Multa a una farmacia de Londres por no proteger de manera adecuada categorías especiales de datos

La farmacia dejó más de 500.000 documentos en contenedores sin candado detrás de las instalaciones.

No proteger de manera adecuada categorías especiales de datos puede desencadenar importantes multas bajo el RGPD.

¿Tus dispositivos están protegidos con contraseña? ¿Utilizas sólo servicios cloud que encriptan los datos? Si tu respuesta es ‘sí’, se podría decir que los elementos básicos de ciberseguridad están cubiertos, pero esto no significa necesariamente que los datos que tratas estén seguros. ¿Qué ocurre con la seguridad física? Es tan importante como la ciberseguridad, pero parece que es un tema del que las empresas se preocupan menos porque forma parte del ‘mundo analógico’. Sin embargo, conlleva importantes riesgos que han motivado varias multas desde que se empezó a aplicar el RGPD, sobre todo cuando se trata de no proteger de manera adecuada categorías especiales de datos.

La multa más reciente en este sentido la impuso la autoridad de control de Reino Unido, la ICO, el pasado 20 de diciembre, a la farmacia Doorstep Dispensaree Ltd. Tendrán que pagar más de 300.000 € por no proteger de manera adecuada categorías especiales de datos.

Los hechos

La farmacia dejó más de 500.000 documentos, con fecha entre 2016 y 2018, en contenedores sin candado en la parte trasera de sus instalaciones. Los archivos incluían nombres, direcciones, fechas de nacimiento, números de la Seguridad Social, información médica y recetas de un número indeterminado de personas.

Brechas similares a estas ocurren más a menudo de lo que cabría esperar. En España encontramos un caso parecido, pues la AEPD multó el año pasado a un colegio porque el servicio de limpieza tiró a un contenedor varios exámenes de los alumnos que contenían datos personales de los mismos, sin aplicar las medidas de destrucción adecuadas.

¿Por qué es una brecha del RGPD?

Dejar cualquier tipo de documentos con información personal en contenedores sin candado supone una brecha del RGPD porque implica que cualquiera podría acceder a la información sin ninguna base legítima para ello. En este caso, además, se trataba de datos de salud, que es una categoría especial de datos personales que requiere de protección adicional.

¿Qué dice el RGPD al respecto?

El artículo 32.1 del RGPD establece que “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. En este caso parece que no se habían aplicado tales medidas técnicas y organizativas o, al menos, que no eran adecuadas para asegurar un nivel de seguridad correspondiente con el riesgo.

Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

¿Cuáles son las implicaciones del nuevo caso Schrems II para las empresas?

El abogado general del TJUE, Saugmandsgaard Øe, ha publicado su opinión en el caso ‘Schrems II’.

Nuevo año, ¿nuevas preocupaciones sobre regulación? Dos semanas antes del final del 2019, el abogado general del Tribunal de Justicia de la Unión Europea (TJUE) emitió su opinión en el caso conocido ‘Schrems II’, en relación a la validez de las cláusulas contractuales tipo (SCCs).

El artículo 46 del RGPD menciona las SCCs como una garantía adecuada que las empresas pueden incorporar en los contratos a fin de realizar transferencias de datos personales a terceros países. Las SCCs contienen obligaciones contractuales que se imponen tanto al exportador como al importador, y los derechos de los interesados cuyos datos se transfieren, los cuales pueden ejercerse frente a ambos.

Recapitulemos primero.

¿Sobre qué trata el caso ‘Schrems II’?

El caso ‘Schrems II’ es la segunda parte de un caso que se originó en 2013 a raíz de una queja de Max Schrems, en relación con Facebook y las transferencias de datos personales a Estados Unidos. La queja se interpuso frente a la autoridad de control de Irlanda y llegó al TJUE, que invalidó el Safe Harbour.

Como consecuencia, las empresas ya no podían utilizar el Safe Harbour para transferencias internacionales, y lo reemplazaron por las SCCs. En 2016, la Comisión Europea aprobó el ‘Privacy Shield’ a la luz del caso ‘Schrems I’.

