Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

162

Protección de Datos sanciona a Pepephone tras auto denunciarse por no ocultar el correo de los destinatarios de un mailing

La Agencia Española de Protección de Datos ha sancionado con 3.000 € por una infracción grave a Pepephone. La operadora cumplió su promesa de denunciarse a si misma ante las autoridades de protección de datos al incluir por error el correo de los destinatarios en un mailing que anunciaba una mejora de tarifa.

La satisfacción de anunciar una mejora gratuita de la capacidad del bono de datos a los clientes de su tarifa ForoCoches se tornó en pesadilla al comprobar que por error se había incluido en el cuerpo del mensaje las miles de direcciones de email de los clientes. La empresa reconoció el error en Twitter y mandó un segundo mensaje de disculpa.

Solo un día después de producirse el incidente, Pepephone remitió un escrito de autoinculpación en el que reconocía que de forma involuntaria el "lamentable error" por el que había "comprometido las direcciones de correo" de algunos de sus clientes y explicaba como se produjo el incidente.

Recientemente hemos mejorado las condiciones de tarifa de algunos clientes de forma automática, y por ello nos hemos puesto en contacto con ellos por mail para informarles de la mejora en sus condiciones de servicio. En el caso presente, el mail iba dirigido un grupo de 4.843 clientes. […]

Cada vez que se procede a realizar un envío de correo electrónico a un grupo de clientes, nuestro sistema genera un fichero temporal con dos valores: la direcciones de email de los destinatarios y un número de serie interno correspondiente a ese cliente. Posteriormente, en la interfaz de nuestro sistema de envío de mensajes se carga ese fichero de direcciones de email y seguidamente se carga el texto del mensaje que se debe enviar (que nunca va personalizado por lo que no incluimos jamás ningún otro dato personal como el nombre o los apellidos). Una vez cargados ambos campos, el mensaje se revisa y se envía, y el fichero origen se elimina. […]

En este proceso de carga, la persona responsable de configurar el envío, y debido a un error humano, cargó la lista de las 4.843 direcciones tanto en el campo de destinatarios como en el cuerpo del mensaje, por lo que se envió un email a estas personas en el que iba visible la dirección de correo de todos los demás destinatarios (el mismo efecto que si no se hubiera puesto a los destinatarios en el campo de copia oculta). A pesar de que existe una pantalla de verificación del mensaje previo al envío, esta persona descuidó verificarlo correctamente y procedió su emisión. […]

Como consecuencia de este hecho, estas direcciones de email, así como el número de serie interno que no tiene ningún significado para los clientes, han sido enviadas y vistas exclusivamente por los clientes que han recibido el mensaje. [...]

Tan pronto hemos tenido conocimiento de los hechos, hemos detenido el envío que ya había alcanzado aproximadamente a un 70% de estos 4.843 clientes, y nos hemos puesto inmediatamente en contacto con todos ellos con otro mensaje de correo electrónico para pedirles disculpas por el error y solicitarles que eliminaran los datos recibidos. En paralelo, informamos públicamente del error y de su alcance para dar una explicación a todos los clientes, tanto afectados como no afectados. […]

Adicionalmente, y para garantizar que este hecho no vuelve a ocurrir, hemos revisado el procedimiento de envío de mensajes y solicitado con urgencia una modificación del sistema que garantice que en ningún caso se puede introducir por error en el cuerpo del mensaje una dirección de correo electrónico, ni siquiera por error humano. Esta modificación estará desarrollada y disponible a finales de esta misma semana y hará materialmente imposible que este suceso vuelva a ocurrir de nuevo.

Además de la autoinculpación de Pepephone, un único usuario de entre los 4.843 clientes afectados, también denunció el caso ante Protección de Datos

Aunque la sanción correspondiente a una infracción de caracter grave es de entre 40.001 a 300.000 €, se ha considerado como atenuante la "ausencia de intencionalidad acreditada", de modo que la multa final es de 3.000 €.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
    • BocaDePez BocaDePez
      6

      antes de hablar sin saber, entra en la página de la Agencia y…

      antes de hablar sin saber, entra en la página de la Agencia y léete la sanción. Se agrupa tanto la autodenuncia como la denuncia particular ya que son sobre el mismo caso. Lee, es gratis.

