viernes, 10 de febrero de 2017

Una alemana, una española y un crédito sospechoso


Hola de nuevo, lopder@s!

En este post, a petición de mi querido Raúl Gámez, voy a comentar, hasta el día de hoy, la Resolución más curiosa que he visto en la web de la AEPD, Esta vez no termina con un multazo, por lo que no esperéis que alguno sufra en sus bolsillos la embestida de la AEPD; lo interesante del caso es cómo empieza y cómo se desarrolla; esta vez el final quizás deje con un cierto sabor agridulce (y no precisamente por la ausencia de multa). Como siempre, la Resolución la dejo aquí (y te invito a leerla encarecidamente). Vamos a ello:



Era un 20 de enero de 2016 cuando se recibe en la AEPD una carta un poco diferente. El matasellos dice que viene de Alemania, de un lejano lugar llamado Hamburgo y el remitente, impronunciable para un hispano-hablante, resulta ser aquella prima a la que conocíamos apenas de oídas: la Agencia de Protección de Datos de Hamburgo. "Vaya marrón, a ver qué quiere esta ahora", debió pensar la AEPD. Al abrir la carta, resulta que no es una felicitación tardía de Navidad: es todo un escrito en el que nuestra prima hamburguesa desarrolla lo que parece una especie de informe bastante currado sobre las actividades de una empresa con matriz en Alemania pero tentáculos en diferentes lugares europeos, entre otros, España. La prima harmburguesa nos envía una carta para decirnos que algo le huele a chamusquina en Alemania y parece que, cierta parte de ese olorcillo a quemado, viene de más abajo de los Pirineos: nos pide ayuda para identificar el foco y nos abre el camino para ir con la manguera.


Puntos clave de lo que le huele a chamusquina a la prima teutona:


- Tenemos un grupo empresarial, que se dedica a esto de los créditos rápidos, la mar de majo y cuya matriz está en Alemania pero tiene una filial en nuestra patria querida, que actúa un poco a su rollo pero interacciona fuerte con la matriz. 




- Recopilación de Datos que hacen las filiales (también, por supuesto, la española). 

El textual de lo que dice la prima teutona es revelador: "Para preparar la aprobación del crédito, las empresas filiales de XXXXXX  recopilan un amplio abanico de datos de carácter personal que se inmiscuyen de lleno en la intimidad de sus clientes". Y ojo que la cosa se pone fea: aparte de la información que da el solicitante para obtener su crédito, este conglomerado recopila información del pobre solicitante obtenida gracias al rastro que va dejando en lo que navega por webs asociadas al conglomerado presunto. La prima teutona sospecha que esta recopilación de datos a mansalva da como fruto la elaboración de un perfil muy amplio del solicitante. Es más, para completar bien el perfil, el conglomerado tira también del Facebook del pobre solicitante (eso sí, tras tener su ok voluntario, cosa también un poco cuestionable a juicio de la prima harburguesita, ya que ofrece compensaciones si el solicitante dice aquello de "sí quiero"). Por si esto fuera poco, el solicitante tiene que dar la contraseña de sus cuentas bancarias en internet para que el conglomerado presunto verifique que sus cuentas han tenido movimientos "sexis" en los 60 días anteriores a la solicitud del préstamo. Y todo esto se hace a cambio de que te presten una pequeña cantidad de dinero; no quiero ni pensar lo que pedirían si les pides un pastizal.

- Consentimiento no otorgado libremente. 


Ojo al textual de la carta de la prima teutona: "(...)...los clientes que deciden pedir dinero prestado a KREDITECH se sienten fuertemente obligados a hacerlo, ya que no tienen acceso al mercado de capitales normal y a los créditos a tipos de interés normales. Obviamente, necesitan con urgencia un dinero que ningún banco comercial les prestaría"(...)
Es decir: aquí se cuestiona algo de lo que ya he hablado en alguna ocasión por aquí: la cuestionable libertad a la hora de consentir el tratamiento de algunos de nuestros datos. Hay que tener en cuenta dos cosas: 
1) la necesidad urgente de conseguir una cantidad de dinero y 
2) el interés que se paga si el conglomerado presunto te lo presta: 3.752%.

La prima alemana hace hincapié en ambas cosas, y nos informa de que eso en su casa se llama usura y que está prohibido, para más inri.



- Retención indefinida, lo que se traduce en que: "o pides que te borre o ahí te quedas" (y cuando digo "borre" quiero decir "me anonimizas").


