Las tres cosas que nunca debe hacer tu empresa si usa WhatsApp

Con el crecimiento y explosión de WhatsApp en todo el mundo, muchas empresas han echado mano de esta aplicación para hacer su negocio más atractivo y fácil de encontrar. Aunque puede resultar una buena herramienta para empresas, hay algunas prácticas que tu empresa jamás debe hacer. 



WhatsApp es una aplicación que se ama y se odia a partes iguales. No hay duda que todo el mundo con un smartphone la usa, o por lo menos la ha usado hasta hace relativamente poco, según atestigua el número de 500 millones de usuarios activos al mes. Pero no solo hay 500 millones de personas conectadas intercambiando fotos y vídeos, también hay empresas.

Muchas de ellas han visto en WhatsApp una forma de comunicarse con potenciales clientes. Con que te tengan en tu libreta de contactos ya es suficiente para poder comunicarse contigo, y eso ha provocado que empresas, tanto grandes como pequeñas, usen la app para hablar con sus clientes, quizá creando un vínculo más personal entre ambos y mejorando el negocio.

Con un vistazo rápido a Twitter podemos encontrar cientos de menciones de empresas y negocios que usan WhatsApp para por ejemplo hacer reservas, o incluso empresas de reparación que agregan el número de teléfono para comunicar errores.

Pero como empresas, hay que tener mucho cuidado con lo que se comunica mediante mensajería.

Errores más comunes

El primer error que las empresas cometen es el uso de WhatsApp en sí. La aplicación, aunque popular, se ha demostrado continuamente que es insegura para transmitir datos importantes y privados. La seguridad de tus clientes o de tus usuarios debería serlo todo, y usar WhatsApp crea una vía rápida de comunicación, pero muy insegura (para muestra, el último caso).

Como parte de esta inseguridad, es una locura compartir documentos importantes de tu empresa mediante WhatsApp, y mucho menos información que pueda comprometer tu negocio.

Otro de los errores más comunes que se han encontrado es la gestión desde un solo número en servicios que muchas personas podrían usar. Contrata varias líneas y gestiona desde diferentes equipos o personas las incidencias, esto no hará que se queden una larga lista de incidencias o mensajes por leer. Divide y vencerás.

Muchos de los problemas de brechas de seguridad que tienen WhatsApp y otras aplicaciones de mensajería usadas para conectar con clientes y trabajadores de una misma empresa es el uso del terminal como algo personal. Esto es algo muy normal hoy en día: es el llamado BYOD -Bring Your Own Device (“trae tu propio dispositivo”)- en el que cada vez más, en las empresas se permite el móvil personal como dispositivo de trabajo.

Pero cuando un móvil se usa para comunicarse con clientes eso es un gran error. Nunca deberías usar un dispositivo dedicado a la comunicación de esta forma como tu propio móvil. Sobre todo usarlo para descargar decenas de aplicaciones 'para probar' ya que en plataformas como Android es un riesgo: se han visto casos de aplicaciones que usaban los datos de la aplicación WhatsApp o Telegram para quién sabe qué.

Protección de datos

Lo más preocupante del uso de WhatsApp por parte de empresas es sin duda el desconocimiento de la Ley de Protección de Datos. Esta Ley es muy dura con empresas que comentan o usan datos personales de clientes por canales que jamás deberían pasar. Y menos por canales inseguros.

En los términos de uso de WhatsApp se indica que no pueden garantizar la seguridad de los datos que se transmiten, y es el usuario el que asume el riesgo de la información que estás a punto de compartir.

Usar datos personales mediante WhatsApp se puede considerar como un incumplimiento de las obligaciones de las empresas ante la protección de datos, con unas multas que pueden llegar desde los 900€ hasta los 600.000€. Esto incluye desde el número de teléfono, el estado, la fecha y hora de conexión e incluso la foto de perfil. “Las empresas son responsables jurídicas de los datos personales que custodian de sus clientes y, como tales, están sujetas a la Ley Orgánica de Protección de Datos, que contempla como dato personal cualquier información que identifica o hace identificable a una persona física”, explica Natalia Esteban-Zazo, abogada de DAS acerca de la protección de datos en estas plataformas.

Quizá la mejor herramienta de la empresa ante esta situación, de seguir queriendo usar WhatsApp o cualquier aplicación de mensajería para comunicarse con clientes, es obtener el consentimiento del cliente para el uso de este tipo de aplicaciones, incluyéndolo como una cláusula en contratos para que ambas partes autoricen los canales de comunicación. El problema es, que en muchos negocios donde no hay contratos de por medio, esto es prácticamente imposible de lograr.

(Fuente: ondacero.es)

Las operadoras tendrán que informar a Protección de Datos de sus brechas de seguridad.

Los proveedores de servicios de comunicaciones electrónicas están obligados a notificar a la Agencia los fallos de seguridad que se produzcan en sus sistemas y que puedan afectar a los datos personales que tratan. 

La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha un nuevo sistema para que los proveedores de servicios de comunicaciones electrónicas notifiquen las eventuales quiebras de seguridad que se hayan producido en sus sistemas y que puedan afectar a los datos personales que tratan.

La Directiva 2002/58/CE establece que los proveedores de servicios de comunicaciones electrónicas disponibles para el público están obligados a notificar las quiebras de seguridad que puedan afectar a datos personales a las autoridades nacionales competentes y, en algunos casos, también a los abonados y particulares afectados, con el fin de reforzar las garantías de su derecho fundamental a la protección de datos. Esta obligación ha sido incorporada al Derecho español por la reforma del artículo 34 de la LGT, llevada a cabo por el Real Decreto-ley 13/2012. Por su parte, el Reglamento de la Comisión Europea 611/2013 fija las normas sobre cómo y cuándo notificar estas quiebras de seguridad. En el caso español, la competencia para recibir estas comunicaciones por parte de los proveedores de servicios corresponde a la Agencia Española de Protección de Datos.

El procedimiento que presenta hoy la AEPD, con el que se facilita el cumplimiento de la obligación normativa, está disponible a través del apartado "Notificación preceptiva de quiebras de seguridad" de la Sede Electrónica de la Agencia. El artículo 2.2 del Reglamento especifica que, en la medida de lo posible, los proveedores deben comunicar las quiebras de seguridad a la autoridad competente dentro de las 24 horas siguientes a la detección del incidente. 

El protocolo de actuación puesto en marcha por la Agencia se establece como un canal rápido y seguro para que los proveedores de servicios de comunicaciones electrónicas notifiquen a la Agencia los casos previstos en la legislación. Las quiebras de seguridad están definidas en la misma como "toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público".

Siguiendo las especificaciones del Reglamento, el formulario habilitado por la AEPD incluye, entre otros campos, la identificación del proveedor, los datos de contacto del responsable de protección de datos o de la persona que pueda aportar más información, las circunstancias en las que se ha producido la quiebra de seguridad, la naturaleza y el contenido de los datos, el número de afectados, o las medidas técnicas y organizativas adoptadas por el proveedor para paliar los posibles efectos negativos.

El objetivo del Reglamento es reforzar las garantías de los abonados o particulares que hayan podido verse afectados por la quiebra de seguridad, estableciendo la obligación de notificar el hecho a la AEPD de la forma más rápida y exhaustiva posible sin que ello suponga un obstáculo para que el proveedor tome las medidas para limitar y remediar las consecuencias del incidente.

El sistema de notificación electrónica de quiebras de seguridad puesto en marcha hoy es exclusivo para proveedores de servicios de comunicaciones electrónicas disponibles para el público, sujetos obligados por la Ley 32/2003 General de Telecomunicaciones. Los ciudadanos siguen teniendo a su disposición en la Sede Electrónica el apartado "Presentación de denuncias" para poner en conocimiento de la Agencia posibles vulneraciones de la Ley Orgánica de Protección de Datos.

(Fuente: publico.es)

Los bancos ocultan los ciberataques que sufren para evitar dañar su imagen.

- También temen ser multados por la Agencia de Protección de Datos, que siempre abre expediente al conocer un ataque por entender que se ha perdido información sensible. - Según el Informe Anual de la Seguridad en España, "las empresas reconocen que prácticamente no se dan a conocer los incidentes".

La defensa ante ataques informáticos es la principal prioridad del Gobierno en materia de protección de los intereses de España. Muestra de ello es que la primera cosa que hace el Departamento de Seguridad Nacional de Moncloa, tras la aprobación de la Estrategia de Seguridad Nacional, es la puesta en marcha de la Estrategia de Ciberseguridad. Sin embargo, existe un impedimento que frena el desarrollo de esta apuesta gubernamental: las empresas no denuncian las agresiones que sufren en este terreno.

Como dijo el analista de sistemas de la Universidad de California Raj Shah en su última visita a nuestro país, en España parece que no hay ciberataques. "No se comparte la información cuando alguien sufre un hackeo ni, por lo tanto, tampoco las medidas de seguridad que pueden evitarlo en el futuro", explicó Shah, para quien esta opacidad imposibilita la protección.

En la misma línea apunta el reciente Informe Anual de la Seguridad en España, publicado por la Fundación Esys. "Las empresas reconocen que prácticamente no se denuncian los incidentes, especialmente donde el impacto es tan importante, como es el caso de las entidades financieras", apunta el estudio, que destaca que esto ocurre "a pesar de la creciente delincuencia y amenaza internacional" que experimenta el sector. De hecho, continúa, "existe un gran número de incidentes que o no son detectados o son ocultados".

El coordinador del estudio, Alfonso Bilbao, asegura que "es enorme la falta de información" que hay en este ámbito. "Según el informe de la Fiscalía General del Estado, en España prácticamente no hay delitos informáticos", recuerda Bilbao, quien apunta que hay dos motivos que explican por qué las empresas no denuncian los ataques que reciben.

El primero, que en el momento en que una entidad comunica a la Agencia Española de Protección de Datos que ha sufrido un ciberataque contra, por ejemplo, una base de datos de clientes, el organismo considera que esa sociedad ha perdido la información que debería estar protegida y, por lo tanto, le abre un expediente que en ocasiones puede concluir incluso en una multa. 

"Es una ley enormemente estricta, de las más estrictas del mundo", valora Bilbao, quien compara ese carácter restrictivo con la permisividad de que disfrutan las grandes tecnológicas norteamericanas. "Aquí tenemos que declarar y tomar una serie de medidas de seguridad sobre datos personales... mientras Google y Facebook manejan información muchísimo más importante (dónde estamos, qué compramos, etc.) y no les pasa nada", relata el coordinador del estudio, que califica la situación como de "realmente absurda". "La Ley de Protección de Datos peca de irreal", subraya.

El segundo motivo que explica la falta de transparencia de quienes son atacados, prosigue, es el temor a trasladar a la opinión pública o a los clientes una "imagen de empresa vulnerable" que pueda repercutir directamente en la cuenta de resultados.

"No puede ser que alguien esté sufriendo una agresión por algún tipo de troyano y eso no lo conozcan inmediatamente todos los que pueden estar en esa misma situación", advierte Bilbao, quien anuncia que la Fundación Esys va a realizar un estudio específico sobre las razones últimas que llevan a las empresas a ocultar sus ciberataques y las soluciones que existen para solventar este obstáculo.

(Fuente: lainformacion.com)

Protección de Datos señala que hay que determinar cómo afecta a la ley española la sentencia del TJUE sobre conservación de datos.

En relación con la sentencia del Tribunal de Justicia de la Unión Europea sobre conservación de datos, la Agencia Española de Protección de Datos manifiesta que las Autoridades de Protección de Datos de los Estados de la Unión Europea ya manifestaron sus reservas sobre la Directiva 2006/24/CE en dos Dictámenes del Grupo de Trabajo del Artículo 29 en el que alertaban sobre el impacto que sus previsiones podían tener sobre el derecho a la protección de datos y sobre el respeto a la vida privada de las personas.

En concreto, en el Dictamen 3/2006 se hacía referencia a las salvaguardas y garantías que los Estados debían implementar para cumplir con los requisitos del artículo 8 del Convenio Europeo de Derechos Humanos y mantener el alto estándar de protección de datos consagrado en el derecho europeo.

Como ha señalado el director de la Agencia, José Luis Rodríguez Álvarez, en otras ocasiones, "la tradicional tensión entre seguridad y libertad debe abordarse siempre desde una perspectiva equilibrada, que garantice el derecho a la protección de datos de carácter personal y el respeto a la vida privada".

La sentencia del TJUE sobre la Directiva de conservación de los datos viene a confirmar con rotundidad que la seguridad, aún siendo un valor muy relevante, del que se derivan tanto un objetivo de interés general como en un derecho subjetivo, no tiene carácter absoluto ni prevalente. En consecuencia, las medidas que se adopten para garantizar la seguridad deben ser proporcionadas, sin limitar o interferir en otros derechos más allá de lo que sea imprescindible para alcanzar la finalidad perseguida.

Una vez declarada inválida la Directiva por el Tribunal, será necesario analizar detenidamente los fundamentos de la sentencia para determinar en qué medida afecta a las legislaciones nacionales que la trasponen, incluida en el caso español la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

(Fuente: publico.es)

Casi la mitad de las web de viajes españolas incumplen la normativa de protección de datos.

- El año pasado tres de cada cuatro sitios de viajes incumplían la ley. - La Comisión Europea ha abierto diligencias a 14 empresas en España. 

El 44% de los sitios web de viajes en España no respeta las normas de la UE sobre protección de los consumidores, según un informe publicado este lunes por la Comisión Europea. Entre los incumplimientos más frecuentes detectados está que el precio total del servicio no se indica desde el principio o que falta información sobre cómo reclamar.

El dato es peor que el registrado en la media de la Unión Europea: conforme al estudio de la Comisión, el 62% de los sitios web de viajes respeta las normas sobre consumo, Los países con peores resultados son Finlandia (donde el 100% de las webs inspeccionadas sigue incumpliendo la legislación comunitaria), Letonia (92%), Chipre (71%) y Reino Unido (59%). En contraste, en Hungría, Rumanía y Bulgaria todos los sitios cumplen. 

Pese al varapalo para los sitios web españoles, el informe muestra una importante mejora respecto a la anterior inspección realizada en verano de 2013, cuando el 75% de los sitos web de viajes en España vulneraba la legislación comunitaria.

Desde entonces, un total de 10 webs han corregido las irregularidades detectadas, y 14 tienen diligencias abiertas que podrían culminar en sanciones por parte de las autoridades españolas. 

"Uno de cada tres internautas de la Unión Europea reserva viajes y alojamiento en línea. Estas personas merecen poder confiar en que tales reservas son seguras y fiables. De los 552 sitios web de viajes que hemos inspeccionado, el 62% ya se ajustan a la legislación de la UE en materia de protección de los consumidores, gracias a los esfuerzos conjuntos de los Estados miembros y de la Comisión", ha dicho el comisario de Política de Consumidores, Neven Mimica, en un comunicado. 

El principal problema detectado fue la falta de información obligatoria sobre la identidad del comerciante, en particular su dirección de correo electrónico, lo que según Bruselas privaba a los consumidores de un canal de contacto efectivo. Esta información no figuraba en 162 sitios web (30 %). En muchos casos (28%) no había instrucciones claras sobre cómo reclamar. 

Otro incumplimiento frecuente (en el 24% de los sitios inspeccionados) era la inclusión por defecto en el precio de suplementos opcionales (como los seguros de vuelo). Además, el precio total del servicio no se indicaba inicialmente al exponer los elementos principales de la reserva en el 20% de los casos.

(Fuente: eleconomista.es)

Vodafone indemnizará a un cliente con 6.000 euros.

La compañía le incluyó indebidamente en registros de morosos por una deuda de 115 euros. La operadora subió las tarifas, con lo que no podía cobrar por la cancelación de la permanencia. El caso, una práctica habitual realizada por todas las operadoras telefónicas, es un claro ejemplo de abuso. Lo hemos visto día sí y día también en prensa, radio y televisión y las operadoras continúan con su ‘tiranía’ sobre los consumidores y usuarios. Aunque esta vez, se toparon con un ‘hueso’: el cliente era abogado de Ausbanc. Vodafone incluyó indebidamente en dos registros de morosos –concretamente en los ficheros Badexcug y Asnef-Equifax– a un cliente, por entender la operadora que había roto unilateralmente el contrato de permanencia y cifraba la penalización del usuario con la operadora en 115 euros. No obstante, muchos usuarios no saben que existen mecanismos para no tener que pagar al marcharse de la compañía antes de tiempo. Todo se reduce a un incumplimiento grave del contrato por parte de la operadora. De esta manera, y aunque puede haber muchos supuestos, los casos más habituales son el cambio en la tarifa; el alta en servicios sin consentimiento del cliente; el cobro de llamadas no realizadas y la falta de cumplimiento de alguno de los compromisos pactados. Esto puede traducirse en una merma de la calidad del servicio pactado, como puede pasar en servicios de Internet. En concreto, y en este caso, fue el incremento de las tarifas por parte de la operadora lo que produjo la cancelación del contrato de permanencia por lo que no procedía el pago de ninguna penalización –tal y como dicta el artículo 107 RD 424/2005–. Sin embargo, y a pesar de exponer el cliente dichas razones de forma fehaciente, Vodafone incluyó al usuario en los ficheros de morosidad en octubre de 2009.  Denuncia ante la AEPD Como respuesta, el cliente presentó una denuncia ante la Agencia Española de Protección de Datos (AEPD) que concluyó con una multa a la operadora de 50.000 euros –concretamente en abril de 2012–. Aun así, Vodafone continúo sin dar su brazo a torcer y se encontró con una demanda reclamando como indemnización 10.000 euros. Pues bien, tras un primer intento de la operadora –a través de su letrada– de llegar a un acuerdo con el demandante por una cantidad muy inferior a la solicitada (1.500 euros), el Magistrado le preguntó al cliente cuál sería el importe mínimo por el cual aceptaría resolver el asunto, quedando fijada una indemnización de 6.000 euros que la operadora abonó al cliente. (Fuente: mercado-dinero.es)

Multa de 20.000 euros a Endesa por reclamar el cobro de una factura ya pagada.

- Por una infracción grave de la ley de protección de datos personales. - La eléctrica no borró los datos y los cedió a una empresa de gestión de cobros. - Al afectado le reclamaron repetidas veces una factura que ya había pagado.

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Endesa con una multa de 20.000 euros por no borrar de sus archivos los datos personales de un cliente que se había dado de baja y cedérselos a una tercera empresa para reclamar una deuda que ya había sido pagada. La resolución de organismo es fruto de la denuncia presentada por la asociación de consumidores Facua.

Según explica la asociación de consumidores en su página web, el cliente notificó a la compañía eléctrica en mayo de 2012 su decisión de poner fin al contrato por el servicio de gas y pagó la última factura pendiente, que ascendía a 875,49 euros. 

Aunque ya se había dado de baja, el cliente, que resulta ser el periodista y presentador Máximo Pradera, fue contactado por la empresa de gestión de cobros Corporación Legal, que comenzó a solicitarle el abono de la citada mensualidad.

Esto sucedió en repetidas ocasiones, a través de cartas, llamadas telefónicas y SMS, en las que se amenazaba con incluirle en el registro de morosos y se le advertía de que "Endesa Energía podría llevarle ante los tribunales".

Ante esta situación, el afectado da parte a Facua, que a su vez se encarga de presentar la denuncia ante la Agencia de Protección de Datos, en octubre de 2012. En su reclamación, la asociación acusaba a la empresa de "vulnerar la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Persona", al pedir a través de un tercero un dinero que el cliente ya había pagado y no haber eliminado de su base de datos al usuario, que ya no tenía contratados los servicios de la compañía.

Finalmente, la AEDP ha decidido imponer la multa de 20.000 euros a Endesa, dieciocho meses después, por una infracción grave de esta ley. En este sentido, Facua destaca en su comunicado la "enorme y creciente lentitud de la AEPD ante las reclamaciones de los usuarios". Según explica, esto pone de manifiesto que la Agencia no dispone de medios suficientes "ante la multitud de denuncias existentes".

Una práctica habitual

Y es que se trata de una práctica habitual en las empresas, especialmente las eléctricas y las de telecomunicaciones, que viene acompañada de numerosas denuncias. Hace menos de un mes, Vodafone fue multada con 50.000 euros, en un caso similar al de Endesa, es decir, incluir "ilegalmente" a un cliente en el fichero de morosos de Asnef por un servicio de ni siquiera le estaba ofreciendo.

Tal y como recoge la LOPD, los datos de un cliente sólo podrán ser incluidos en ficheros de morosos, si hay "existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada".

Además, según el artículo 4.3 de la citada ley deben ser "exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación".

(Fuente: eleconomista.es)