se ha mantenido a lo largo del tiempo sin actualizar durante un plazo máximo de seis años. Duración que la información se mantenía en el fichero desde que esta era publicada en algún diario o boletín oficial, salvo que el afectado hubiese ejercitado el derecho de supresión o rectificación.

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Aparte de que la información pudiese no ser exacta porque no estaba actualizada o contrastada se le suma otro inconveniente: la identidad de los presuntos deudores. Las publicaciones de las que el fichero recaba la información no siempre permitían identificar de manera exacta al supuesto titular de la deuda. Frecuentemente estaban identificados no por el NIF, sino por nombre y dos apellidos combinados con un domicilio.

De esta manera, un asociado de EQUIFAX que quisiera realizar una comprobación de insolvencia a través de este fichero podía encontrarse con una o varias personas con el mismo nombre y apellido posibilitando una identificación errónea del supuesto deudor. Un motivo más que evidencia, en palabras de la Agencia, un incumplimiento del principio de exactitud que difícilmente podría responder al interés legítimo vinculado a «la prevención del fraude».

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Principio de minimización

El RGPD establece en su artículo 5.1.c) que los datos personales serán «adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (minimización de datos)».

En este sentido, la Agencia estima que al igual que sucede con el resto de principios ya tratados (el de licitud o el de exactitud), el de minimización está condicionado por la infracción del principio de limitación de la finalidad evidenciando su incumplimiento.

Deber de informar

El artículo 14 del RGPD detalla la información que deberá facilitarse al titular cuando los datos personales no se hayan obtenido del interesado.

Una obligación que EQUIFAX no cumplió. En 2018 los datos que constaban en el fichero ascendían a más de cuatro millones. Sin embargo, el número de notificaciones realizadas ese año no alcanzaban a las trescientas cuarenta mil.

Queda acreditado que la compañía no notificó a los interesados el tratamiento de sus datos a través del fichero. Una necesidad que es consecuencia del principio de transparencia, el cual también se vería incumplido según la resolución emitida por la Agencia.

Sanción millonaria y cese del tratamiento

Atendiendo a lo anterior, la Agencia Española de Protección de Datos resolvió la resolución con una sanción de 1.000.000 € por la infracción del artículo 5.1.b), en concurso medial con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a), 5.1.d), 5.1.c) y 14 del Reglamento General de Protección de Datos.

Extracto AEPD. Procedimiento sancionador PS-00240-2019

Atendiendo a un incumplimiento que ha perdurado en el tiempo a través del uso de un fichero incompatible con respecto a lo establecido en la normativa de protección de datos, la Agencia también ha exigido a EQUIFAX que proceda a la supresión de todos los datos personales tratados a través del mencionado Fichero de Reclamaciones Judiciales y organismos Públicos (FIJ) prohibiéndole continuar haciendo uso del mismo.


Sigue esta y otras noticias a través de nuestro canal de Telegram

¿Por qué Vodafone ha sido multada con 8,15 millones?

La operadora recibe la mayor sanción impuesta por la Agencia Española de Protección de Datos

Este mes conocíamos la noticia. La Agencia Española de Protección de Datos (AEPD) impuso la multa más elevada hasta la fecha a Vodafone España con más de ocho millones de euros por haber vulnerado tres normativas: la Ley General de Telecomunicaciones (LGT), la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y el Reglamento General de Protección de Datos (RGPD).

Tal y como detalla en su extensa resolución, la Agencia inicia el proceso de investigación en 2019 tras haber recibido cerca de 200 reclamaciones en cuestión de dos años (2018-2020) en donde se denunciaban las prácticas comerciales realizadas por la compañía a través de llamadas telefónicas y el envío de comunicaciones comerciales por vía electrónica (mensajes SMS y correos electrónicos).

Las denuncias evidenciaban que dichas comunicaciones se habían producido sin haber sido solicitadas o expresamente autorizadas por los afectados, sin haber atendido al derecho de oposición a recibir nuevas comunicaciones o sin haber tenido en cuenta a aquellas personas que se hubieran opuesto a cualquier comunicación a través de ficheros de exclusión publicitaria como las conocidas «Lista Robinson».

