Una decisión vinculante del CEPD modifica una resolución anterior sobre el caso de WhatsApp Irlanda

Una decisión vinculante del CEPD modifica el borrador de decisión sobre la controvertida actualización de la política de privacidad de WhatsApp y menciona la infracción del principio de transparencia y la necesidad de recalcular el importe de la multa  

 

A raíz de la controvertida actualización de la política de privacidad de WhatsApp, la autoridad de control de Irlanda emitió una resolución inicial. Sin embargo, otras autoridades de control presentaron sus objeciones a la misma. De acuerdo a este informe, el Comité Europeo de Protección de Datos (CEPD) ha adoptado una decisión vinculante conforme al Artículo 65 del RGPD por la cual reconoce la necesidad de realizar una serie de modificaciones en varias áreas de la resolución de la autoridad de control de Irlanda, entre las que se incluyen las partes relativas a la infracción del principio de transparencia, la subestimación del cálculo de la multa y la otorgación de un plazo indulgente para actualizar sus operaciones en cumplimiento con la normativa. El artículo 65 del RGPD permite al CEPD tomar la decisión final cuando existe desacuerdo entre la autoridad de control principal y otras autoridades de control interesadas en la materia.  

El CEPD explica que la infracción implica una brecha del principio de transparencia del RGPD. 

 

El CEPD señaló que la información proporcionada no aportaba detalles sobre los intereses legítimos que se persiguen, lo cual supone una infracción del artículo 13 (1) (d) del RGPD. El CEPD explicó también que de ello se derivaba una brecha del principio de transparencia del Artículo 5 (1) (a) del RGPD. De hecho, el procedimiento empleado para recoger datos de no usuarios no asegura que se haga de forma anónima. 

La decisión vinculante del CEPD toma en cuenta el beneficio de la matriz de WhatsApp para decidir el importe de la multa. 

El CEPD considera que el beneficio de una empresa no es sólo importante para el cálculo de la máxima multa que se puede imponer, sino que también debe tenerse en cuenta para determinar el importe recomendado para una multa a fin de que ésta sea proporcionada, efectiva y con efecto disuasorio. Asimismo, el CEPD indicó que a estos efectos deberá considerarse también el beneficio de la empresa matriz (en este caso, Facebook Inc.). Por otro lado, el CEPD interpretó por primera vez el Artículo 83 (3) del RGPD, en relación al cual concluyó que cuando se han cometido varias infracciones vinculadas con las mismas actividades de tratamiento, todas ellas deberían valorarse para el cálculo de la multa. 

El CEPD también propone un plazo más corto para que WhatsApp actualice sus operaciones en cumplimiento con la normativa.  

La autoridad de control de Irlanda estableció un plazo de seis meses para que WhatsApp actualizase sus operaciones en cumplimiento con la normativa aplicable. Sin embargo, el CEPD considera que las obligaciones relativas al principio de transparencia deben ser implementadas a la mayor brevedad posible. Como resultado, se reduce el plazo inicial de seis meses a tres. 

 

En consecuencia, la autoridad de control de Irlanda ha adoptado una nueva resolución que incorpora los comentarios del CEPD. WhatsApp Irlanda ha sido notificado debidamente de esta resolución y también se ha adjuntado una copia de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

La autoridad de control de Malta publica su guía sobre el consentimiento de cookies

La autoridad de control de Malta ha publicado una guía con los requisitos que se deberán aplicar a la recogida de consentimiento para el uso de cookies. 

 

La autoridad de control de Malta ha publicado una guía con los requisitos aplicables al uso de cookies, con el objetivo de ayudar a las empresas y organizaciones a implantar en sus páginas web y apps un procedimiento que cumpla con la normativa vigente. Las cookies son archivos alfanuméricos que se almacenan en un dispositivo para un uso inmediato o posterior, en cuyo caso pueden incluir memorización de preferencias, información de inicio de sesión o reconocimiento de individuos mediante identificadores únicos.  

 

La autoridad de control de Malta enfatiza la importancia del concepto de consentimiento. 

 

El uso de cookies en una página web o app está tan solo permitido bajo determinadas circunstancias en cumplimiento con la legislación aplicable. La guía de la autoridad de control de Malta se centra en las cookies de seguimiento, entendidas como aquellas empleadas con fines comerciales de publicidad dirigida y estipula que para instalarlas de manera legítima en los dispositivos de los usuarios se require un mecanismo de consentimiento válido que permita a los interesados llevar a cabo una acción afirmativa y les informe de manera adecuada sobre las condiciones aplicables a dicho consentimiento. Tanto con la Directiva ePrivacy como con el RGPD, el concepto de consentimiento es esencial para obtener y almacenar datos personales de manera legítima.  

 

El concepto de consentimiento bajo la Directiva ePrivacy está relacionado con el del RGPD. Como resultado, los requisitos para obtener un consentimiento válido son acumulativos. Así, éste deberá ser libre, específico, informado y derivar de una “declaración o una clara acción afirmativa”, lo que implicaría el acuerdo para el tratamiento de sus datos personales. Asimismo, el consentimiento deberá poder retirarse en cualquier momento. 

 

Conforme a la normativa nacional que transpone la Directiva ePrivacy en Malta “el almacenamiento de información o el acceso a información almacenada en el dispositivo de un usuario sólo estará permitida bajo la condición de que el interesado haya dado su consentimiento”.  

 

La transparencia es esencial para asegurar que los derechos y las libertades de los sujetos permanecen protegidos. 

 

El RGPD recoge que los sujetos deben estar informados y contar con un conocimiento básico de la situación, lo que les permitirá decidir si otorgar o no su consentimiento y saber cómo retirarlo después si así lo deseasen, como indica el artículo 7 (3) RGPD. En relación a las cookies, el principio de transparencia se refiere a la provisión de información adecuada sobre la actividad de tratamiento, incluidos los detalles sobre cómo los interesados podrán ejercitar sus derechos. En consecuencia, el RGPD señala que los interesados deberán recibir información sobre cómo pueden retirar su consentimiento antes de otorgarlo. No ofrecer una opción de oposición al tratamiento o la información sobre la misma supone una infracción de varios artículos del RGPD. 

 

Conforme a la guía, los muros de cookies, las casillas premarcadas y la navegación continuada no se consideran un consentimiento válido. 

 

La autoridad de control de Malta destaca una serie de funciones que deberán evitarse a fin de recoger un consentimiento válido, entre los que destacan los muros de cookies, las casillas premarcadas y la navegación continuada obligada. 

 

Muros de cookies

 

Los muros de cookies son banners vinculados a una página web o a una app móvil que sólo permiten a los usuarios acceder si estos otorgan su consentimiento para el uso de todas las cookies y las finalidades para las que éstas se tratan, de manera que no es posible entrar de ninguna otra forma. La recogida indiscriminada de datos personales mediante este enfoque niega a los usuarios una opción genuina y no cumple con los requisitos que establece la ley para considerarlo consentimiento válido, pues no es realmente libre. Para serlo, el acceso a los servicios y funciones no debería condicionarse al consentimiento para almacenar y recoger información. 

 

Casillas premarcadas

En algunos casos se emplean casillas premarcadas para recoger el consentimiento de cookies. Sin embargo, conforme al considerando 32 del RGPD “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. En conclusión, las casillas pre-marcadas no son una herramienta válida para obtener consentimiento bajo el RGPD.

 

Navegación continuada

La práctica de recoger consentimiento mediante la navegación continuada por la página no se considera una acción “clara y afirmativa” en los términos del artículo 7 del RGPD y el considerando 32. Por lo tanto, este enfoque no satisface uno de los elementos básicos para que el consentimiento sea válido y además dificulta la provisión de información y el ejercicio del derecho a retirar el consentimiento.

 

¿Utilizas cookies en tu página web o app? ¿Cumples con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una débil configuración de privacidad en Power Apps expone millones de datos personales

Una débil configuración de privacidad de la plataforma de Microsoft Power Apps expone millones de datos personales, incluidas categorías especiales de datos. 

 

Millones de datos personales de más de mil apps han quedado expuestos a causa de una débil configuración de privacidad de la plataforma usada para crearlas. Se ha estimado que un total de 38 millones de datos habrían sido comprometidos. Mientras que no existe evidencia de que nadie haya accedido a los registros, los cuales incluían grandes cantidades de datos sensibles, estos se podían acceder da manera libre online.  

 

Los investigadores descubrieron que los ajustes preconfigurados de Power Apps exponían los datos y los hacían accesibles. 

 

Los investigadores de una organización denominada Upguard descubrieron una vulnerabilidad en una app al habilitar las APIs e identificaron que los ajustes preconfigurados hacían los datos accesibles. Tras una revisión más detallada, encontraron cientos de aplicaciones más con una configuración similar, lo que dejaba millones de datos personales expuestos en internet, incluidos números de teléfono, direcciones, números de la seguridad social e incluso estatus de vacunación de COVID-19. En consecuencia, muchas grandes empresas y organizaciones se han visto afectadas. A pesar de que no se han identificado evidencias de que terceros hayan accedido a los registros, esta situación pone de manifiesto la importancia de confirmar la privacidad por diseño y por defecto, especialmente en lo que se refiere a las aplicaciones de almacenamiento en la nube. 

 

Una mala configuración es un problema común en las plataformas en la nube, y muchas grandes empresas han tomado ya medidas para garantizar la privacidad. 

 

Los datos afectados se almacenaban en el portal de Microsoft Power Apps, una plataforma en la nube que permite un desarrollo sencillo de apps web y móviles para uso externo. La mala configuración de los ajustes es un problema común en este tipo de entornos, y por ello grandes empresas como Amazon, Google y Microsoft ya han tomado medidas en sus servicios Amazon Web Services, Google Cloud Platform y Microsoft Azure para asegurar que los datos personales se almacenan de manera privada por defecto y para identificar potenciales vulnerabilidades. 

 

Microsoft tomó acciones de manera inmediata para corregir la vulnerabilidad y cambiar los ajustes preconfigurados. 

 

Los investigadores de Upguard, la organización que descubrió la vulnerabilidad, llevaron a cabo acciones de manera inmediata y notificaron a tantas empresas como fue posible, pero muchas quedaron fuera debido al gran alcance de los daños. También informaron a Microsoft, tras lo cual la compañía tomó los pasos necesarios para corregirlo. A principios de este mes Microsoft anunció que el portal de Power Apps a partir de ahora almacenará los datos API y otra información de manera privada. Asimismo Microsoft ha lanzado una herramienta que los clientes pueden utilizar para comprobar los ajustes de su portal por su cuenta.  

 

¿Ofreces o utilizas servicios de almacenamiento en la nube? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

El ICO multa a una empresa por prácticas ilegítimas de marketing

El ICO ha multado a la empresa por realizar llamadas ilegítimas para publicitar planes de pensiones. 

 

El ICO ha impuesto una multa de más de 50.000€ a una empresa de Reino Unido localizada en Halifax, por realizar llamadas ilegítimas “a puerta fría”, según se comunica en este informe. La empresa, Parker Beach LTD (PBL), que opera bajo el nombre commercial “Your Pension Options”, habría realizado llamadas relacionadas con la venta de planes de pensiones. El ICO recibió 16 quejas en este sentido y la compañía reconoció haber efectuado más de 96 llamadas. Este tipo de llamadas se prohibieron en Reino Unido en 2019 con el objetivo de proteger a los pensionistas vulnerables y sus fondos, pues este medio ha sido reconocido como el más utilizado para cometer fraude en este campo.  

 

Las llamadas sobre venta de planes de pensiones se prohibieron en Reino Unido en 2019 y sólo se permiten bajo unas pocas condiciones muy específicas. 

 

Las llamadas sobre planes de pensiones están prohibidas en Reino Unido, excepto si se aplican una serie de condiciones, a saber: que quien llama esté autorizado por la autoridad financiera (FCA) o es el administrador de un plan de pensiones profesional o personal o si existe relación entre éste y el destinatario y el último ha consentido recibir dichas llamadas. Este enfoque se tomó en 2019 y desde entonces ha sido ilegal para las empresas realizar llamadas “a puerta fría” para vender planes de pensiones. El responsable de investigaciones del ICO, Andy Curry, ha informado de que este tipo de llamadas han sido tradicionalmente una herramienta típica para cometer fraude y, por ese motivo, se tomarán duras acciones sobre las empresas que hagan uso de ello. Afirmó que “Las empresas son responsables de conocer la ley y cumplirla. Tenemos una serie de atribuciones de las cuales haremos uso para frenar las actividades de empresas sin escrúpulos”. 

 

El ICO ha impuesto la multa y también ha emitido una orden para que no se realicen más llamadas. 

 

En su investigación el ICO descubrió que PBL obtenía los datos para sus llamadas a través de un tercero que extraía los datos de diferentes páginas web. El registro requería a los usuarios consentir marketing de una larga lista de organizaciones de varios sectores, pero no podían seleccionar de cuáles. Así, PBL no recogía un consentimiento claro e informado. En consecuencia, la compañía fue multada con más de 50.000€ y recibió una orden para paralizar dichas llamadas. Bajo la normativa nacional de ePrivacy, PECR, el ICO puede imponer sanciones superiores a 500.000€.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.