U
Usuario
Forer@ Senior
Sin verificar
-
El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.
-
rhaston
Habitual
Sin verificar
El seguro que dan solo es válido si te lo roban en la calle.
J
jmnav
Habitual
Sin verificar
Nadie te cierra la posibilidad de exigir responsabilidades a (en este caso) Rabat.
Juan5471
Milpostista
Verificad@ con 2FA
Cómo se inicie un procedimiento sancionador les va a salir muy cara la negligencia. Y para ello basta con una sola denuncia ante la AEPD.
La dilación en la comunicación de un ciberataque es el motivo más común por el que la Agencia Española de Protección de Datos puede sancionar a una empresa
Los supuestos en los que un ciberataque puede acabar en multa son sólo dos: que la empresa que lo ha sufrido no lo comunique en el plazo establecido por la norma, de 72 horas desde que se tuvo conocimiento de él como máximo, o que la compañía no haya tomado las medidas adecuadas, según el criterio de la agencia, para prevenir el robo de los datos personales alojados en sus servidores.
El caso de Air Europa es paradigmático porque incumplió los dos supuestos por los que podía ser sancionada: comunicó el ataque 41 días después de que se produjese, por lo que fue multada con 100.000 euros, y sus medidas de ciberseguridad no eran las adecuadas para defender sus servidores, por lo que, según el criterio de la AEPD, no hizo todo lo posible para proteger los datos personales de sus clientes, lo que le costó una sanción de 500.000 euros.
La dilación en la comunicación de un ciberataque es el motivo más común por el que la Agencia Española de Protección de Datos puede sancionar a una empresa
Los supuestos en los que un ciberataque puede acabar en multa son sólo dos: que la empresa que lo ha sufrido no lo comunique en el plazo establecido por la norma, de 72 horas desde que se tuvo conocimiento de él como máximo, o que la compañía no haya tomado las medidas adecuadas, según el criterio de la agencia, para prevenir el robo de los datos personales alojados en sus servidores.
El caso de Air Europa es paradigmático porque incumplió los dos supuestos por los que podía ser sancionada: comunicó el ataque 41 días después de que se produjese, por lo que fue multada con 100.000 euros, y sus medidas de ciberseguridad no eran las adecuadas para defender sus servidores, por lo que, según el criterio de la AEPD, no hizo todo lo posible para proteger los datos personales de sus clientes, lo que le costó una sanción de 500.000 euros.
J
jmnav
Habitual
Sin verificar
Me llama la atención lo de "datos desde 2007" y lo que he leído por aquí sobre "copia del DNI". ¿Para qué? Nadie puede robarte el dato que no tienes.
Por supuesto, Rabat (y cualquiera) es responsable de los datos que recopila sobre sus clientes, incluso aunque delegue su tratamiento a una tercera empresa.
Ya se verá en qué queda todo esto.
Por supuesto, Rabat (y cualquiera) es responsable de los datos que recopila sobre sus clientes, incluso aunque delegue su tratamiento a una tercera empresa.
Ya se verá en qué queda todo esto.
Danu
Es como es
Contribuidor de RE
Verificad@ con 2FA
Viendo la antigüedad, el historial por cliente puede ser largo... yo empecé en ese año a comprar por ejemplo.
Lo del dni escaneado creo que es por la ley de prevención de blanqueo de capitales ?
Danu
Es como es
Contribuidor de RE
Verificad@ con 2FA
Si facturan más de 100M al año, esa sanción sería muy poca cosa porcentualmente.
Desde luego no entiendo no comunicarlo con un simple mail, que tienen, a los clientes. Tampoco sé si se da válida como comunicación, la publicación dn su web, por escondida que estuviera.
luismiguel
Habitual
Sin verificar
La respuesta de Rabat es de chiste, más propia de un estamento político q de una empresa seria. He comprado 2 relojes en Rabat (rado y hamilton) y el trato recibido ha sido siempre muy bueno pero me voy a pensar mucho comprar más relojes en esta tienda salvo q no tenga más remedio (en mi ciudad son distribuidores únicos de muchas marcas, entre otras Tudor).
Juan5471
Milpostista
Verificad@ con 2FA
Habría que conocer todos los detalles.
En principo no es obligatorio comunicar a la AEPD todas las brechas de seguridad, sólo aquellas que constituyan un riesgo para los derechos y libertades de las personas físicas por la filtración o robo de sus datos, lo cual sucede en este caso. Pero desconozco si Rabat realizó dicha comunicación.
