El ICO multa a una empresa por prácticas ilegítimas de marketing

El ICO ha multado a la empresa por realizar llamadas ilegítimas para publicitar planes de pensiones. 

 

El ICO ha impuesto una multa de más de 50.000€ a una empresa de Reino Unido localizada en Halifax, por realizar llamadas ilegítimas “a puerta fría”, según se comunica en este informe. La empresa, Parker Beach LTD (PBL), que opera bajo el nombre commercial “Your Pension Options”, habría realizado llamadas relacionadas con la venta de planes de pensiones. El ICO recibió 16 quejas en este sentido y la compañía reconoció haber efectuado más de 96 llamadas. Este tipo de llamadas se prohibieron en Reino Unido en 2019 con el objetivo de proteger a los pensionistas vulnerables y sus fondos, pues este medio ha sido reconocido como el más utilizado para cometer fraude en este campo.  

 

Las llamadas sobre venta de planes de pensiones se prohibieron en Reino Unido en 2019 y sólo se permiten bajo unas pocas condiciones muy específicas. 

 

Las llamadas sobre planes de pensiones están prohibidas en Reino Unido, excepto si se aplican una serie de condiciones, a saber: que quien llama esté autorizado por la autoridad financiera (FCA) o es el administrador de un plan de pensiones profesional o personal o si existe relación entre éste y el destinatario y el último ha consentido recibir dichas llamadas. Este enfoque se tomó en 2019 y desde entonces ha sido ilegal para las empresas realizar llamadas “a puerta fría” para vender planes de pensiones. El responsable de investigaciones del ICO, Andy Curry, ha informado de que este tipo de llamadas han sido tradicionalmente una herramienta típica para cometer fraude y, por ese motivo, se tomarán duras acciones sobre las empresas que hagan uso de ello. Afirmó que “Las empresas son responsables de conocer la ley y cumplirla. Tenemos una serie de atribuciones de las cuales haremos uso para frenar las actividades de empresas sin escrúpulos”. 

 

El ICO ha impuesto la multa y también ha emitido una orden para que no se realicen más llamadas. 

 

En su investigación el ICO descubrió que PBL obtenía los datos para sus llamadas a través de un tercero que extraía los datos de diferentes páginas web. El registro requería a los usuarios consentir marketing de una larga lista de organizaciones de varios sectores, pero no podían seleccionar de cuáles. Así, PBL no recogía un consentimiento claro e informado. En consecuencia, la compañía fue multada con más de 50.000€ y recibió una orden para paralizar dichas llamadas. Bajo la normativa nacional de ePrivacy, PECR, el ICO puede imponer sanciones superiores a 500.000€.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

 

TikTok multada

TikTok, multada por la autoridad de control de Holanda

 

TikTok se enfrenta a una multa de la autoridad de control de Holanda por no proporcionar a sus usuarios información traducida.

 

TikTok ha sido multada recientemente por la autoridad de control de Holanda, según informa el CEPD. Tras una investigación efectuada sobre aplicaciones de uso común entre los menores, se descubrió que la información proporcionada por TikTok en el momento de la descarga e instalación, entre lo que se incluye la política de privacidad, se encontraba en inglés. En consecuencia, la falta de una version en el idioma holandés viola los derechos de los usuarios, pues no se les está ofreciendo información clara y comprensible sobre el tratamiento de sus datos personales, lo que es en sí mismo una infracción de la normativa de protección de datos. La multa impuesta a TikTok por estos hechos asciende a 750.000€, la cual ya ha sido recurrida por la compañía.

 

TikTok, multada por la autoridad de control de Holanda y ahora también investigada por la autoridad de control de Irlanda tras establecer allí su sede.

 

Esta multa inicial fue impuesta por la autoridad de control de Holanda en un momento en el que TikTok no tenía sede en Europa. Ahora, con ésta operativa en Irlanda, será la autoridad de control de Irlanda quien tendrá que llevar a cabo cualquier investigación sucesiva derivada de estos hechos. La autoridad de control de Holanda sólo puede ya evaluar la infracción relacionada con la traducción de la política de privacidad, que ya había sido solventada cuando se estableció la sede en Irlanda. Cuando las empresas no cuentan con oficinas en Europa, cualquier Estado Miembro puede supervisar sus actividades, pero desde el momento en que se establece una sede en un país europeo, la responsabilidad recae sobre la autoridad de control de dicho territorio.

 

TikTok ha realizado cambios en su aplicación para hacerla más segura para sus usuarios menores de edad.

