Retirar el consentimiento

Los mecanismos de retirada del consentimiento deberían ser sencillos

Las solicitudes de retirada de consentimiento pueden tener consecuencias directas en tu empresa si no son atendidas de manera inmediata.

Retirar el consentimiento debería ser tan fácil como otorgarlo, según el Presidente de la Autoridad de Control de Polonia tras revisar las prácticas de la compañía ClickQuickNow.  

Conforme a la investigación, el mecanismo utilizado por ClickQuickNow para la gestión de solicitudes de retirada de consentimiento no implicaba una ejecución rápida, sino que se empleaba a tales efectos un link incluido en la información comercial. Según informa el artículo del EDPB, tras establecerse el link, los mensajes enviados a la persona interesada en retirar su consentimiento eran confusos. Además, la empresa requería a los sujetos indicar el motivo de la retirada del consentimiento, y, si no se aportaba, el proceso era paralizado.

Asimismo, ClickQuickNow trataba datos de interesados que no eran clientes y de los cuales además habían recibido mensajes de oposición al tratamiento de sus datos, con lo que lo hacían sin ninguna base legal.

Estas prácticas llevadas a cabo por ClickQuickNow resultaron en violaciones directas del RGPD, en concreto de los Artículos 7(3), 12(2) y 17.Se estableció además que las prácticas de ClickQuickNow violaban los principios recogidos en el RGPD de legalidad, legitimidad y transparencia en el tratamiento de los datos. En consecuencia, la Autoridad de Control polaca impuso una multa administrativa de 201.000 PLN, equivalente a, aproximadamente, 47.000 EUR. De forma adicional, ClickQuickNowtendrá que ajustar y adaptar sus procedimientos de gestión de la retirada del consentimiento y eliminar los datos de aquellas personas que no son clientes y se opusieron al tratamiento de sus datos.

¿Qué mecanismos implementa tu empresa para la retirada del consentimiento? ¿Son sencillos y definitivos? En Aphaia podemos ayudarte a que se ajusten a la normativa, mediante nuestros servicios de consultoría del RGPD, que incluyenEvaluaciones de Impacto y subcontratación del Delegado de Protección de Datos.

Toma automatizada de decisiones y RGPD

Toma automatizada de decisiones y RGPD

En el blog de hoy vamos a hablar sobre toma automatizada de decisiones y RGPD

El uso de la Inteligencia Artificial se está cada vez más consolidando en diferentes aspectos del día a día de la sociedad y de nuestras vidas. Si bien ofrece numerosas aplicaciones muy interesantes como los coches automáticos y el reconocimiento facial, también puede utilizarse como una herramienta para la toma automatizada de decisiones. ¿Supone esto un obstáculo en los derechos de los interesados? ¿Cuáles son las posibles consecuencias y la normativa que regula su legitimidad?

En nuestro último vlog damos respuesta a algunas de las preguntas más comunes que se plantean en relación a Inteligencia Artificial, toma automatizada de decisiones y el RGPD. Pulsa aquí para verlo.

En profundidad: toma automatizada de decisiones y RGPD, incluida la elaboración de perfiles

La autoridad de control de Reino Unido, ICO define la toma automatizada de decisiones, como el “proceso de tomar una decisión por medios automáticos sin intervención humana”

Conforme a la ICO, estas decisiones pueden estar basadas en datos fácticos y también en perfiles digitales o datos inferidos. Algunos ejemplos de esto incluyen:

una decisión online para conceder un crédito; y
un test de aptitud usado para fines de contratación que usa criterio y algoritmos pre-programados.

El artículo 4 (4) del RGPD define la elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

La ICO proporciona los siguientes ejemplos sobre elaboración de perfiles:

recoger y analizar datos personales en gran escala mediante el uso de algoritmos, IA o machine-learning;
identificar asociaciones para construir relaciones entre los diferentes comportamientos y atributos;
crear perfiles que se aplican a los sujetos; o
predecir el comportamiento de los individuos a través del perfilado.

Si bien la toma automatizada de decisiones y la elaboración de perfiles tiene grandes beneficios tanto para empresas como para individuos, también conllevan riesgos para los derechos y libertades de las personas. Una decision falsa o injusta puede conducir a efectos adversos para los interesados, desde discriminación hasta intromisión indebida en sus vidas privadas.

El artículo 22 del RGPD – mencionado en nuestro vlog – trata de abordar estos y otros riesgos mediante el establecimiento de parámetros estrictos que establecen que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

¿Necesitas asesoramiento para la adaptación al RGPD y a la LOPDGDD? Aphaia ofrece servicios de consultoría de adaptación al RGPD, incluidas Evaluaciones de Impacto y servicio de Delegado de Protección de Datos.