Con motivo de acreditar una posible vulneración regular y continuada de las distintas normativas supervisadas por la Agencia (LOPDGDD /RGPD, LSSICE y LGT), se inicia una investigación en donde se analiza el protocolo de tratamiento de datos de Vodafone con respecto a las acciones de mercadotecnia que llevan a cabo.

Para ello, las campañas fueron clasificadas en función de si eran gestionadas por la teleoperadora directamente o, en cambio, eran gestionadas por otras entidades por cuenta y en nombre de Vodafone.

Campañas gestionadas directamente

Las bases de datos de las acciones comerciales son proporcionadas por Vodafone y las campañas las realizan el departamento interno de marketing o bien el departamento interno de televenta. Estas últimas a través de entidades contratadas por la operadora.

Campañas gestionadas por otras entidades por cuenta y en nombre de Vodafone

Serían aquellas que son realizadas por los denominados «Distribuidores / Colaboradores / Agentes». Este grupo haría uso de bases de datos proporcionadas directamente por la operadora o bien bases de datos propias.

En este grupo encontraríamos varios canales: Door to Door (agentes que realizan captación «a puerta fría»), online, córneres físicos en centros comerciales y establecimientos, y agentes exclusivos.

Estos «Distribuidores / Colaboradores / Agentes» pueden llegar, a su vez, a acuerdos con otras agencias de televenta y comerciales que operarían como lo que se denomina como subencargados del tratamiento por cuenta de Vodafone. Así, la operadora podría contratar a un distribuidor, que a su vez subcontrate a otras entidades para encomendarle ciertas tareas como, por ejemplo, la gestión de llamadas telefónicas a través de un call center.

¿De dónde provienen los datos utilizados por Vodafone para estas campañas?

Atendiendo a la investigación realizada, la Agencia identificó cinco grandes grupos: bases de datos alquiladas a terceros que dieron su consentimiento, registros generados a través del canal online (sitios web), generación de numeraciones aleatorias a partir de diferentes rangos, bases de datos propias de «Distribuidores / Colaboradores / Agentes» y bases de datos de Vodafone utilizadas por estos últimos.

Con estos datos, Vodafone realizó 200 millones de acciones comerciales entre mayo de 2018 y marzo de 2019.

Ahora bien, teniendo en cuenta los sujetos que intervenían en las campañas y las bases de datos gestionadas, ¿podríamos decir que se han gestionado de manera correcta? Claramente no. Y así lo determina la Agencia:

Extracto AEPD. Procedimiento sancionador PS-00059-2020

Infracciones de Vodafone en las campañas comerciales realizadas

A raíz de ese patrón de conducta que detalla la AEPD, se sanciona a Vodafone con 8.150.000 euros por comisión de cuatro infracciones:

  1. Por la infracción del artículo 28 del RGPD relativo a los encargados de tratamiento: 4.000.000 euros.

Como hemos visto, Vodafone hace uso de un gran número de empresas para gestionar sus campañas. Para ello, delega a otras entidades campañas para que actúen por cuenta y en nombre de la operadora.

Dado que es la compañía quien determina los fines y los medios del tratamiento, la Agencia estima que en estos casos Vodafone actúa como responsable mientras que las empresas a las que delega las campañas actuarían como encargados de tratamiento y, en caso de que estas subcontraten a otras empresas, operarían como subencargados.

Como responsable del tratamiento, en el momento que encomienda un encargo, la ley establece que tiene la obligación de seleccionar a encargados que ofrezcan garantías suficientes para garantizar la aplicación de la normativa y los derechos y libertades de los interesados. Una obligación que «no termina en el momento en que el responsable y el encargado del tratamiento celebran un contrato u otro acto legal. En su lugar, el responsable debe, a intervalos apropiados, verificar las garantías del encargado, incluso a través de auditorías e inspecciones cuando corresponda».

