Brecha de seguridad

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebro, en Suecia.

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebo, en Suecia, tras publicar datos sensibles en la página web de la región. 

 

La brecha de seguridad de la Comisión de Atención Sanitaria se descubrió después de que la Autoridad de Control de Suecia recibiese múltiples quejas al respecto. Conforme al artículo publicado por el Comité Europeo de Protección de Datos, las denuncias eran relativas a la publicación de los datos personales de un paciente admitido a psiquiatría forense, lo cual se reveló tras llevar a cabo una auditoría. La Autoridad de Control sueca descubrió así que se habían publicado por error categorías especiales de datos, sin una finalidad ni base legítima para ello. Tampoco se aplicaba ninguna de las excepciones recogidas en el Reglamento General de Protección de Datos. Como resultado, la Autoridad de Control multó a la Comisión y ordenó la realización de algunos cambios. 

 

La Autoridad de Control sueca descubrió una falta de instrucciones escritas en relación a la publicación de datos, lo cual incrementaba el riesgo de brecha de seguridad. 

 

La Autoridad de Control sueca inició una auditoría tras recibir una queja sobre la brecha de seguridad en cuestión y descubrió que no se habían elaborado instrucciones para la publicación de información en la página web de la Comisión. La Comisión ha dependido en este sentido únicamente de la comunicación oral cuando se trata de transmitir instrucciones para la publicación, de modo que el incidente se ha derivado de dicha práctica incompleta. Aunque en este caso fue accidental, los hechos evidencian la insuficiencia de sus medidas para asegurar la protección de los datos personales. 

La brecha de Seguridad de la Comisión de Atención Sanitaria ha resultado en una multa de 120.000 coronas suizas y una orden para enmendar sus acciones. 

La Autoridad de Control sueca ha ordenado a la Comisión la elaboración de instrucciones escritas y la implementación de medidas para asegurar el cumplimiento con las mismas de aquellos encargados de publicar datos en la página web. Además de requerir el cumplimiento absoluto con el RGPD, la Autoridad de Control ha impuesto también el pago de 120.000 coronas suizas como multa administrativa (aproximadamente 11.000 euros). El documento que origin la brecha de seguridad ha sido ya eliminado de la página web. 

 

¿Qué debería haber hecho la Comisión de Atención Sanitaria para evitar la brecha? 

 

-Deberían haber contado con una adecuada política de protección de datos interna en la que se ofreciesen instrucciones escritas sobre cómo tratar y proteger los datos personales en poder de la Comisión. 

Conforme al artículo 24 del RGPD “(1) Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario; (2) Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

-Asimismo, tendrían que haber ofrecido formación a sus empleados. La formación es esencial cuando se trata de reducir el riesgo de brechas de seguridad, porque sólo así el personal entenderá los procesos internos y las normas de protección de datos que les afectan. 

¿Por qué son estas medidas especialmente importantes en este caso? 

Los datos afectados por el incidente incluyen información de salud, lo cual es una categoría especial de datos personales, con lo que se deben aplicar medidas de seguridad adicionales y recordar que las bases para el tratamiento se reducen. Sin embargo, en este caso cabe destacar que la brecha habría tenido lugar aunque los datos publicados no hubiesen sido sensibles, porque igualmente no hay base legítima para hacer dicha información pública. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

EasyJet Customers Hacked

EasyJet sufre un ataque masivo que afecta a 9 millones de consumidores

EasyJet revela que nueve millones de consumidores se han visto afectados por un “sofisticado ciberataque”. 

 

Los datos de nueve millones de consumidores de EasyJet se han visto comprometidos tras un ataque, conforme a un reciente artículo de la BBC. En enero de este año EasyJet descubrió un ciberataque que alcanzó a nueve millones de consumidores, y que ha hecho público ahora según el consejo de la ICO, a fin de minimizar los efectos de posibles intentos de phishing. Hasta ahora se sabe que los datos robados incluyen detalles de los viajes y 2.208 también han visto expuestos los datos de sus tarjetas de crédito. 