Derecho de oposición del RGPD

Multa de 200.000 € por no cumplir con el derecho de oposición del RGPD

La empresa Hellenic Telecommunications ha sido multada con 200.000 € por no eliminar direcciones de email de la base de datos de marketing conforme al RGPD

¿Alguna vez has has solicitado borrarte de una lista de emails y aun así has continuado recibiendo publicidad? Desde mi experiencia, me aventuro a decir que esto ocurre muy a menudo. Mientras que borrar un simple email de una lista puede sonar sencillo y sin importancia, las consecuencias de no hacerlo son realmente graves, porque se trata de una infracción directa del derecho de oposición recogido en el RGPD.

De hecho, este es el motivo por el que Hellenic Telecommunications Organization (el operador histórico de telecomunicaciones de Grecia – OTE) fue multado con 200.000 € por la autoridad de control griega. De esta forma, se concluyó que la compañía no había implementado de manera adecuada la protección de datos por diseño que concibe el RGPD.

Conforme al Comité Europeo de Protección de Datos (EDPB) la autoridad de control griega habría recibido numerosas quejas de usuarios que recibían publicidad de OTE sin ser capaces de eliminar su suscripción de dicha lista. El artículo del Comité explica que en el curso de las investigaciones, se descubrió que desde 2013 y debido a un fallo técnico, no se eliminaba de la lista a los interesados que pulsaban el link de darse de baja de la misma. OTE, por tanto, no contaba con las medidas organizativas apropiadas (por ejemplo, un procedimiento por el cual detectar dicho error). Desde entonces, OTE ha eliminado aproximadamente a 8000 personas de tales listas.

Marketing directo y RGPD

Bajo el derecho de oposición del RGPD, los artículos 21.2 y 21.3 establecen que:

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia

Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

Protección de datos por diseño y normas de la Directiva ePrivacy

El artículo 25 (2) del RGPD prevé que “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. Esto implica que tampoco el departamento de marketing pueda acceder y usar de manera automática los datos de contacto.

Las empresas que se basen en las normas de oposición (opt-out) de la Directiva ePrivacy deben tener cuidado. El Dr. Bostjan Makarovic, socio gerente de Aphaia,explica que “La mayoría de las jurisdicciones europeas requieren que exista una compra previa antes de que se pueda confiar en las normas de opt-out para el envío de publicidad” y añade que “En tales casos, además, cualquier email de marketing debe estar relacionado únicamente con bienes o servicios similares a los que ofrece la empresa como tal, y facilitar una forma sencilla de oposición tanto al momento de recoger los datos como después en cada uno de los correos enviados”.

¿Tiene tu empresa una base de datos de marketing? ¿Respeta la Protección de Datos por diseño? Desde Aphaia podemos ayudarte con nuestras Evaluaciones de Impacto y nuestro servicio de Delegado de Protección de Datos. Contacta con nosotros.

La PDPA Tailandia

Ley de protección de datos de Tailandia

La Ley de protección de datos de Tailandia se publicó a principios de este año y comenzará a aplicarse en mayo de 2020.

Vivimos en la era de la conexión tecnológica, donde los datos son el activo más valioso, hasta el punto de condicionar prácticamente todos los aspectos de nuestra vida, pues se recogen, comparten, venden, analizan y monetizan de manera constante. Y si bien es cierto que esta práctica resulta en importantes beneficios, los riesgos asociados son también alarmantes. Es este el motivo por el que cada vez son más los países alrededor del mundo los que concentran sus esfuerzos para elaborar legislación al respecto, tanto en privacidad como en protección de datos. En el blog de hoy analizamos la nueva Ley de privacidad de Tailandia (PDPA).

La PDPA se publicó en el boletín oficial del Gobierno el 27 de mayo de 2019, y se espera que comience a aplicarse de manera plena en mayo de 2020. De una forma similar al RGPD, el objetivo de la PDPA es regular la recogida y cesión de datos que puedan ser utilizados para identificar a una persona física, bien sea de manera directa o indirecta. Asimismo, proporciona una serie de orientaciones para el tratamiento de datos y no se aplica a la información de personas fallecidas.

La PDPA garantiza los siguientes derechos a los interesados:

​​Derecho de estar informado.
​​Derecho de acceso.
​​Derecho a la portabilidad de datos.
​​Derecho de oposición.
​​Derecho a la supresión de datos/derecho al olvido
​​Derecho de limitación.
​​Derecho de rectificación.

¿A quién se aplica la PDPA?

La PDPA se aplica a todas aquellas entidades que ofrezcan bienes y servicios a individuos radicados en Tailandia, y que recojan, traten o cedan datos de los mismo, independientemente de que la entidad tenga o no sede en Tailandia.

En función de los tratamientos de datos que realicen, las entidades tendrán que cumplir con la PDPA bien como responsables o bien como encargados.

Si bien la PDPA tiene similitudes con el RGPD, el cumplimiento con la primera no implica también cumplimiento automático con el RGPD.

Si ofreces productos o servicios a residentes en Tailandia, es esencial que adaptes tus sistemas y procesos a la PDPA. Aphaia ofrece adaptación al RGPD y a la PDPA, incluidas evaluaciones de impacto y subcontratación del Delegado de Protección de Datos.