La ICO multa a Ticketmaster

La ICO multa a Ticketmaster UK con 1,39 millones de euros tras un ciberataque a su chatbot.

La ICO multa a Ticketmaster UK con 1,39 millones de euros bajo el RGPD, por no impedir un ciberataque a su chatbot. 

 

La ICO ha multado a Ticketmaster UK en relación a una brecha de seguridad que potencialmente habría afectado a nueve millones de consumidores a lo largo de toda Europa. El ataque se instrumentó por medio del chatbot que la empresa utilizaba en su página de pago. La falta de protección de los datos de sus clientes supone una infracción del RGPD por parte de la compañía. 

 

En febrero de 2018, varios clientes de Monzo informaron de una serie de transacciones fraudulentas. También se recibieron quejas similares de Barclaycard, MasterCard y American Express. Nueve semanas después de dichas alteras, Ticketmaster comenzó a monitorizar el tráfico de red en su página de pago. Así, la brecha comenzó en febrero de 2018, pero la multa se vincula con el período que comienza el 25 de mayo de 2018, tras la implementación de las nuevas normas bajo el RGPD.  

 

Esta brecha de seguridad afectó potencialmente a millones de consumidores que vieron comprometida su información de pago. 

 

La brecha incluía nombres, números de tarjeta, fechas de expiración y números de CVV y habría potencialmente afectado a 9,4 millones de clientes de Ticketmaster en toda Europa, 1,5 millones de los cuales serían de Reino Unido. Las investigaciones destaparon que, como resultados de la brecha, unas 60.000 tarjetas de crédito de clientes de Barclays se sometieron a fraude. Otras 6.000 tarjetas fueron reemplazadas por Monzo debido a sospecha de uso fraudulento.  

La ICO descubrió que no se implementaron las medidas de seguridad necesarias para proteger los datos de los consumidores. 

La investigación de la ICO reveló que la decisión de Ticketmaster de incluir un chatbot, ofrecido por un tercero, en su página de pago permitió que el atacante accediese a los detalles financieros de sus consumidores. El Vicepresidente de la ICO, James Dipple-Johnstone, afirmó que “Ticketmaster debería haber hecho más para reducir el riesgo de un ciberataque. No hacerlo ha conducido a que millones de personas en Reino Unido y en toda Europa hayan sido expuestas a un posible fraude”. La ICO concluyó que Ticketmaster no valoró los riesgos de utilizar un chatbot en su página de pago y en consecuencia no seleccionó ni implementó a tiempo las medidas adecuadas para evitarlos e identificar la fuente de la actividad fraudulenta. La ICO envió a Ticketmaster UK una notificación de multa el 7 de febrero de 2020. 

La multa de la ICO a Ticketmaster se impone de parte de todas las autoridades de control europeas y toma en consideración el impacto de la pandemia del COVID-19. 

Puesto que la brecha ocurrió antes de que Reino Unido saliese de la Unión Europea, la ICO ha actuado como la autoridad de control principal. La ICO complete el proceso recogido en el Artículo 60 del RGPD antes de proceder con la sanción. Este artículo establece que la autoridad de control principal deberá coordinar con otras autoridades de control interesadas en un esfuerzo de alcanzar un consenso. El proceso incluía entregar un borrador de la decisión al resto de autoridades de control para recoger su opinión y tomar sus comentarios en consideración. En la imposición de la multa la ICO no sólo ha tenido en cuenta la asequibilidad de la misma, sino también el impacto económico del COVID-19, entre otros factores. 

La información ofrecida por la ICO a este respecto está disponible en su página web. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD aprueba

La AEPD aprueba el primer código de conducta bajo el RGPD.

El primer código de conducta aprobado bajo el RGPD viene de la mano de la AEPD.

 

La AEPD ha aprobado el primer Código de conducta bajo el RGPD en conformidad con los artículos 40 y 41 del RGPD y 38 de la LOPDGDD. El Código de Conducta para el Tratamiento de Datos en la Actividad Publicitaría ha sido presentado en colaboración con Autocontrol (Asociación para la Autorregulación de la Comunicación Comercial), el organismo independiente de autorregulación y supervisión publicitaria. 

 

El primer código de conducta bajo el RGPD, aprobado por la AEPD, recoge el tratamiento de datos para fines publicitarios. 

 

El RGPD establece que las autoridades de control promoverán el uso de códigos de conducta con el objetivo de contribuir a la correcta aplicación de la regulación, en consideración de las características específicas de los diferentes sectores y las necesidades particulares de microempresas y PyMes. Este Código, presentado por Autocontrol, se aplica al tratamiento de datos con fines publicitarios llevado a cabo por empresas adheridas, lo que incluye el envío de comunicaciones comerciales y promociones destinadas a recoger datos con fines publicitarios, así como uso de cookies y tecnologías similares con el objetivo de gestionar espacios publicitarios y también cuando se efectúe publicidad comportamental y elaboración de perfiles con fines publicitarios. 