 

Aunque la investigación está todavía en curso, EasyJet informó a la BBC que hasta abril no pudieron identificar a los consumidores afectados. 

 

«Esto fue un ataque muy sofisticado. Llevó mucho tiempo entender el alcance e identificar el impacto. No pudimos informar a la gente hasta que la investigación progresó lo suficiente para ser capaces de identificar a los consumidores afectados y la información comprometida”, en palabras de EasyJet recogidas por la BBC. 

 

Por el momento, EasyJet no ha encontrado ninguna evidencia de que se haya hecho un uso malicioso de la información, aunque la ICO está investigando el incidente y podría tomar acciones en consecuencia. Se debería tener en cuenta que, independientemente de cómo los hackers usen los datos personales comprometidos, el riesgo para los derechos y libertades que el ataque implica juega un papel esencial para evaluar las consecuencias y decidir las medidas que deberían implementarse. 

 

¿Cuál debería ser la respuesta de EasyJet tras el incidente? 

 

Los pasos que han de tomarse tras descubrir una brecha de seguridad son los siguientes: 

  • Aplcar las medidas necesarias para contener la brecha.
  • Informar al DPO.
  • Evaluar el riesgo de la brecha e identificar elementos relevantesc omo las categorías de datos y los sujetos afectados ademas de las medidas de mitigación.  
  • Informar del incidente si es necesario.
    • La ICO debería haber sido notificada en el plazo de 72 horas tras descubrir el incidente, salvo que fuese poco probable de resultar en un riesgo para los derechos y las libertades de los sujetos. 
    • Los consumidores deberían ser notificados salvo que EasyJet haya tomado las pertinentes medidas para asegurar que ya no se da la posibilidad de que se materialice el alto riesgo para los derechos y libertades de los sujetos. Esto no se da en este caso, pues datos sensibles como detalles de los viajes y de las tarjetas de créditos se han visto comprometidos y podría derivar en ataques ulteriores como phishing. Por ejemplo, bajo la actual situación de emergencia global, los detalles de viaje podrían incluir información de categorías especiales como datos de salud y confirmación de si la persona es positivo en COVID-19. 
  • Evaluar la respuesta y prevenir futuras brechas de seguridad.

 

Es importante recordar que el motive de la mayor parte de brechas de seguridad reside en un error humano, con lo que ofrecer formación a los empleados es crucial.  

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

AI and retail industry

IA y la industria del retail después del COVID-19: oportunidades, privacidad y ética (Parte I)

Nuestras vidas han cambiado, y lo harán aún más después del COVID-19. La IA puede ayudar a la industria del retail y ofrecer oportunidades para minimizar el impacto de la pandemia, sin olvidar la privacidad y la ética.  

En los últimos dos meses hemos sido testigos de cómo al mundo entero ha cambiado: desde colegios hasta fábricas, todos hemos sustituido nuestras prácticas y actividades habituales por otras nuevas a prueba de pandemias. Ahora somos conscientes de cómo debemos lavarnos las manos, nos han enseñado cómo proteger nuestra red para trabajar y estudiar desde casa y somos muy cuidadosos en lo que concierne al uso de los datos de geolocalización por los Gobiernos. Una de las principales industrias que se ha visto afectada es el retail, y la IA puede ayudar a maximizar las oportunidad con respeto a la privacidad y la ética. 

¿Qué ocurre con la “nueva normalidad”? ¿Cómo va a ser nuestro día a día después del COVID-19? No podemos predecirlo con certeza, pero parece que la IA tendrá un rol clave en todo ello. En este artículo analizamos algunos de los usos de IA que pueden liderar la realidad post-pandemia, también desde una perspectiva ética. 

¿Qué cambios afrontará la industria del retail? 

La pandemia del COVID-19 es la primera de su tipo en los últimos cien años. Los efectos de la enfermedad resultarán, previsiblemente, en cambios en nuestros hábitos: el modo en que la gente compra, socializa, aprende, trabaja y establece sus preferencias no será el mismo que antes del brote del COVID-19.  