En cuanto a la preceptiva comunicación a los afectados no cabe ninguna duda de que existe una vulneración del art.34 RGPD, el cual dispone que “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”.
Entiendo que en este caso, dada la categoría de datos afectados, datos bancarios y el número de afectados por la brecha, se tendría que haber notificado a los afectados de forma inmediata. Lo cual es claramente sancionable.
Puede que una sanción de 100 o 500k no signifique mucho para ellos, pero las pérdidas derivadas puede suponer mucho más, y su reputación puede quedar dañada de forma irremediable.
Respecto a la forma y contenido de la comunicación, el artículo citado señala en su apartado 2 que "la comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas a que se refiere el artículo 33, apartado 3, letras b), c) y d).".
Última edición:
Danu
Es como es
Contribuidor de RE
Verificad@ con 2FA
Por ponerle humor y algo positivo, si se van clientes, quizás me lleguen antes los pedidos
Última edición:
iVAMP
Thirty-Sixer
Contribuidor de RE
Verificad@ con 2FA
Y con descuentazo...😎.Por ponerle humor y algo positivo, si de van clientes, quizás me lleguen antes los pedidos
Habrá que ponerle humor. Para el resto, seguros actualizados para dentro y fuera de casa.
LCamarasa
Habitual
Sin verificar
O que los datos borrados y robados sean la lista de espera 🤣🤣🤣🤣Por ponerle humor y algo positivo, si de van clientes, quizás me lleguen antes los pedidos
J
jmnav
Habitual
Sin verificar
Sí, claro. Pero la retención de los datos debe ser exclusivamente para el motivo por el que se recolectan y exclusivamente por el tiempo necesario para su uso. Es decir y por ejemplo, los datos de facturación/fiscales no deben retenerse más allá de los cuatro o cinco años requeridos por Hacienda.
Hay, como siempre, resquicios para contravenir el espíritu de las leyes (en este caso, el manido formulario de cesión de datos a terceros por motivos publicitarios) pero, precisamente por eso, me parece perfecto que el "estacazo" cuando vengan mal dadas sea importante. Por "listo".
No tengo experiencia en ese tema. Un banco sí, una joyería, para la mayoría de sus clientes, lo veo muy dudoso. En lo que sí tengo experiencia es en la puñetera manía de recolectar más datos de la cuenta "por si acaso" o porque es más fácil el "café para todos" y en la de retenerlos "por despiste" mucho más tiempo del necesario.
Repito: a nadie pueden "robar" el dato que no se guarda.
Jose Perez
De la casa
Sin verificar
En un post anterior está esta información en la que la empresa afirma que lo comunicó a la AEPD. En cuanto a la valoración del “riesgo alto” supongo que ahí estará el debate si la forma elegida por la empresa fue conforme a normativa o no; desde mi punto de vista estaría al límite.
En cualquier caso, como empresa, me preocuparía más el desprestigio que la multa. Teniendo en cuenta todos los factores no creo que la multa, de haberla, sea muy cuantiosa.
Juan5471
Milpostista
Verificad@ con 2FA
Siendo una empresa del sector del lujo, el desprestigio es aun mayor, habida cuenta del tipo de clientela y las cantidades que se manejan.
Normalmente este tipo de conductas no se denuncian ante la AEPD, ni por la vía civil si no hay un perjuicio claro.
Creo que todos deberíamos conocer nuestros derechos en cuanto a la protección de datos, ya que muchas veces son vulnerados de forma sistemática. Yo estuve a punto de denunciar a Amazon por dejar paquetes a vecinos desconocidos, con mis datos personales y sin mi autorización, incluso en un edificio distinto; al final lo dejé pasar pero les advertí sobre las consecuencias legales si consienten ese tipo de prácticas, porque obviamente están al corriente, aunque luego descarguen la culpa sobre el transportista.
Tratándose de una joyería ciertamente el riesgo es real, y pueden producirse robos.
Última edición:
Jose Perez
De la casa
Sin verificar
En mi caso lo he ejercido como “responsable” del “responsable “ de protección de datos de las empresas en las que he trabajado (por eso puse la información legal en los post #40 y #54) y por eso también sé que si la empresa ha cumplido los pasos principales (como parece que es el caso) y todo queda en una interpretación de la forma de comunicación y no parece que haya mala fe ni reincidencia ni negligencia la Administración acostumbra a ser bastante comprensiva.
