Multa a una empresa

Multa a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible.

Multa de 11,000 euros a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible a través de email y correo postal. 

 

La empresa Trinity Chambers LLP envió detalles privados sobre un interesado y su familia a través de email y correo postal. La autoridad de control correspondiente, ODPA, ha publicado recientemente un comunicado con información sobre este caso. 

 

La investigación descubrió que se compartió información sensible sobre el sujeto y su familia debido a un error humano continuado. 

 

La investigación tuvo lugar tras la presentación de una queja al respecto, la cual alegaba una cesión ilegítima de datos personales como consecuencia de un error humano continuado. Conforme al informe, una brecha de seguridad habría permitido el acceso a los datos de terceras partes no relacionadas. Se averiguó que Trinity Chambers LLP envió archivos que incluían información altamente sensible y confidencial a través de email y correo postal, sin la apropiadas medidas de seguridad. Terceros no relacionados que no eran conscientes de la naturaleza sensible del contenido accedieron sin querer al mismo.

 

La multa se ha impuesto con intención de reflejar la gravedad de las consecuencias de la brecha de seguridad. 

 

La presidenta de la ODPA, Emma Martins, afirmó que la ODPA estaba decepcionada con la respuesta de la empresa. Indicó que “Hay poca evidencia de que el responsable de los datos en este caso considerase de manera oportuna el impacto de la brecha de seguridad en los interesados”.  Y añadió que la multa pretende reflejar “la seriedad del suceso y el impacto de no proteger de manera adecuada los datos personales”, además de las graves consecuencias que esto tiene en una comunidad pequeña como Guernsey. 

 

La empresa ha sido multada con 11,200 euros por no proteger los datos personales.  

 

Mientras que los datos personales afectados no se correspondían con la clasificación de “datos personales de categoría especial”, eran altamente sensibles y privados. Como resultado de la investigación, la ODPA determinó que la empresa habría infringido la normativa aplicable en relación a la cesión ilegítima de datos personales a terceros. La multa también refleja la falta de implicación del responsable y la subestimación del potencial impacto en los interesados afectados. 

 

Conforme a la ODPA, la empresa no ha recurrido la decisión.

 

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Una sentencia reciente

Una sentencia reciente del Tribunal de Justicia de la Unión Europea interpreta por primera vez las normas sobre neutralidad de red.

Una sentencia reciente del Tribunal de Justicia de la Unión Europea, en relación a un caso contra la compañía de telecomunicaciones Telenor, interpreta por primera vez las normas sobre neutralidad de red. 

La sentencia del TJUE se emite después de que la la Autoridad Nacional de Medios de Comunicación e Información de Hungría declarase que los paquetes ‘tarifa cero’ ofrecidos por Telenor, operador de telecomunicaciones húngaro, incumplía el artículo 3 (3) del Reglamento 2015/2120, en relación a la obligación de tratamiento no discriminatorio en el tráfico de internet o la obligación de garantizar la denominada ‘neutralidad de red’, como es más conocida.

No se podrán aplicar restricciones ni accesos especiales con motivo del paquete de internet contratado. 

Esta sentencia impedirá que Telenor ofrezca estos paquetes de manera separada, y por tanto todas las aplicaciones tendrán que recibir el mismo trato bajo la ley. No se podrán ofrecer restricciones ni accesos especiales con motive del paquete de internet contratado. El TJUE ha considerado que, a fin de lograr esto, la aplicación del Artículo 3.2 conllevará que estas políticas implementadas por las compañías estén sujetas a revisión por parte de las autoridades nacionales y los tribunales a fin de garantizar la neutralidad de red y una práctica legítima. 

Estas políticas de planes de datos crea ventajas de mercado desleales e infringen los derechos del usuario final. 

La competencia desleal que implica el hecho de que sólo algunas apps se vean limitadas mientras que otras sean consideradas de ‘tarifa cero’ infringe el concepto de internet abierto y desvía el mercado hacia estas aplicaciones, lo cual afecta de manera significativa, pues el uso de aplicaciones que no sean catalogadas como ‘tarifa cero’ derivará en un mayor gasto en servicios o en una limitación del acceso a internet, lo cual infringe de manera clara los derechos el usuario final y por tanto los acuerdos y contratos del operador tendrán que ser revisados para incluir todas las aplicaciones.  

El Artículo 3 (3) indica que el bloqueo o la limitación de una app puede ser de algún modo factible si hay detrás una razón objetiva o técnica, sobre la base de que se hace de manera justa. Este no fue sin embargo el caso de Telenor, cuyas motivaciones eran estrictamente comerciales y financieras. 

La finalidad de la neutralidad de red es eliminar cualquier tipo de ventaja innecesaria que se otorga o limita a empresas o usuarios finales.  

