ICO Age Appropriate Design Code

La ICO publica su Código de diseño apropiado a la edad

La ICO ha publicado un nuevo Código de diseño apropiado a la edad para proteger la privacidad online de los menores.

 

El pasado 21 de enero, la ICO, la autoridad de control de Reino Unido, publicó su versión final del Código de diseño apropiado a la edad, tras haber realizado durante los meses previos una serie de consultas públicas y reuniones con organizaciones, instituciones de comercio, representantes de diferentes sectores, defensores y la industria en general.

 

Se trata del primer código que se publica de este tipo, y la ICO afirma que asienta 15 estándares que se esperan de aquellos responsables del diseño, desarrollo y oferta de servicios online como apps, juguetes conectados, redes sociales, juegos online, páginas educativas y servicios de retransmisión. Además, la ICO señala que este nuevo Código de diseño apropiado a la edad cubre servicios a los que los niños pueden acceder y que tratan sus datos. Arraigado en el RGPD, el código también desarrolla una guía práctica sobre las medidas de protección de datos que aseguran que los servicios online son adecuados para su uso por menores.

 

“El código requerirá a los servicios digitales incorporar un estándar de protección de datos al que los niños tengan acceso automáticamente siempre que se descarguen una nueva aplicación o juego o visiten una página web. Esto implica que los ajustes de privacidad deberían ser configurados al nivel más alto por defecto, y no se debería de ninguna forma alentar a los niños para que los reduzcan. Los ajustes de ubicación que muestren al mundo dónde se encuentra el niño también deberían estar desactivados por defecto. La recogida y cesión de datos debería minimizarse y la elaboración de perfiles que permite mostrar contenido personalizado a los menores tendrá que estar deshabilitada por defecto”, explica la ICO.

 

“El código dice que los mejores intereses del menor deberían ser la consideración primaria cuando se diseñan y desarrollan estos servicios online”.

 

En la fase actual, el primer Código de diseño apropiado a la edad de la ICO ha sido presentado al Secretario de Estado y se espera que llegue al Parlamento este año. Tras ello, las organizaciones tendrán 12 meses para actualizar sus prácticas antes de que el código se empiece a aplicar de manera plena, lo cual la ICO planea que ocurra en otoño de 2021.

 

La AEPD, por su parte, ofrece en su página web una serie de recomendaciones y guías para el tratamiento de datos de menores y su protección en internet.

 

 

¿Ofreces servicios accesibles a menores? Si es así, será necesario que apliques una serie de medidas y garantías adicionales. Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos pueden ayudarte.

Relación empresa/empleado RGPD

Relación empresa/empleado analizado desde la perspectiva del RGPD

El blog de hoy ofrece un repaso de las expectativas del RGPD en relación a la relación empresa/empleado; especialmente en términos de las políticas de comunicación y seguridad de la compañía.

Si trabajas o has trabajado en el mundo empresarial, entonces no te resultará ajeno el hecho de que la mayoría de empresas tiene políticas internas para proteger a la organización en sí misma, tanto en relación a las comunicaciones como al uso de internet, accesos de seguridad o protección de datos. Asimismo, cada vezmás compañías utilizan videovigilancia. Pero ¿cumplen las políticas y los sistemas con el RGPD? La relación empresa/empleado es clave en el cumplimiento del RGPD.

Una investigación reciente de la autoridad de control de Grecia, vinculada con la legitimidad en el acceso e inspección de emails de un empleado que ya habían sido borrados y también en cuanto al uso de videovigilancia en la oficina, desencadena una buena oportunidad para echar un nuevo vistazo a las provisiones del RGPD.

La autoridad de control griega llevó a cabo, como respuesta a una queja, una investigación relacionada con la legitimidad del tratamiento de datos personales realizado por ALLSEAS MARINE S.A., y también con su capacidad para acceder e inspeccionar emails ya eliminados de un trabajador que supuestamente habría actuado en contra de los intereses de la compañía.

Conforme a la publicación del CEPD , la autoridad de control de Grecia consideró que ALLSEAS MARINE S.A’ había cumplido con el RGPD y sus políticas internas cubrían la prohibición de manejo de las comunicaciones y redes para usos privados, así como la posibilidad de efectuar inspecciones internas. Así por tanto, la autoridad de control de Grecia determinó que la empresa estaba en su derecho conforme a los artículos 5(1) y 6(1)(f) RGPD para llevar a cabo una investigación interna y consultar los correos del empleado.

Sin embargo, como ALLSEAS MARINE S.A’ utilizó un circuito cerrado de videovigilancia, la autoridad de control apuntó que el sistema había sido instalado y utilizado de manera ilegitima y, por tanto, el material grabado y presentado fue considerado inválido. El artículo del CEPD destaca también que la empresa no atendió el derecho de acceso del empleado para recibir los datos de su ordenador de empresa.

Como respuesta a estas infracciones del RGPD, la autoridad de control de Grecia ordenó a ALLSEAS MARINE S.A’ la implementación de medidas correctoras para cumplir con el RGPD. ALLSEAS MARINE S.A’ fue multada con 15.000€.

¿Has revisado tus políticas de empleados desde que se comenzó a aplicar el RGPD en 2018? ¿Y tu sistema de videovigilancia? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

ICO fine

Multa de más de medio millón de euros a una tienda de Reino Unido por sus malas medidas de seguridad

La autoridad de control de Reino Unido (ICO) ha impuesto una multa de más de 500.000 € a una tienda de Reino Unido tras verse comprometido un ordenador de uno de sus puntos de venta por malas medidas de seguridad, como resultado de un ciber ataque que ha afectado al menos a 14 millones de personas.

Tu empresa acepta pagos con tarjetas de crédito. Vale. Aprecias la privacidad, con lo que te has cerciorado de que tu página web es https (protocolo seguro) a fin de ofrecer un canal seguro de comunicación en la red. Vale. Pero ¿es esto suficiente para proteger las categorías especiales de datos que se tratan en las compras online y offline? ¿Has establecido protocolos apropiados para impedir malware o accesos ilegítimos a los datos? ¿O acaso crees que esto no es algo de lo que deberías preocuparte porque… bueno, porque tu sitio es https? ¿Qué podría ir mal? Muchas cosas de hecho, incluida la posibilidad de recibir una gran multa, especialmente si tus clientes residen en la UE. Te animamos encarecidamente a que eches un ojo a fondo en las medidas de seguridad que aplica tu empresa, o podrás verte envuelto en una situación similar a la de esta tienda en Reino Unido, que ha recibido una multa de más de medio millón de euros por no proteger la información de manera adecuada.

El artículo de la ICO, de fecha 9 de enero de 2020, explica que una investigación de la ICO reveló que el atacante instaló malware en más de 5390 cajas registradoras y datáfonos en tiendas a lo largo de Reino Unido entre julio de 2017 y abril de 2018, de forma que recogió datos personales durante nueve meses antes de que se descubriese la brecha de seguridad.  La falta de medidas de seguridad resultó por tanto en un acceso ilegítimo a los datos de más de 5,6 millones de tarjetas de crédito e información personal de 14 millones de personas, incluidos nombres completos, códigos postales y direcciones de email.

Nuestra investigación descubrió fallos sistemáticos en la forma en que Retail Limited protegía los datos personales. Es muy preocupante que dichas carencias estuviesen relacionadas con las medidas de seguridad más básicas y comunes, lo que muestra una falta de respeto absoluta a sus clientes, cuyos datos fueron robados… Las consecuencias han sido en este caso tan serias que hemos impuesto la multa más alta posible bajo la normativa previa, pero la sanción hubiese sido mucho más elevada bajo el RGPD”, afirma el Director de Investigaciones de la ICO, Steve Eckersley.

La multa de más de 500.000 € ha sido impuesta bajo la anterior Directiva de Protección de datos porque la brecha de seguridad tuvo lugar antes de que el RGPD comenzase a aplicarse. La seguridad del tratamiento se regula actualmente en el artículo 32 del RGPD.

¿Has aplicado todas las medidas de seguridad necesarias en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El uso de reconocimiento facial en espacios públicos podría prohibirse de manera temporal en la UE

La filtración de un Libro Blanco de la Comisión Europea propone que la UE imponga un veto de 3 a 5 años en el uso de reconocimiento facial en espacios públicos.

 

 

Tan emocionante como suenaganar acceso, realizar transacciones o incluso pagar facturassimplemente escaneando tu cara. También hay, sin lugar a dudas, una parte gris. El hecho de que exista una aplicación que permita a otros comparar una foto con una base de datos de más de tres billones de fotos para identificar a alguien es el mejor ejemplo de los riesgos que se asocian con el reconocimiento facial. No es una sorpresa por tanto que la Comisión Europea se esté planteando vetarlo.

 

Un informe de Euractiv explica que la Comisión Europa está valorando las medidas para imponer un veto a las tecnologías de reconocimiento facial empleadas tanto por el sector público como por el privado. Esta iniciativa aparece en el Libro Blancode la UE obtenido por Euractiv.

Euractiv explica que el Libro Blanco de la Comisión, que aporta ideas de propuesta para una posición europea en Inteligencia Artificial, prevé que un marco regulatorio futuro podría “incluir un veto temporal en el uso de reconocimiento facial en espacios públicos”. Se estipula además que durante el veto se podría desarrollar una metodología para evaluar el impacto del reconocimiento facial y las posibles medidas de mitigación del riesgo.

 

El reconocimiento facial cae bajo el abanico de datos biométricos y debe por tanto ser tratado en cumplimiento del RGPD y la LOPDGDD. Aphaia ofrece una explicación más detallada sobre las provisiones del RGPD vinculadas con reconocimiento facial aquí.

¿Tratas datos biométricos como huella digital del dispositivo, espectogramas o reconocimiento facial? Si es así, una falta de cumplimiento con el RGPD y la LOPDGDD podría resultar en elevadas multas. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.