La ICO publica una opinión sobre los estándares de protección de datos para la industria del AdTech

La ICO publica unos estándares para la industria AdTech con el objetivo de que las empresas protejan la privacidad online.

 

La ICO ha solicitado a varias empresas que aborden y eliminen los riesgos de privacidad existentes asociados con la industria AdTech y ha publicado una opinión en la que advierte a las empresas que están diseñando nuevos métodos de publicidad online que el cumplimiento con la normativa de protección de datos es esencial, y que, en consecuencia, se debe frenar la recogida y utilización excesiva de datos. Mientras que la publicidad online se ha desarrollado hasta el punto de ser muy dirigida y, por tanto, efectiva, esto ha sido tan sólo posible por la disponibilidad y uso de grandes cantidades de datos, lo que permite que los anuncios sean personalizados para la audiencia. Es necesario que los datos personales estén protegidos, y por tanto el cumplimiento con la normative y los estándares es imperativo.

 

 

La ICO considera que los agentes del mercado deberían buscar soluciones que se centren en los derechos, libertades e intereses de los sujetos.

 

La ICO pide a las empresas que alejen sus prácticas de las tecnologías de rastreo intrusivas, que pueden suponer grandes riesgos. En su opinión también pide a las compañías que “incorporen los conceptos principales de la protección de datos por diseño y por defecto y no refuercen o repliquen prácticas intrusivas”.  La ICO lista cinco principios esenciales sobre los que debe construirse cualquier solución, propuesta o iniciativa a fin de implementar las consideraciones más importantes sobre diseño, documentación, rendición de cuentas, auditabilidad y reducción del daño. Estos principios deben introducirse de manera integral y cualquier propuesta debe demostrar claramente cómo se aplican.

 

La ICO ha aportado una serie de recomendaciones específicas para mantener los estándares de protección de datos en el sector AdTech.

 

La ICO ha aportado una serie de recomendaciones específicas para las empresas que utilizan AdTech, para asegurar que no sólo cumplen con la normativa sino que también sitúan los derechos y libertades de los usuarios como su prioridad. Así, la autoridad de control de Reino Unido ofrece una explicación y una demostración sobre las opciones en el diseño arquitectónico de soluciones, asegurando que las organizaciones que las implementan están suficientemente habilitadas para integrar las salvaguardas necesarias. La ICO también señala que los beneficios y los resultados de dichas soluciones deben ser transparentes y claras. La minimización de datos continua siendo importante como noma general, así como la necesidad de proteger a los usuarios. La ICO recomienda que se proporcione a los usuarios un control significativo y detalla un conjunto de pasos para asegurar que dicho control se refuerza y toma importancia en el diseño.

 

Deben tenerse en cuenta los principios de proporcionalidad y necesidad y las empresas han de ser capaces de demostrar que no hay ninguna forma menos intrusiva de alcanzar los mismos resultados, a fin de justificar el impacto en los sujetos. Las soluciones tienen que permitir a las compañías identificar y cumplir de manera sencilla con los requisitos de base legítima, incluidos aquellos escenarios en los que se necesite consentimiento también conforme a la normativa ePrivacy, y si dicho consentimiento es acorde al RGPD. Asimismo las soluciones deben abordar en particular el potencial para tratar categorías especiales de datos y hacer posible que las organizaciones identifiquen una condición apropiada bajo la cual dicho tratamiento puede tener lugar. El objetivo es permitir que nuevas propuestas de publicidad online mejoren la confianza en la economía digital, en lugar de amenazarla.

 

 

La ICO agradece las aportaciones adicionales y se reserva el derecho de revisar las opiniones contenidas en ellas.

 

La ICO se reserva el derecho de formarse una opinión diferente con base en descubrimientos posteriores, cambio de circunstancias o relaciones con agentes implicados. Por ello, la ICO agradece aportaciones que pueden ayudar a comprender los desarrollos desde la perspectiva de protección de datos, o ayudar a que los participantes en la industria entiendan el impacto de la protección de datos o la mejor manera de incorporar la protección de datos por diseño y por defecto en sus servicios.

 

¿Cumples con todas las medidas para proteger los datos personales de tu página web o app? Podemos ayudarte. Nuestros servicios abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

El Tribunal Supremo de Reino Unido frena una demanda colectiva sobre privacidad contra Google

El Tribunal Supremo de Reino Unido ha frenado una demanda colectiva sobre privacidad contra Google al no demostrarse que se infligieran daños a los usuarios afectados.

