TOP

UN FALLO DE SEGURIDAD REVELA LOS DATOS DE UNOS 8.000 CLIENTES DE VODAFONE

Un problema en el servicio ha hecho que cuando un cliente se introducía en la web del operador para acceder a su información personal de consumo y contratación, el sistema le respondía de forma "aleatoria" con los datos de otros usuarios Fuente: EFE (29/12/2008).

Un fallo técnico ha dejado al descubierto durante unas horas los datos personales de unos 8.000 usuarios de prepago de Vodafone, a través de su servicio online, han confirmado fuentes de la compañía telefónica.

Cuando el cliente se introducía en la web del operador para acceder a su información personal de consumo y contratación, el sistema le respondía de forma "aleatoria" con los datos de otros usuarios.

Durante el periodo de tiempo que duró el problema, Vodafone considera que utilizaron potencialmente este servicio el 0,05 por ciento de sus clientes de prepago, que ascienden a unos 16 millones de personas.

El problema lo causó una "incidencia técnica" que ya ha sido solventada y, según la compañía, los clientes tan sólo pudieron ver los siguientes datos de otros usuarios: nombre, apellido, fecha de nacimiento, nacionalidad, número de teléfono y dirección.

En ningún caso, ha aclarado Vodafone, se pusieron al descubierto informaciones relativas al uso del teléfono, tales como los números contactados, el consumo realizado, las tarifas utilizadas o cuentas bancarias, un dato éste último que, de hecho, no aporta la web.

FACUA-Consumidores en Acción ha denunciado a Vodafone ante la Agencia Española de Protección de Datos (AEPD) por este problema de seguridad registrado en el servicio "Mi Vodafone", tras ser alertada por varios clientes.

Los afectados han relatado que un menú desplegable les daba la opción de visualizar las informaciones de los titulares de líneas Vodafone distintas a la suya, que cambiaban cada vez que volvían a entrar en el sistema.

A través del servicio Mi Vodafone, los clientes de la compañía pueden ver y modificar sus datos personales: nombre, fecha de nacimiento, nacionalidad, DNI, dirección, teléfono de contacto y correo electrónico, así como activar promociones, cambiar la tarifa contratada o su contraseña.

También permite acceder a datos relativos al consumo, con el detalle de las llamadas realizadas.

La asociación se dirigió a Vodafone el pasado 27 de diciembre para plantearle la situación y está a la espera de respuesta por parte de la compañía.

En los últimos días, teleoperadores del servicio de atención al cliente del operador indicaban que el servicio Mi Vodafone había sido desactivado por "tareas de mantenimiento", aunque actualmente está de nuevo operativo.

La Federación recuerda que este altercado implica una vulneración de los artículos 9 y 12 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal (Lopdcp) y las instrucciones emitidas por la AEPD relativas a los procedimientos para acceder y rectificar los datos de carácter personal.

Según éstas, deben establecerse protocolos de protección para garantizar que sólo el afectado pueda conocer y modificar datos objeto de tratamiento almacenados en un fichero.

MULTAN A UNA COMUNIDAD DE VECINOS DE NÀQUERA CON 30.000 EUROS POR PUBLICAR UNA LISTA DE 'MOROSOS'

La publicación de una lista de morosos en una zona publica le puede costar caro a la entidad urbanística colaboradora de la urbanización de San Miguel, en Naquera. La Agencia Española de Protección de Datos ha propuesto una sanción de 30.000 euros por colocar el ranking de los vecinos que no habían pagado las cuotas que se les requería en un lugar público. Los afectados lo denunciaron y ahora les han dado la razón. Fuente: El Mundo (10/12/2008).

Los hechos ocurrieron hace un año cuando la entidad que actúa como una comunidad de propietarios expuso los datos de unos 40 vecinos que no habían liquidado «una supuesta deuda», tal y como se recriminaba en la denuncia. Se trata de una organización que, en principio, gestiona los servicios de alumbrado, zonas verdes y dotacionales de la urbanización. Y, por tanto, cobra los recibos del mantenimiento a los cerca de 350 vecinos que viven allí.

Sin embargo, buena parte de ellos consideran que esos servicios son competencia del Ayuntamiento. De hecho, ellos, al igual que el resto de habitantes de Nàquera, pagan las tasas municipales y la contribución al consistorio y reprochan que la entidad urbanística supone «una doble aplicación de impuestos».

Ante este panorama, un grupo de propietarios decidió crear una asociación de vecinos, presidida por el también concejal de Iniciativa, Alvaro Cuadrado, y dejar de pagar las mensualidades que les exigía la organización. Frente a la negativa, el presidente de la entidad colocó un edicto en el tablón de anuncios del club social de la urbanización. Lo hizo de manera unilateral, sin pedir el perceptivo permiso y saltándose los dos únicos requisitos que impone la normativa para publicar datos personales en una zona comunitaria.

