La autoridad de control de Portugal ordena al Instituto de Estadística suspender todas las transferencias internacionales de datos en un plazo de 12 horas

A principios de esta semana, la autoridad de control de Portugal ordenó al Instituto de Estadística suspender todas las transferencias de datos a terceros países en un plazo de 12 horas.

La autoridad de control de Portugal (CNPD) ha ordenado al Instituto de Estadística (INE) suspender todas las transferencias internacionales de datos relacionadas con el censo en un plazo de 12 horas por no ofrecer un nivel adecuado de protección para las mismas, conforme informa la IAPP. Tras recibir varias quejas sobre las condiciones de recogida de datos mediante internet, la autoridad de control llevó a cabo una breve investigación, lo que reveló que el INE usaba Cloudfare Inc, una empresa de seguridad estadounidense, para gestionar las encuestas del censo. Dada la naturaleza de los servicios ofrecidos por Cloudfare, la empresa está directamente sujeta a la legislación sobre vigilancia con fines de seguridad nacional.

Aunque las transferencias internacionales se basaban en SCC, se concluyó que los datos no se encontraban debidamente protegidos.

Incluso en los casos en que las transferencias se encontraban cubiertas por Cláusulas Contractuales Tipo, las autoridades de control se ven obligadas a suspender o prohibir las transferencias de datos cuando no existan garantías de que los datos personales quedarán en el país de destino sujetos a un nivel de protección similar al de la Unión Europea. Las autoridades de vigilancia de Estados Unidos imponen a ciertas empresas una obligación legal de conceder a las autoridades estadounidenses acceso ilimitado a los datos que traten sin poder informar a los sujetos afectados al respecto. Dado que CloudfareInc. se encuentra sujeta a dicha normativa y trata grandes cantidades de datos personales de ciudadanos portugueses, la transferencia presentaba un alto riesgo.

La CNPD ordenó al Instituto de Estadística el cese de todas las transferencias internacionales de datos en un plazo de 12 horas debido a la naturaleza sensible de la información recogida.

La recogida de datos por parte del INE con el fin de elaborar el censo comenzó el 19 de abril y se esperaba que estuviese completada para el 3 de mayo. Sin embargo, debido a las quejas recibidas por la CNPD en la primera semana, se ordenó el cese de las transferencias en un plazo de 12 horas. La principal razón para la orden de cese fue, además de la gran cantidad de datos tratados, la naturaleza sensible de los mismos, pues incluía información como creencias religiosas y salud.

En los últimos meses, varias autoridades de control de Europa han lidiado con casos similares.

En los últimos meses otras autoridades de control europeas como España y Alemania han tomado acciones similares en relación a la transferencia de datos sobre la base de Cláusulas Contractuales Tipo. Las transferencias a Estados Unidos o a cualquier otro tercer país que no ha sido reconocido con un nivel adecuado de protección de datos pueden presentar problemas, y el riesgo es especialmente alto cuando se trata de categorías especiales de datos, como en este caso. Cuando se realicen transferencias internacionales de datos es extremadamente importante que se garantice, mediante medidas adicionales, un nivel de protección de datos equivalente al que ofrece la normativa europea.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una resolución de un tribunal de Francia arroja más contexto sobre la aplicación del caso “Schrems II” bajo el RGPD.

Una resolución de un tribunal de Francia arroja más orientaciones sobre la aplicación del caso “Schrems II” al considerar que los datos almacenados por una filial de una empresa de Estados Unidos se encuentran suficientemente protegidos. 

 

El más alto tribunal administrativo de Francia emitió a principios de mes una resolución en la que determinaba que una plataforma de reservas para vacunación del COVID-19 alojada en Amazon Web Service, también conocido como AWS, se encontraba suficientemente protegida bajo el RGPD. Inicialmente se plantearon algunas cuestiones en torno a si el uso de los servidores de Amazon Web Services como plataforma para el almacenamiento de los datos era compatible con el RGPD tras la sentencia “Schrems II”, dado que el encargado de tratamiento estaría sujeto a la normativa estadounidense. La resolución final en este caso se basó en el hecho de que el Tribunal considera que existen suficientes garantías técnicas y legales en caso de que las autoridades estadounidenses solicitasen acceso a los datos. Este hecho ofrece contexto alrededor de la aplicación de “Schrems II” y tiene grandes implicaciones para muchas empresas, a la vez que subraya la necesidad de aplicar salvaguardas adicionales cuando los datos son tratados por una filial de una empresa no europea.  

 

Se determinó que si bien se trata de una preocupación común, los datos de salud alojados por una empresa sujeta a la normativa estadounidense se encontraban lo suficientemente protegidos bajo el RGPD.  

 

Los demandantes alegaron en este caso que el almacenamiento de datos por una empresa sujeta a la normativa estadounidense presentaba varios riesgos, no sólo la transferencia de datos a Estados Unidos, sino también el posible acceso a dichos datos por parte de las autoridades estadounidenses si así se solicitase. Los demandantes lo consideraron un asunto sensible y de urgencia dado el nivel de riesgo percibido. Sin embargo, lo que en principio se señaló como una posible brecha del RGPD bajo “Schrems II”, finalmente resultó en cumplimiento con la normativa, pues se valoró que los datos estaban suficientemente protegidos conforme al RGPD en virtud de las extensas medidas legales y técnicas aplicadas por el demandado, Doctolib. Así por tanto, el juez falló en contra de la solicitud de los demandantes para suspender el servicio.

 

La resolución del tribunal de Francia fue el resultado de una detallada evaluación de las medidas técnicas y legales incluidas en el acuerdo entre las partes. 

 

La resolución del tribunal de Francia se emitió tras llevar a cabo una detallada evaluación de las medidas técnicas y legales y de otras garantías acordadas por Doctolib y Amazon Web Services. El análisis determinó que el contrato entre ambas partes incluía varias provisiones en este sentido, y consideraba un procedimiento específico en caso de solicitudes de acceso por parte de un tercer país. La garantía legal aportada aquí consiste en que se cuestionarán y rebatirán todas las solicitudes de acceso que el encargado reciba por parte de las autoridades. El juez también valoró que los datos estuviesen encriptados con la clave en manos de un tercero de confianza y no Amazon Web Services. Además, se observe que los datos transmitidos a Doctolib a través de la campaña de vacunación no contenían información sensible sobre salud que especificase, por ejemplo, que un cierto candidato tiene prioridad para la vacunación debido a determinada condición pre existente. Como medida extra, cualquier dato introducido por los usuarios con la finalidad de identificación para conseguir una cita de vacunación es eliminado como mucho tres meses después de la misma. 

 

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, apunta que: “La resolución deja entrever que hay espacio para la coherencia en la aplicación de Schrems II, lo cual debería en términos generales percibirse como buenas noticias para la industria online”. 

Cristina Contero Almagro, socia de Aphaia, señala que: “Es muy importante que las empresas lleven a cabo un análisis de sus flujos de datos, los países involucrados y las medidas que deben aplicarse según el riesgo identificado; esto es lo que se denomina ‘Evaluación de Impacto de Transferencias de Datos”. 

Este caso destaca la necesidad de contar con garantías técnicas y legales, las cuales deberían aplicarse incluso cuando los datos no se transfieren fuera de la UE. 

 

Uno de los elementos principales de cumplimiento con “Schrems II” reside en las medidas técnicas como la pseudonimización y la encriptación, junto a la confirmación de que el encargado no tiene manera de acceder a la clave de descifrado, especialmente cuando las autoridades podrían acceder a la misma. Las garantías legales, como aquellas tomadas por . Doctolib, son también especiales. Mientras las nuevas Cláusulas Contractuales Tipo recientemente publicadas por la Comisión Europea contienen provisiones similares, se recomienda, en previsión de las mismas, que las empresas incluyan cláusulas alrededor de este tipo de garantías en un anexo específico, incluso en los casos en que no hay transferencia de datos fuera de la UE. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD impone una multa

La AEPD impone una multa histórica por infracción del RGPD

La AEPD ha impuesto un total de 6 millones de euros de multa a CAIXABANK por varias infracciones del RGPD. 

 

A finales del mes pasado, la AEPD y el CEPD informaban de una multa impuesta a CAIXABANK por diversas infracciones del RGPD. Se determinó que la compañía trataba datos de clientes de manera ilegítima y no ofrecía la información pertinente al respecto. Los importes de la sanción son de cuatro y dos millones de euros respectivamente, convirtiéndose así en la mayor cantidad total de multa impuesta por la AEPD hasta la fecha.

 

Una de las multas que conforman el total es de cuatro millones de euros por infracción del Artículo 6 del RGPD.

 

CAIXABANK habría infringido el Artículo 6 del RGPD al no contar con ningún mecanismo para recoger el consentimiento de los sujetos. Como resultado, el consentimiento otorgado por los mismos no cumplía con todos los elementos requeridos para considerarlo válido. La AEPD consideró que el interés legítimo de la compañía no justificaba de manera suficiente las actividades de tratamiento de la empresa, y tampoco lo hacía la relación entre la actividad de ésta y el tratamiento de datos personales. En consecuencia de esta brecha, la AEPD impuso una multa administrativa de cuatro millones de euros, en conformidad con el Artículo 83 (5) a RGPD. 

 

La otra de las multas impuestas a CAIXABANK es de dos millones de euros por infracción de los Artículos 13 y 14 del RGPD. 

 

Se descubrió asimismo que CAIXABANK no estaba proporcionando información clave en cumplimiento de los Artículos 13 y 14 del RGPD, pues no se indicaban las categorías de datos que se trataban, ni las finalidades del tratamiento. Además, el documento no especificaba las bases legitimadoras para el tratamiento en relación al interés legítimo de la empresa. Así, la AEPD concluyó que la empresa había infringido tales artículos del RGPD, lo que motivó la multa de dos millones de euros conforme al Artículo 83 (5) b. 

 

La AEPD basó su decisión de multa en varios factores. 

 

En su decisión sobre la multa más apropiada para las diversas infracciones del RGPD, la AEPD tomó en consideración ciertos factores agravantes. En general, la AEPD tuvo en cuenta la naturaleza, gravedad y duración de las infracciones, así como el carácter negligente de las mismas. El hecho de que la empresa sea una gran compañía y su ratio de beneficio también jugaron un papel esencial en la determinación de la cantidad final. La AEPD observó la relación entre la actividad de CAIXABANK y el tratamiento de datos personales, y también los beneficios obtenidos con las infracciones y las categorías de datos afectadas. Además, la AEPD valoró el grado de responsabilidad del responsable, en observación de las medidas técnicas y organizativas implementadas conforme a los Artículos 25 y 32 del RGPD. 

CAIXABANK deberá adaptar sus operaciones en cumplimiento de la normativa en seis meses. 

 

Junto a las multas administrativas impuestas por la AEPD, la empresa ha sido requerida a poner en orden todas sus actividades de tratamiento conforme a los Artículos 6, 13 y 14 del RGPD, dentro de los próximos seis meses. Esto implicará implantar un mecanismo apropiado para recoger el consentimiento válido de los clientes y asegurar que sólo se trate la información personal que sea necesaria y legalmente justificada según el interés legítimo de la empresa. Además, CAIXABANK tendrá que confirmar que esta información, así como las finalidades del tratamiento, se detallan adecuadamente en el documento correspondiente.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy y el resto de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Multa a una empresa

Multa a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible.

Multa de 11,000 euros a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible a través de email y correo postal. 

 

La empresa Trinity Chambers LLP envió detalles privados sobre un interesado y su familia a través de email y correo postal. La autoridad de control correspondiente, ODPA, ha publicado recientemente un comunicado con información sobre este caso. 

 

La investigación descubrió que se compartió información sensible sobre el sujeto y su familia debido a un error humano continuado. 

 

La investigación tuvo lugar tras la presentación de una queja al respecto, la cual alegaba una cesión ilegítima de datos personales como consecuencia de un error humano continuado. Conforme al informe, una brecha de seguridad habría permitido el acceso a los datos de terceras partes no relacionadas. Se averiguó que Trinity Chambers LLP envió archivos que incluían información altamente sensible y confidencial a través de email y correo postal, sin la apropiadas medidas de seguridad. Terceros no relacionados que no eran conscientes de la naturaleza sensible del contenido accedieron sin querer al mismo.

 

La multa se ha impuesto con intención de reflejar la gravedad de las consecuencias de la brecha de seguridad. 

 

La presidenta de la ODPA, Emma Martins, afirmó que la ODPA estaba decepcionada con la respuesta de la empresa. Indicó que “Hay poca evidencia de que el responsable de los datos en este caso considerase de manera oportuna el impacto de la brecha de seguridad en los interesados”.  Y añadió que la multa pretende reflejar “la seriedad del suceso y el impacto de no proteger de manera adecuada los datos personales”, además de las graves consecuencias que esto tiene en una comunidad pequeña como Guernsey. 

 

La empresa ha sido multada con 11,200 euros por no proteger los datos personales.  

 

Mientras que los datos personales afectados no se correspondían con la clasificación de “datos personales de categoría especial”, eran altamente sensibles y privados. Como resultado de la investigación, la ODPA determinó que la empresa habría infringido la normativa aplicable en relación a la cesión ilegítima de datos personales a terceros. La multa también refleja la falta de implicación del responsable y la subestimación del potencial impacto en los interesados afectados. 

 

Conforme a la ODPA, la empresa no ha recurrido la decisión.

 

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.