      La autodenuncia es la manera de hacer las cosas ante un error, y más si eso va a servirte de atenuante. Unido al email de disculpa, y a la implementación de un sistema para evitar que este tipo de errores humanos vuelva a suceder hacen del caso un manual de actuación que bien podrían copiar muchos otros.

      Cagada de Pepephone, por supuesto, esa no se la quita nadie. La multa tampoco. Pero en tu opinión qué debería hacer una empresa ante un error así? quedarse callada? no reconocer el error públicamente? A ver si ahora va a resultar que el error fue una maniobra de marketing, como que no hubiese mejores formas de gastarse el dinero sin arriesgarse a un hostiazo de 40.000 euros...

      En serio, lee antes de hablar, o mejor, piensa, ambas cosas son gratis.

      • BocaDePez BocaDePez
        6

        Si no se hubier autodenunciado le habrían llovido más…

        Si no se hubier autodenunciado le habrían llovido más denuncias particulares.

    • BocaDePez BocaDePez
      6

      Creo sinceramente que si no se hubieran autodenunciado,…

      Creo sinceramente que si no se hubieran autodenunciado, habría habido más usuarios que habrían denunciado y, en ese caso, la sanción habría sido mayor.

  • BocaDePez BocaDePez
    6

    Osea que el objetivo de auto denunciarse, además de para su…

    Osea que el objetivo de auto denunciarse, además de para su campaña promocional, era para esto...

    • BocaDePez BocaDePez
      6

      Si es que... no te das cuenta que tú mismo lo dices, es…

      Si es que... no te das cuenta que tú mismo lo dices, es TRÁFICO quien te denuncia y no eres tú el que va a la oficina de tráfico a reconocer tus errores. Eso sí, te aseguro que si te denunciaras a ti mismo cada vez que cometieses "errores" en la carretera hacía años que no tendrías carné aunque te aplicaran atenuantes.

    • BocaDePez BocaDePez
      24

      ¿Te has autodenunciado tú mismo por saltarte un semáforo en…

      ¿Te has autodenunciado tú mismo por saltarte un semáforo en rojo? Si pagas la multa en determinado tiempo, también te la rebajan...

  • BocaDePez BocaDePez
    6

    ¿es aquí lo de la publicidad gratuita? (bueno, después de…

    ¿es aquí lo de la publicidad gratuita?

    (bueno, después de pagar a beneficencia 3000€)

  • BocaDePez BocaDePez
    6

    Menudo atenuante, que baja de 40k a 3k xDD. Espero que otros…

    Menudo atenuante, que baja de 40k a 3k xDD.

    Espero que otros organismos publicos me traten con la misma benevolencia cuando yo meta la pata sin intencionalidad... que no se porque no sera el caso.

    Por lo que veo, aunque Pepehone se haya autoinculpado... ¿lo hizo oficialmente (ante un organismo oficial, vamos)? ¿o esta multa es debido a la denuncia de dicho usuario? porque esto cambia bastante la perspectiva. No es lo mismo un mea culpa en un bar, que decirlo delante de un juez. En fin.

    • BocaDePez BocaDePez
      6

      Capacidad lectora nula. No me caben calificativos para…

      Capacidad lectora nula.

      No me caben calificativos para definirte.

      A opinar si leer.

      Venga

      El siguiente.

  • Me parece perfecta la forma de actuar. Siempre me ha gustado…

    Me parece perfecta la forma de actuar.

    Siempre me ha gustado (y esto ocurre en muchas empresas de EEUU relacionadas con servicios de IT) que cuando ocurre algún problema, se dan todas las explicaciones necesarias para que los clientes puedan saber a que atenerse, es un sano ejercicio de transparencia y debería ser la norma. Por un lado sientes cercanía con la empresa y por otro te recuerda que somos humanos y los errores pueden suceder, el utópico mundo perfecto no existe y prefiero verlas venir a que me cuenten milongas.

    Creo que la conducta de los directivos de Pepephone es irreprochable, seguro que de los 4 mil y pico afectados alguno tiene un blog con pocas visitas y mucho tiempo libre, un anuncio "no oficial" hubiera creado cierta alarma social y descrédito para pepehone, ellos dan un paso adelante, dan la cara, registran la incidencia, trabajan en solucionarlo y se disculpan con los clientes afectados.

    Hubieran preferido que esto no hubiera ocurrido, 3000 euros duele a cualquiera.

    Saludos

  • Que sí, que buen marketing y lo que queráis, pero lo cierto…

    Que sí, que buen marketing y lo que queráis, pero lo cierto es que multinacionales mil veces más grandes se hubiesen hecho las suecas desde el principio, y si cuela, cuela. Trabajando así, da gusto ser cliente de una empresa hasta para las cagadas.

    Y lo dice uno que NO es cliente de pepephone.

  • BocaDePez BocaDePez
    6

    Estos de Pepephone son listos, lo demuestran en su trato al…

    Estos de Pepephone son listos, lo demuestran en su trato al cliente y lo demuestran convirtiendo un error en una campaña de marketing que les va a salir por dos duros.

    Fui cliente de ellos durante algún tiempo, pena que no puedan competir con combos de tlf+inet+móvil.

  • BocaDePez BocaDePez
    18

    Ojalá todas las compañía telefónicas actuaran como Pepephone…

    Ojalá todas las compañía telefónicas actuaran como Pepephone y no lo digo sólo por la "autodenuncia".

  • Genial la estrategia... pensadlo detenidamente, me auto…

    Genial la estrategia... pensadlo detenidamente, me auto denuncio, y pago una multa de 3.000€, intentando que ningún afectado me denuncie posteriormente, y corriendo el peligro de incurrir en infracción grave de entre 40.001 a 300.000 €...

    ¡Grandioso su equipo de abogados y comunicación!

    • BocaDePez BocaDePez
      24

      Teoricamente si recoges el incidente en tu documento de…

      Teoricamente si recoges el incidente en tu documento de seguridad no tendría que haber sanción. Sobre todo ante ausencia de intencionalidad.

      No me parece normal que por filtrar unos correos por error no intencionado se sancione con 3000 € y a telefónica que hace años vendió nuestros datos a infobel, la sanción le haya merecido la pena la venta de los datos.

      Debe ser que soy raro.

      • BocaDePez BocaDePez
        12

        Lo de telefónica fue de traca. Eso fue el germen del…

        Lo de telefónica fue de traca. Eso fue el germen del telemárketing. Y mira cómo estamos ahora...

    • BocaDePez BocaDePez
      6

      Una denuncia ante la AEPD no te va a reportar nunca…

      Una denuncia ante la AEPD no te va a reportar nunca indemnizacion alguna

      Para ello deberas presentar una demanda en el juzgado y probar los perjuicios que te ha ocasionado la situacion

  • BocaDePez BocaDePez
    18

    4. La cuantía de las sanciones se graduará atendiendo a los…

    4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
    - El carácter continuado de la infracción
    - El volumen de los tratamientos efectuados
    - El volumen de negocio o actividad del infractor
    - Los beneficios obtenidos como consecuencia de la comisión de la infracción
    - El grado de intencionalidad
    - La reincidencia por comisión de infracciones de la misma naturaleza
    - La naturaleza de los perjuicios causados
    - [...] infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor
    - Cualquier otra circunstancia que sea relevante para determinar el grado deantijuridicidad y de culpabilidad presentes en la concreta actuación infractora

    5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

    a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo.
    b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
    c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
    d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

    Por tanto la Agencia de Protección de Datos ha actuado bien al rebajar la sanción de grave a leve y aplicar la multa correspondiente.
    Bien por Pepephone y bien por la Agencia.

1