En el caso ‘Schrems II’, Max Schrems presentó una nueva queja en la autoridad de control de Irlanda, pero esta vez contra las SCCs, en un sentido similar en el que lo hizo contra el Safe Harbour. El abogado general ha publicado ahora su opinión al respecto.

¿Cuál es la opinión del abogado general en el caso Schrems II ?

El abogado general del TJUE ha reafirmado la validez de las SCCs. Sin embargo, ha sugerido que tanto empresas como autoridades de control deberían evaluar la suficiencia de las protecciones que otorga la seguridad nacional de los países extranjeros caso por caso.

La opinión afirma que: “una autoridad de control debe examinar con absoluta diligencia la queja presentada por una persona cuyos datos se están transfiriendo a un tercer país sin respetar las cláusulas contractuales tipo aplicables a dicha transferencia” y “cuando proceda, se deberá suspender la transferencia si se concluye que no se están respetando las cláusulas contractuales tipo y que no se puede asegurar por otros medios una protección adecuada de la información transferida”.

¿Por qué no es una sorpresa la opinión del abogado general en el caso Schrems II?

Lo anterior sugiere que transferir datos personales a terceros países va a requerir más esfuerzos que simplemente añadir las SCCs al contrato con el importador. Las empresas tendrán que asegurar que están cumpliendo con las SCCs en la práctica. Sin embargo, en mi opinión esta responsabilidad que cae sobre los responsables de los datos no es nada nuevo, pues también se deriva ya de su responsabilidad general de demostrar cumplimiento con los principios del RGPD, a saber: legitimidad, justicia, transparencia, minimización de los datos, limitación a la finalidad, precisión, limitación de almacenamiento, integridad y confidencialidad.

Estos principios se aplican a todas las transferencias internacionales de datos, independientemente de las garantías que se empleen. Mientras que la autoridad de control de Irlanda destaca que este hecho podría resultar en una fragmentación entre las autoridades de control europeas, la verdad es que esto ya es inevitable cuando se trata de la aplicación práctica del RGPD si no hay recomendaciones del Comité Europeo de Protección de Datos (CEPD) o jurisprudencia previa.

Aunque el TJUE no está obligado a seguir esta opinión, la realidad es que el Tribunal suele pronunciarse en términos muy similares al abogado general en la mayoría de los casos. Se espera que el TJUE publique su decision final en los próximos meses.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí

 

Dictamen del CEPD sobre el borrador requisitos para la acreditación de un organismo supervisor de los códigos de conducta

EL CEPD emite un dictamen sobre el borrador de acreditación de la autoridad de control de Reino Unido para la creación de un organismo de supervisión de los códigos de conducta

El Comité Europeo de Protección de Datos emitió el pasado 2 de diciembre su dictamen sobre el borrador de la autoridad de control de Reino Unido (ICO) con los requisitos para la creación de un organismo de supervisión de los códigos de conducta.

A principios de este año, la ICO presentó ante el CEPD su borrador con los requisitos de acreditación para un organismo supervisor de los códigos de conducta, acorde al artículo 64 del RGPD, que sitúa en el CEPD la responsabilidad de asegurar una aplicación coherente del mismo en relación a la aprobación de códigos de conducta por parte de una autoridad de control. Hace dos semanas, el CEPD elaboró así su dictamen sobre los requisitos de acreditación propuestos por la ICO.

La finalidad del dictamen es asegurar consistencia y una aplicación correcta de los requisitos por parte de todas las autoridades de control del EEE.

Códigos de Conducta y RGPD

La ICO explica que, bajo el RGPD, asociaciones profesionales y organismos de representantes pueden elaborar códigos de conducta sobre los asuntos relevantes para sus miembros. Conforme a la ICO, entre los temas que se pueden incluir se encuentran el tratamiento legítimo y transparente, la seudonimización de los datos o el ejercicio de los derechos de los interesados. La ICO añade también que, aunque los códigos de conducta no son obligatorios conforme al RGPD, sí son una buena forma de desarrollar guías específicas por sector para ayudar con el cumplimiento con la normativa.