Y es que, aunque se trata de una entidad urbanística y su gestión y categoría legal no es la misma que la de una comunidad de vecinos, la Agencia de Protección de Datos lo ha tratado como tal. Así, considera que los responsables de la organización han vulnerado el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) y califica la falta como leve.

La propuesta de sanción de la Agencia considera que «la entidad urbanística no acredita la obtención del consentimiento de los afectados para publicar unos datos relativos a ellos». El documento, firmado el pasado 28 de noviembre, puntualiza que esta falta se podría haber evitado con los requisitos previstos en la Ley de Propiedad Horizontal. No obstante, tampoco se aplicaron, según la primera resolución, contra la que todavía cabe recurso.

Apoyo

-Los requisitos para poder publicar datos

Puede parecer un remedio rápido y fácil, y sin embargo puede acarrear muchos más problemas. Los quebraderos de cabeza a los que se enfrentan muchas comunidades de vecinos por propietarios que no pagan las cuotas no siempre se solventan con la exposición pública de los nombres de los morosos. Si no se siguen unas pautas el antídoto puede convertirse en una multa de hasta 30.000 euros.

¿Se pueden publicar los nombres de los propietarios que no paguen los recibos de la comunidad?

Sí, pero con matices. La exposición debe ir precedida por unos rigurosos pasos cuyo incumplimiento puede terminar en una sanción por vulnerar la Ley de Protección de Datos.

¿Cuáles son los requisitos?

En primer lugar se debe pedir el permiso expreso de los afectados. Si, como es habitual, la respuesta es negativa hay dos posibilidades. La primera es que antes de la junta de vecinos se le envíe la convocatoria en la que se va a tratar la morosidad de los propietarios. Si no se puede localizar a esa persona o ha rechazado recibir la información, en ambos casos tiene que estar acreditado, se podría publicar. El segundo precepto es igual, pero después de que se celebre la junta de vecinos.

¿Dónde se pueden exponer?

En los patios de las fincas o en lugares comunes, aunque son público y de libre concurrencia. Eso sí, siempre y cuando se hayan cumplido las pautas marcadas por la normativa incluida en la Ley de Propiedad Horizontal.

¿Se le aplica la misma normativa a una entidad urbanística que a una comunidad de propietarios?

No es lo mismo. La primera responde a una figura del Reglamento de Gestión Urbanística de 1978 y todavía hay urbanizaciones en las que se mantiene y sirve para gestionar los servicios básicos, como alumbrado y mantenimiento. La segunda no tiene estas competencias. Sin embargo, la normativa de protección de datos no contempla esta figura por lo que se le aplica el reglamento de una comunidad de propietarios.

¿Qué tipo de falta es?

La vulneración en la que ha caído la entidad de San Miguel de Nàquera se ha calificado como leve. Pese a ser de las más bajas de la tabla, la multa que se contempla puede ascender a 30.000 euros.

MULTA A TELEFÓNICA POR HACER CONTRATOS DE MÓVILES A NIÑOS

Protección de Datos sanciona a la compañía con 230.000 euros por tres casos - La teleoperadora inscribió a los menores en el registro de morosos. Fuente: El Pais (09/12/2008).

Carolina, Javier y Rosa tienen menos de 14 años y ya han estado en el fichero de solvencia ASNEF, más conocido como el listado de morosos. Aparecer en él -algo que sucede cuando se dejan de pagar las facturas- puede suponer no conseguir una hipoteca para comprar un piso o no poder tener tarjetas de crédito. Los tres (con nombres supuestos) dejaron de pagar la factura de sus móviles. Ahora la Agencia Española de Protección de Datos (AEPD) ha sancionado a Telefónica Móviles, su compañía, por hacerles un contrato telefónico a pesar de ser menores, por incluir sus nombres en el registro de morosos y por usar sus datos de manera irregular. Son las primeras resoluciones de este tipo en España y condenan a la operadora a pagar dos multas de 70.000 euros y otra de 90.000 euros.

Carolina recibió un día una llamada de un comercial de Telefónica en su móvil prepago. Le ofrecía la posibilidad de pasarse a contrato. Las condiciones le parecieron bien y aceptó la oferta. A los 15 días solicitó la baja. Explicó que era menor de edad y que había sido "engañada". Sin embargo, no consiguió cancelar el contrato y al poco tiempo recibió la primera factura: 108,88 euros. Trató de ponerse en contacto con Telefónica Móviles. No lo logró. Tampoco pagó la factura. Dos meses después recibió una notificación de que había sido incluida en el registro de morosos.