¿Cómo impactará entonces al retail? Pensemos en lo que podría ser un viernes típico en Reino Unido o en España. Te levantas, coges el tren hasta la oficina, comes con tus compañeros y después vas de compras a por el regalo de cumpleaños de tu hermano. Tras ello, quedas con tus amigos en un restaurante para celebrarlo. Suena normal, ¿verdad? Bien, quizá ya nunca más.

Mientras que, desafortunadamente, mucha gente perderá su trabajo debido a la pandemia, otros, aunque lo conserven, decidirán mantener una postura reservada en lo que concierne al gasto debido a la incertidumbre del futuro. Los dilemas económicos no serán sin embargo el único obstáculo en la industria del retail, pues el riesgo de contagio también limitará en gran medida nuestros movimientos. Si volvemos al ejemplo de arriba, quizá tu hermano habría decidido invitar a sus amigos a casa en lugar de llevarlos a un restaurante, para así reducir al mínimo el contacto con otras personas. Y tú, por tu parte, tal vez habrías comprado el regalo a través de un marketplace en la tienda online, en un descanso del teletrabajo. 

Parece por tanto que nuestras actividades de tiempo libre van a tomar una óptica más casera, lo cual también influirá en los productos que compramos. Por ejemplo, bebidas o comida premium para tomar en casa puede tomar mayor relevancia, al igual que electrodomésticos de alto nivel que hagan nuestra vida más fácil y agradable en la nueva normalidad. 

¿Qué cambios surgirán de la reinvención de la industria y cómo puede ayudar la IA? 

Hay dos categorías concretas de cambios, que hemos organizado en “físicos” y “digitales”. Una tercera podría venir de la combinación de ambos. 

Cambios físicos

Los minoristas necesitarán transmitir una sensación de seguridad al comprar en sus tiendas, lo cual requiere la implementación de un amplio rango de medidas, como: 

  • Gestión de colas. La IA puede ayudar a contar el número de personas que hay dentro de la tienda, y controlar sus movimientos, así como gestionar los tiempos de espera en las colas. Se puede diseñar una app a estos efectos, basado en la reserva de huecos y notificaciones SMS. 
  • Distanciamiento social. Los mapas de calor pueden ser útiles en lo que se refiere al control de aforo y distancia mínima de consumidores. La IA puede ser de ayuda en la identificación de las áreas de mayor tráfico, así como en el uso de los datos para rediseñar el espacio. 
  • Control de temperatura y síntomas. El reconocimiento facial y de emociones junto a los sensores de control de temperatura y otros tipos pueden conducir a la automatización de la identificación de clientes contagiados, a fin de prevenir la expansión del virus. 
  • Logística y reparto. Drones construidos con IA pueden repartir paquetes de forma autónoma, con respeto a la política de cero contacto. 
  • Auto-pago. La IA puede ser clave en la sustitución de los métodos tradicionales de pago por cajeros de auto-pago, o incluso la eliminación de dicha fase del proceso de compra en absoluto, mediante el uso de tarjetas virtuales con sensores y deep learning. 
  • Desinfección de productos. Uno de los principales obstáculos a las compras dentro de las tiendas es que el COVID-19 puede permanecer durante días en superficies, lo cual incluye la ropa y otros productos. Una solución a este problema podría pasar por el uso de probadores virtuales: mediante la combinación de IA y realidad aumentada, el cliente puede probarse la ropa en su propio cuerpo de forma virtual con un avatar personal en 3D. Esto sería de aplicación doble, pues también es válido para el ecommerce. 

