statement on privacy implications of mergers

El CEPD lanza un informe sobre las implicaciones de privacidad de las fusiones

El Comité Europeo de Protección de Datos ha publicado un informe sobre las implicaciones de privacidad de las fusiones.

El CEPD ha mostrado su preocupación sobre las implicaciones de privacidad de las fusiones tras conocer la intención de Google LLC de adquirir Fitbit Inc. El Comité ha explicado que este hecho situaría a una de las grandes empresas tecnológicas en la posición de adquirir incluso más datos personales sobre la población en Europa, y esto podría suponer un alto riesgo para los derechos y la protección de datos personales. El CEPD ya había indicado que en estos casos es obligatorio evaluar las implicaciones a largo plazo en los derechos y privacidad de los consumidores. El CEPD recuerda a las partes de dicha fusión evaluar y mitigar cualquier posible riesgo en este sentido antes de notificar la fusión a la Comisión Europea.

«El CEPD recuerda así a las partes de la potencial fusión, de acuerdo al principio de accountability, sus obligaciones bajo el RGPD, entre las que se encuentra llevar a cabo una evaluación completa y transparente de los requisitos de protección de datos y las implicaciones de privacidad”. El Comité considerará por sí mismo las implicaciones que la fusión puede tener para la protección de los datos personales en el Área Económica Europea y, aunque permanecerá alerta en casos similares en el futuro, se muestra dispuesto a contribuir con su asesoramiento a la Comisión si ésta así lo solicita.

En un comunicado de 2018, a raíz de la adquisición de Shazam por Apple, el CEPD avisó que el incremento de la concentración en los mercado digitales podría potencialmente amenazar el nivel de protección de datos y libertad del que disfrutan los consumidores, y aconsejó que autoridades de control independientes ayudasen a evaluar el impacto en el consumidor o en la sociedad. También añadieron que “Esta evaluación, al igual que la identificación de las condiciones o remedios para mitigar impactos negativos en la privacidad o libertad de otros, puede ser independiente o estar integrado en el análisis llevado a cabo por las autoridades competentes bajo la Ley de Competencia”.

En lo que se refiere a la cesión de datos en este contexto, las fusiones son una forma propicia de proceder, porque la entidad responsable de los datos no cambia. Cualquier otra vía tendría que ser extremadamente transparente y ofrecer a los consumidores la opción de oponerse al tratamiento. Sin embargo, si el responsable pasa a ser parte de un grupo corporativo, los datos podrían ser cedidos entre las empresas del grupo con base en el interés legítimo, tras llevar a cabo la correspondiente Evaluación de Interés Legítimo (LIA). Esto deberá hacerse caso por caso en cualquier circunstancia, pues no es seguro que dicha evaluación vaya siempre a superar el test de proporcionalidad.

Conforme a Cristina Contero Almagro, Socia de Aphaia, “le evaluación de los requisitos de protección de datos y las implicaciones de privacidad de la fusión deberán incluir, como uno de sus principales elementos, una evaluación completa de las medidas de seguridad implementadas en la otra empresa, no sólo en el momento actual sino también durante los últimos años. La brecha de seguridad que experimentó Marriott el año pasado es un buen ejemplo que muestra la importancia de comprobar de manera correcta las medidas de seguridad antes de llevar a cabo una fusión o adquisición”.

¿Tienes dudas sobre cómo una fusión o adquisición podría impactar la protección de datos en tu empresa? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

TIM Fined for Unlawful Marketing

La Autoridad de Control italiana, Garante, ha multado con 27.802.496 euros a TIM S.p.A por repetidos tratamientos ilegítimos de datos con fines de marketing

La autoridad de control italiana llevó a cabo numerosas y complejas investigaciones tras recibir cientos de quejas entre enero de 2017 y principios de 2019 en relación a tratamientos ilegítimos de datos con fines de marketing, en particular, llamadas no solicitadas que se efectuaron sin consentimiento alguno desde call centers de parte de TIM S.p.A. En algunos casos, los interesados incluso habían denegado su consentimiento para recibir llamadas de marketing o eran parte de los registros públicos de exclusión publicitaria. Algunos afectados también mencionaron procesos desleales de concursos y premios y los formularios aplicables, entre otras materias. La investigación se realizó con la ayuda de una unidad especializada de la Policía Financiera Italiana y puso de manifiesto varios incumplimientos graves de la normativa de protección de datos.