Tras esta sentencia del TJUE, serán los tribunales nacionales de Hungría los que tengan que emitir el fallo final, que no tiene por qué corresponderse de manera exacta con lo emitido a nivel europeo. Sin embargo, se espera que la decision final se base en dichas recomendaciones prácticamente en su totalidad. La neutralidad de red pretende garantizar que no se otorgan o limitan ventajas innecesarias a las empresas o usuarios finales, respectivamente. A fin de lograrlo, una revisión constante de las prácticas de empresas como Telenor se enmarca dentro de la normativa para proporcionar así un marco de cambio regulado, además de un equilibro dentro de los Estados Miembro en relación a la protección del consumidor y la libertad comercial.  

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, afirma que «Mientras que la tarifa cero no resulta en una discriminación tecnológica del tráfico en tanto en cuanto el usuario aún no ha consumido los datos de su tarifa, la sentencia del TJUE señala con acierto que dicha discriminación será lo que suceda después de que se haya alcanzado el límite del plan contratado”.

¿Te preocupa cómo esta sentencia puede afectar a tu negocio de telecomunicaciones? Aphaia ofrece asesoramiento en política y regulación de las telecomunicaciones a algunos de los mayores operadores del mundo. Asimismo, Aphaia cuenta con servicios de evaluaciones de impacto ,  subcontratación del Delegado de Protección de Datos ,   consultoría para el RGPD, la LOPDGDD y la CCPA y evaluaciones de la ética de la IAPídenos más información. 

anulación del EU-US Privacy Shield

Implicaciones prácticas de la anulación del EU-US Privacy Shield

El pasado 16 de julio, el Tribunal de Justicia de la UE publicó su sentencia en el conocido caso “Schrems II”, relativa a la anulación del EU-US Privacy Shield y confirmación de la validez de las Cláusulas Contractuales Tipo, aunque con algunas consideraciones. 

Después de que el abogado general del TJUE Henrik Saugmandsgaardøe publicase en enero su opinión sobre el caso Schrems II, ahora el TJUE ha emitido el fallo definitivo al respecto, procediendo a la anulación del Privacy Shield, y declara que las Cláusulas Contractuales Tipo continúan siendo válidas, si bien su uso se supedita al cumplimiento de una serie de condiciones.

¿Qué ha dicho el Tribunal?

Son dos las conclusiones principales que se derivan de la decisión del TJUE: 

1.El EU-US Privacy Shield ya no es un mecanismo válido para la transferencia de datos personales entre Europa y Estados Unidos. 

El EU-US Privacy Shield ha sido anulado con efectos inmediatos, y la principal razón en la que se ha basado el TJUE para ello es la existencia de los programas de vigilancia en Estados Unidos. Conforme al TJUE, los programas de vigilancia de Estados Unidos no se limitan a lo que es estrictamente necesario ni se llevan a cabo conforme al principio de proporcionalidad, como exige la ley europea, y además no hay medios efectivos en los Estados Unidos para asegurar cumplimiento con las provisiones de la ley europea cuando los datos de ciudadanos europeos se emplean con fines de vigilancia nacional. 

2. Las Cláusulas Contractuales Tipo continúan siendo válidas, pero con algunas importantes advertencias.

Ya no es suficiente con que el exportador y el importador de los datos lleguen a un acuerdo firmado, pues ahora la parte que exporta debe realizar una evaluación de hecho para comprobar si en la práctica se puede, efectivamente, cumplir con dicho contrato. Las empresas deberán, caso por caso, verificar si la ley del país receptor asegura una debida protección de los datos personales que sean transferidos bajo las Cláusulas Contractuales Tipo. Cuando no sea así, como ocurre con Estados Unidos, se deberán aplicar medidas y garantías adicionales a fin de alcanzar dicho nivel de protección.  En caso contrario, la transferencia deberá cesar. 

Las autoridades de control nacionales podrán suspender o prohibir las transferencias de datos a terceros países si no se puede garantizar la debida protección. Según las conclusiones del TJUE en relación con el Privacy Shield, parece difícil que las autoridades puedan evitar proceder en dicho sentido en lo que a las transferencias a Estados Unidos se refiere. La respuesta de las autoridades de control nacionales a esta decision del TJUE están todavía por ver.  

¿Qué dice el EDPS?

El  17 de julio, tras la sentencia del TJUE, el Supervisor Europeo de Protección de Datos (EDPS) que, junto al Comité Europeo de Protección de Datos (EDPB) había ya transmitido sus críticas sobre el Privacy Shield, lanzó un comunicado para apoyar la decision del Tribunal acerca de la importancia de mantener un alto nivel de protección de los datos personales que se transfieren a terceros países desde Europa. Sin embargo, también manifestó que confía en que “los Estados Unidos desplegarán todos sus esfuerzos y medios para avanzar hacia un marco integral de protección de datos y privacidad que cumpla con los requisitos de salvaguardas adecuadas exigidos por el Tribunal”. 

