Multa a una empresa

Multa a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible.

Multa de 11,000 euros a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible a través de email y correo postal. 

 

La empresa Trinity Chambers LLP envió detalles privados sobre un interesado y su familia a través de email y correo postal. La autoridad de control correspondiente, ODPA, ha publicado recientemente un comunicado con información sobre este caso. 

 

La investigación descubrió que se compartió información sensible sobre el sujeto y su familia debido a un error humano continuado. 

 

La investigación tuvo lugar tras la presentación de una queja al respecto, la cual alegaba una cesión ilegítima de datos personales como consecuencia de un error humano continuado. Conforme al informe, una brecha de seguridad habría permitido el acceso a los datos de terceras partes no relacionadas. Se averiguó que Trinity Chambers LLP envió archivos que incluían información altamente sensible y confidencial a través de email y correo postal, sin la apropiadas medidas de seguridad. Terceros no relacionados que no eran conscientes de la naturaleza sensible del contenido accedieron sin querer al mismo.

 

La multa se ha impuesto con intención de reflejar la gravedad de las consecuencias de la brecha de seguridad. 

 

La presidenta de la ODPA, Emma Martins, afirmó que la ODPA estaba decepcionada con la respuesta de la empresa. Indicó que “Hay poca evidencia de que el responsable de los datos en este caso considerase de manera oportuna el impacto de la brecha de seguridad en los interesados”.  Y añadió que la multa pretende reflejar “la seriedad del suceso y el impacto de no proteger de manera adecuada los datos personales”, además de las graves consecuencias que esto tiene en una comunidad pequeña como Guernsey. 

 

La empresa ha sido multada con 11,200 euros por no proteger los datos personales.  

 

Mientras que los datos personales afectados no se correspondían con la clasificación de “datos personales de categoría especial”, eran altamente sensibles y privados. Como resultado de la investigación, la ODPA determinó que la empresa habría infringido la normativa aplicable en relación a la cesión ilegítima de datos personales a terceros. La multa también refleja la falta de implicación del responsable y la subestimación del potencial impacto en los interesados afectados. 

 

Conforme a la ODPA, la empresa no ha recurrido la decisión.

 

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Una investigación sobre el sector

Una investigación sobre el sector de la calificación crediticia en los últimos dos años resulta en medidas coercitivas sobre Experian.

Una investigación sobre el sector de la calificación crediticia con Experian, Equifax y TransUnion en el centro de la misma en relación al tratamiento de datos vinculado a la intermediación de los mismos ha resultado en medidas coercitivas. Así lo comunicaba la ICO en un informe publicado a principios de este mes, el cual incluye extensos detalles sobre la investigación, incluidos los procesos y el marco legal aplicado. 

 

La investigación descubrió que había grandes cantidades de datos que las Agencias de Calificación Crediticia (CRAs) Experian, Equifax y TransUnion estaban tratando sin el conocimiento de los interesados.

 

La investigación de la ICO descubrió que estas tres Agencias de Calificación Crediticia (CRAs) estaban enriqueciendo datos personales y comerciando con ellos sin ofrecer ningún tipo de información al respecto a los interesados. Estos datos personales eran después utilizados por empresas, partidos políticos y organizaciones benéficas para buscar nuevos clientes, elaborar perfiles e identificar a personas que podrían adquirir sus productos y servicios. 

 

La ICO define la intermediación de datos como “la práctica de obtener información sobre los interesados y comerciar con ella, incluido a través de concesiones y licencias a otras empresas o individuos. La información de los interesados normalmente es información agregada de diferentes fuentes o enriquecida de alguna otra forma con el fin de construir perfiles”. La recogida y tratamiento de datos personales sin el conocimiento de los interesados incumple la normativa de protección de datos. 

 

A través de la investigación, la ICO ha descubierto varios incumplimientos de la normativa de protección de datos por parte de cada empresa. 

 

A través de la investigación, la ICO ha descubierto que cada una de las empresas involucradas utilizaba la información no sólo para la función de calificación crediticia, sino también con fines de marketing. Algunas de ellas incluso llevaban a cabo elaboración de perfiles para generar nueva información sobre datos previamente desconocidos de los interesados. 

