Estamos sin duda ante un cúmulo de ilegalidades en el tratamiento y uso de datos por parte de diversos sectores de actividad

Telefónicas, inmobiliarias y empresas de marketing incumplen el RGPD al señalar a posibles vendedores de pisos

Noticia

Se trata de una práctica ilegal que combinaba datos proporcionados por las telefónicas, con herramientas de tratamiento de datos explicadas en YouTube

descarga

La Asociación de expertos en Ciberseguridad, Protección de Datos y Auditoría,  ISACA Madrid, quiere hacer llegar a la opinión pública los aspectos legislativos que se han conculcado en las prácticas que se relatan en el artículo publicado en  elDiario.es del pasado 22 de Junio de 2019 con título “Así terminan los datos personales que das a las 'telecos' en manos de las inmobiliarias: Son técnicas abusivas”. Sobre el relato, al capítulo de Madrid de ISACA le gustaría hacer las siguientes apreciaciones:

Estamos sin duda ante un cúmulo de ilegalidades en el tratamiento y uso de datos por parte de diversos sectores de actividad (operadores de telefonía, empresas de marketing e inmobiliarias). Cada uno comete incorrecciones que sumadas en conjunto suponen un detrimento de los derechos de los usuarios a la protección de sus datos y su privacidad.

Empresas de Telecomunicaciones:  

  • Según se indica en el citado artículo siguen publicando bases de datos de acceso público. La inclusión de los datos de los usuarios se hace por defecto, es decir, el usuario debe negarse explícitamente a que publiquen sus datos en dichas bases de datos. En nuestra opinión esta práctica, históricamente legítima, debe ser revisada a tenor del (ya no tan) nuevo Reglamento Europeo de Protección de Datos (RGPD) que establece el principio de Privacidad por defecto. Es decir, si no hay un consentimiento explícito por parte del interesado no deberían publicarse sus datos. Estamos convencidos que dicha autorización estará “enterrada” en Políticas de Privacidad con textos farragosos, extensos y complejos por lo que seguramente el citado Operador podrá argumentar que sí solicitan y obtienen consentimiento. No obstante consideramos esta práctica cuando menos dudosa y mejorable.
  • Se indica que el único canal que proporciona el Operador para cancelar los datos de dichas bases de datos es por correo postal. Teniendo en cuenta que a día de hoy un buen número de contrataciones de servicios de telefonía se realizan on line, consideramos que no se cumple el principio de facilitar canales similares para darse de alta y de baja en los tratamientos.

Empresas de marketing: 

  • La empresa citada ha desarrollado herramientas de cruce de bases de datos sin informar ni solicitar consentimiento de los interesados. Según se indica parten de bases de datos públicas (con datos identificados) y las cruzan con otras (con datos no identificados) obteniendo información de valor para determinados sectores. En nuestra opinión se incumple la normativa al no solicitar consentimiento para “tratar” los datos, sobre todo si se genera información de perfilado, agregada, etc
  • Aducen que sus bases de datos son legales y que no utilizan directamente los datos para contactar con los interesados, sino que una vez generada esa información de valor las venden. Se excusan en que “Esto es una guía de consulta. Tú no debes llamar para vender. Una persona que vende cremas o colchones no puede utilizarlo, porque es una licencia para consultar teléfonos”.

Inmobiliarias: 

  • En el caso de las inmobiliarias el principio incumplido es el de la finalidad. Tal y como indica la empresa de marketing la finalidad de dichas bases de datos es consulta, no uso para venta, que claramente las inmobiliarias incumplen.
  • Dicho incumplimiento es doblemente gravoso en el caso de los usuarios que han indicado con un “punto amarillo” que no quieren que se les llame para ofrecer o vender servicios.