Otra cosa será que algún afectado haya sufrido algún daño real y actúe en consecuencia.
En cuanto al prestigio ya se sabe. Difícil de ganar y fácil de perder.
Ojo, obviamente, esto es sólo mi opinión pero no como experto que no lo soy en absoluto.
Última edición:
Juan5471
Milpostista
Verificad@ con 2FA
Probablemente sería sancionada si incumplió la obligación de comunicar la situación con urgencia a los afectados (art.34 RGPD), si tenemos en cuenta que, al parecer, el tipo de datos filtrados incluyen detalles de facturación, los artículos adquiridos y otro tipo de información sensible, dado que los hechos ocurrieron en 2022.
Normalmente es necesaria la denuncia previa. Hay algunos casos en los que la AEPD ha actuado de de oficio, pero no es algo habitual.
Si hay un daño real cuantificable (robos etc) la vía civil es la más adecuada, ya que la la AEPD solo ostenta la potestad sancionadora.
Última edición:
JoHN
Antiguos Moderadores
Verificad@ con 2FA
Antiguos Moderadores
Tras todo lo leído... Mi opinión es que me parece que Rabat ha debido actuar conforme marca la ley. Pero la sensación es que lo ha hecho más por no tener un problema legal que por el prestigio y la honorabilidad. Por prestigio y honorabilidad, creo que debía haber hecho todo lo contrario de lo que hizo.
Para salvaguardar el prestigio y el honor, da la sensación de que quisieron cumplir con lo legal como si eso fuera suficiente y no darle demasiada publicidad que pudiera afectarles. Sin tener en cuenta que quizás dar publicidad y, en consecuencia, transparencia, habría resultado en lo mismo legalmente pero en haber dado confianza al cliente potencialmente afectado.
Todo són sensaciones y habría que cuidar el hecho de no caer en una caza de brujas gratuita. Pero creo que la empresa, a estas alturas del asunto, debería intentar ofrecer esa confianza con una muestra de buena voluntad respecto a la transparencia.
Estando el potencial daño hecho por parte de los delincuentes (que son otros y no Rabat, esto no hay que olvidarlo), creo que habría formas de tranquilizar a la clientela y de darle confianza respecto a lo sucedido y las actuaciones hechas debidamente. Con el mínimo de ambigüedad posible. Algo así como poner un comunicado más empático, proactivo y menos frío en la página principal de la web... O enviar un correo masivo a todos los clientes de la base de datos con explicaciones, al mismo tiempo que dejando un mensaje de comunicación abierta a dudas.
No dudo que es un tema complicado para la empresa el decidir cómo actuar, pero seguro que se puede hacer mejor y doy por supuesto que estarán pensando en como hacerlo.
Para salvaguardar el prestigio y el honor, da la sensación de que quisieron cumplir con lo legal como si eso fuera suficiente y no darle demasiada publicidad que pudiera afectarles. Sin tener en cuenta que quizás dar publicidad y, en consecuencia, transparencia, habría resultado en lo mismo legalmente pero en haber dado confianza al cliente potencialmente afectado.
Todo són sensaciones y habría que cuidar el hecho de no caer en una caza de brujas gratuita. Pero creo que la empresa, a estas alturas del asunto, debería intentar ofrecer esa confianza con una muestra de buena voluntad respecto a la transparencia.
Estando el potencial daño hecho por parte de los delincuentes (que son otros y no Rabat, esto no hay que olvidarlo), creo que habría formas de tranquilizar a la clientela y de darle confianza respecto a lo sucedido y las actuaciones hechas debidamente. Con el mínimo de ambigüedad posible. Algo así como poner un comunicado más empático, proactivo y menos frío en la página principal de la web... O enviar un correo masivo a todos los clientes de la base de datos con explicaciones, al mismo tiempo que dejando un mensaje de comunicación abierta a dudas.
No dudo que es un tema complicado para la empresa el decidir cómo actuar, pero seguro que se puede hacer mejor y doy por supuesto que estarán pensando en como hacerlo.
Jose Perez
De la casa
Sin verificar
De la forma en la que está escrito el comunicado “da la sensación “ de que la AEPD dio por buenas las acciones de la empresa incluida la forma de comunicación. Insisto en que “da la sensación “
