IA Y LAS MULTAS BAJO EL RGPD

En el blog de esta semanahemos analizado las multas impuestas bajo el RGPD y el rol de la Inteligencia Artificial en este contexto.

Una de las multas más sonadas de las impuestas bajo el RGPD hasta el momento ha sido la multa de más de 500.000 € que la ICO, en el Reino Unido, ha impuesto a Facebook por incumplimiento de la normativa. La investigación de la ICO ha probado que Facebook trató información personal de forma ilegítima al permitir a los desarrolladores de aplicaciones acceso a los datos de interesados sin consentimiento claro e informado. Asimismo, Facebook tampoco realizó los debidos controles de seguridad en las apps y desarrolladores que utilizaban su plataforma. Todo esto condujo a que datos de más de 87 millones de personas en todo el mundo fueron recogidos sin su consentimiento.

Además, un subconjunto de estos datos fue también compartido con otras compañías, incluida Cambridge Analytica, la cual estuvo involucrada en el escándalo político de Estados Unidos. La ICO descubrió que información personal de al menos un millón de interesados británicos fue expuesta.

La Comisión Federal de Comercio ha anunciado un acuerdo de 5 billones de dólares con Facebook, después de una larga investigación sobre el escándalo de Cambridge Analytica y otras brechas de privacidad. Esta multa es la segunda mayor cuantía jamás impuesta por la Comisión Federal de Comercio.

Las multas del RGPD han sido diseñadas de tal modo que no cumplir con la normativa suponga un alto coste para las empresas independientemente de su tamaño. Los incumplimientos más graves pueden resultar en una multa de 20 millones de euros o el 4% del beneficio financiero del año anterior, según qué cuantía sea mayor.

Estas multas pueden surgir por la violación de los artículos que regulan:

  • Los principios básicos del tratamiento.
  • Las condiciones del consentimiento.
  • Los derechos de los interesados.
  • La transferencia de datos a una organización internacional o un receptor en un tercer país.

Un mal uso de los sistemas de IA puede estar vinculado con la mayoría de ellos, porque, por un lado, hay sólo dos bases válidas para el tratamiento: contrato y consentimiento, y cuando rija el consentimiento éste debe ser explícito. Por otro lado, la toma automatizada de decisiones y la elaboración de perfiles se regula en el artículo 22 del RGPD, que está incluido en el Capítulo III, sobre los derechos de los interesados.

En consecuencia, aplicar todas las medidas de seguridad que recoge el RGPD se convierte en un paso esencial para evitar incurrir en una brecha del tratamiento:

  • Pseudonimización y cifrado de los datos;
  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  • un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El uso de sistemas de IA requiere sin embargo la implementación de algunas medidas de seguridad adicionales para salvaguardar los derechos y libertades de los sujetos y también el interés legítimo. Entre ellas se encuentran: el derecho a obtener intervención humana, expresar su punto de vista y cuestionar la decisión.

La ICO pretende imponer una multa de más de 180 millones de euros a British Airways por el robo de información personal y financiera de sus clientes, y también una multa de más de 100 millones de euros al hotel Marriott por exponer de forma accidental 339 millones de registros de huéspedes de forma global. Las multas de British Airways y de Marriott no están relacionadas con el uso de IA. ¿Te imaginas qué cantidad hubiesen alcanzado si se hubiese aplicado IA? ¡Comparte tus ideas con nosotros!

Si necesitas asesoramiento en IA para tus productos y servicios, Aphaia ofrece evaluaciones de la ética de la IA y evaluaciones de impacto.

El CNIL impone una multa de 180.000 euros por brecha de seguridad

La aseguradora Active Insurances ha sido multada por el CNIL, la autoridad de control de Francia, con una cantidad de 180.000 euros por “no proteger la información de manera adecuada conforme al artículo 32 del RGPD”.

El incidente fue notificado por primera vez al CNIL por parte de un cliente que afirmaba que era capaz de acceder a los datos personales de otros usuarios, incluidos carnés de conducir, tarjetas y registros bancarios. El CNIL se lo comunicó en consecuencia a la compañía, que aceptó tomar medidas correctivas para proteger los datos de sus consumidores.

Active Insurances informó al CNIL de la aplicación de las medidas necesarias, y la autoridad de control procedió a una inspección de las oficinas, tras lo que concluyó que:

  • las medidas no eran suficientes;
  • los protocolos de contraseñas, impuestos por la empresa, se correspondían con la fecha de nacimiento de cada trabajador, de lo cual se informaba en los mismos manuales;
  • tras la creación de la cuenta de cliente, tanto el usuario como la contraseña eran enviados a los sujetos por email con una indicación expresa.

El CNIL ha considerado que Active Insurances no ha actuado con la diligencia debida para la protección de los datos personales que trata y destacó los siguientes puntos:

  • la compañía debería haber implementado controles de acceso a los documentos;
  • se debería haber cambiado el nombre de los documentos para que no fuesen fácilmente accesibles mediante un motor de búsqueda;
  • se debería haber instado a los usuarios a utilizar contraseñas reforzadas y bajo ninguna circunstancia se deberían haber compartido por email.

La decisión del CNIL toma en cuenta la seriedad de la violación de seguridad debido a la naturaleza de la misma, la sensibilidad de la información personal comprometida y el número de personas afectadas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

La ICO planea imponer a Marriott una multa de más de 100 millones.

Tras una investigación exhaustiva, la ICO ha anunciado su intención de multar a Marriott International con más de 100 millones de euros, conforme al RGPD, tras tener lugar una brecha de seguridad. De llegarse a producir, la cadena hotelera sería la segunda firma internacional en enfrentar una multa millonaria bajo el RGPD.

Marriott notificó el incidente a la ICO en noviembre de 2018. Una gran cantidad de información personal contenida en 340 millones de registros de clientes fue expuesta de manera global accidentalmente. De los datos comprometidos, unos 30 millones correspondían a residentes de 31 países del Área Económica Europea, de los cuales siete millones pertenecían a residentes británicos.

El origen fue un ataque a los hoteles del grupo Starwood en 2014. Después Marriott adquirió Starwood en 2016, pero la brecha no fue descubierta hasta 2018. La investigación de la ICO reveló que Marriott no había aplicado la diligencia debida en la adquisición de Starwood, y que podría haber tomado más acciones para reforzar la seguridad de los sistemas.

Desde la ICO, Elizabeth Denham afirma que: “El RGPD deja claro que las empresas deben ser responsables de los datos que trata. Esto incluye actuar de manera diligente cuando se realiza una adquisición corporativa, que debe ir seguida de una serie de garantías y acciones que comprueben no sólo qué información nueva se ha recibido, sino también cómo está ésta protegida. Los datos personales tienen un gran valor y las compañías han de responder a una obligación legal de velar por la seguridad de los mismos, igual que harían con cualquier otro activo. Si eso no ocurre, desde la ICO no dudaremos en tomar las acciones que sean necesarias para asegurar el interés público”.

Desde que se dio comienzo a la investigación, Marriot ha cooperado y realizado mejoras en sus acuerdos para la seguridad. El CEO ha anunciado que plantea recurrir la multa pretendida por la ICO.

Antes de alcanzar una decisión final, la ICO valorará las intervenciones y alegaciones tanto de la compañía como de otras autoridades públicas de protección de datos.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

La ICO publica una nueva guía de cookies

La intención es alinear la posición de la ICO con el RGPD.

¿Qué debería hacer?

Las empresas deben llevar a cabo algunos pasos para cumplir con las nuevas indicaciones:

  1. Mencionar las cookies que se van a utilizar y explicar qué hacen.

La información que se proporcione a los interesados debe contener: las cookies que se pretenden usar y los propósitos de ello, todo en línea con los requisitos de transparencia del RGPD (de forma inteligible, transparente, concisa y de fácil acceso y utilizando un lenguaje claro y sencillo).

Estas condiciones se aplican también a las cookies de terceros, y abarca tanto cookies como pixels, beacons, JavaScript y cualquier otra tecnología similar como redes de publicidad online y plataformas sociales.

  1. Recabar consentimiento para instalar las cookies en los dispositivos.
  • El usuario debe llevar a cabo una acción clara y positiva para dar su consentimiento a las cookies no esenciales.
  • El consentimiento debe ser granular, de manera que el usuario debe tener la opción de consentir las cookies para algunas finalidades pero no para otras.
  • En lo que se refiere a las cookies de terceros, se debe mencionar de manera clara y específica de dónde provienen y explicar qué hacen con la información recogida.
  • Las casillas pre-marcadas o equivalentes no son válidas para las cookies no esenciales.
  • Los sujetos deben tener control sobre todas las cookies no esenciales, y se les debe permitir el acceso al sitio web aun cuando no las hayan aceptado. Las denominadas “cookie walls” están prohibidas si bloquean el acceso al sitio web en general, aunque la ICO está llevando a cabo una serie de consultas en este sentido.
  • Las cookies no esenciales no deberían situarse en la página de inicio (y de for a similar, no se deberían activar hasta que el usuario haya dado su consentimiento).

El consentimiento será inválido si:

  • Los cuadros de aviso son difíciles de leer cuando se interacciona desde el teléfono móvil.
  • Los usuarios no hacen click en ninguna de las opciones disponibles y van directos a otra parte de la web sin haber dado o no su consentimiento.

¿Hay alguna excepción a estos requerimientos?

Sí. No es necesario cumplir con ellos en el caso de cookies no esenciales, pero este concepto es, sin embargo, muy limitado. El acceso a o almacenamiento de información es esencial únicamente cuando es completamente necesario para proporcionar el servicio solicitado por el usuario, o cuando responde a una obligación legal. Algunos ejemplos son:

Cookies estrictamente necesarias Cookies no estrictamente necesarias
Una cookie que se utiliza para recordar los productos que el usuario desea comprar cuando va al carrito de la compra. Cookies de finalidad analítica, como aquellas empleadas para contar el número de visitas a la web.
Cookies necesarias para cumplir con el requisito de seguridad del RGPD de una actividad que el usuario ha solicitado, por ejemplo en relación con servicios  bancarios. Cookies de publicidad, incluidas aquellas operacionales relacionadas con publicidad de terceros, detección de fraude, investigación, desarrollo de producto.
Cookies para asegurar un funcionamiento fluido mediante la distribución de la carga de trabajo entre diferentes ordenadores. Cookies que reconocen a un usuario cuando vuelve a la página web, de modo que se les ofrece un saludo personalizado.

Como segunda excepción, los requisitos de información y consentimiento tampoco se aplican para las cookies que habilitan la transmisión de comunicaciones sobre una red de comunicaciones electrónicas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.