Su caso es muy similar al de Javier que, según la resolución de la AEPD en la que aparece la reclamación de su padre, "sustrajo" un móvil de tarjeta prepago a su madre y aceptó una oferta de migración a contrato que le hizo un comercial por teléfono. Poco después sus padres, al ver la capacidad ilimitada de llamadas del teléfono sin necesidad de recarga, le preguntaron. Éste les contó que había aceptado una oferta para cambiarse a contrato. Poco tiempo después a Javier le llegó una factura de 260,23 euros. Como no la pagó, recibió una carta en la que se le decía que su nombre había sido inscrito en el registro ASNEF.

La Ley de Protección de Datos dictamina que no se puede manejar datos de menores de 14 años sin el consentimiento de sus padres o tutores. Además, la resolución expone que "los menores no emancipados no pueden prestar el consentimiento para contratar, y por tanto sin este requisito no es válido el contrato y no es susceptible de generar obligaciones". Por tanto, según Protección de Datos, como los contratos hechos tanto a Carolina como a Javier son nulos, las deudas que adquirieron también lo son.

La inscripción de estos menores en el registro de morosos tampoco es válida, según la AEPD. La inclusión en este listado sólo puede hacerse cuando haya una "deuda cierta, vencida y exigible que haya resultado impagada". Según Protección de Datos, esa deuda no era "cierta" ya que los contratos no eran válidos.

"Este caso ejemplifica el riesgo de vulnerabilidad que tienen los menores en cuestión de protección de sus datos", dice el director de la AEPD, Artemi Rallo, que explica que las resoluciones tienen dos elementos clave: la prohibición de que un menor contrate un servicio sin el consentimiento paterno, y que "no cabe la obtención de datos personales de un menor de 14 años sin autorización de sus padres".

Sin embargo, Telefónica Móviles asegura en la resolución -que aún tiene posibilidad de recurso- que no sabía que los usuarios eran menores de edad. Y explica la política de empresa: "En ningún caso se podrá ofrecer a un menor de edad la migración a contrato. En el supuesto de que esté interesado se le indicará la posibilidad de realizarlo a nombre del padre o tutor". Pero a pesar de esto la empresa trató los datos de los afectados "sin realizar las comprobaciones necesarias en lo referente a su edad y sin requerir la autorización a sus representantes legales".

"La compañía tenía que haber obrado de manera más diligente y verificar todas las informaciones que le daban los usuarios", sostiene Rallo. "No pueden decir que son víctimas de una mentira por parte de los menores", concluye. Sin embargo, la teleoperadora sostiene en dos de los tres casos que los menores mintieron sobre su edad. Aseguran que tanto Carolina como Rosa dijeron tener 16 años.

Pero Rosa (al igual que la otra niña) tenía 13 años en el momento en que adquirió un contrato prepago. También llegó a deber 156,86 euros a Telefónica y fue incluida en el registro de morosos. Algo que su padre describe en un escrito recogido en la resolución como "materialmente imposible" sin su consentimiento. Pero no ocurrió. Nadie pidió a la menor el DNI para venderle el terminal, asociado a una cuenta con el BBVA. Algo que hoy es obligatorio.

De momento, las resoluciones de estos tres menores son únicas. Sin embargo, Rubén Sánchez, portavoz de la asociación de consumidores Facua sostiene que si se revisaran los contratos de las operadoras telefónicas aparecerían muchos más. "A estas empresas no les importa quiénes sean los titulares, sólo que paguen. Cada vez se dirigen más a un público infantil. Estos casos son un ejemplo de qué poco les importa la ley de protección de datos", sostiene. Por eso exige a la AEPD que inste a las teleoperadoras a que investiguen todos sus contratos para verificar cuántos corresponden a menores sin consentimiento paterno. Y de ser así, que los den de baja.

La ONG Protégeles, dedicada a velar por el buen uso de las nuevas tecnologías en los niños, reclama también que se haga esa verificación. "Actualmente no se cuida el cumplimiento de la ley de protección de datos, sobre todo de menores. No hay conciencia y muchas veces es por desconocimiento", critica Guillermo Cánovas, su presidente. Sin embargo, Cánovas contradice al portavoz de Facua, quien asegura que las compañías se dirigen cada vez más a captar menores, lo que se ha convertido en un nuevo "nicho de mercado a explotar". "Es más una cuestión de dejadez de las operadoras", asegura el presidente de Protégeles.