Tras este informe, la AEPD se levanta de la siesta y se pone a currar (me encanta tirar de tópicos...XD). Se va a la web de la filial española y revisa un poco lo que ve: desde los textos legales hasta si tiene declarados ficheros y de qué tipo, se pasa por la sede para que le expliquen como hacen las cosas y a pedir y pedir documentación (que si contratos de encargo de tratamiento, por ej. del Call Center que tienen en Rumanía, que si el envío de publi se hace bien... ), lo que se dice: un cisco. Además de esto, la AEPD accede a los sistemas de información de la filial y se encuentra con que se registran datos del solicitante como estos (y me remito a los más llamativos, que hay más): 
  • Localización actual (longitud, latitud), 
  • Dirección de trabajo, 
  • facebookData
  • balance de pagos del cliente (pagos adelantados, pagos pendientes... en relación al préstamo pedido al conglomerado presunto, sospechamos),  
  • IP de conexión y el agente de usuario (navegador), 
  • Datos externos (identificador del dispositivo), 


Como curiosidad, os cuento dos cosas más: los datos recorren más países que Willy Fog y el conglomerado presunto dispone de un procedimiento de bloqueo (una de mis eternas peleas) tan majo como este:

- Datos de solicitudes no finalizadas: se bloquean siete días después de suinicio y se borran en 180 si no han sido completadas.
- Datos de solicitudes finalizadas y no concedidas: se bloquean a los 30 días y se borran a los tres años.
- Datos de créditos concedidos: se bloquean 30 días tras el pago del préstamo y se borran diez años después.

Además de todo esto, la AEPD recurre a Infojobs para informarse sobre el conglomerado presunto (no, no es coña) y se encuentra con esto (literal): 

<<El grupo XXXXXXX usa big data y complejos algoritmos de aprendizaje automático.
Basado en 20.000 puntos de datos, su tecnología propietaria permite a sus servicios financieros el adquirir, identificar, valorar, pagar y aumentar sus clientes en segundos.
Los procedimientos automatizados combinados con algoritmos de auto-aprendizaje aseguran una rápida y adecuada atención al cliente mientras se minimizan el costo y espacio para el error humano. >>


Vale, o sea que la AEPD recurre a Infojobs para hacer su trabajo. Pues qué campechano todo. ¿no?




Tras todo este berenjenal, nos encontramos con los fundamentos jurídicos (que no voy a reproducir para no aburrir al personal) y con las conclusiones de nuestra AEPD, que os resumo:

1) "(...)... no hay indicios de los que se desprenda que LA FILIAL no actúe diligentemente, ya que cuenta en todo momento con el consentimiento de sus clientes, tanto en la toma de datos personales, como para las cesiones y transferencias internacionales de sus datos, o bien para el acceso de ficheros de terceros, señalando además que su clientes en todo momento podrán ejercitar sus derechos ARCO...(...)"

2) "(...)...no estamos ante un supuesto donde se tomen datos únicamente para evaluar determinados aspectos de su personalidad, ya que existe además la finalidad de formalizar una relación contractual, es decir un préstamo.Además el ciudadano siempre podrá impugnar el tratamiento de sus datos ante los órganos administrativos y judiciales competentes....(...)"

3) Y ojo con lo siguiente: Si os acordáis, al principio del post comenté que había algo que le olía a chamusquina a la prima teutona, y al empezar a analizar la Resolución, os he destacado en rojo y negrita lo siguiente: eso en su casa se llama usura y que está prohibido. Exacto, mis queridos amigos: parece que todo esto se ha montado porque la prima hamburguesa cree que el conglomerado presunto realiza sus actividades rozando lo ilegal, acorde con la normativa alemana. Es decir: que aparte del tratamiento de datos cuestionable, la finalidad del mismo es prestar un servicio con tintes de usura, insisto, según la normativa alemana que menciona nuestra prima teutona. Claro, la AEPD que es muy perspicaz, deja claro en la Resolución que...

 " (..) ...la Agencia Española de Protección de Datos, no es competente para dirimir cuestiones civiles, tales como si los tipos de interés son o no acordes a derecho según las prácticas bancarias españolas, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil...(...)"

Chimpún.

Cosas que, personalmente, me llaman la atención y me hacen pensar en lo divino y lo humano:

1) Me gusta la colaboración entre Agencias de Protección de Datos: los datos personales "vuelan" y es imprescindible que se tiendan la mano y colaboren. Punto para la prima alemana y para nuestra AEPD por darse la mano y bailarse unas sevillanas en lo que se toman unas pintas.