Resumen del dictamen del CEPD

Tras evaluarlo, el CEPD concluyó que el borrador con los requisitos de acreditación de la ICO podría “conducir a una aplicación inconsistente de la acreditación de los organismos de supervisión”. De esta forma, el CEPD realizó importantes recomendaciones y cambios que realizar en el borrador, entre las que se incluyen que la ICO clarifique los requisitos de responsabilidad y ofrezca más ejemplos de los tipos de evidencias o pruebas que los organismos pueden dar.  

¿Siguientes pasos?

El dictamen del CEPD señala que, según los artículos 64 (7) y (8) del RGPD, la autoridad de control debe comunicar al presidente, por medios electrónicos y en el plazo de dos semanas tras recibir el dictamen, si su intención es modificarlo o por el contrario mantener el original. En el mismo tiempo tendrá que presentar el nuevo borrador o las razones por las que ha decidido no aceptar las recomendaciones, ya sea en su totalidad o en parte. La ICO tendrá que comunicar su decisión final al Comité para incluirlo en el registro de decisiones que han sido objeto del mecanismo de consistencia.

¿Necesitas asesoramiento con el RGPD y la LOPDGDD? Aphaia ofrece servicios de adaptación al RGPD y a la LOPDGDD, incluida la elaboración de evaluaciones de impactoy la subcontratación del Delegado de Protección de Datos.

CEPD recomendaciones

Recomendaciones del CEPD sobre protección de datos por diseño y por defecto

El Comité Europeo de Protección de Datos (CEPD) ha publicado unas recomendaciones sobre protección de datos por diseño y por defecto en línea con el artículo 25 RGPD.

¿Alguna vez te has enfrentado a la difícil decisión de activar o desactivar por defecto los ajustes de privacidad de la App de tu empresa? ¿Te has sentido tentado a recoger de tus clientes más datos de los necesarios? Estas cuestiones están relacionadas con protección de datos por diseño y por defecto. El CEPD ha publicado sus recomendaciones para ayudar a los responsables del tratamiento a implementar de manera correcta la protección de datos por diseño y por defecto cuando tratan información personal.

¿Qué significa ‘protección de datos por diseño’?

El Artículo 25 (1) RGPD establece que, teniendo en cuenta el progreso actual de la tecnología, “[…] el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados

Esto implica que, en definitiva, la protección de datos por diseño es una aproximación que asegura que el responsable toma en consideración la privacidad y la protección de datos desde el primer momento de la fase de diseño de cualquier sistema, servicio, producto, app o proceso, y también durante todo el ciclo de vida.

¿Qué significa ‘protección de datos por defecto’?

Como se recoge en el artículo 25 (2) RGPD, “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En resumen, la protección de datos por defecto requiere que los responsables traten únicamente la información personal que es necesaria para alcanzar el fin específico, lo cual se relaciona con los principios fundamentales de protección de datos, minimización de los datos y limitación según la finalidad.

¿Qué pasos debería dar?

Protección de datos por diseño

EL CEPD subraya que la efectividad es clave, y por ello no impone medidas generales a los responsables. Puede que te estés preguntando ‘¿Vale, y entonces cómo sé yo lo que tengo que hacer?’. El RGPD delega esta cuestión en la propia discrecionalidad del responsable, lo cual conduce a que toda medida es válida siempre y cuando sea apropiada para proteger los principios arriba referidos. Así por tanto, lo que los responsables han de hacer es asegurarse de que son capaces de demostrar la implementación de medidas adaptadas y específicas, además de las garantías necesarias para proteger los derechos y libertades de los interesados. A fin de alcanzar este objetivo, el CEPD considera importante llevar a cabo un análisis de riesgos, que incluya consideraciones sobre la naturaleza del tratamiento, su alcance, contexto y finalidades. Dicho análisis de riesgos y todas las actividades relacionadas tendrán que ser re-evaluadas de manera regular mediante revisiones y estudios.