 

Desde el pasado octubre, cuando la autoridad de control de Holanda presentó sus resultados de la investigación, TikTok ha realizado algunos cambios para proteger a sus usuarios menores de 16 años. Mientras que estas modificaciones no ofrecen una protección absoluta dado que los usuarios aún pueden crear una cuenta con información falsa, la autoridad de control recibe de forma positiva estos ajustes por parte de TikTok para reducir el riesgo en menores. Los padres podrán ahora gestionar las cuentas de sus hijos a través de sus propios perfiles o mediante la funcionalidad “Emparejamiento Familiar”. Esta novedad no evitará que los menores se expongan ellos mismos a riesgo si mienten sobre su edad, pero sí ofrecerá a los padres el poder de revisar las cuentas de sus hijos y ofrecer mayor seguridad sobre las mismas.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

 

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

La CNIL da luz verde

La CNIL da luz verde a un concierto experimental en París

La CNIL da luz verde a un concierto experimental en París tras una solicitud de autorización, dado al tratamiento de datos de categoría sensible. 

 

A medida que los gobiernos de todo el mundo centran sus esfuerzos en reabrir e impulsar las economías afectadas por la pandemia del COVID-19, se están también intentando retomar la celebración de eventos masivos, algo que se ha prohibido en muchos países desde el inicio de la crisis sanitaria. El mes pasado publicamos la opinión de la CNIL sobre el uso de los pasaportes COVID para la admisión a eventos masivos. La autoridad de control abordó así los aspectos de privacidad y protección de datos que serían necesarios para que esta actividad se retome de manera funcional. Debido al gran volumen de datos personales que se tratarían, se solicitó autorización a la CNIL para la celebración del concierto, y estudiar de este modo el riesgo de propagación del COVID-19. La CNIL ha mostrado su total apoyo a la realización de este proyecto con fines de investigación, y ha reiterado la importancia de asegurar complimiento con el RGPD y la normativa nacional de protección de datos. 

 

Este concierto experimental es parte de un ensayo clínico que estudia el riesgo de infección por COVID-19 en multitudes.

 

El ensayo clínico consiste en dos grupos de personas, un grupo experimental de 5000 componentes que asistió al concierto y otro, denominado grupo de control y compuesto por 2500 participantes, que no lo hizo. El objetivo del estudio es analizar la transmisión del COVID-19 en una reunión a gran escala o en un evento de multitudes en una habitación cerrada, con la aplicación de los protocolos de salud. El concierto, que estaba programado para el 29 de mayo, se considera el primer intento de recuperar los conciertos con público de pie en Francia. Se han llevado a cabo experimentos similares en otros países europeos como España, y se espera que estas pruebas aporten información sobre cómo de seguro es reintroducir los eventos masivos en el día a día de una sociedad tras la pandemia.  

 

Dado el volumen de datos personales tratados para el desarrollo de este ensayo clínico, se solicitó autorización a la CNIL. 

 

La investigación llevada a cabo por el promotor del concierto experimental implicaba el tratamiento de datos personales de categoría especial de un gran número de sujetos. Durante el estudio, los participantes tuvieron que realizarse numerosas pruebas COVID-19, cuyos resultados se almacenaron de forma centralizada. Asimismo se les concedió la opción de presentar una prueba reciente de resultado negativo, bien de forma online o física. Además, los componentes del grupo experimental fueron grabados durante el proceso, mediante cámaras inteligentes, en un esfuerzo de evaluar las circunstancias bajo las cuales los asistentes a estos eventos son menos propensos a respetar la normativa sobre las mascarillas. Para ello, se informó a cada participante individualmente sobre la manera en la que se iba a realizar el estudio, y se recogió su consentimiento por escrito de manera previa, con la confirmación de que éste era libre, específico e informado. Se les solicitó consentimiento para participar en la investigación en general y también para ser grabados. A su vez, el mismo podía ser retirado en cualquier momento sin justificación. 

 

La CNIL apoyó completamente la iniciativa, y concedió la autorización el mismo día en que recibió la solicitud.  

 

La CNIL, en consideración de los retos a los que se han enfrentado los profesionales del entretenimiento en Francia durante la pandemia, ha otorgado su completo apoyo a este concierto experimental. La autoridad de control destacó la importancia de cumplimiento con el RGPD y el resto de la normativa de protección de datos, al igual que el hecho de otorgar garantías para la protección de los derechos y libertades individuales. Este concierto es tan sólo uno de los tantos proyectos de investigación que se han beneficiado del apoyo técnico y legal por parte de la CNIL durante la crisis sanitaria. Muchos de ellos se han autorizado en menos de dos días a fin de cumplir con los límites de tiempo establecidos, con un total de 117 autorizaciones de investigación médica emitidas por la CNIL durante la pandemia del COVID-19. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.