lunes, 31 de marzo de 2014

El IVA de caja

Fracaso absoluto del IVA de caja. Una buena idea se la cargan los gobernantes cuando ponen requisitos, límites y no paran hasta que no sirve para nada. De 2 millones de posibles beneficiarios según el Gobierno, se calcula que ni 200.000 se han acogido al final a esta medida. A ninguno de mis clientes se lo he aconsejado. No me gustan los corsés jurídicos. Ya lo advertíamos en un post anterior. Y todo por falta de voluntad política y la tradicional desconfianza que tiene el funcionario español hacia el ciudadano y no digamos nada si hablamos de empresarios. Otra oportunidad perdida de hacer las cosas bien.

martes, 18 de marzo de 2014

Primera sanción a web en España por mal “uso” de cookies; 3.500€

Tras un procedimiento de 5 meses, la AEPD ha sancionado a dos empresas por el uso indebido de cookies. De tal resolución (R/02990/2013), extraemos las siguientes ideas:

La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al Aceptar la Política de Cookies o seguir navegando por los sitios web”. 

Para que el consentimiento teóricamente prestado para la instalación sea válido, la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web. Este consentimiento ha de ser previo a la instalación pero su incumplimiento no es sancionable (no recogido en la redacción del artículo 38.4.g).

Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas. 

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI por la falta de las obligaciones de información., tipificada como leve en el artículo 38.4.g) de dicha norma. 

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5 en sus apartados 1 y 2, con 1.500€, aplicándole una rebaja en la cuantía.

lunes, 10 de marzo de 2014

Cuidadín con la banca online y el teléfono móvil

Una entidad bancaria ha sido (PS-00344-2013) por la Agencia Española de Protección de Datos (AEPD) tras la denuncia presentada por dos particulares en la que reflejaban que utilizando sus propias claves de acceso a sus cuentas de banca on-line mediante teléfonos móviles, han podido acceder a los datos de otros clientes, aportando impresiones de pantalla como prueba.

Tras recibir la denuncia, la AEPD inició las actuaciones previas de investigación para esclarecer los hechos y en la inspección la entidad manifestó que tuvo conocimiento de dichas incidencias por una llamada recibida en su Call Center, siendo bloqueado dicho sistema de acceso a los 12 minutos de dicha llamada. No sólo reconoce la entidad los hechos denunciados sino que inmediatamente emprende acciones para resolver el problema e introduce mejoras de seguridad. El problema afectó a 27 clientes, con los que el Departamento de Atención al Cliente, contactó.

La AEPD imputó a la entidad bancaria la vulneración del principio de seguridad de los datos personales, establecido en el artículo 9.1 de la LOPD, que establece el “principio de seguridad de los datos” que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen dicha seguridad, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado” por parte de terceros.

Asumidos los hechos por la entidad bancaria, la AEPD refleja que ha quedado acreditado que la citada entidad incumplió ésta obligación, como lo recoge el informe descriptivo de la incidencia habida y se refleja en el acta de inspección llevado a cabo en la sede de la compañía, puesto que la aplicación para el acceso mediante móviles y utilizando el código de usuario y clave, no impidió que los denunciantes pudieran acceder a datos personales de otros clientes usuarios de la entidad denunciada.

La AEPD imputó a la citada entidad bancaria la vulneración del principio de seguridad de datos personales que lleva aparejada una multa que oscila entre los 40.000€ y los 300.000€.

La Agencia valoró los criterios, tanto favorables como adversos, de graduación de las sanciones e impuso una sanción de sólo 6.000€, ya que consideró que la entidad no sólo reconoció espontáneamente su culpabilidad sino que además actuó de manera diligente al regularizar la situación creada de manera inmediata, poniendo remedio a fallo cometido tan pronto tuvo conocimiento de los hechos ocurridos, estableciendo contacto con los afectados y adoptando nuevas medidas de seguridad para evitar que el fallo pudiera repetirse.

La conclusión a la que llegamos es que ante fallos de seguridad, no vale con lamentarse y esperar acontecimientos sino que hay que adelantarse a los mismos y corregir inmediatamente los errores cometidos. Lo agradecerán los clientes y tu cartera.