2) Me da cierta envidia la actuación de la prima teutona en lo que parece una cierta defensa de sus ciudadanos e, incluso, de los ciudadanos españoles. Ya sé que la función de la AEPD no es verificar si se practica usura o canto gregoriano a grito pelao a las 4 de la mañana por el centro de Madrid; pero también es verdad que al final los datos se usan para algo y, aparte de verificar que el tratamiento es acorde a la normativa de protección de datos, echo de menos una cierta prevención en que la finalidad es correcta (e insisto, no sólo a nivel protección de datos). 
Y lo tengo que decir: me parece excesivo que para pagar un préstamo se te invite a dejar fisgar en tus perfiles de RRSS. Uno en sus RRSS no está sólo, y además, que no entiendo y no veo sostenible lo que tiene que ver el tocino con la velocidad: que yo pague religiosamente mi deuda no tiene que ver con que le de a "Me gusta" a las fotos de la playa del vecino (¿o es que eso denota que voy a dejar de pagar porque tengo mono de playa?). Ya, ya lo sé: Big data, algoritmos o lo que queráis, pero no, no me parece admisible.

3) La AEPD tira de Infojobs para investigar. Lo flipo: entre los que buscan curro y las investigaciones de la AEPD, el Señor Infojobs debe estar más contento que unas pascuas con sus visitas. 


Y hasta aquí llega el post de hoy; espero que os haya gustado, queridos frikis de la protección de datos!




jueves, 26 de enero de 2017

Cuando la excepción es la regla general: Laborando a Trumpicones


Hola de nuevo, Lopderines!!!


Reflexionaba hace unos días por twitter sobre la libertad para el trabajador de dar su consentimiento al empresario para que éste lleve a cabo tratamientos de datos del trabajador no estrictamente necesarios para el desarrollo de la relación contractual. Tod@s entendemos que hay datos personales del trabajador que son verdaderamente necesarios que el empresario "maneje" para que la relación laboral empiece a "vivir": la cuenta del banco (para el pago del salario) o el número de afiliación a la Seguridad Social (para el alta del trabajador en la empresa), pero hay otros datos cuyo tratamiento no tiene un amparo tan claro.  Me refiero a situaciones que cada vez se dan más frecuentemente en las relaciones laborales: desde el uso de la imagen del trabajador  (que ya comenté en este post sobre las fotos en la web corporativa del amigo Paco) hasta la implantación de la huella dactilar como medio de fichaje, que cada vez se pone más de moda. 



Lo primero que quiero poner sobre la mesa es el hecho de que, y esto es opinión personal, no siempre el consentimiento del trabajador para que el empresario trate algún dato suyo "no esencial" es verdaderamente libre. En este informe del Grupo de Trabajo del art.29 se puede ver, de forma un poco velada, esto que digo: 

"(...) Las  operaciones de tratamiento de datos en el ámbito laboral, donde existe un elemento de  subordinación,  así  como  en  los  servicios  de  la administración  como  la  salud,  pueden exigir una evaluación particularmente atenta de la libertad de la persona para dar su consentimiento. (...)


"(...) Un  ejemplo  de  lo  anterior  es el  caso  del  interesado  que  está  bajo la  influencia  del  responsable  del  tratamiento,  como  sucede  en la  relación laboral. En  este  ejemplo, aunque no necesariamente en todos los casos, el interesado puede estar en una situación de dependencia del responsable del tratamiento debido a la naturaleza de la relación o a circunstancias  particulares, y  puede  temer recibir  un  trato  diferente  si  no  da  su consentimiento para el tratamiento de los datos. (...).

Este último párrafo creo que es claro como el agua; no obstante, recomiendo la lectura del Documento para verlo bien en su contexto. 




Dejando un poco de lado esta reflexión, quiero volver al que quiero que sea centro del post, que no es otro que el tema del fichaje por huella dactilar, y ya aviso que no es el consentimiento el punto central. Para ello,  vuelvo a hacer un viaje al norte y me paro otra vez en la AVPD para poner el ojo en este Informe de fecha 19 de diciembre de 2016. Como siempre, aquí dejo link

Para no extenderme en exceso, voy a centrarme en los aspectos claves del documento y los comentaré un poco por encima. Vamos a ello:


- La importancia del Principio de Calidad de los datos.


He crecido escuchando aquello de "mejor calidad que cantidad" y en temas de protección de datos creo que es uno de los mejores consejos que puedo dar, fuera del hecho de que es algo a cumplir a rajatabla, que para algo es un principio. El concepto de "calidad" desde el punto de vista de la protección de datos presenta una variante clave, que es, tal y como señala el informe, "la proporcionalidad de la información sometida a tratamiento". En este caso, lo que se evalúa en el Informe, es la proporcionalidad del tratamiento de un dato biométrico como es la huella dactilar con la finalidad tan "normal" de llevar un cierto control horario del personal (en este supuesto planteado, del personal funcionario). 
Del concepto de "proporcionalidad" he hablado, y no precisamente poco, en este blog. Siempre, siempre, ante cualquier medida que vayamos a tomar para solucionar un problema o desafío, hay que evaluar si la respuesta que damos es proporcional al asunto. Fuera de la LOPD, no hay más que pensar en si resulta proporcional que tu compi de curro te levante tu boli favorito y tú le devuelvas la gracia levantándole el Iphone que se acaba de comprar. A todas luces, por mucho que te encantara ese boli, la represalia de agenciarte el Iphone es desproporcionada, así que cualquier persona medianamente corriente, descartaría esa venganza. Dentro de la normativa de protección de datos, la cuestión es clara: ¿es proporcional el uso de la biometría para el control del horario de los funcionarios? 


