Premios LOLPD 2022 Edition. Nevermind the privacy

 

 

Hoy es 28 de diciembre y se ha quedado buen día para repasar las noticias dateras más WTF del año.

Aunque estés corriendo para terminar el año, o quemando la extra, siempre hay cinco minutos para relajarse y echarse unas risas. Reírse a lo grande y a lo alto, experiencia que en inglés sintetizan en “Laugh Out Loud”, (en adelante, “LOL”). Y si lo mezclamos con la LOPD, nos sale “LOLPD”.

 

Los orígenes: arqueología LOLPD

Esto tiene su tradición: cuenta la leyenda que fue David González Calleja quien pronunció por primera vez la palabra mágica LOLPD la ante la pila bautismal datera.

David preparó también el primer greatest hits en 2012: https://www.ntabogados.com/i-edicion-de-los-premios-lolpd/

Hubo un recopilatorio autoeditado. Por dos viejos rockeros: Nacho San Martín y Javi Sempere. Sigue disponible aquí https://www.privacidadlogica.es/lolpd-aventuras-desventuras-y-patadas-a-la-lopd-libro-descarga-gratuita/

Y las buenas tradiciones, amigos, las buenas razones hay que mantenerlas: la costumbre se basa en la repetición, sí, pero SOBRE TODO en la convicción de que esa repetición es obligada (“oppinio iuris seu necessitatis”).

Y yo siento que esto forma parte de nuestra misión. Y aquí estoy para cumplirla, con vuestra ayuda.

Lo intenté en el 20 y no salió. Lo hicimos en el 21 y está aquí.

Hoy toca repasar los momentos dateros más embarazosos del 22.

Y recuerden: RECUERDEN porque esto es importante: los siete casos que describo a continuación son absolutamente reales, sin trampa ni cartón.

Ahí están los enlaces y, en su caso, resoluciones para contrastarlo. Estas chorradas hay que tomárselas muy en serio, sí señor.

A la faena:

 

 

5.- Protección de datos «Ideal»: ¡A mí que me registren!

Via: Javi Sempere.

El caso: El cine imita a la realidad. Yelmo Cines coge prestados algunos efectos especiales y hace de su política de privacidad un “trampantojo”. Un decorado de esos en los que tu edificio es sólo una fachada con la nada en su interior. Cuando casi lo único que cambias en tu política de privacidad es “Ley del 1999” por “Ley del 2018” y ya te crees que puedes ganar un Oscar. Pero sólo ganas un puesto en el Podium LOLPD. Porque no has hecho una política, has hecho un “remake”. De los malos.

Acción recomendada: un experto en privacidad que haga su trabajo. Pero sin dobles ni extras: a lo Tom Cruise.

 

4.- La app del amol: intentando hacer fácil lo imposible

Via: El  Periódico. https://www.elperiodico.com/es/sociedad/20221110/app-incluye-consentimiento-firmado-mantener-relaciones-sexuales-78377811

El caso: Antes, mucho antes de las muchas polémicas que trajo consigo la ley del “Sólo sí es sí”, hubo quien pensó que sería una buena idea hacer una aplicación que sirviera para dejar claro si el sí, era sí o si era otra cosa, cuánto dura un sí, y a qué hace referencia.

Una app con esta intención debería estar concebida para proteger el (los) derecho(s) fundamental(es) en juego de quien emite el consentimiento (a bote pronto: libertad sexual y control sobre los propios datos, si la vía es una app).

Lamentablemente, el concepto y diseño en este caso apunta a proveer de una especie de confort/impunidad a quien teóricamente “necesita” documentar el consentimiento, más bien que a quien lo emite: la app registra un sí por un tiempo determinado a cosas determinadas o indeterminadas.

Un planteamiento tan tóxico que podría encabezar el top 5 LOL-Privacy by design si tal cosa existiera.

Serie recomendada: “I may destroy you” que dice todo lo que hay que decir sobre los resbaladizos límites del consentimiento en las relaciones sexuales.

 

 

3.- Hasta el INFINITON y más allá

Vía: Juana V de Gamboa: “Esto fue maravilloso: Denuncia archivada por la AEPD porque la empresa demandada no contestó al requerimiento”.

En verdad que lo fue. Enlace a la resolución.

El caso: “El reclamante ha adquirido sendos terminales móviles del proveedor INFINITON comercializados por la compañía BERMELLO, S.A., en los que se muestran constantemente anuncios publicitarios no solicitados. No solo no se le ha pedido autorización para ello, sino que, además, los mensajes obstaculizan la utilización normal de los terminales, y acarrean un elevado consumo de batería y uso de datos.”

IAB y Google approve this.

El problema parece deberse a un (sic) “virus preinstalado” en los terminales sobre cuyas funcionalidades, finalidades y resto de info de tratamientos, no se informa. La infracción del 21 LSSI ni cotiza.