Llamadas de marketing ‘a puerta fría’ ilegítimas

Se constató que TIM SpA, quien es el mayor proveedor de servicios de telecomunicaciones en Italia, había realizado, desde diferentes call centers, millones de llamadas de marketing tanto a clientes como a ‘no clientes’ sin su consentimiento, lo cual implicaba tratamientos ilegítimos de datos con fines de marketing. Asimismo, se hicieron también llamadas a muchos clientes que se habían opuesto de manera expresa a las mismas. Además, otros dos mil números fueron contactados y no se incluyeron en la lista de números de la compañía. Conforme al Comité Europeo de Protección de Datos “otros tipos de conductas ilícitas también fueron identificadas, como la falta de supervision por parte de TIM de las actividades de algunos de los call centers a fin de gestionar de manera correcta la lista de números de aquellas personas que se habían opuesto a recibir dichas llamadas de marketing, y el hecho de que ofrecer consentimiento a actividades de marketing era un requisito para unirse al programa de descuentos denominado ‘Tim Party’ ”.

Medidas impuestas por la Autoridad de Control italiana

Además de la multa, la Autoridad de Control Italiana impuso algunas condiciones y prohibiciones a TIM. Por ejemplo, se les requirió comprobar la consistencia de las listas de aquellos que se habían opuesto a las llamadas de marketing, y también permitir a los clientes el acceso a los descuentos y premios y concursos sin tener que ofrecer su consentimiento para comunicaciones comerciales. TIM tendrá también que revisar los procedimientos de activación de su app y especificar siempre y de manera clara, en un lenguaje pleno y comprensible, las actividades de tratamiento que realizan junto a la finalidad y los mecanismos asociados. Deberán asegurarse de que reciben el consentimiento necesario de los interesados. Por otro lado, la empresa no podrá utilizar los datos de sus clientes recogidos por medio de sus tres apps: ‘MyTim’, ‘TimPersonal’ y ‘TimSmartKid’ para ninguna otra finalidad diferente de aquella de ofrecer los servicios a sus clientes, cuando no medie el consentimiento libre y específico de los mismos. Esto es sólo una parte de las 20 medidas correctivas impuestas por la Autoridad de Control italiana, las cuales deberán ser implementadas y se tendrá que informar del progreso con las mismas a la Autoridad de Control italiana dentro de un plazo especificado, además de hacer efectivo el pago de los 27,8 millones de euros en 30 días.

¿Deberíamos estar preocupados?

Debe tenerse en cuenta que las normas sobre las llamadas ‘a puerta fría’ varían de un país a otro, incluso dentro del marco del RGPD. Es por tanto necesario consultar a un experto antes de decidir la implantación de estas prácticas de llamadas o emails de marketing. Los últimos están por lo general prohibidos en todos los Estados Miembro y en España, con algunas excepciones.

 

¿Tu empresa ha implementado todas las medidas de seguridad adecuadas en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

Multa a una farmacia de Londres por no proteger de manera adecuada categorías especiales de datos

La farmacia dejó más de 500.000 documentos en contenedores sin candado detrás de las instalaciones.

No proteger de manera adecuada categorías especiales de datos puede desencadenar importantes multas bajo el RGPD.

¿Tus dispositivos están protegidos con contraseña? ¿Utilizas sólo servicios cloud que encriptan los datos? Si tu respuesta es ‘sí’, se podría decir que los elementos básicos de ciberseguridad están cubiertos, pero esto no significa necesariamente que los datos que tratas estén seguros. ¿Qué ocurre con la seguridad física? Es tan importante como la ciberseguridad, pero parece que es un tema del que las empresas se preocupan menos porque forma parte del ‘mundo analógico’. Sin embargo, conlleva importantes riesgos que han motivado varias multas desde que se empezó a aplicar el RGPD, sobre todo cuando se trata de no proteger de manera adecuada categorías especiales de datos.

La multa más reciente en este sentido la impuso la autoridad de control de Reino Unido, la ICO, el pasado 20 de diciembre, a la farmacia Doorstep Dispensaree Ltd. Tendrán que pagar más de 300.000 € por no proteger de manera adecuada categorías especiales de datos.

Los hechos

La farmacia dejó más de 500.000 documentos, con fecha entre 2016 y 2018, en contenedores sin candado en la parte trasera de sus instalaciones. Los archivos incluían nombres, direcciones, fechas de nacimiento, números de la Seguridad Social, información médica y recetas de un número indeterminado de personas.

Brechas similares a estas ocurren más a menudo de lo que cabría esperar. En España encontramos un caso parecido, pues la AEPD multó el año pasado a un colegio porque el servicio de limpieza tiró a un contenedor varios exámenes de los alumnos que contenían datos personales de los mismos, sin aplicar las medidas de destrucción adecuadas.