 

Autocontrol es un organismo de autorregulación y supervisión de la industria publicitaria en España, constituido en 1995 como asociación sin ánimo de lucro. Su objetivo es velar por una publicidad responsable, esto decir, veraz, legal, honesta y leal. Autocontrol está integrado por anunciantes, agencias de publicidad, medios de comunicación y asociaciones profesionales, con el objetivo de trabajar hacia una publicidad responsable. 

 

El Código se aplicará únicamente a los tratamientos: 1) llevados a cabo en el contexto de las actividades de tratamiento de entidades adheridas establecidas en territorio español o 2) que afecten a interesados que residan en España, siempre que estén relacionados con la oferta de bienes o servicios a dichos interesados en España, o el control de su comportamiento en España.

El Código comprende la información que se le debe ofrecer a los interesados cuando se recogen sus datos personales. 

 

Conforme al Código, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y, cuando corresponda, portabilidad, en relación al tratamiento de datos con fines de actividades publicitarias.  El responsable deberá informar a los interesados sobre el tratamiento de sus datos y ofrecer información específica, en concreto la recogida en los artículos 13 y 14 del RGPD, en función de si los datos se obtienen directamente del interesados o por medio de terceros. Además, el responsable deberá informar a los interesados sobre su derecho de oposición al uso de sus datos con finalidad de marketing directo en el momento de la recogida de los mismos. El uso de cookies y herramientas similares quedará sujeto a las provisiones de la LSSI.  

 

El Código crea un Jurado de la Publicidad que actuará en representación de la AEPD en los asuntos relativos a la publicidad y el marketing. 

 

Autocontrol ha implementado también un sistema extrajudicial de resolución de conflictos para tartar aquellas disputas que surjan entre el responsable del tratamiento y los interesados en relación a los tratamientos de datos con fines publicitarios. En cuanto a las funciones de la AEPD como la autoridad de control competente, el Jurado de la Publicidad actuará como el organismo supervisor de las disposiciones de este Código. Cuando el Jurado de la Publicidad declare que se ha infringido el código, impondrá las sanciones oportunas en consonancia con las disposiciones relevantes. 

 

Anualmente, la Secretaría del Jurado de la Publicidad elaborará un informe estadístico para cada entidad adherida con los datos relevantes de la actividad generada por dicha entidad, incluyendo tanto datos relativos a las mediaciones como a las resoluciones del Jurado de la Publicidad. La Secretaría del Jurado de la Publicidad también elaborará un informe estadístico colectivo anual que facilitará a la Agencia Española de Protección de Datos.

 

El Código está asimismo disponible en la página web de Autocontrol.

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

 

La ICO publica sus directrices

La ICO publica sus directrices en relación al derecho de acceso.

La ICO publica sus directrices en relación al derecho de acceso, con el objetivo de facilitar el proceso a las empresas y ofrecer una comprensión detallada del mismo. 

 

La ICO publicó esta información el mes pasado, a fin de ofrecer orientaciones prácticas a las empresas que reciban este tipo de solicitudes. El derecho de acceso se ha vuelto más popular conforme la protección de datos va cobrando importancia en la sociedad, de manera que los interesados quieren conocer qué pasa exactamente con sus datos. El derecho de acceso permite que se obtenga una copia de los datos personales que se están tratando, junto a otra información adicional. La ICO, consciente de la importancia de que las empresas resuelvan de manera correcta estas solicitudes, ha publicado su guía, en formato de “preguntas más frecuentes”. Se puede acceder al document en este enlace

 

La consulta inicial que publicó la ICO generó mucho interés y recibió una respuesta muy positiva. 

 

El proceso de crear esta guía detallada del derecho de acceso comenzó en diciembre 2019 después de que la ICO recibiese numerosas consultas al respecto, a las que se emitieron 350 respuestas. Mientras que la mayoría de ellas eran simplemente confirmaciones, también algunas incluían petición de ejemplos, explicaciones y contenido adicional, que dieron lugar a algunos cambios y ampliaciones de la versión original de la guía.  

 

La ICO ofrece directrices sobre el derecho de acceso y ejemplos prácticos de referencia. 

 

Estas directrices publicadas por la ICO el mes pasado incluyen detalles sobre qué es el derecho de acceso, por qué es importante y a qué datos tiene el interesado derecho de acceder. Asimismo, se incluyen orientaciones sobre quién debería hacerse cargo de las solicitudes y de qué manera tendrán estas que tratarse. Se ofrecen ejemplos que las empresas pueden seguir y adaptar a sus circunstancias concretas para comprender el proceso de manera completa. 

 

La ICO ha aclarado algunos puntos clave destacados por las empresas durante la fase de consulta. 