Cambios digitales

Aunque los minoristas harán todo lo que esté en sus manos a fin de que las tiendas resulten atractivas para los clientes, las compras online se volverán inevitablemente más populares, lo cual será en detrimento de las tiendas físicas. En este contexto, la industria necesitará mejorar el ecommerce si quiere dar una respuesta adecuada a la demanda. Las siguientes alternativas pueden ayudar sacar el máximo provecho de la nueva normalidad en este sentido:  

  • Ofertas y publicidad dirigidas. Si se tiene en cuenta que hay muy pocos datos sobre los nuevos hábitos del consumidor, ser capaz de personalizar las ofertas de forma individual se volverá esencial. La elaboración de perfiles es crucial para prevenir el comportamiento y maximizar las oportunidades de atraer clientes al negocio. 
  • Diseño y usabilidad de las páginas de ecommerce. Prácticas como hacer la navegación simple o automatizar la búsqueda y ofrecer recomendaciones útiles hacen al cliente sentir cómodo mientras navega nuestra, lo cual incrementa así las opciones de compra.  
  • Rastrear y comparar diferentes mercados. ”Renovarse o morir”. Los nuevos tiempos requieren adaptación, y en los casos en que no hay datos históricos disponibles, usar otras técnicas como la comparación de países o cruzar insights de otros productos o servicios puede ser determinante a la hora de entender las nuevas tendencias.   
  • Marketing omnicanal. La experiencia de cliente estará en el centro del modelo de negocio, con lo que ajustarlo y adaptarlo al cliente basado en su comportamiento durante todo el proceso es necesario para ofrecer la mejor de las experiencias de compra. 
  • Emplazamiento de producto. En lo que concierne a la publicidad, habrá nuevos espacios que considerar, como Netflix o series y películas de otras plataformas “on demand”, que pueden ahora ser más rentables que los medios tradicionales. 

Sin embargo, la línea entre físico y digital es muy fina en un mundo tan sumamente conectado. Mientras que algunos ejemplos son claros, otros pueden resultar de una combinación de ambos. Por ejemplo, los paneles inteligentes funcionan con datos recogidos de la presencia física e información que proviene de nuestros dispositivos, como la huella digital. 

En este contexto, se pueden derivar grandes oportunidades de negocio de un análisis óptimo de los datos. Sin embargo, dado el carácter temporal de esta nueva normalidad causado por una pandemia, la flexibilidad continua siendo crucial, pues la capacidad de adaptarse a los cambios en la demanda tan pronto como sea posible será lo que efectivamente marque la diferencia, en un sentido o en otro. 

¿Podemos incorporar estos cambios de forma ética?

Parece que la IA desempeñará un papel protagonista en la adaptación de la industria del retail a los cambios de los hábitos de los consumidores. La finalidad que las empresas persiguen con la implementación de estos cambios es mantener su nivel de ingresos anterior a la crisis, o incluso aumentarlo, pero esto sólo puede conseguirse si se infunde confianza en los clientes. 

Todos las medidas descritas en las líneas anteriores se relacionan con la gestión de riesgos de salud, pero debemos recordar que, aunque en la actualidad son efectivamente los más importantes debido al brote del COVID-19, hay también otras preocupaciones a las que tienen que enfrentarse las compañías, sobre todo cuando algunas de ellas son inherentes a las nuevas medidas, como por ejemplo: protección de datos, privacidad y ética. 

Los clientes no podrán depositar su confianza una empresa que utiliza una IA que no cumple los requisitos para transmitirla. Es este el motivo por el que los sistemas de IA deberán ser: 

(1) legítimos –  respeto a todas las leyes y normativa aplicable.

(2) éticos – respeto a los principios y valores éticos.

(3) robustez – tanto desde la perspectiva técnica como en consideración de su entorno social. 

Se debería llevar a cabo una Evaluación de Impacto de Protección de Datos antes de implementar cambios que impliquen el uso de sistemas de IA, para valorar el alcance de los dilemas éticos y de protección de datos. Los siguientes aspectos deberían quedar cubiertos:  