El denunciado nunca contestó los requerimientos de la Agencia. Y la Agencia, rematando una sesuda disertación sobre el principio acusatorio en el proceso sancionador resolvió:

“En el presente caso analizado aun cuando se ha producido la identidad del hecho supuestamente antijurídico, no se ha podido determinar con la necesaria precisión que la acción objeto de la reclamación haya sido consecuencia de la acción o inacción del reclamado faltando, por tanto, uno de los presupuestos fácticos imprescindibles para poder entender que se ha producido un ilícito administrativo.”

Alguien podría preguntarse sobre una posible eximente total, no regulada, basada en limitarse a no contestar a la Agencia.  O si nos hemos olvidado de que no colaborar con la institución viene siendo infracción grave (art. 73.o) LOPDgdd) o muy grave (art. 72.o) LOPDgdd.

Quizá también le interese: como bien saben los señores de -¿les suenan?- Cambridge Analytica, paralizar la actividad de la empresa también funciona.

 

(Punto y seguido) Premio «WTF 2022: Nevermind the privacy» a la peor película extranjera para Twitter Inc

 

Pequeña interrupción para el galardón internacional. Otro año, igual hay que currarse un top 5 internacional, pero por hoy sólo veremos dos casos.

Podía haber sido Eric Zemmour, el candidato a las elecciones francesas por el caso que contaba aquí.

Pero lo justo es lo justo, y cuando Elon Musk entró en los headquarters de Twitter con un lavabo en brazos, ni la mismísima Cassandra podía imaginar hasta qué punto esa imagen iba a ser premonitoria.

Por lo rápido que se está yendo todo por el desagüe, digo.

Si es cierto sólo la mitad de lo que ha rajado el whistleblower sobre las deficiencias sistémicas de seguridad de la información en las tripas de la plataforma del pajarito, o sobre las acongojantes (desde el punto de vista del Reglamento General de Protección de Datos) novedades que Musk planea implementar para hacerle, je, remontar el vuelo, Elon va a dejarse (jeje) no pocas plumas en los dos próximos años. Y con eso estoy asumiendo que la plataforma no se vaya al carajo mucho antes.

Ustedes dirán: la parte de seguridad, es previa: no es culpa de Elon. Pues bien, yo daría (jejeje) un huevo por ver la due diligence de datos de esa operación.

Y si existió, qué decía. Porque parece claro que Elmo ha picado (ta-dum basss).

 

2.- “Spam Escape Room” by Adeslas

Via: Francisco Javier Garcia Sanchez. This is the way, Fran.

Caso totémico donde los haya: Adeslas primero te entierra en spam, y luego te brinda grasiosamente la posibilidad, para “darte de baja” de toda esa morralla que nunca solicitaste, de ABRIRTE UNA CUENTA en su plataforma.

La realidad supera la ficción. Esto es un ejemplo perfecto de caso práctico de examen: “Identifique todos los incumplimientos que pueda: hay unos cuantos”.

Más que un dark pattern, un agujero negro.

Serie recomendada: “Prison Break”.

 

 

1.- Premio LOLPD 2022: «El erregepedo en el Toro»

El caso: Un hacker ético acaba detenido porque su IP consta en la investigación contra pederastas… en la que estaba colaborando con la policía. El texto de la noticia pone (je) la puntilla a una historia que no necesitaba de nada más.

El detenido era experto en “redes ocultas” como el TORO. No Tor, no: «EL TORO».

https://elcaso-elnacional-cat.cdn.ampproject.org/c/s/elcaso.elnacional.cat/es/noticias/detienen-error-hacker-ayudaba-guardia-civil-detectar-pederastas-deep-web_924420102_amp.html

Catch phrase recomendada: “No problemo, Dios del Trueno”.

 

 

Bonus Track: Premio “You say poteito, I say potato”

La AEPD por su resolución sobre la RAE.

El caso: El octavo y último caso: last but not least, con diferencia la resolución más rompedora y minusvalorada de la AEPD en este año.

No puedo decir todo lo que me gustaría sobre este tema, porque tengo entre mis clientes a otro de los 101 dálmatas, pero no me puedo creer que la comunidad haya pasado por alto esto:

En el archivo de las actuaciones contra la RAE por la denuncia de Max Schrems, la Agencia se separa espectacularmente del criterio sentado por el resto de autoridades europeas sobre Google Analytics, y lo hace citando un desconocido -por lo menos para mí- “position paper” del Grupo de Trabajo del art. 29 que allana el problema de las transferencias internacionales, cuando menos a las entidades públicas. En la página 14/15:

Enlace a la resolución de la Agencia.

Enlace al «Position Paper« del GT 29

 

¡¡Muy feliz año!!

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos