La ICO publica una nueva guía de cookies

La intención es alinear la posición de la ICO con el RGPD.

¿Qué debería hacer?

Las empresas deben llevar a cabo algunos pasos para cumplir con las nuevas indicaciones:

  1. Mencionar las cookies que se van a utilizar y explicar qué hacen.

La información que se proporcione a los interesados debe contener: las cookies que se pretenden usar y los propósitos de ello, todo en línea con los requisitos de transparencia del RGPD (de forma inteligible, transparente, concisa y de fácil acceso y utilizando un lenguaje claro y sencillo).

Estas condiciones se aplican también a las cookies de terceros, y abarca tanto cookies como pixels, beacons, JavaScript y cualquier otra tecnología similar como redes de publicidad online y plataformas sociales.

  1. Recabar consentimiento para instalar las cookies en los dispositivos.
  • El usuario debe llevar a cabo una acción clara y positiva para dar su consentimiento a las cookies no esenciales.
  • El consentimiento debe ser granular, de manera que el usuario debe tener la opción de consentir las cookies para algunas finalidades pero no para otras.
  • En lo que se refiere a las cookies de terceros, se debe mencionar de manera clara y específica de dónde provienen y explicar qué hacen con la información recogida.
  • Las casillas pre-marcadas o equivalentes no son válidas para las cookies no esenciales.
  • Los sujetos deben tener control sobre todas las cookies no esenciales, y se les debe permitir el acceso al sitio web aun cuando no las hayan aceptado. Las denominadas “cookie walls” están prohibidas si bloquean el acceso al sitio web en general, aunque la ICO está llevando a cabo una serie de consultas en este sentido.
  • Las cookies no esenciales no deberían situarse en la página de inicio (y de for a similar, no se deberían activar hasta que el usuario haya dado su consentimiento).

El consentimiento será inválido si:

  • Los cuadros de aviso son difíciles de leer cuando se interacciona desde el teléfono móvil.
  • Los usuarios no hacen click en ninguna de las opciones disponibles y van directos a otra parte de la web sin haber dado o no su consentimiento.

¿Hay alguna excepción a estos requerimientos?

Sí. No es necesario cumplir con ellos en el caso de cookies no esenciales, pero este concepto es, sin embargo, muy limitado. El acceso a o almacenamiento de información es esencial únicamente cuando es completamente necesario para proporcionar el servicio solicitado por el usuario, o cuando responde a una obligación legal. Algunos ejemplos son:

Cookies estrictamente necesarias Cookies no estrictamente necesarias
Una cookie que se utiliza para recordar los productos que el usuario desea comprar cuando va al carrito de la compra. Cookies de finalidad analítica, como aquellas empleadas para contar el número de visitas a la web.
Cookies necesarias para cumplir con el requisito de seguridad del RGPD de una actividad que el usuario ha solicitado, por ejemplo en relación con servicios  bancarios. Cookies de publicidad, incluidas aquellas operacionales relacionadas con publicidad de terceros, detección de fraude, investigación, desarrollo de producto.
Cookies para asegurar un funcionamiento fluido mediante la distribución de la carga de trabajo entre diferentes ordenadores. Cookies que reconocen a un usuario cuando vuelve a la página web, de modo que se les ofrece un saludo personalizado.

Como segunda excepción, los requisitos de información y consentimiento tampoco se aplican para las cookies que habilitan la transmisión de comunicaciones sobre una red de comunicaciones electrónicas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

 

British Airways se enfrenta a una multa de 183 millones por incumplimiento del RGPD

Una brecha de seguridad podría conducir a una multa de 183 millones a British Airways.

El RGPD impone severas multas por incumplimiento de las disposiciones recogidas en su normativa, que pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior. La multa de 183.39 millones de libras prevista para British Airways supondría la mayor sanción jamás impuesta desde que el RGPD comenzó a aplicarse. Es el equivalente al 1.5 % del beneficio total anual de British Airways en el año anterior.

¿Cuáles son los hechos?

La multa viene motivada por el robo de información personal y financiera de sus clientes entre junio y septiembre de 2018, desde la web de British Airways y su aplicación móvil. Inicialmente, la aerolínea informó de que los datos de en torno a 380.000 tarjetas de crédito y débito habían sido comprometidos, pero la ICO afirmó que se trataba de información personal de 500.000 clientes.

Conforme a las investigaciones de la ICO, el incidente se originó al derivarse la web de British Airways a otro portal fraudulento, a través del cual los hackers captaron los datos de los afectados.

La ICO sostiene que la notificación inicial de multa de 183.39 millones de libras supondría en caso de materializarse el mayor importe por sanciones jamás impuesto.

La inspectora de la ICO Elizabeth Denham afirmó que: “La información personal de las personas es precisamente eso, personal. Siempre que una empresa no cumple con su deber de protección frente a pérdidas, daños o robos, se generan importantes consecuencias. Por este motivo la ley es clara: cuando a alguien se le confían datos personales debe protegerlos. Aquellos que no lo hagan tendrán que someterse a examen para comprobar que han implementado las medidas adecuadas para proteger el derecho fundamental a la privacidad”.