- Proporcionalidad para todo, excepto para dar un zascas.

La respuesta a la cuestión del párrafo anterior, a nivel patrio la da el propio Informe, haciendo referencia a la STS 5200/2007, la cual analizaba no el tratamiento de la huella dactilar pero sí la captación digital de datos biométricos de la mano de los funcionarios con los mismos fines. La sentencia lo avala con esta frase tan clara:  "(...)Desde luego, la finalidad perseguida mediante su utilización es plenamente legítima: el control del cumplimiento del horario de trabajo al que vienen obligados los empleados públicos...(...)" y aprovecha para darle un zascazo (en mi humilde opinión, con bastante mala uva) a los Sindicatos "protestantes"“ (...) parece como si los sindicatos que han promovido el proceso vieran en la conversión en  un  código  binario  de  la  imagen tridimensional  de  la  mano  una  afrenta  a  la  dignidad  humana.  Pero  el alcance  del  sistema  no  llega  a  tanto.  Lo  que  podría  considerarse contrario a esa dignidad sería  reducir la persona a un mero número y tratarla solamente  en  cuanto  magnitud  y  no  es  eso  lo  que sucede  aquí. (...)"

Así que con todo esto en la mano, parece que el uso de sistemas biométricos para controlar que los funcionarios son buenos, bonitos y puntuales, tiene el "tú sí que vales".


- Reglamento Europeo que vienes a lo lejos...

El informe alude también a la nueva normativa que está en boca de todos: el Reglamento Europeo. Teniendo presente que para el "nuevo jefe" los datos biométricos entran dentro de las categorías especiales de datos (y con ello, pasan el umbral de la regla general de su prohibición de tratamiento), resulta que gozan de excepción a esta regla en el mismo art. 9, concretamente a su apartado 2. ¿Casualidad? NO LO CREO.


- Tras la tempestad llega la calma.

Por último, el Informe nos da un respirito para que evitemos pensar que tenemos vía libre para biometrizarnos, en estos términos: "(...) No obstante, tal y como se ha determinado por otras  autoridades de control,  en caso de  ser posible, debieran instalarse preferentemente aquellos sistemas de reconocimiento de huella dactilar que permitan que los medios de verificación (algoritmo de la huella dactilar del trabajador), permanezcan en poder de los afectados, sin ser incorporados al sistema,sistema que incluiría los datos identificativos del trabajador al producirse una verificación positiva del mismo (...)".

Bien ahí, AVPD: dejando claro que no todo el monte es orégano.



Tras ver lo que dice el Informe, voy a expresar mi punto de vista PERSONAL sobre el asunto. Ojo que voy:

1) Nos estamos acostumbrando a encajar legalmente sin protestar las innovaciones tecnológicas que van surgiendo, lo cual me parece un camino verdaderamente peligroso. Al final, parece que optamos por la vía fácil: se puede, es barato = Dale moreno! Quizás habría que replantearnos esta pseudo-filosofía Trumpiana







2) En este sentido, me parece poco útil asumir que algunos datos son muy muy sensibles/peliagudos/horrocrouxes y luego abrir la mano a que rulen con libertad las excepciones a la regla general. Tal y como lo veo yo, controlar que tus trabajadores sean puntuales y majos utilizando sus datos biométricos es una medida excesiva. Me parece muy bien que quieras ver si la gente cumple, pero creo que hay otras vías menos invasivas: ¿dónde quedaron las tarjetas de fichaje? o incluso el vigilante de la playa, que así damos trabajo que hay mucho paro, como dicen l@s abuel@s. Aparte que a ver qué medidas aplicas como Responsable para que esos datos no acaben estropeaditos o en manos ajenas peligrosas...
Yo detrás de esta apertura veo motivos económicos y de comodidad, exclusivamente, de no querer complicarnos la vida y de dejar de ser el, y perdón por el taco, "jode-rollos" de la clase. 


Y con este par de reflexiones, termino el post y os deseo una feliz semana a tod@s. Gracias por pasar por aquí.