Hasta aquí hemos desgranado lo que consideramos incumplimientos bastante claros de la normativa. Sin embargo, queremos destacar otros detalles del artículo que nos deben hacer reflexionar:

  • Según indica el artículo, el tutorial de Youtube donde se explicaba el uso de las herramientas, ya no está accesible. ¿Por qué si todo es legal?
  • Entendemos la necesidad de los diferentes negocios de utilizar todas las herramientas que tengan a su disposición para incrementar sus beneficios, pero ¿es lícito que las empresas presionen a sus empleados instándoles a incumplir las normas? ¿hasta qué punto es sólo responsabilidad del empleado?
  • Se indica que las llamadas se realizan, no para hacer publicidad, sino para “ayudar al cliente a que venda o alquile ese piso”. ¿Llamar para ofrecer servicios no es publicidad? En nuestra opinión sí. Además, en el caso real descrito se indica que el piso ni siquiera estaba en venta, por lo que dicho argumento se debilita aún más.
  • La normativa indica que se aplica a datos personales “identificados o identificables”. Sin embargo deja muy en el aire el concepto identificable. ¿Cuándo se debería considerarse identificable? ¿cruzando dos, tres, cuatro bases de datos? Quizás se debería avanzar en la normativa y tipificar que el uso de datos aunque no sean identificados (¿Quién no ha recibido una llamada de teléfono en el que le han preguntado “con quien tengo el gusto de hablar”?) no debería estar permitido.

En resumen:

  • Los operadores de telefonía deberían revisar sus procesos de publicación de datos (privacidad por defecto) y sus canales de cancelación u oposición a tratamiento de datos (proporcionalidad)
  • Las empresas de marketing deberían analizar si las herramientas que desarrollan incumplen los principios de la normativa y obtener el consentimiento para “tratar” datos, aunque los obtengan de bases de datos públicas.
  • Las empresas inmobiliarias deberían revisar si sus procesos de venta son respetuosos con la privacidad y con el derecho de los ciudadanos a no “necesitar su ayuda”. Por otro lado deberían revisar si sus técnicas de “motivación” son adecuadas para que los empleados se muevan dentro de la legalidad. 

Y en otra capa de responsabilidad.

  • Casos tan reales como el que se describe en el artículo deberían tener consecuencias directas en el desarrollo de la normativa, dotando de medios a los ciudadanos para defenderse de ellas. Sino, corremos el riesgo de (como ya ha sucedido con anteriores normativas) que el cumplimiento se reduzca a la adopción de trámites documentales y burocráticos.
  • Las autoridades deberían vigilar e intervenir en este tipo de situaciones. La AEPD, evidentemente en el fondo del asunto y, en este caso quizás, la CNMC, como responsable del citado SGDA (Sistema de Gestión de Datos de Abonados) debería revisar la actuación de los operadores que conforman dicho sistema. Aunque estas actividades se realizan desde hace años y quizás no sean tan mediáticas como otras en las que se ha intervenido de oficio, lo consideramos lo suficientemente gravoso y molesto para los ciudadanos como para que, al menos, se intente aclarar y pedir soluciones.

ISACA Madrid

El capítulo de Madrid de ISACA es una asociación sin ánimo de lucro con más de 1.200 asociados, que en 2017 celebró su 30º aniversario. Estamos orgullosos de poder llamarnos el grupo de profesionales más representativo en esta materia. El Capítulo realiza actividades de difusión, concienciación y formación, mediante conferencias, congresos anuales, boletines para sus asociados y cursos de formación para contribuir a la misión de ISACA.

Por tamaño, somos el 5º capítulo más grande de Europa, y colaboramos estrechamente con los capítulos de Barcelona y Valencia, así como con los de Latino América. Asimismo, existe una muy buena relación con los otros capítulos de Europa. Trabajamos juntos bajo el lema "We Are One".

ISACA Internacional

ISACA ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase. Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de más de 135.000 profesionales en 188 países.

ISACA promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT) y Certified in Risk and Information Systems Control (CRISC). ISACA también ofrece Cybersecurity Nexus (CSX), un recurso integral y global en ciberseguridad, y COBIT, un marco de negocio para gobernar la tecnología de la empresa. La asociación tiene 217 capítulos en todo el mundo.

En 2019, ISACA cumple 50 años. Se ha habilitado una página web especial para conmemorar este aniversario: www.isaca50.org.