 

El Tribunal Supremo de Reino Unido ha frenado una demanda billonaria contra Google. El caso fue originalmente presentado por Richard Lloyd en nombre de un grupo denominado “Google, nos lo debes” y se relaciona con el rastreo ilegítimo de millones de usuarios de iPhone.  Entre Agosto de 2011 y febrero de 2012, Google presuntamente habría burlado la seguridad de iPhone y habría recopilado datos a través del navegador de Safari. La demanda se presentó en representación de 4,4 millones de residentes en Inglaterra y Gales, y reclamaban 3 billones de libras en daños. Sin embargo, el caso ha sido desestimado dado que la parte demandante fue incapaz de probar los daños causados a los usuarios por la presunta recogida ilegítima de datos y el rastreo efectuado sobre los mismos, según este informe de la IAPP.

 

El juez desestimó la demanda colectiva al no demostrarse que los usuarios afectados sufrieran daños materiales o estrés como resultado de la infracción.

 

La demanda colectiva había sido desestimada en 2018 y posteriormente anulada por el Tribunal de Apelación de Reino Unido. Ahora ha sido desestimada por el Tribunal Superior de Reino Unido. El juez George Leggatt concluyó que no había evidencia de daño ocasionado a los usuarios como resultado de esta brecha.  Afirmó que “La parte demandante «El demandante reclama daños y perjuicios para cada una de las partes de la demanda colectiva sin demostrar que Google hiciese un uso indebido de los datos personales de dichas personas o que estas sufrieron daños materiales o estrés como consecuencia de ello”. Parte de la sociedad ya ha expresado su indignación por este fallo pues alegan que se socava la igualdad y que no protege de manera debida los derechos individuales frente a los gigantes tecnológicos como Google, que infringen la ley y ponen en riesgo los datos personales de los ciudadanos”.

 

 

Expertos en privacidad han seguido este caso muy de cerca debido a las implicaciones que la sentencia puede tener en otras demandas colectivas en Reino Unido.

A medida que se dan casos similares, expertos en privacidad han expresado su interés por el resultado de esta demanda colectiva que puede tener implicaciones de gran alcance. Uno de estos casos es la acusación formulada contra TikTok por utilizar datos menores sin consentimiento informado, tal y como informa la BBC. Abogados afirman que TikTok trata datos personales de menores, incluidos números de teléfono, vídeos, localización precisa e incluso datos biométricos sin los avisos necesarios, sin cumplir con el principio de transparencia y sin implementar el consentimiento requerido por ley. Presuntamente ni los niños ni los padres son informados de los usos que se hacen con dicha información. TikTok sostiene que las acusaciones son infundadas y manifiesta su intención de rebatirlas.

 

 

Cristina Contero Almagro, socia de Aphaia explica que “Este caso deriva del derecho a indemnización previsto en el RGPD, por el cual todo aquel que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la normativa podrá recibir del responsable o encargado del tratamiento una indemnización por los mismos. Como primer paso, debería tratar de negociarse la indemnización solicitada con la organización de manera directa. Sin embargo, si no se alcanza un acuerdo, se puede presentar una demanda en los tribunales. La seriedad de la infracción y el impacto en los usuarios afectados son dos de los elementos determinantes. El responsable o encargado sólo quedará exento de esta responsabilidad si puede demostrar que no es de ninguna manera causante del año infligido”.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. También podemos ayudarte con cualquier materia relacionada con el derecho de indemnización y demandas derivadas del mismo. Infórmate aquí.

Multa a una compañía aérea holandesa por sus insuficientes medidas de seguridad

La autoridad de control de Holanda ha impuesto una multa a una compañía aérea por sus insuficientes medidas de seguridad, después de que las vulnerabilidades en las mismas diesen lugar a un ataque.

 

Una compañía aérea, Transavia, ha sido multada con 400.000€ por la autoridad de control de Holanda tras sufrir un importante ataque vinculado con sus insuficientes medidas de seguridad. Dos cuentas del departamento de IT de la empresa fueron hackeadas, lo que supuso que los atacantes pudieron haber accedido potencialmente a datos personales de más de 25 millones de pasajeros. Por ahora se conoce que han descargado datos personales de 83.000 usuarios.

Existían tres vulnerabilidades de seguridad que hacían a la compañía más susceptible de sufrir un ataque de este tipo.

 

La descarga de datos personales de los 83.000 sujetos hasta el momento expuestos fue posible debido a la existencia de tres vulnerabilidades de seguridad: uso de contraseñas sencillas, inexistencia de factor doble de autenticación y ausencia de controles de acceso a las cuentas, lo que implica que las contraseñas eran fáciles de adivinar, que estas eran el único requisito necesario para acceder a las cuentas y que todos los sistemas de la compañía quedaban comprometidos una vez que se conseguía acceso a dichas dos cuentas.

 

La seriedad de este incidente pone en relieve la importancia de contar con sistemas y medidas de seguridad robustos. En este caso los atacantes pudieron acceder a datos personales de millones de usuarios irrumpiendo en el sistema con una contraseña simple. Una de ellas se encontraba en la lista de más usadas, compuesta por elementos como «123456», «Bienvenido» o «contraseña».

 

Se descargaron datos personales de 83.000 personas, incluidos registros de salud de 367 de ellas.

 

Una vez que los atacantes habían logrado entra en las dos cuentas del departamento de IT de Transavia, tuvieron acceso a datos personales de 25 millones de personas, incluidos nombres, fechas de nacimiento, género, direcciones de email, números de teléfono, información sobre vuelos y localizadores de reserva. Se descargó información de 83.000 personas, entre la que se encontraba una lista de 2015 que contenía algunos de los datos anteriormente mencionados y también una base de datos con información de salud de 367 con condiciones especiales como silla de ruedas debido a su estado de salud.

 

La autoridad de control de Holanda ha informado sobre una tendencia alcista en el robo de datos en los últimos años.

 

La brecha de seguridad que derivó en esta investigación fue tan solo uno de los múltiples ataques registrados en los últimos años. Entre septiembre y noviembre de 2019 estos hackers consiguieron acceso a las cuentas de Transavia y robaron datos personales. En 2020, la autoridad de control de Holanda señaló un aumento del 30% en el número de ataques comunicados, la mayoría con el objetivo de obtener datos de manera ilegítima. La autoridad de control ha informado de que estos robos de datos pueden evitarse con medidas de seguridad reforzadas.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Supervisión de los encargados de tratamiento: la autoridad de control de Dinamarca publica una guía al respecto

La autoridad de control de Dinamarca ha publicado una guía sobre supervisión de los encargados de tratamiento destinada a los responsables, con recomendaciones basadas en análisis de riesgos.

 

La autoridad de control de Dinamarca publicó el mes pasado una guía sobre supervisión de encargados de tratamiento orientada a cualquier entidad privada, organismo público o institución que trate datos personales o actúe como responsable. Los encargados tratan datos por cuenta del responsable y en consecuencia muchas veces se encuentran en posesión de datos personales y otra información sensible. Es obligatorio por tanto que los encargados traten los datos como se espera que lo hagan, y los responsables deben poder supervisarlos para asegurar que así sea. La importancia de esta supervisión radica en que en última instancia los responsables deben también responder por las actividades a las que someten dichos datos y la manera en que estos se protegen.

 

Los responsables deben asegurarse de que los encargados tratan los datos de manera adecuada.

 

El responsable del tratamiento decide por qué (la finalidad) y cómo (con qué medios) se tratan los datos personales y el encargado trata los datos por cuenta del responsable, es decir, conforme a las instrucciones del mismo. El responsable debe responder por los datos y el uso que se hace de los mismos, así como por cualquier incidente vinculado con ellos y con las actividades de tratamiento. Como resultado, los responsables deben supervisar cómo los encargados tratan los datos de los clientes y otros interesados.

 

La autoridad de control de Dinamarca ha propuesto seis enfoques distintos para supervisar a los encargados de tratamiento, según el nivel de riesgo.

 

Dada la importancia de la supervisión que deben ejercer los responsables del tratamiento sobre los encargados, la autoridad de control de Dinamarca ha publicado una guía al respecto, que ofrece respuestas a preguntas cómo cuánta supervisión es necesaria y cómo debe llevarse a cabo. Además, ofrece una serie de consejos para seguir los enfoques propuestos y ayudar a medir el nivel de riesgo asociado con el tratamiento de ciertos datos. La guía de la autoridad de control de Dinamarca define seis enfoques de supervisión determinados por el nivel de riesgo, definidos desde el más bajo hasta el más alto como resume a continuación:

 

Enfoque 1  (riesgo muy bajo)

No hagas nada hasta que identifiques que hay algún problema con el encargado de  tratamiento.

 

Enfoque 2

El encargado de tratamiento confirma -preferiblemente por escrito- que se está cumpliendo con todos los requisitos aplicables.

 

Enfoque 3

El encargado de tratamiento te reporta anualmente – bien de manera directa o a través de una página web – una actualización escrita sobre el estado de las materias cubiertas en el acuerdo de encargado de tratamiento y otras áreas relevantes (como por ejemplo, cambios en el producto o en la organización).

 

Enfoque 4

El encargado de tratamiento cuenta con una certificación apropiada y actualizada y cumple con un determinado código de conducta que es relevante para las actividades correspondientes.

 

Enfoque 5

Un tercero independiente ha realizado una supervisión documentada del encargado en un área que también cubre tus actividades de tratamiento.

 

Enfoque 6  (riesgo muy alto)

El encargado de tratamiento realiza una inspección al encargado, por sí solo o con otros responsables.

 

La selección del enfoque que debe seguirse en cada caso es una decisión importante que puede tomarse según el nivel de riesgo asociado con los datos tratados por el encargado. Sin embargo, en cualquier caso se precisa algún nivel de supervisión y el responsable deberá identificar la manera en la que debe llevarse a cabo.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.