Pero esa mala utilización de la información personal es frecuente. Y es que, para Rallo, "estas empresas hacen de la obtención de datos personales una actividad principal. Algo muy preocupante en un público objetivo al alza como son los menores", sostiene Rallo. No va desencaminado. En 2004, el 45,7% de los niños españoles tenía móvil. Un porcentaje que en 2007 había crecido hasta el 65%, según la última encuesta sobre Equipamiento y Uso de Tecnologías de la Información y Comunicación en los hogares del INE.

PROTECCIÓN DE DATOS IMPONE DOS MULTAS A MAPFRE POR 60.700 EUROS

La Agencia Española de Protección de Datos (AEPD) ha impuesto este semestre dos multas a Mapfre por un importe conjunto de 60.702 euros. La aseguradora rehusó hacer comentarios. Fuente: CincoDías.com (08/12/2008).

La sanción más cuantiosa recayó sobre Mapfre Automóviles por emitir en mayo de 2006 una póliza de seguros de coche donde aparecía como tomador el denunciante sin su consentimiento. La empresa había dado de alta el contrato siguiendo órdenes verbales de la sobrina del interesado, que era la propietaria del vehículo, pero sin documentar el visto bueno de su tío. Además, la compañía recurrió a su base de datos para recabar, a partir de otra póliza de 1988, la información necesaria para dar de alta el nuevo contrato. Todo esto fue considerado como falta grave, con una multa de 60.101 euros para Mapfre.

La segunda multa, de 601 euros, recayó sobre Mapfre Seguros Generales por facilitar en una póliza combinada de hogar los datos personales (nombre, domicilio, coeficiente de copropiedad y entidad de crédito de la hipoteca) de los cinco vecinos de la comunidad de propietarios que la suscribieron.

MULTADA LA SGAE CON 60.101 EUROS POR GRABAR UNA BODA SIN PERMISO

La Agencia Española de Protección de Datos ha multado con 60.101 euros a la Sociedad General de Autores y Editores (SGAE) por grabar sin permiso una boda en Sevilla y aportar el vídeo a un juicio, lo que constituye "una clara violación del derecho constitucional a la intimidad y a la propia imagen". Fuente: EFE (07/12/2008).

Protección de Datos, en una resolución a la que ha tenido acceso EFE, considera que la SGAE incurrió en una infracción "muy grave", pues grabó un acto privado como es un banquete de bodas, sin la "autorización inequívoca" de los interesados, como exige la ley.


La SGAE, en el contexto de su política para cobrar derechos de autor, contrató a un detective, que se coló en una boda en el restaurante "La Doma" de San Juan de Aznalfarache (Sevilla) y grabó a los invitados bailando al ritmo de canciones protegidas.


El salón de bodas fue condenado a pagar 43.179 euros de canon musical en base a otras pruebas periféricas, ya que la sentencia del juzgado de lo Mercantil sevillano declaró nulo el vídeo porque constituía "una clara violación del derecho constitucional a la intimidad y a la propia imagen", al ser la boda un "acto privado y reservado", y más aún cuando la grabación se ejecutó "a escondidas, cuando la celebración estaba ya avanzada".


Al conocer la sentencia, la Asociación para la Protección de Datos de los Consumidores (Consudato) denunció los hechos a la Agencia de Protección de Datos, que ha sancionado a la SGAE con una multa de 60.101 euros.


La resolución dice además que la actuación del detective vulneró la Ley de Seguridad Privada, que prohíbe a esos profesionales usar en sus investigaciones "medios técnicos que atenten contra el derecho al honor, a la intimidad y a la propia imagen".


En su defensa, la SGAE alegó que se limitó a contratar al detective sin decidir sobre los medios que debía utilizar para conseguir pruebas, y que la filmación no pretendía generar un fichero de datos personales, que es el aspecto protegido por la ley.


La resolución recuerda que los contrayentes declararon no haber autorizado a la SGAE a filmar su boda y que, pese a ello, la novia aparece en varios momentos de la grabación.


La ley, según la resolución, exige el "consentimiento inequívoco del afectado" para la captación o tratamiento de sus datos personales, definidos como "toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recogida, tratamiento o transmisión y concerniente a una persona física identificada o identificable".


Por su parte, el abogado Joaquín Moeckel ha indicado a EFE que Consudato ha elevado otra denuncia similar ante Protección de Datos porque la SGAE ha vuelto a presentar una demanda judicial contra otro salón de bodas, en este caso "El Vizir" de Espartinas (Sevilla) con el apoyo del vídeo de un detective.


El detective "se introdujo en la boda simulando ser invitados y ocultando la cámara de vídeo" ya que dicho recinto "no estaba abierto al público sino solo a unas personas determinadas".


Consudato afirma que se trata de una infracción "muy grave" pues la prueba se consiguió "de forma engañosa y fraudulenta" y además constituye "una reiteración en una actuación ya sancionada por Protección de Datos". EFE