Extracto AEPD. Procedimiento sancionador PS-00059-2020

Una supervisión que a juicio de la Agencia no se ha realizado dado que la operadora desconocía las entidades subcontratadas, su cualificación técnica y organizativa, su capacidad para cumplir con la legislación, la identidad de las empresas a las que se daba acceso a sus bases de datos, si realizaban o no la comprobación preceptiva con las listas de exclusión publicitaria internas de la compañía y/o con el sistema general común de exclusión publicitaria (Lista Robinson), las bases de datos utilizadas y si estas estaban legitimadas, etc.

El hecho de no controlar y auditar a los encargados y subencargados que actuaban en nombre de la operadora ni establecer un mecanismo que ofreciese una base de datos centralizada donde contrastar aquellas personas que pudieran haber ejercitado su derecho de oposición derivó, entre otros, en la realización de llamadas comerciales continuadas a personas que ya se habían opuesto (a través de la Lista Robinson o directamente a Vodafone a través de sus distintos intervinientes). 

  1. Por la infracción del artículo 44 del RGPD relativo a las transferencias de datos a terceros países u organizaciones internacionales: 2.000.000 euros.

La normativa establece que se realizarán transferencias de datos personales a terceros países siempre y cuando se cumplan una serie de garantías que aseguren el tratamiento de dichos datos. Para ello, sería necesario legalizar la transferencia de datos a través, por ejemplo, de la firma de cláusulas contractuales tipo.

Siguiendo con las figuras de «Distribuidores / Colaboradores / Agentes» decíamos anteriormente que la operadora contrataba empresas (encargados) que a su vez subcontrataban a otras entidades (subencargados). Es el caso A-Nexo, subencargado contratado por Casmar (encargado de Vodafone).

A-Nexo es una subcontrata de Casmar, que a su vez subcontrataba a otras personas o empresas para llevar a cabo materialmente las llamadas comerciales. Esta entidad en particular formaba parte de la lista de subencargados aprobados por Vodafone cuyo contrato especificaba que la ubicación del tratamiento se realizaba en Perú. Una transferencia internacional que aparentemente no fue identificada ni, por tanto, legalizada.

  1. Por la infracción del artículo 48.1.b) de la LGT relativo al derecho de oponerse a recibir llamadas no deseadas con fines de comunicación comercial: 2.000.000 euros.

Continuando con la resolución, la Agencia estimó que el procedimiento de Vodafone para la realización de estas campañas comerciales no garantizaba el cumplimiento del derecho de oposición de los usuarios a no recibir llamadas comerciales ni en las campañas gestionadas directamente por la operadora ni en aquellas gestionadas por terceros.

Extracto AEPD. Procedimiento sancionador PS-00059-2020
  1. Por la infracción del artículo 21 de la LSSI-CE: 150.000 euros.

La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico exige que para poder realizar cualquier comunicación publicitaria por correo electrónico u otro medio equivalente (SMS, fax, llamadas automáticas sin intervención humana, etc.) se debe contar con  la autorización expresa de sus destinatarios o existir una relación contractual previa.

De las 162 reclamaciones que finalmente se tienen en cuenta en esta resolución, 24 de ellas hacen referencia al envío por parte de Vodafone de emails comerciales y SMS no autorizados. Los destinatarios no habían autorizado, por tanto, estos envíos ni tenían relación comercial con la compañía.

Extracto AEPD. Procedimiento sancionador PS-00059-2020

«Vodafone no tiene implantado para las acciones de mercadotecnia métodos ni medios organizativos y técnicos que verifiquen, ni siquiera por procedimientos estadísticos, la licitud de los datos objeto de tratamiento, su origen, su filtrado previo con los listados internos de exclusión publicitaria y general de exclusión Robinson, ni con los de las entidades a las que le ha encargado los tratamientos (encargadas del tratamiento) ni derechos de oposición ejercidos por los afectados ante una y otras».

explica la AEPD en su resolución.

Se acredita un claro incumplimiento de las distintas normativas en materia de protección de datos agravado en gran medida por la reincidencia y el carácter continuado de las infracciones, la existencia de intencionalidad y la obtención de beneficios.