 

Estas organizaciones tampoco eran transparentes. Mientras que se ofrecía alguna información en sus páginas web, no se explicaban de manera clara los usos a los que se destinaban los datos. Además, se estaban empleando de manera incorrecta algunas bases legitimadoras del tratamiento. 

 

Mientras que las tres empresas incumplieron la normativa de protección de datos, sólo se han impuesto medidas coercitivas sobre Experian, que no mejoraron sus procesos de cumplimiento. 

 

Las tres agencias realizaron mejoras en sus servicios como resultado del trabajo llevado a cabo por la ICO en la investigación. De manera adicional, Equifax y TransUnion retiraron algunos de sus productos y servicios. Por este motivo la ICO decidió no tomar ninguna medida contra ellos. 

 

Aunque Experian también ha realizado algunos avances, la ICO consideró que no había hecho lo suficiente, pues rechazó las recomendaciones de “accountability” o rendición de cuentas proporcionadas por la ICO, y como resultado no facilitó a los interesados la información de privacidad necesaria, ni paró de utilizar sus datos con fines de marketing. 

 

Experian tendrá que realizar los cambios pertinentes en los próximos 9 meses o afrontar nuevas medidas, incluida una posible multa.

 

La ICO decidió emitir un apercibimiento, al considerarlo como la forma más efectiva de conseguir el cumplimiento de la compañía en esta situación. El apercibimiento requiere a Experian realizar todos los cambios necesarios en los próximos 9 meses, sujeto a otro tipo de medidas en caso de no hacerlo, lo cual podría incluir una multa de hasta 20 millones de euros o el 4% de su beneficio anual global. Este apercibimiento de la ICO también insta a Experian a informar a los interesados en consecuencia, y asimismo deberá dejar de destinar a marketing los datos derivados de la sección del negocio de calificación crediticia.

 

¿Has implementado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Amazon se enfrenta a una demanda

Amazon se enfrenta a una demanda en Alemania, acusado de infringir la normativa europea de privacidad

Amazon se enfrenta a una demanda en Alemania tras ser acusado de infringir la normativa de privacidad europea en relación al EU-US Privacy Shield. 

 

El gigante Amazon se enfrenta a una demanda tras ser señalado de infringir la normativa de privacidad europea, según informa un reciente artículo de Político. Se le acusa de seguir utilizando el Privacy Shield a pesar de su anulación. La base de la demanda es la decisión del Tribunal de Justicia de la Unión Europea en el caso Schrems II, por la cual se dictaminó que las transferencias internacionales de datos ya no podían sustanciarse en el Privacy Shield. Conforme al TJUE, los programas de vigilancia estadounidenses son más intrusivos de lo que debería permitirse, y van más allá de lo que se considera un estándar válido de privacidad. A pesar de ello, Amazon ha continuado empleando esta herramienta para sus transferencias internacionales de datos a Estados Unidos.

Las cláusulas contractuales tipo son todavía un método válido para las transferencias internacionales de datos.

Las cláusulas contractuales tipo (SCCs) es la alternativa que están empleando empresas como Google o Facebook. La diferencia es que exportar datos desde la Unión Europea a través de SCC requiere más supervisión y garantizar la seguridad de los datos. Mientras que las SCC ofrecen una opción viable, deben tomarse con precauación, pues requieren que el exportador confirme que el importador de los datos puede otorgar un nivel de protección de los datos equivalente al que estos reciben en la Unión Europea. Por ejemplo, actualmente Facebook se enfrenta a la autoridad de protección de datos Irlandesa con motivo del uso de dichas cláusulas. 

EuGD toma acción legal contra Amazon.

El grupo EuGD (Europäische Gesellschaft für Datenschutz por sus siglas en alemán, que en español significa sociedad europea de protección de datos) ha decidido tomar acción legal e interponer la demanda. Conforme a Johann Hermann, el responsable de EuGD: “El [Tribunal de Justicia de la Unión Europea] ha dejado claro que las transferencias a Estados Unidos que utilicen Privacy Shield ya no son váidas. Resulta inaceptable que la empresa mundial líder en servicios cloud e e-commerce permanezca inactiva más de dos meses e ignores los derechos de los consumidores”. Asimismo, el fundador de EuGD, Thomas Bindl, informó de que la decisión ha sido impulsada en consideración de conflictos similares.

A pesar de lo llamativo del caso, todavía tendremos que esperar para ver cómo se desarrollan los acontecimientos. Sin embargo, independientemente del resultado, esto inspirará probablemente una mayor vigilancia y cumplimiento por parte de las empresas que transfieran datos a terceros países. 

 

¿Realizas transferencias internacionales de datos a terceros países? ¿Te afecta la Sentencia del caso “Schrems II”? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Corresponsabilidad del tratamiento

Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos publica unas indicaciones clave sobre los conceptos de encargado, responsable y corresponsable del tratamiento, en sus Directrices 07/2020.

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado 7 de septiembre sus Directrices 07/2020 sobre los conceptos de responsable y encargado de tratamiento bajo el RGPD, con la intención de delimitar un significado preciso de los mismos y un criterio adecuado para su correcta interpretación, de manera que se aplique de forma consistente en todos los países del Espacio Económico Europeo. 

Desde que el TJUE determinase, en el caso Fashion ID, C-40/17, que el minorista de moda Fashion ID actuaba como corresponsable del tratamiento junto con Facebook al incorporar el botón de ‘Me gusta’ en su página web, el concepto de corresponsabilidad del tratamiento parece tener ahora un alcance más amplio, y aplicarse a ciertos tratamientos que en el pasado habrían tomado una consideración distinta. 

En nuestro artículo de hoy analizamos las principales consideraciones del CEPD en relación al concepto de corresponsabilidad del tratamiento.

El concepto de corresponsable del tratamiento en el RGPD

Conforme al Artículo 26 del RGPD, se puede dar corresponsabilidad en el tratamiento cuando dos o más responsables determinan de manera conjunta los medios y los objetivos del tratamiento. El RGPD también establece que las partes implicadas deberán definir sus respectivas obligaciones de cumplimiento en un acuerdo entre las mismas, cuyos aspectos esenciales se pondrán a disposición de los interesados. Sin embargo, el RGPD no contiene ninguna disposición relativa a los detalles de esta figura, como la definición de “conjuntamente” o la forma legal que deberá tomar el acuerdo.

Participación conjunta. 

El CEPD explica que la participación conjunta puede ser mediante una decision común o a través de decisions convergentes. Así por tanto, en la práctica, la participación conjunta puede tomar formas diversas y no require el mismo grado de implicación o responsabilidad proporcional de cada uno de los responsables en cada caso. 

  • Participación conjunta mediante una decision común. Implica que los responsables decidan juntos y tomar una decisión conjunta.
  • Participación conjunta mediante decisiones convergentes. Esta variedad deriva de la jurisprudencia del TJUE sobre el concepto de corresponsables. Conforme al RGPD, los requisitos que las decisiones deberían cumplir para ser consideradas decisiones convergentes en los objetivos y medios del tratamiento son las siguientes:  
    • Se complementan la una a la otra.
    • Son necesarias para que el tratamiento tenga lugar de tal manera que repercutan en un impacto tangible en la determinación de los objetivos y medios del tratamiento.

Como resultado, la pregunta que debería plantearse a fin de identificar si se da el escenario de decisiones convergentes yace sobre el siguiente planteamiento: “¿Sería el tratamiento posible sin la participación de todos los responsables en el sentido de que la participación de todos es indispensable?”.

Asimismo, el CJE destaca el hecho de que no es necesario que todas las partes tengan acceso a los datos para que se les considere parte de una relación de corresponsabilidad. 

Objetivo determinado de manera conjunta

El CEPD considera que hay dos situaciones bajo las que los objetivos perseguidos por los responsables de tratamiento pueden considerarse como determinados de manera conjunta:

  • Las entidades involucradas en la misma operación traten esos datos con fines definidos de manera conjunta. 
  • Las entidades involucradas persigan objetivos que están muy estrechamente vinculados o son complementarios. Podría ser el caso, por ejemplo, donde haya un beneficio mutuo que resulte de la misma operación de tratamiento, sujeto a que cada una de las entidades participen en la determinación de los objetivos y medios de la correspondiente operación de tratamiento.  

Medios determinados de manera conjunta

La corresponsabilidad requiere que todas las partes involucradas ejerzan influencia en los medios del tratamiento. Sin embargo, esto no implica necesariamente que cada uno de los responsable determine en todos los casos todos los medios. Pueden darse diferentes circunstancias que conduzcan a una situación de corresponsabilidad siempre que se cumplan el resto de condiciones, incluso cuando la determinación de los medios no se comparta de forma equitativa entre todas las partes, por ejemplo: 

 

  • Diferentes corresponsables determinan los medios del tratamiento a distintos niveles, dependiendo de quien esté efectivamente en la posición de hacerlo. 
  • Una de la entidades suministra los medios del tratamiento y los pone a disposición de otras entidades para sus actividades de tratamiento. La parte que decide hacer uso de dichos medios a fin de que los datos personales se traten para un objetivo determinado también participa en la elección de los medios del tratamiento. Por ejemplo, una entidad que usa para sus objetivos propios una herramienta o sistema desarrollado por otra entidad y que permite el tratamiento de datos personales, probablemente estará tomando una decisión conjunta en relación a los medios del tratamiento para ambas entidades. 

 

Limitaciones a la corresponsabilidad

El hecho de que diferentes actores participen en el mismo tratamiento no significa que estén necesariamente actuando como responsables conjuntos de dicho tratamiento. No todos los tipos de asociación, cooperación o colaboración conllevan corresponsabilidad del tratamiento, pues dicha clasificación requiere un análisis caso por caso de cada tratamiento y el papel preciso que juega cada una de las partes. El CEPD ofrece una lista no exhaustiva de ejemplos de situaciones donde no se da corresponsabilidad: 

  • Operaciones anteriores o posteriores: mientras que dos partes pueden ser consideradas corresponsables en relación a un tratamiento específico donde el objetivo y los medios se hayan determinado de forma conjunta, esto no afecta a los objetivos y medios de operaciones de tratamiento anteriores o posteriores en la cadena de tratamiento. En esos casos, la entidad que decide será considerada como responsable única de las mismas.  
  • Objetivo propio: la figura del corresponsable deberá distinguirse de la de encargado, pues éste, aunque también participa en el desarrollo del tratamiento, no trata los datos con sus propios objetivos, sino que lo hace por parte del responsable. 
  • Beneficio comercial: la mera existencia de un beneficio mutuo que resulte de una actividad de tratamiento no conduce a corresponsabilidad. Por ejemplo, si una de las entidades simplemente recibe un precio por los servicios prestados, estará actuando como un encargado y no como corresponsable. 

Por ejemplo, el uso de un sistema de tratamiento de datos común o una infraestructura no será suficiente para considerar a las partes corresponsables, en concreto en los casos en que el tratamiento se lleve a cabo de forma separada y pudiese desarrollarse por una de las partes sin la intervención de la otra, o donde el proveedor sea un encargado del tratamiento dada la ausencia de objetivos propios. Otro ejemplo sería la cesión de datos de los empleados a las autoridades fiscales. 

Acuerdo de corresponsabilidad

Los corresponsables deberían establecer un acuerdo de corresponsabilidad donde acuerden de manera conjunta y transparente sus respectivas obligaciones en cumplimiento con el RGPD. La siguiente lista no exhaustiva de tareas debería concretarse en dicho documento: 

  • Respuesta a las solicitudes de ejercicio de los derechos reconocidos a los interesados por el RGPD. 
  • Deberes de transparencia en la provisión de la información relevante recogida en los artículos 13 y 14 del RGPD. 
  • Implementación de los principios de protección de datos generales.
  • Base legítima para el tratamiento.
  • Medidas de seguridad.
  • Notificación de una brecha de seguridad a la autoridad de control y a los interesados.
  • Evaluaciones de Impacto de Protección de Datos.
  • El uso de encargados de tratamiento.
  • La transferencia de datos a terceros países.
  • Comunicaciones y contacto con los interesados y las autoridades de control.

El CEPD recomienda documentar todos los factores determinantes así como el análisis interno llevado a cabo para asignar cada una de las obligaciones. Dicho análisis será parte de la documentación debida bajo el principio de rendición de cuentas. 

Por último, en relación a la forma del acuerdo, incluso aunque no exista un requisito legal en el RGPD al respecto, el CEPD recomienda que tal acuerdo se haga mediante un documento vinculante como un contrato o cualquier otro que lo sea bajo el derecho de la Unión o de los Estados Miembro. 

Se puede aportar comentarios a estas Directrices gasta el 19 de octubre. 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, cumplimiento con la CCPA, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.