miércoles, 14 de noviembre de 2018

Mi primera denuncia GDPR chispas! [ACTUALIZADO]

Acabo de presentar mi primera denuncia a la Agencia Española de Protección de datos (AEPD) por incumplimiento del Reglamento General de Protección de Datos (GDPR de sus siglas en inglés o RGPD).

La denuncia ha sido contra una entidad financiera, concretamente Caixabank (Me niego a poner enlace a su web aquí).

Así ha sido la historia... el GDPR es de obligado cumplimiento desde el 25 de Mayo del 2018. Todos recordaremos el bombardeo de correos de empresas que pedían poder mantener nuestros datos durante los días anteriores, pues bien, el 25 de Junio recibí carta escrita de CaixaBank, carta con fecha 24 de Mayo, donde me explicaba los derechos y el tema del GDPR. OK, decido ir a una oficina que tengo cerca de casa, tal y como marcaba en su documento, y trato de ejercer mis derechos. Me dicen que ellos no pueden, que tengo que ir a mi oficina o hacerlo vía web. Como mi oficina no la piso desde hace más de 10 años  y la tengo algo lejos, decido hacerlo vía web.

En ese momento no presenté reclamación por incumplir algo que decían en su carta.

En la web que anunciaban me encontré un formulario donde tenía que poner una serie de datos y saber en qué empresa del grup CaixaBank había facilitado mis datos... con paciencia, por si acaso, pedí la baja en todas, o eso creo...

En Julio recibí una carta certificada, exactamente ESTA, donde se decía, con fecha de 2 de Julio, que me habían excluido de sus sistemas de publicidad. Por ahora, un trabajo impecable. Carta certificada con lo que no puedo decir quqe no he sido avisado...

Ahora viene lo divertido... en fecha 6 de agosto, recibo un correo de Caixabank, captura de pantalla a continuación:
Cabe destacar el encabezado, marcado en rojo en la imagen (Lo copio a continuación):
Publicidad. Si no puedes ver correctamente este mensaje, visita la versión web
Información exclusiva para: XAVIER VILA ESPINOSA (NIF:******205R)
Donde se ve, claramente, la palabra "PUBLICIDAD", algo a lo que me había opuesto hacía más de un mes.


El 8 de agosto les envío correo pidiendo explicaciones de como es que yo, habiendo estado excluido en Junio (recibiendo carta en Julio), en agosto recibo un correo. Abren caso con número 8-5286323957.

Ahora viene la traca...  en setiembre recibo dos correos de Caixabank:
Correo 1: Indicando que el darme respuesta a mi petición es algo complejo y se agarran a darme respuesta en el plazo máximo que estipula el reglamento (3 meses) pero.... no me indican los motivos de la dilación (artículo 12.3) ni justifican las razones de esa complejidad (artículo 5.2). Yo me callo... tengo paciencia y me gustará ver esa respuesta.

Correo 2: OTRO CORREO PUBLICITARIO!!!

Con el mismo encabezado de Publicidad... flipante.

Les envío otro correo a su cuenta de DPO exigiendo respuesta e indicando que ya tengo un caso abierto... a ver si esto hace que se pongan un poco las pilas y me den respuesta.

Aquí el correo que les envío:

Aquí su respuesta:

me dan otro número de caso, el 8-5403892251 y a esperar.

Pues bien, los 3 meses del primer comunicado y el mes del segundo han acabado, así que la paciencia de un servidor se ha terminado y he abierto una reclamación a la misma agencia. Registrada con número de registro 204925/2018.

Considero, de forma rápida, que han incumplido el artículo 28, al no respetar mi derecho de oposición, eso hace que según el artículo 83.5.b, una infracción grave, sancionable con multas de hasta 20M€ o 4% de la facturación global, lo que sea mayor.

Como nota técnica, adjunto la cabecera del correo con las IP y servidores implicados (me lo han pedido en la reclamación):
Por supuesto, conservo los correos... ;)

A ver como termina esto...

Por supuesto, gente de Caixabank, podéis escribirme.

Sigo esperando las respuestas a mis escritos y como no habéis respondido según lo estipulado en Reglamento General de Protección de Datos, he pasado nota a la Agencia.

Por ahora no pienso retirar este escrito. Abierto a negociación. ;)

[ACTUALIZACIÓN 20 ENERO 2019]
Bueno... voy cargado de trabajo y no me acuerdo de poner todo lo que ha pasado...a ver si recapitulo un poco.

El 3 de diciembre recibí notificación de la AEPD. Con código de salida 202608/2018. En ella decían que pasaban mi reclamación al DPD. (Pero si es el DPD o el correo oficial del mismo quien no me ha respondido....) Bueno... tienen un mes más para responder. A ver si lo aprovechan....

A mediados de enero de 2019, después de la resaca de año nuevo y aún no habiendo abandonado ningún objetivo de año nuevo, me dispongo a escribir a la AEPD, por su canal digital, que aún no he recibido respuesta de su escrito de principios de diciembre así que esto es lo que hago, me voy a su web --> Sede electrónica --> Registro electrónico AEPD --> Con certificado --> Cl@ve --> Rellenar el texto. Enviar y a esperar de nuevo...

[ACTUALIZACIÓN 23 ENERO 2019]
Hoy he recibido carta certificada de Caixabank muy curiosa...
Primero: Fecha de 21 de diciembre de 2018. Lo curioso que si busco el identificados de la carta certificada en la web de Correos me dice que s eenvió el pasado 18 de enero... curioso...
Con lo que creo que han mentido deliberadamente al estar fuera de plazo. El propio Correos, desde Twitter, lo confirma.

Luego me dicen que lo que recibí no era publicidad, si no una notificación operativa de una nueva forma de operar, pero que, erróneamente, la marcaron como publicidad. Y que no recibiré mas correos de estos.

Otra cosa curiosa es que me responden a raíz de la denuncia a la AEPD, o sea, que mis correos anteriores están perdidos en el limbo o en la basura... con lo que veo que tienen una gestión de correos no deficiente.... si no nula.

Que ganas de irme...

Cuando pueda, notifico por el canal electrónico a la AEPD este hecho, que he recibido respuesta y la divergencia de fechas. Hoy están de mantenimientp... lo probaré más tarde.