 

Las empresas requirieron clarificación de algunos puntos clave en relación a sus obligaciones, a los cuales la ICO ofreció respuesta. Por ejemplo, el plazo se detiene cuando se necesitan aclaraciones a fin de resolver la solicitud. La ICO también explica el significado de una solicitud “manifiestamente excesiva” y ofrece consejos sobre cómo lidiar con ellas, incluido cuándo y cómo se podría aplicar una tarifa.  

La ICO pretende crear más material sobre el derecho de acceso para las empresas.

 

Los planes de la ICO incluyen elaborar una serie de recursos en este sentido, que comprenderán también una guía más simplificada para las pequeñas empresas que abarcará sólo una selección relevante de los elementos de la guía general. Las organizaciones consideran que esta ayuda es primordial para generar confianza en los interesados sobre la manera en que sus datos son tratados y, por tanto, confianza en la empresa como tal.  

 

¿Sabes cómo gestionar las solicitudes de derecho de acceso y el resto de derechos recogidos en el RGPD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Multa a Marriott

Multa a Marriott por incumplimiento del RGPD

La ICO impone una multa a Marriott por la falta de medidas de seguridad en relación a los datos personales de sus consumidores. 

 

La ICO ha impuesto una multa a Marriott International Inc. en relación a una brecha de seguridad que tuvo lugar tras un ciber ataque ocurrido en 2014 y descubierto en 2018, sobre la cual informamos en nuestro blog el pasado julio. Así, el ataque lo sufrió Starwood Hotels and Resorts Worldwide Inc., pero repercutió en Marriot International Inc., porque la había adquirido tiempo antes a la investigación de los hechos. Como consecuencia, quedaron expuestos datos personales de más de 339 millones de clientes. Si bien las cifras son imprecisas, se calcula que más de siete millones de datos podrían pertenecer a personas de Reino Unido. 

 

El ataque que desencadenó la brecha de seguridad en Marriott tuvo lugar en 2014, aunque se descubrió en 2018. 

 

Si bien la ICO identificó que el ciber ataque tuvo lugar en 2014, la multa se impuso conforme a la legislación vigente en el momento en que éste fue descubierto, cuando el RGPD ya estaba vigente. Los sistemas de Starwood Hotels and Resorts fueron accedidos por un tercero desconocido mediante una pieza de código que se instaló de manera ilegítima, lo cual permitió la manipulación de los dispositivos de manera remota y la usurpación de credenciales de varios clientes, lo que comprometió datos de reservas de clientes Starwood. La investigación de la ICO reveló que Marriott no implementó las medidas técnicas y organizativas apropiadas para proteger los datos personales de sus sistemas, tal y como exige el RGPD.  

 

La ICO emitió a Marriott un comunicado con su intención de ejecutar la multa en Julio de 2019, que después se materializó en 20,5 millones de euros. 

 

Tras descubrir la brecha de seguridad, Marriott contactó inmediatamente tanto con los consumidores como con la ICO, lo cual fue tomado en consideración por ésta antes de imponer la multa. Asimismo, la empresa actuó rápidamente para minimizar el riesgo sufrido por los clientes e implementó una serie de medidas para mejorar la seguridad de los sistemas. A fin de decidir la cuantía de la multa, la ICO valoró todos los pasos dados por Marriott para mitigar los efectos del incidente, al igual que el impacto económico del COVID-19. La investigación desarrollada por la ICO comprendió varios intercambios con Marriott durante las cuales está aprobó varias pruebas al respecto. La ICO comunicó a Marriott sus planes de imponer una multa en julio de 2019, y está se estableció posteriormente en 20,5 millones de euros. Conforme a Elizabeth Denham, “Cuando una empresa no cumple con sus deberes de protección de los datos de sus consumidores, el impacto no es sólo la posible multa, sino que lo verdaderamente importante son los interesados, cuyos datos la compañía tenía el deber de proteger”.

 

La multa y la acción coercitiva pasaron por el proceso de cooperación del RGPD, que requiere aprobación de otras autoridades de control europeas. 

 

La brecha de seguridad tuvo lugar antes de la salida del Reino Unido de Europa y, por ello, el proceso tuvo que contar con la participación de otras autoridades de control. El artículo 60 del RGPD establece que la autoridad de control principal debería cooperar con otras autoridades de control involucradas a fin de alcanzar un consenso. En este caso, la ICO investigó por parte de otras autoridades europeas como la autoridad principal bajo el RGPD y la sanción fue aprobada por todas ellas. Parte de este proceso incluyó la aportación de un borrador de decisión a las otras autoridades de control para recoger sus opiniones. Finalmente la sanción fue impuesta bajo la normativa británica de protección de datos, la Data Protection Act 2018, por incumplimiento del RGPD. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.