  • Acción y supervisión humanas. Por ejemplo, un miembro del personal debería intervenir en los casos en que el precio cobrado por un producto en su cuenta virtual no sea correcto. 
  • Solidez técnica y seguridad. Por ejemplo, las empresas deberán asegurar que no se ejerce violencia física sobre una persona por parte de un sistema de IA a fin de bloquear el acceso a la tienda porque se ha detectado temperatura alta. 
  • Gestión de la privacidad y los datos. Se habrá de garantizar cumplimiento absoluto con el RGPD y otras leyes relevantes cuando se use tecnología IA. Por ejemplo, el acceso a los datos debería limitarse por usuario y rol, así como se tendrán que aplicar técnicas de pseudonimización siempre y cuando sea posible. 
  • Transparencia. Se deberán ofrecer mecanismos de trazabilidad a fin de posibilitar una explicación de todas las acciones de la IA. Los clientes necesitan ser conscientes de que están interactuando con un sistema de IA, y en consecuencia sería obligatorio que recibiesen información de sus capacidades y limitaciones. Por ejemplo, el responsable de los datos debería ser capaz de explicar la lógica detrás de la restricción de acceso a la tienda. 
  • Diversidad, no discriminación y equidad. Cualquier tipo de sesgo discriminatorio debería eliminarse, ya sea en el conjunto de datos de entrenamiento, como en la creación del algoritmo o en su aplicación. Por ejemplo, las tiendas deberán asegurarse de que no se le veta el acceso a nadie por un motive distinto de temperatura o síntomas sospechosos. Este podría ser el caso de alguien que vive en un barrio de bajos ingresos y que ha sido golpeado por el COVID-19, a quien se le prohíbe entrar a un centro comercial por el único motivo de provenir de dicha zona. Esto podría conducir a la marginalización de ciertos grupos vulnerables, o la exacerbación del prejuicio y la discriminación. 
  • Bienestar social y ambiental. Los sistemas de IA en este contexto no se utilizan sólo para mejorar los ingresos, sino que también sirven para prevenir la expansión del virus por el bien de la salud pública. 
  • Rendición de cuentas. Sería recomendable que las empresas contasen con medidas como seguros civiles para cubrir cualquier daño responsabilidad de los sistemas de IA. 

A principios de este mes el Parlamento Europeo publicó un informe sobre nuevos desarrollos e innovaciones en el campo de la IA aplicados al ecommerce. Lo analizaremos en detalle en la Parte II. 

Suscríbete a nuestro canal de YouTube para no perderte la Parte II. 

¿Estás enfrentando nuevos retos en la industria del retail durante la crisis del coronavirus? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

EDPB GDPR consent guidelines .

El CEPD ha publicado sus directrices sobre el consentimiento bajo el RGPD

El Comité Europeo de Protección de Datos (CEPD) ha publicado sus directrices de consentimiento conforme a la normativa de protección de datos, e incluye un completo análisis del concepto de consentimiento bajo el RGPD. 

El CEPD ha publicado a principios de este mes sus directrices sobre consentimiento conforme a la normativa de protección de datos, e incluye un completo análisis del concepto de consentimiento bajo el RGPD.  En el documento de 31 páginas, el CEPD desarrolla los requisitos para obtener y demostrar consentimiento válido. El consentimiento es una de las seis bases legítimas para tartar datos personales, tal y como se recoge en el artículo 6 RGPD, pero los responsables del tratamiento habrán de considerar cuál es la base legítima de tratamiento en cada caso antes de iniciar actividades que impliquen tratamiento de datos personales. 

Elementos de un consentimiento válido bajo el RGPD.

El artículo 4 (11) del RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. 

El uso del término “libre” implica que el interesado tiene una opción real. Como regla general, el RGPD establece que si el sujeto no tiene una opción real, se ve obligado a otorgarlo o siente que se van a derivar consecuencias negativas en ausencia del mismo, entonces el consentimiento no será válido. Cualquier elemento de presión o influencia no apropiado que impida al individuo ejercer su libre voluntad, invalidará el consentimiento. 

Para que el consentimiento sea válido, tendrá que ser también específico, lo que implica que se da en relación “a uno o más” finalidades “específicas” y existe una posibilidad de elegir en todas ellas. El requisito de que sea “específico” persigue garantizar un determinado grado de control y transparencia al sujeto. Conforme al artículo 6 (1) (a) del RGPD, la finalidad para la cual los sujetos ceden su consentimiento, deberá siempre ser específica y explícita. 

EL RGPD también mantiene que el consentimiento debe ser informado. Conforme al artículo 5 del RGOD, la transparencia es uno de los principios fundamentales, junto a la legitimidad y la legalidad. Es obligatorio que los interesados cuenten con información suficiente antes de otorgar su consentimiento; en caso contrario, el consentimiento será inválido por infringir el Artículo 6 del RGPD. 

El CEPD considera que al menos se deberá ofrecer la siguiente información: 

  1. la identidad del responsable;
  2. la finalidad de cada una de las operaciones para las cuales se estás solicitando consentimiento;
  3. el tipo de datos que se va a recoger y tratar;4.
  4. la existencia del derecho a retirar el consentimiento;
  5. información sobre toma automatizada de decisiones conforme al Artículo 22 (2) © del RGPD donde sea relevante y
  6. los posibles riesgos de las transferencias de datos en ausencia de una decisión de adecuación u otras medidas como se describe en el artículo 46 RGPD. 

Además del criterio detallado más arriba, el consentimiento deberá otorgarse siempre mediante un acto afirmativo o declaración. Debe quedar claro que el sujeto consiente a un tratamiento específico. El Artículo 11 del RGPD clarifica que el consentimiento válido requiere una manifestación inequívoca por medio de una declaración o acción afirmativa, lo que implica una elección deliberada. 

Obtención de consentimiento explícito bajo el RGPD.

En el caso de aquellos tratamientos de datos que presenten riesgos para la protección de datos, normalmente se requiere un consentimiento explícito. Conforme al Artículo 9 del RGPD, se precisa consentimiento explícito para el tratamiento de categorías especiales de datos. El término “explícito” se refiere a la forma en que el interesado expresa el consentimiento, ya sea mediante una declaración firmada, de manera electrónica, mediante email, un documento escaneado con la firma o la firma electrónica. En teoría, una declaración oral debería ser válida también, pero puede resultar difícil para el responsable probar que todas las condiciones se dieron de manera adecuada en el momento de la recogida. 

Condiciones adicionales para obtener un consentimiento válido bajo el RGPD

Conforme al Artículo 7 del RGPD, el responsable del tratamiento es quien debe demostrar que cuenta con el consentimiento del sujeto. El Considerando 42 establece que: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.”  Así por tanto, los responsables pueden guardar registros de las declaraciones de consentimiento, o elegir otro método para cumplir con esta disposición. La obligación de demostrar consentimiento abarca todo el tiempo en el cual se extiende la actividad de tratamiento. Aunque no hay un límite específico de duración del consentimiento en el RGOD; el CEPD recomienda que el consentimiento se renueve cada ciertos intervalos. 

En relación a la retirada de consentimiento, el RGPD recoge que el consentimiento debe poder ser retirado por el interesado tan fácil como fue otorgado, y en cualquier momento. El RGPD no concreta si ambos extremos deben hacerse de la misma forma, pero sí establece que si el consentimiento se dio de forma electrónica, también debe poder retirarse de la misma manera. Los responsables tienen asimismo la obligación de borrar los datos que se obtuvieron por medio de consentimiento cuando ya no exista ninguna finalidad que justifique su tratamiento. 

Ejemplos

Las directrices ofrecen algunos ejemplos sobre los casos en los que el consentimiento es válido y cuando no lo es. En las siguientes líneas hemos recogido algunos de los que hemos considerado más interesantes: 

Marketing propio y de terceros configurado de forma ilícita:

“Un minorista aúna la solicitud de consentimiento para marketing propio y de otras empresas dentro del grupo. Este consentimiento no será granular porque no hay solicitudes separadas para las dos finalidades diferentes, con lo que el consentimiento otorgado no sería válido. En este caso, debería recogerse un consentimiento específico para enviar los datos de contacto a socios comerciales. Dicho consentimiento específico sería considerado válido para cada socio de quien se haya proporcionado la identidad en el momento de la recogida del consentimiento, siempre y cuando la finalidad del tratamiento de los datos sea la misma (por ejemplo, marketing)». 