¿Es proporcional la sanción?

En definitiva, podríamos decir que la Agencia Española de Protección de Datos ha comenzado a endurecer las sanciones para aquellas organizaciones que tratan un mayor volumen de datos y en donde han podido evidenciar un incumplimiento relevante y, en ocasiones, reiterado de la normativa. Casos recientes como los de Caixabank y BBVA sancionadas con de 6 y 5 millones de euros respectivamente demuestran un notable incremento en la horquilla de las multas impuestas. Sin embargo, la Agencia, atendiendo a las alegaciones presentadas por Vodafone, ha querido aprovechar para recordar que el RGPD permite imponer sanciones con cuantías máximas de hasta 20 millones de euros o del equivalente al 4% del volumen de negocio total anual global de la compañía. Volumen que en el caso de la operadora ascendía a 1.600 millones de euros, los cuales permitirían a la Agencia, así, imponerle una multa que hubiese resultado más onerosa, ya que acabó derivando en la quinta parte (o décima parte en la infracción del art 44 del RGPD) sobre la cuantía máxima que hubiese podido ser aplicable.

Imagen de Kārlis Dambrāns en Flickr.


Sigue esta y otras noticias a través de nuestro canal de Telegram

Clubhouse, la nueva red social de moda presenta problemas graves de privacidad

La app de voz, que ya cuenta con más de 2 millones de usuarios, incumple la normativa de protección de datos

Debido a la actual pandemia muchas redes sociales han logrado un aumento significativo tanto de su uso como de su número de usuarios.

Es el caso de Clubhouse, la última red social de moda que en menos de un año de vida ha logrado dos millones de usuarios en todo el mundo según palabras de sus fundadores, Paul Davison y Rohan Seth. Sin embargo, según estimaciones independientes se estima actualmente que ha logrado ya 10 millones de descargas. Una popularidad que se vio incrementada exponencialmente gracias a la participación de Elon Musk, fundador de Tesla, como usuario de la plataforma.

Se trata de una red en fase beta en donde el usuario tan solo puede interactuar a través de chats de voz que son emitidos en directo. Los miembros pueden reunirse a través de salas virtuales abiertas o cerradas al público donde podrían participar o tan solo escuchar a sus participantes.

Actualmente, tan solo se puede acceder a ella a través de la invitación de dos usuarios activos y mediante una app exclusiva para móviles iOS.

Sin embargo, en menos de un año de vida, ya ha generado una gran preocupación en cuanto a la seguridad y privacidad de sus usuarios.

Uso de datos

Recordemos que para poder utilizar Clubhouse es necesario haber sido invitado por miembros activos. Una vez que se cumple este requisito, el usuario debe cumplimentar su perfil y seleccionar cinco temas de interés que permitirán a la plataforma recomendarle contenido relevante.

Pero, no todo se queda ahí. Cada usuario deberá dar acceso a su agenda de contactos si desea tener la capacidad de invitar a alguien a la red social, funcionalidad más que relevante en esta fase inicial de uso exclusivo por invitación.

CLUBHOUSE APP

A la hora de invitar a un contacto para que pueda utilizar la app, la plataforma registra todos los contactos del iPhone que no tiene identificados como usuarios actuales de Clubhouse. Sin embargo, también muestra aquellos que sí lo son y son ordenados en función del número de amigos que tienen asociados a su perfil diferenciando, así, a aquellos contactos que podrían ser más relevantes o con mayor notoriedad en la red.

Si un usuario decide ceder su agenda, la red usará su número de teléfono para verificar cuántas veces aparecen en los contactos de otros miembros, incluso de aquellos que no tengan interés en unirse, de manera que la plataforma ya conocerá su nombre y teléfono.

Por ejemplo, digamos que si Ana cede el número de María (que no es usuario de Clubhouse) y Juan también cede el teléfono de María, la red social sabrá que María está conectada con Ana y Juan sin haber sido nunca miembro de la red.

Esta funcionalidad sigue siendo muy controvertida porque supone una injerencia en la privacidad de las personas. En términos generales, atendiendo a lo establecido por el Reglamento General de Protección de Datos (RGPD), el tratamiento solo será lícito si el interesado ha dado su consentimiento para el tratamiento de sus datos personales (art. 6.1).

En este sentido, la autoridad de control de protección de datos belga (La Commission de la protection de la vie privée) ya se manifestó al respecto a través de la sanción impuesta el pasado año a «Twoo», una red social para encontrar pareja, debido a una función similar llamada tell a friend (dile a un amigo).

En 2016, Alemania también se enfrentó a Facebook dictaminando que este tipo de prácticas consistentes en hacer uso de contactos cargados para atraer nuevos miembros contravenía la ley de consumidores.

Estas funcionalidades en ningún momento requieren del consentimiento de los distintos usuarios que ven cedidos sus datos por un contacto suyo. Un requerimiento que hace que la mayoría de las funcionalidades de «invitar a un amigo» se conviertan en impracticables en materia de protección de datos.

Política de privacidad

Las empresas que no tienen sede dentro de la UE cuando tratan datos personales de los interesados que residen en la Unión deben designar un representante de protección de datos. Esta designación debe reflejarse, por tanto, en la información que se pone a la disposición de cada interesado en la recogida de sus datos (por ejemplo, a través de las preceptivas cláusulas informativas y políticas de privacidad) siguiendo los requerimientos de los artículos 13 y 14 del RGPD.

Sin embargo, si analizamos la política de privacidad publicada por la compañía no se hace alusión en ningún momento a esta figura.

Por otra parte, a pesar de ser un servicio puesto a disposición a nivel internacional, el idioma utilizado es tan solo el inglés. Siendo estrictos, el artículo 12.1 del RGPD establece que la información facilitada al interesado debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Al limitarse el acceso a dicha política de privacidad en inglés, los usuarios de otros países podrían verse limitados a la hora de acceder y entender dicha información desconociendo bajo qué condiciones están accediendo al servicio.

En cuanto a su contenido, se podrían mencionar importantes deficiencias en cuanto a la información que se facilita al usuario del tratamiento de sus datos (art. 6 del RGPD) como, por ejemplo:

  • Delegado de protección de datos (DPD): no se facilita información de contacto del DPD, una nueva figura introducida por el Reglamento, que debería haber sido designado y registrado por la compañía atendiendo al tipo de tratamiento de datos realizado (art. 37.1 del RGPD).
  • Plazos de conservación: a pesar de indicar que los datos son retenidos para las finalidades descritas en la política de privacidad, no se detallan los plazos de conservación de los mismos como requiere la norma.
  • Transferencia internacional de datos: dado que la compañía trata datos de ciudadanos residentes en la Unión Europea y que almacena datos en Estados Unidos, Clubhouse debería informar de dicha transferencia de datos conforme se lleva a cabo con las garantías adecuadas o requerir de su consentimiento. En la política tan solo informan que los datos serán almacenados en Estados Unidos.
  • Creación de perfiles: en la política de privacidad se hace alusión a la creación de perfiles de usuario, los cuales son creados en función de los datos que se recaban de sus miembros con motivo de identificar las preferencias de contenido o, incluso, con la intención de ofrecerle productos y servicios personalizados a sus características.

Derived Data: We may infer your preferences for content and features of the Service, or future products and services, based on the Personal Data we collect about you.

La elaboración de perfiles exige, en este caso concreto, el consentimiento explícito del interesado (art. 22 RGPD) que tampoco se estaría llevando a cabo.

  • Cesiones con terceros: aparte de a proveedores de servicio y a aquellas legalmente necesarias, Clubhouse comparte los datos de sus usuarios con otros terceros. Entre los descritos estarían los correspondientes a transferencias comerciales (relativos a cualquier fusión, adquisición, reorganización, etc. que pueda sufrir la compañía) y afiliados actuales y futuros.

Cualquier cesión a un tercero deberá estar autorizado de manera previa y expresa por el interesado, que debe conocer qué entidades accederán a sus datos y bajo qué condiciones.

Datos de menores

Miembros mayores de 18 años. Esa es una de las normas que la red social incluye en sus condiciones de uso: You must be at least 18 years of age to use Clubhouse (or older if required by your country).

Sin embargo, durante la creación y configuración del perfil como usuario, la plataforma no realiza ningún tipo de verificación de edad, de manera que cualquier persona podría acceder sin limitación.

Un aspecto que ya ha traído problemas recientemente a TikTok, que debido a no implementar ninguna medida de filtro de edad, fue bloqueada en Italia a raíz de la noticia de la muerte de una niña de 10 años.

La legislación europea establece que, en términos generales, el tratamiento de datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años (art. 8.1 del RGPD), aunque los distintos estados miembros pueden establecer una edad inferior siempre y cuando no sea inferior a 13 años. Por ejemplo, en España la edad mínima es 14 años (art. 7.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).

No incluir ningún tipo de medida para verificar la edad de los usuarios haría que Clubhouse trate datos de menores de edad con las responsabilidades y posibles incumplimientos que dicho tratamiento conlleve.

Grabado y cifrado de conversaciones

A través de su actual política de privacidad podemos encontrar, por ejemplo, que la red social graba las conversaciones que se emiten en directo de manera temporal:

Audio: Solely for the purpose of supporting incident investigations, we temporarily record the audio in a room while the room is live. If a user reports a Trust and Safety violation while the room is active, we retain the audio for the purposes of investigating the incident, and then delete it when the investigation is complete. If no incident is reported in a room, we delete the temporary audio recording when the room ends. Audio from (i) muted speakers and (ii) audience members is never captured, and all temporary audio recordings are encrypted.

El motivo que traslada Clubhouse para grabar y almacenar temporalmente estas conversaciones es el de investigar cualquier denuncia o incidente que se haya notificado en el transcurso de una sesión en directo. En aquellos casos en los que una sala no haya registrado ninguna denuncia, se eliminarían las grabaciones una vez que la sesión haya finalizado.

Esta política desprende un problema importante, el cifrado de las conversaciones. Si la compañía afirma que almacena todas las grabaciones significa que dichas grabaciones no están cifradas de extremo a extremo (E2EE).

Si las conversaciones no están cifradas, no solo Clubhouse podría acceder a la información, sino que terceros también podrían llegar a acceder a ella.

Sería el caso, por ejemplo, del gobierno chino. Y es que, atendiendo a la información facilitada por el Observatorio de Internet de Stanford, la red social hace uso de un proveedor chino (Agora) para basar su infraestructura de audio en streaming. Un país que debido a su ley de seguridad puede requerir a la plataforma acceder a los datos que requieran accediendo, así, a conversaciones no cifradas donde, según palabras de los investigadores de Stanford, «se podría saber si dos usuarios están hablando entre sí, por ejemplo, al detectar si esos usuarios se están uniendo al mismo canal».

Exponer las conversaciones mantenidas a través de la red social supone una vulneración de la confidencialidad de las comunicaciones amparado por la Directiva de privacidad y comunicaciones electrónicas 2002/58/CE. Su artículo 5.1 prohíbe expresamente «la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados».

Esta exposición de datos deja en evidencia la falta de medidas de seguridad por parte de la red social, que con motivo de garantizar un nivel de seguridad adecuado debería haber implementado el correspondiente cifrado de datos personales (art. 32.1 del RGPD) atendiendo a los posibles riesgos a los que se enfrentan de cara a los derechos y libertades de sus usuarios.

Bloqueo en China

Desde su lanzamiento, Clubhouse se ha enfrentado a importantes críticas en China o incluso en su país de origen, Estados Unidos, por tener herramientas de moderación deficientes o inadecuadas.

Así, los censores chinos decidieron desde este mes de febrero bloquear el uso de la app en todo el país a través de su Proyecto Escudo Dorado o, como se conoce también, su Gran Cortafuegos encargado de la vigilancia y la censura de Internet en China. Y es que, la plataforma brindaba a sus usuarios la posibilidad de expresar y escuchar con libertad cualquier tipo de opinión.