¿Qué información fue robada?

De acuerdo a la ICO, una variedad de información se vio comprometida por las escasas garantías de seguridad aplicadas por la compañía, incluidos los procesos de registro, pago con tarjeta y reservas.

Por su parte, British Airways indicó que los datos robados incluían nombres, direcciones de email, y detalles de las tarjetas de crédito como números, fechas de caducidad y código CVV.

Los reguladores de protección de datos de otros países europeos también participarán de la cuantía de la multa debido al impacto del suceso en sus ciudadanos. El dinero de la sanción se dividirá entre las autoridades de control europeas y, en concreto, la parte del ICO se destinará a Hacienda.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Brecha de seguridad en la universidad de Greenwich

La ICO ha multado a la Universidad de Greenwich con £120.000 por no prevenir una importante brecha de seguridad.

 La brecha de seguridad ha dejado al descubierto datos de 19.500 estudiantes. Los hechos sucedieron a causa del uso de un micrositio desarrollado por un profesor y un alumno en la entonces Escuela de Matemáticas y Computación, a fin de habilitar una conferencia de formación en 2004. La información comprometida incluye nombres, direcciones, fechas de nacimiento, números de teléfono y firmas, entre otros. Una gran cantidad de dichos datos son de naturaleza sensible, como detalles sobre dificultades en el aprendizaje o registros de baja de los empleados, los cuales fueron además publicados online después.

Greenwich ha sido la primera Universidad en ser multada conforme a la nueva normativa.

El micrositio no se cerró ni protegió tras la conferencia de 2004, y en 2013 fue comprometido por primera vez. Después, en 2016, recibió nuevos ataques, de modo que los hackers aprovecharon su vulnerabilidad para acceder a otras partes del servidor.

La Universidad no ha recurrido la decisión de la ICO. En su lugar, el secretario de la Universidad Peter Garrod dijo «admitimos las conclusiones de la ICO y pedimos disculpas de nuevo a todos aquellos que se hayan visto afectados”. Además, añadió que “Ninguna organización puede asegurar que será inmune a todo acceso no autorizado que pueda tener lugar en el futuro, pero podemos afirmar con seguridad a nuestros estudiantes, empleados, alumni y otros agentes interesados, que nuestros sistemas son ahora mucho más robustos que hace dos años, como resultado de los cambios que hemos llevado a cabo”.

El inspector del caso descubrió que la Universidad no había implementado las medidas técnicas y organizativas apropiadas para, dentro de lo posible, asegurar que una brecha de esas características no pudiese suceder.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Subcontratación del Delegado de Protección de Datos.

La compañía EE, multada por la ICO por el envío de mensajes de texto sin base legal

La ICO ha multado a EE con £100.000 por el envío de 2.5 millones de mensajes que incluían marketing directo sin consentimiento de sus clientes. Explicamos a continuación qué compañías deberían controlar el envío de mensajes de marketing directo.  

Los mensajes, enviados a principios de 2018, animaban a los clientes a acceder y usar la aplicación “My EE” para gestionar su cuenta y actualizar su teléfono. Una segunda tanda de mensajes fue enviada a los clientes que no procedieron acorde a las indicaciones de la primera.

Durante la investigación, la compañía de telecomunicaciones alegó que había enviado dichos mensajes como mera información de sus servicios, lo cual no estaba comprendido en la ley de comunicaciones electrónicas. Sin embargo, la ICO dictaminó que los mensajes incluían marketing directo por contener material promocional.

¿Cuándo puede una empresa hacer marketing directo?

Andy White, el director de Investigaciones de la ICO, indicó que: ”Se trataba de mensajes de marketing que promocionaban los productos y servicios de la compañía. La guía sobre el marketing directo es clara: si un mensaje que contiene información de servicios también incluye material promocional para adquirir productos o servicios extra, entonces deja de ser un mensaje operacional o de servicios y las reglas de comunicaciones electrónicas son plenamente aplicables. […] EE Limited conocía la ley y debería haber sabido que necesitaban el consentimiento de sus clientes para enviar tales mensajes, de acuerdo a la normativa y reglas del marketing directo. […] Las empresas deben ser conscientes de que tanto mensajes como emails que incluyan información sobre los servicios, pero también un elemento promocional o de marketing, deben cumplir con la legislación aplicable bajo penas de multa que pueden alcanzar los £500.000.”

Dr Bostjan Makarovic, socio de Aphaia, añade que: “Para poder enviar mensajes o emails de marketing, las empresas necesitan bien recibir consentimiento explícito o bien habilitar el opt-out en el momento de la recogida de los datos y también en cada comunicación posterior que se envíe. Además, si se basan en la opción del opt-out, el marketing permitido está limitado a bienes y servicios similares a los previamente adquiridos, ofrecidos por la misma compañía”.

EE reconoce los hechos y acepta las investigaciones y decisión de la ICO, y ya están trabajando en mejorar sus procesos. «Nos comprometemos a que nuestros clientes sean completamente conscientes de sus opciones a lo largo de toda la vida del contrato, y pedimos disculpas a aquellos que han recibido dichos mensajes”.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.