¿Por qué es una brecha del RGPD?

Dejar cualquier tipo de documentos con información personal en contenedores sin candado supone una brecha del RGPD porque implica que cualquiera podría acceder a la información sin ninguna base legítima para ello. En este caso, además, se trataba de datos de salud, que es una categoría especial de datos personales que requiere de protección adicional.

¿Qué dice el RGPD al respecto?

El artículo 32.1 del RGPD establece que “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. En este caso parece que no se habían aplicado tales medidas técnicas y organizativas o, al menos, que no eran adecuadas para asegurar un nivel de seguridad correspondiente con el riesgo.

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

¿Cuáles son las implicaciones del nuevo caso Schrems II para las empresas?

El abogado general del TJUE, Saugmandsgaard Øe, ha publicado su opinión en el caso ‘Schrems II’.

Nuevo año, ¿nuevas preocupaciones sobre regulación? Dos semanas antes del final del 2019, el abogado general del Tribunal de Justicia de la Unión Europea (TJUE) emitió su opinión en el caso conocido ‘Schrems II’, en relación a la validez de las cláusulas contractuales tipo (SCCs).

El artículo 46 del RGPD menciona las SCCs como una garantía adecuada que las empresas pueden incorporar en los contratos a fin de realizar transferencias de datos personales a terceros países. Las SCCs contienen obligaciones contractuales que se imponen tanto al exportador como al importador, y los derechos de los interesados cuyos datos se transfieren, los cuales pueden ejercerse frente a ambos.

Recapitulemos primero.

¿Sobre qué trata el caso ‘Schrems II’?

El caso ‘Schrems II’ es la segunda parte de un caso que se originó en 2013 a raíz de una queja de Max Schrems, en relación con Facebook y las transferencias de datos personales a Estados Unidos. La queja se interpuso frente a la autoridad de control de Irlanda y llegó al TJUE, que invalidó el Safe Harbour.

Como consecuencia, las empresas ya no podían utilizar el Safe Harbour para transferencias internacionales, y lo reemplazaron por las SCCs. En 2016, la Comisión Europea aprobó el ‘Privacy Shield’ a la luz del caso ‘Schrems I’.

En el caso ‘Schrems II’, Max Schrems presentó una nueva queja en la autoridad de control de Irlanda, pero esta vez contra las SCCs, en un sentido similar en el que lo hizo contra el Safe Harbour. El abogado general ha publicado ahora su opinión al respecto.

¿Cuál es la opinión del abogado general en el caso Schrems II ?

El abogado general del TJUE ha reafirmado la validez de las SCCs. Sin embargo, ha sugerido que tanto empresas como autoridades de control deberían evaluar la suficiencia de las protecciones que otorga la seguridad nacional de los países extranjeros caso por caso.

La opinión afirma que: “una autoridad de control debe examinar con absoluta diligencia la queja presentada por una persona cuyos datos se están transfiriendo a un tercer país sin respetar las cláusulas contractuales tipo aplicables a dicha transferencia” y “cuando proceda, se deberá suspender la transferencia si se concluye que no se están respetando las cláusulas contractuales tipo y que no se puede asegurar por otros medios una protección adecuada de la información transferida”.

¿Por qué no es una sorpresa la opinión del abogado general en el caso Schrems II?

Lo anterior sugiere que transferir datos personales a terceros países va a requerir más esfuerzos que simplemente añadir las SCCs al contrato con el importador. Las empresas tendrán que asegurar que están cumpliendo con las SCCs en la práctica. Sin embargo, en mi opinión esta responsabilidad que cae sobre los responsables de los datos no es nada nuevo, pues también se deriva ya de su responsabilidad general de demostrar cumplimiento con los principios del RGPD, a saber: legitimidad, justicia, transparencia, minimización de los datos, limitación a la finalidad, precisión, limitación de almacenamiento, integridad y confidencialidad.

Estos principios se aplican a todas las transferencias internacionales de datos, independientemente de las garantías que se empleen. Mientras que la autoridad de control de Irlanda destaca que este hecho podría resultar en una fragmentación entre las autoridades de control europeas, la verdad es que esto ya es inevitable cuando se trata de la aplicación práctica del RGPD si no hay recomendaciones del Comité Europeo de Protección de Datos (CEPD) o jurisprudencia previa.

Aunque el TJUE no está obligado a seguir esta opinión, la realidad es que el Tribunal suele pronunciarse en términos muy similares al abogado general en la mayoría de los casos. Se espera que el TJUE publique su decision final en los próximos meses.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí