La CNIL multa

La CNIL multa a dos médicos por incumplir la normativa de protección de datos

La CNIL ha multado a dos médicos por sus insuficientes medidas de protección de datos personales y por la falta de notificación de una reciente brecha de seguridad

 

El pasado mes en Francia la CNIL anunció que dos médicos habían incumplido los artículos 32 y 33 del RGPD. Tras una auditoría online que tuvo lugar en septiembre de 2019, se descubrió que ambos médicos contaban con miles de imágenes almacenadas en sus servidores, a las que cualquiera podía acceder. Una investigación más detallada determinó que los dos médicos carecían de una configuración suficiente de las medidas de seguridad en su equipo, especialmente en lo relativo a su software de imágenes, lo cual condujo a dicha brecha de seguridad. Se les impuso una multa de 3.000 € y 6.000 € respectivamente, y aunque el CNIL consideró que no era necesario hacer públicos sus nombres, sí insistió en la importancia de comunicar esta decisión a fin de alertar a los profesionales de la salud sobre sus obligaciones y la relevancia de reforzar la vigilancia de sus medidas de seguridad.  

 

Los médicos multados por la CNIL no protegieron de manera adecuada los datos, violando así el artículo 32 del RGPD

 

Conforme al artículo 32 del RGPD los responsables y los encargados del tratamiento deben implementar medidas técnicas y organizativas apropiadas y acorde al nivel de riesgo, a fin de asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios. Una evaluación de impacto hubiese dado lugar a que los doctores se percatasen con antelación de las faltas en la configuración que derivaron en brecha de seguridad. 

 

El artículo 32.2 del RGPD establece que “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

 

La falta de notificación al CNIL implicó también una brecha del artículo 33 del RGPD por parte de ambos médicos

Conforme al artículo 33 del RGPD los responsables han de notificar cualquier brecha de seguridad sin dilación indebida y, cuando sea posible, dentro de las primeras 72 horas tras descubrirla. Después de descubrir que las imágenes se podían acceder de manera pública, los dos médicos debieron haber realizado las notificaciones oportunas, pero no lo hicieron. El RGPD impone dicho acto como obligatorio “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Esta brecha de seguridad comprometió las imágenes médicas de sus pacientes, infringiendo así directamente sus derechos, lo que hacía necesario notificarlo a la autoridad de control.  

 

La CNIL hizo esta decisión pública a fin de mandar un mensaje a otros profesionales médicos para asegurar cumplimiento con el RGPD

 

Mientras que la CNIL no consideró necesario publicar los nombres de los doctores, sí concluyeron que era importante comunicar el incidente para concienciar a otros profesionales de la salud sobre la importancia de las medidas de seguridad que se deben aplicar sobre los datos personales El objetivo es impulsar a dichos profesionales a que se decanten por aquellas soluciones que ofrezcan mayores garantías en seguridad IT y protección de datos personales. Si no, podrían darse situaciones como las que han conducido a las multas de estos dos médicos, por no desarrollar y configurar los sistemas con las garantías suficientes. La CNIL sugiere que los profesionales utilicen proveedores competentes para asegurar cumplimiento. 

 

¿Has implementado todas las medidas de seguridad necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Reino Unido y la UE

Acuerdo entre Reino Unido y la UE: se prolonga el plazo de validez de la libre circulación de datos personales.

El Gobierno de Reino Unido ha anunciado recientemente un acuerdo con la UE que prolonga el período de transición, lo cual también se refleja en los flujos de datos personales, que continúan sin restricciones durante dicho plazo. 

 

El pasado mes informamos sobre la inminente finalización del período de transición y la necesidad de que las empresas y organizaciones británicas adaptasen sus procesos para cumplir con la normativa de protección de datos, antes del 31 de diciembre de 2020. Desde entonces, el Gobierno británico ha anunciado un acuerdo que permite la libre circulación de datos personales entre la UE (EEE) y Reino Unido, incluidas las autoridades de control. Este acuerdo se mantendrá hasta que se adopte una decision de adecuación, por un período no superior a seis meses.  

 

El Gobierno de Reino Unido anuncia el nuevo acuerdo, que permite la libre circulación de datos personales entre Reino Unido, la UE y el EEE. 

 

La declaración emitida por el Gobierno de Reino Unido ofrece un análisis en profundidad de las implicaciones del acuerdo en el comercio digital, pues se pretende que Reino Unido y la UE colaboren en asuntos de comercio digital en el futuro, incluidas las tecnologías de emergencia. El acuerdo prohibirá cualquier requisito de tratar datos en un lugar específico, en aras así de la libre circulación de información. Esta es la primera vez que la UE ha incluido provisiones sobre protección de datos en un acuerdo por el libre comercio. Se espera que el acuerdo promueva la confianza en la economía digital y que evite la imposición de condiciones prohibitivas a las empresas de Reino Unido.  

 

Este acuerdo entre Reino Unido y la UE también incluye una provisión completamente novedosa, inspirada por las recientes conversaciones de la Organización Mundial del Comercio y Espacio Económico Europeo (WTO), sobre la apertura de los datos gubernamentales, lo cual incentiva a los Gobiernos a poner a disposición datos no personales anonimizados, de una manera accesible y en un formato legible mecánicamente. También garantiza que ni Reino Unido ni la UE discriminará contra firmas o documentos electrónicos, únicamente sobre la base de que están en formato digital, asegurando así que los contratos se pueden completar de manera digital, con muy pocas excepciones. 

 

Se espera que el acuerdo brinde una mayor protección a los consumidores, pues contiene excepciones especiales para preservar el espacio político a fin de que Reino Unido y la UE protejan a los consumidores en sus transacciones digitales. Asimismo contiene protección al consumidor en dicho ámbito y provisiones anti-spam. Este acuerdo también protege contra la  transferencia forzada de código fuente, velando por la protección de las transferencias y la propiedad intelectual.  

 

La ICO ha publicado un pronunciamiento aconsejando a las empresas y organizaciones británicas acordar mecanismos de transferencia alternativos. 

 

La ICO ha publicado un pronunciamiento actualizado en el que solicita a las empresas y organizaciones que transfieren datos a la UE y el EEE establecer mecanismos de transferencia alternativos durante este período, a fin de evitar la interrupción de los flujos de datos. Elizabeth Denham, Comisionada de Información, afirmó que: “Esto implica que las empresas pueden estar seguras sobre la libre circulación de datos personales a partir del 1 de enero sin la necesidad de realizar ningún cambio en sus prácticas de protección de datos”. La ICO espera publicar nuevas orientaciones en su página web para reflejar la prolongación de estas provisiones y asegurar que las empresas conocen qué deben hacer. 

 

¿Realizas transferencias internacionales de datos a terceros países? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

ICO insta a las empresas británicas

La ICO insta a las empresas británicas a cumplir con la ley de protección de datos antes de que finalice el período de transición del Brexit.

La ICO insta a las empresas británicas a cumplir con la ley de protección de datos antes de que finalice el período de transición del Brexit, previsto para el 31 de diciembre de 2020.  

 

El 31 de diciembre de 2020 se produce el final del período de transición y Reino Unido abandonará oficialmente Europa. En consecuencia, la ICO insta a las empresas británicas a comprobar y tomar todas las medidas necesarias para asegurar un flujo de datos legítimo entre Europa y Reino Unido. La ICO aconseja que cualquier empresa que reciba datos de Europa o de la Zona Económica Europea (que incluye Europa, Islandia, Noruega y Liechtenstein) empiece cuanto antes a tomar las medidas precisas para adaptarse a la nueva situación sin perjudicar su continuidad. 

 

Muchas PyMEs dependen del flujo de datos para funcionar, y la ICO pretende ayudarlas durante la transición. 

Las normas de protección de datos se aplican siempre que se trate de información que permita de manera directa o indirecta la identificación de clientes, empleados o cualquier otra persona natural. Los registros de recursos humanos, detalles de clientes, información de nóminas, datos de los servicios cloud, todo ello se considera datos personales y probablemente se verán afectados por la nueva situación. La ICO reconoce que la cesión y transferencia de datos personales es esencial para que la mayoría de PyMEs pueden operar con normalidad, y también apunta que, en este sentido, las pequeñas empresas podrían no contar con personal en su equipo específicamente dedicado a protección de datos o con especialistas que les ayuden con las preparaciones necesarias. En consecuencia, la ICO ha publicado una comunicación donde informa a las empresas sobre los pasos que deben tomar antes del uno de enero para asegurar que siguen cumpliendo con la normativa. 

La ICO insta a las empresas británicas a mantener el cumplimiento con la ley nacional de protección de datos (DPA 2018) y el RGPD, así como a comprobar la información sobre privacidad que ofrecen. 

 

Las empresas británicas deberán continuar cumpliendo con el RGPD y la DPA 2018. Sin embargo, en lo que respecta al intercambio de datos entre empresas en Reino Unido y la Unión Europea, a partir del 1 de enero de 2021, las empresas tendrán que asegurar que cuentan con las salvaguardas necesarias para confirmar que dichos flujos son legítimos. La ICO ha recogido algunas orientaciones y recursos en su página web y recomienda a las empresas hacer uso de ello para decidir las acciones que necesitan tomar si tratan datos personales. Además, las empresas deberían revisar su información de privacidad y cualquier otra documentación por los posibles cambios que podrían necesitar hacer antes del final del período de transición. 

 

Para la mayoría de empresas y organizaciones, la ICO sugiere utilizar Cláusulas Contractuales Tipo (SCC) para mantener el flujo de datos con las garantías debidas. 

La comunicación de la ICO sugiere que las Cláusulas Contractuales Tipo o SCCs podrían ser la mejor opción para las empresas que tratan datos personales y quieren asegurar que sus transferencias de datos cumplen con las garantías europeas requeridas. Como las empresas de Reino Unido van a tratarse de manera oficial como responsables o encargados de tratamiento de un tercer país, desde enero las SCCs podrían emplearse como salvaguarda para las transferencias entre responsables y encargados dentro de la UE e internacionalmente. Son así, según la ICO, la mejor opción que las empresas británicas pueden adoptar tras la transición. 

 

¿Realizas transferencias internacionales de datos a terceros países? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Google y Amazon

Google y Amazon se enfrentan a una multa impuesta por la CNIL en Francia por tratamiento ilegítimo de cookies.

Google y Amazon han sido multados por la CNIL en Francia por instalar cookies en los dispositivos de los usuarios sin obtener el correspondiente consentimiento previo ni proporcionar la información relevante. 

 

La CNIL, la autoridad de protección de datos de Francia, informó la semana pasada de que tanto Google como Amazon habían sido sancionados por un tratamiento de cookies ilegítimo que condujo a un incumplimiento de la normativa de protección de datos nacional. Tras varias investigaciones que tuvieron lugar entre diciembre de 2019 para amazon.fr y marzo de 2020 en el caso de google.fr, la CNIL descubrió que ambas páginas violaban el Artículo 82 de la normativa de protección de datos nacional. 

 

Google infringió el artículo 82 de la ley de protección de datos francesa hasta en tres ocasiones, mientras que Amazon lo hizo dos veces.  

 

Tras la investigación, se descubrió que ambas páginas habían estado instalando cookies de manera automática en los ordenadores de los usuarios, sin solicitarles ninguna acción por su parte ni consentimiento previo. Dichas cookies se consideraron no esenciales para la prestación del servicio, y por tanto deberían instalarse sólo con consentimiento expreso del usuario.  Esta práctica infringe el Artículo 82 de la ley de protección de datos francesa, e ignora el requisito de obtener consentimiento previo antes de instalar cookies en los dispositivos de los usuarios. 

 

Mientras que tanto google.fr como amazon.fr contaban con un banner que se mostraba en la parte inferior de la pantalla e informaba a los usuarios bien del acuerdo de confidencialidad de la empresa (en el caso de Google) o de la aceptación de las cookies por medio del uso de la página (en el caso de Amazon), los dos banners incumplían la normativa de cookies y no proporcionaban la información requerida, infringiendo así el Artículo 82 de la ley de protección de datos francesa. En el caso de Google, el banner directamente no aportaba ningún tipo de información sobre las cookies que se habían instalado de forma automática. Por otro lado, el botón de “consultar ahora” que estaba disponible en el banner de google.fr tampoco conducía a los usuarios a ninguna información sobre las cookies. 