Protección de datos desde el diseño y por defecto

Durante esta fase de lanzamiento, en la que se encuentra inmersa desde hace un año la app, ha quedado patente que su desarrollo ha sido pensado al revés. Como diríamos comúnmente, se ha diseñado la casa por el tejado.

La aplicación nació no ateniéndose a dos principios básicos: la protección de datos desde el diseño y por defecto. Dos principios pilares por los que se rige el RGPD que tienen como objetivo que la protección de datos se encuentre presente ya en las primeras fases de concepción cualquier proyecto, y que derivan en una correcta definición e implementación de las medidas técnicas y organizativas necesarias para que el tratamiento de datos personales se lleve a cabo con las máximas garantías.

Aunque Clubhouse ha informado que mejorará la seguridad de su servicio a raíz de las críticas recibidas desde su primer año de vida, ya se encuentra en el punto de mira debido a las deficiencias que presenta en materia de seguridad y protección de datos.


Sigue esta y otras noticias a través de nuestro canal de Telegram

Sancionado con 5.000 euros por usar una webcam en el piso que tenía alquilado

El demandado hacía uso de un sistema de videovigilancia que captaba imagen y sonido de la actividad de su inquilina

Accedemos a un piso y en el recibidor se encuentra una webcam. Una medida disuasoria para ladrones que solo enfoca a la entrada de la vivienda por seguridad.

Así justificaba su uso el arrendador de un piso según palabras de su inquilina: “me dijo que solo enfocaba a la puerta de entrada por seguridad y el sonido estaba desactivado”.

Un día, mientras usaba el aspirador, la arrendataria rompió accidentalmente una televisión, un biombo y una mesa que no eran de su propiedad. A raíz del percance, el arrendador decidió compartir con ella el vídeo que había captado a través del dispositivo instalado en la vivienda que evidenciaba lo sucedido.

La sorpresa fue cuando la afectada descubría que la cámara no enfocaba únicamente a la puerta de entrada, tal y como le habían asegurado desde un inicio, y que el dispositivo captaba también sonido.

“Me sentí espiada ya que enfoca parte del salón donde yo he tenido conversaciones privadas por teléfono y me ha podido ver todo lo que hacía” – explica en su denuncia ante la Agencia Española de Protección de Datos.

A raíz de la denuncia interpuesta, el propietario del inmueble no negó los hechos indicando que la denunciante era conocedora de la existencia de la cámara y manifestando su disconformidad ante la reclamación:

“NO entiendo el motivo de la Denuncia, porque la cámara está dentro de mi casa (…). La cámara es de sobremesa comprada en Amazon, situada en el mueble del recibidor y enfoca hacia el interior (…) para ahuyentar a posibles ladrones. Los datos se almacenan en una tarjeta de memoria instalada en la misma cámara y la única persona que tiene acceso soy yo”.

Los datos personales en el ámbito personal o doméstico

El artículo 2.2.c del Reglamento General de Protección de Datos (RGPD) establece que los tratamientos de datos personales realizados por un particular en el ejercicio de actividades exclusivamente personales o domésticas están fuera del ámbito del RGPD.

Sin embargo, la Agencia estimó la denuncia por el uso de un dispositivo de grabación que captaba imágenes y sonido de su inquilina sin causa justificada, ya que, en este caso, la noción de “ámbito personal o doméstico” desaparece en el momento que se cede el inmueble en alquiler. Momento en el cual dicha captación está sujeta a lo establecido por el Reglamento y, por ende, a la Ley Orgánica de Protección de Datos y de Garantía de los Derechos Digitales (LOPDGDD) debiendo cumplir con las garantías recogidas por la norma.

Como responsable del sistema de videovigilancia instalado y atendiendo a la investigación realizada por parte de la Agencia, el denunciado fue sancionado con 5.000 euros por una infracción del artículo 5.1.c. relativo a la minimización de datos donde se establece que los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Imagen de will songwan en Pixabay