Conforme a nuestra experiencia, en Aphaia recomendamos asegurarse de que el DPO participe de forma adecuada y en tiempo oportuno en cada una de las partes de desarrollo, desde la más inicial, ya se trate de la creación desde cero de una app o sistema o simplemente el lanzamiento de una nueva funcionalidad, porque su apoyo ayudará a reducir de manera considerable cualquier resultado indeseado en el futuro.

Una asimilación temprana de la protección de datos por diseño y por defecto es crucial para lograr una implementación de éxito, y también desde una perspectiva de coste-beneficio, pues podría suponer un gran desembolso el hecho de realizar cambios en planes que ya se han diseñado.

Protección de datos por defecto

El responsable debe determinar de manera previa la finalidad específica, explícita y legítima de tratamiento. Esta obligación se aplica a los siguientes elementos: la cantidad de datos personales recogida, el alcance de su tratamiento, el período de almacenamiento y su accesibilidad.

El principal concepto que debería incorporarse cuando se trata de protección de datos por defecto es la necesidad. Todos los elementos detallados en las líneas anteriores deben reducirse y limitarse a lo mínimo necesario para cada finalidad.

Debe destacarse que la falta de implementación de protección de datos por defecto ha desencadenado ya importantes multas bajo el RGPD. Por ejemplo, la Autoridad de Protección de Datos de Berlín multó a una empresa inmobiliaria con 14.5 millones de euros por usar un sistema de archivo que no permitía la eliminación de los datos que ya no era necesarios. De acuerdo con las recomendaciones del CEPD: “la información personal que ya no es necesaria después del primer tratamiento debe ser eliminada o anonimizada. Cualquier retención de datos debería justificarse de manera objetiva y el responsable tendrá que poder demostrarlo de manera responsable y diligente”.

¿Cómo puedo llevar a la práctica la protección de datos por diseño y por defecto?

Las recomendaciones del CEPD ofrecen algunos ejemplos para ayudar a los responsables a llevar a la práctica la protección de datos por diseño y por defecto, y los clasifican según principios específicos. Los hemos resumido en la siguiente tabla:

Principio del RGPD

Elementos clave por diseño y por defecto

Transparencia

Claridad, semántica, accesibilidad, contexto, relevancia, diseño universal, multicanalidad

Legitimidad

Relevancia, diferenciación, finalidad específica, necesidad, autonomía, retirada de consentimiento, equilibrio de intereses, predeterminación, cese, ajustes, configuración por defecto, asignación de responsabilidades

Justicia

Autonomía, interacción, expectativas, no-discriminación, no-explotación, elección del consumidor, equilibrio de poder, respeto por los derechos y libertades, ética, confianza, intervención humana, algoritmos justos

Limitación a la finalidad

Predeterminación, especificidad, orientación a finalidad, necesidad, compatibilidad, limitación de tratamientos ulteriores, revisión, limitaciones técnicas de reutilización

Minimización de los datos

Evitar procesamiento masivo, relevancia, necesidad, limitación, agregación, seudonomización, anonimización, eliminación, flujo de datos y estado del arte

Precisión

Fuente de datos, grado de precisión, precisión medible, verificación, eliminación/rectificación, acumulación de errores, acceso, precisión continuada, actualizaciones, diseño de los datos

Limitación del almacenamiento

Eliminación, automatización, criterio de almacenamiento, vinculación de políticas de retención de datos, efectividad de la anonimización/eliminación, razón para compartir los datos, flujo de datos, backups/registros

Integridad y confidencialidad

Sistema de gestión de la seguridad de la información, análisis de riesgos, resiliencia, control de acceso

¿Necesitas asesoramiento con la protección de datos por diseño y por defecto? Aphaia ofrece adaptación al RGPD y a la LOPDGDD, incluidas Evaluaciones de Impacto y subcontratación del Delegado de Protección de Datos.