Provisión del servicio y marketing configurado de manera ilícita: 

“Un sitio web introduce un script que bloquea el contenido de la web, excepto la solicitud para aceptar las cookies y la información al respecto. No hay posibilidad alguna de ver el contenido sin aceptar las cookies. Dado que no se le presenta al interesado una opción genuina, el consentimiento no se habrá dado de forma libre. No es por tanto consentimiento válido, porque el servicio estará basándose en la aceptación de las cookies que no se ha realizado de manera correcta”. 

“Conforme el Considerando 32, acciones como desplazarse por una página web no serán en ningún caso conformes con el requisito de acción clara y afirmativa, pues sería difícil de distinguir de otras interacciones del usuario y por tanto no se podría determinar que el consentimiento no ha sido ambiguo. Además, en ese caso, sería difícil ofrecer al interesado una forma de retirar su consentimiento de manera tan sencilla a la usada para garantizarlo”. 

Acceso a características del teléfono configuradas de manera ilegítima en relación al producto: 

“Cuando se descarga una app móvil de estilo de vida, la app solicita consentimiento para acceder al acelerómetro del teléfono. Esto no es necesario para que la app funcione, pero es útil para los responsables que desean conocer más de los movimientos y niveles de actividad de sus usuarios. Cuando el usuario más tarde revoca el consentimiento, descubre que la app sólo funciona ahora de manera limitada. Este es un ejemplo de lo que recoge el Considerando 42 e implica que el consentimiento nunca fue obtenido de manera válida (y que, por tanto, el responsable debe borrar todos los datos sobre los movimientos de los usuarios recogidos de esa forma)”.

Sin embargo, si sólo se pierden beneficios ligados al consentimiento cuando este se deniega, sí será válido: 

“Un sujeto se subscribe a la newsletter de un minorista de moda que incluye descuentos generales. El minorista solicita consentimiento para recoger más datos sobre las preferencias de compra y así personalizar las ofertas a sus preferencias basado en el historial de compra o en un cuestionario que puede rellenar de forma voluntaria. Si el consentimiento se revoca después, el único efecto es que el cliente volverá a recibir ofertas no personalizadas, y sólo se habrá perdido un incentivo tolerable”. 

Además, no hay perjuicio si se ofrece un canal alternativo: 

“Una revista de moda ofrece a sus lectores acceso para comprar unos productos de maquillaje antes de su lanzamiento. Los productos estarán en breves disponibles para la venta, pero los lectores pueden acceder a una preventa, para lo cual es necesario dar su dirección postal y aceptar suscribirse a la newsletter de la revista. La dirección postal es requerida para el envío, y la lista de mail se emplea para enviar ofertas comerciales de productos como cosméticos o camisetas a lo largo del año. La empresa explica que los datos de la lista de email sólo se usarán para enviar merchandise y publicidad en papel de la revista como tal, y que no será compartido con ninguna otra organización. En caso de que el lector no quiera dar su dirección por esta razón, no hay perjuicio porque los productos estarán disponibles para ellos igualmente”.

Se deberá elaborar una política en relación al consentimiento de los menores: 

“Una Plataforma online de gaming quiere asegurarse de que los menores que se suscriben a sus servicios cuentan con el consentimiento de sus padres o tutores. El responsable sigue estos pasos: Paso 1- le pregunta al usuario si está por encima o por debajo de la edad de 16 años (o una edad alternativa, según la normativa nacional). El usuario afirma que su edad está por debajo de la mínima para otorgar consentimiento a los servicios digitales; Paso 2- el servicio le informa al menor de que el padre o tutor deberá autorizar el tratamiento antes de que el menor pueda usar los servicios; Paso 3- el servicio contacta al padre o tutor y obtiene el consentimiento vía email, con la implementación de una serie de medidas para confirmar que el adulto en cuestión es el tutor del menor; Paso 4- en caso de quejas, la plataforma toma medidas adicionales para verificar la edad del subscriptor. Si la plataforma ha cumplido con el resto de requisitos de consentimiento, la plataforma habrá actuado de manera correcta conforme al artículo 8 del RGPD con estos pasos”.

¿Necesitas orientación sobre las medidas que deberían aplicarse al consentimiento? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.