 

En amazon.fr, por su parte, mientras que el banner sí avisaba a los usuarios de la instalación automática de las cookies a través del uso de la página web, esta información no era clara ni completa. El banner no especificaba que las cookies se instalaban en los ordenadores de los usuarios se empleaban principalmente para mostrar anuncios personalizados. Tampoco explicaba si el usuario podía rechazar dichas cookies ni cómo hacerlo. 

 

Además, en el caso de google.fr, incluso después de emplear el mecanismo disponible a través del botón “consulta ahora” para desactivar la personalización de los anuncios, una de las cookies publicitarias se quedaba almacenada en el ordenador del usuario y continuaba leyendo la información correspondiente. El mecanismo de oposición de la página de Google se consideró incorrecto, derivando en una infracción adicional del artículo 82 de la ley francesa de protección de datos. 

 

Google y Amazon han sido multados con un total de 100 y 35 millones, respectivamente. 

 

GOOGLE LLC fue multado con 60 millones de euros y GOOGLE IRELAND LIMITED, con 40 millones de euros. La CNIL justificó estos importes y la decisión de hacerlo público en la seriedad de la triple infracción de Google, el alcance de dicho buscador y la cantidad de usuarios que se vieron afectados por ello, alrededor de cincuenta millones. Los beneficios de publicidad generados por compañías como Google provienen de manera indirecta de los datos recogidos por medio de las cookies publicitarias instaladas en los ordenadores de los usuarios.  Desde una actualización que tuvo lugar en septiembre de 2020 en la página de google.fr, las cookies ya no se instalan de manera automática en los dispositivos de los usuarios, sin embargo, el banner no informa a los usuarios de las finalidades para las cuales se emplean las cookies, ni se ofrece orientación sobre cómo pueden oponerse a las mismas. Además de las multas impuestas a GOOGLE LLC y GOOGLE IRELAND LIMITED, también se emitió un requerimiento por el cual se impondrá una multa de 100.000 euros diarios si, tras tres meses, las empresas no informan a sus usuarios de manera adecuada conforme a la normativa nacional correspondiente. 

 

Por su parte, AMAZON EUROPE CORE fue multado con 35 millones de euros, proceso que también se ha hecho pública debido a la seriedad de las infracciones. Se consideró que, dada la popularidad de la página amazon.fr, millones de residentes franceses visitan este sitio diariamente, con la correspondiente instalación de cookies. Además, la principal actividad de la empresa es la venta de bienes de consume, por lo que los anuncios personalizados, posibles debido al uso de dichas cookies, condujeron a un aumento significativo de la visibilidad de dichos productos en otras páginas web. Se tuvo en cuenta también que, hasta la reestructuración de la web de amazon.fr que se dio en septiembre de 2020, la empresa instalaba cookies en los ordenadores de los usuarios residentes en Francia de manera continua y sin informarles. Independientemente de la fuente o camino que conducía a los usuarios a la página, estos recibían bien información insuficiente o ninguna información en absoluto sobre las cookies instaladas en sus dispositivos. Amazon también ha recibido el requerimiento por el cual se impondrán 100.000 euros de multa adicionales por cada día si en tres meses no se han implementado todos los requisitos correspondientes.  

 

La CNIL ha modificado y publicado su guía y recomendaciones sobre el uso de cookies conforme al RGPD. 

 

El pasado 1 de octubre de 2020, la CNIL publicó sus orientaciones sobre el uso de cookies y otros dispositivos de rastreo. Estas orientaciones son parte de su plan de acción sobre la publicidad dirigida y la aplicación del RGPD. La CNIL requiere que todas las partes implicadas cumplan con las normas recogidas en su guía, y especifica que el período de implementación no debería ser superior a los seis meses. La CNIL ha indicado también que monitorizará de manera continua otros requisitos que no han sido modificados y, cuando sea necesario, adoptará las medidas correctivas que procesan para respetar la privacidad de los individuos. 

 

¿Has adaptado el banner de cookies y la política de cookies de tu página web conforme al RGPD y la guía de la AEPD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Asimismo disponemos de servicios de cumplimiento con la CCPAInfórmate aquí.