¿Qué dicen los gobiernos de los Países Miembro?

No todos se han pronunciado al respecto aún. Algunas autoridades de control, como la Irish Data Protection Commissioner y tres de Alemania (Federal DPA, DPA of Hamburg and DPA of Rheinland-Pfalz) han hecho ya públicas sus declaraciones. Se espera que las autoridades de control de otros Países Miembro procedan de forma similar pronto. 

En algunos casos las autoridades de control no han intervenido todavía pero sí lo ha hecho el Gobierno. Por ejemplo, el Gobierno de Reino Unido se ha mostrado a favor de la validez de las Cláusulas Contractuales Tipo. En su respuesta, señalan su compromiso “para asegurar altos estándares de protección de datos y apoyar a las organizaciones británicas en todo lo relacionado con las transferencias internacionales de datos”. Asimismo han anunciado que están trabajando junto a la ICO y otros equivalentes internacionales con la finalidad de abordar el impacto de la sentencia y ofrecer pronto unas guías actualizadas sobre la transferencia internacional de datos personales. 

¿Qué debería hacer ahora en relación con las transferencias de datos personales entre Europa y Estados Unidos?

Si estabas usando como base el Privacy Shield:

  • No firmes ningún nuevo acuerdo que se base en el Privacy Shield.
  • Revisa todos tus contratos actuales, especialmente aquellos más antiguos, tanto con tus proveedores como con tus clientes y cualquier tercera parte o encargado del tratamiento, a fin de identificar aquellos que se rigen por el Privacy Shield. Modifícalos para añadir Cláusulas Contractuales Tipo o cualquiera de las otras salvaguardas recogidas en el RGPD para las transferencias internacionales de datos. 

Si usas como base las Cláusulas Contractuales Tipo: 

Aunque se espera que la AEPD y otras autoridades de control europeas elaboren unas orientaciones detalladas pronto, conforme al TJUE se debería hacer lo siguiente cuando se transfieran datos personales a terceros países usando las Cláusulas Contractuales Tipo como mecanismo: 

  • Asegúrate de que se implementan de manera efectiva las medidas de seguridad y técnicas que garantizan un nivel adecuado de protección de los datos personales. Puede que necesites revisar las medidas que se aplican por el importador de los datos, o al menos recibir información detallada al respecto, y evaluar si son necesarias otras medidas adicionales para reforzar la seguridad, como tokenización o encriptado.  
  • Refuerza tus procesos de accountability o rendición de cuentas. No te limites a firmar un anexo en tus contratos donde añadas las Cláusulas Contractuales Tipo, sino analiza en detalle las medidas de seguridad reales y otros mecanismos empleados por el importador, además de la situación actual en el país de destino, especialmente en lo que concierne a la vigilancia. 

¿Qué podemos esperar en el futuro próximo?

Se espera que tanto la Comisión Europea como el Comité Europeo de Protección de Datos elaboren una serie de orientaciones en las próximas semanas. Aparte, la UE podría decidir renegociar una nueva versión del Privacy Shield que proporcione a los interesados unos derechos de privacidad reforzados bajo las leyes de vigilancia de Estados Unidos. Del mismo modo que el Privacy Shield fue aprobado diez meses después de que se anulase el Safe Harbor, ahora se podría dar lugar a un nuevo mecanismo que aborde las preocupaciones destacadas por el TJUE. Por otro lado, las Cláusulas Contractuales Tipo podrían ser pronto adaptadas a los requisitos del RGPD.  

¿Realizas transferencias internacionales de datos a terceros países? ¿Te afecta la Sentencia del caso “Schrems II”? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

EasyJet Customers Hacked

EasyJet sufre un ataque masivo que afecta a 9 millones de consumidores

EasyJet revela que nueve millones de consumidores se han visto afectados por un “sofisticado ciberataque”. 

 

Los datos de nueve millones de consumidores de EasyJet se han visto comprometidos tras un ataque, conforme a un reciente artículo de la BBC. En enero de este año EasyJet descubrió un ciberataque que alcanzó a nueve millones de consumidores, y que ha hecho público ahora según el consejo de la ICO, a fin de minimizar los efectos de posibles intentos de phishing. Hasta ahora se sabe que los datos robados incluyen detalles de los viajes y 2.208 también han visto expuestos los datos de sus tarjetas de crédito. 

 

Aunque la investigación está todavía en curso, EasyJet informó a la BBC que hasta abril no pudieron identificar a los consumidores afectados. 

 

«Esto fue un ataque muy sofisticado. Llevó mucho tiempo entender el alcance e identificar el impacto. No pudimos informar a la gente hasta que la investigación progresó lo suficiente para ser capaces de identificar a los consumidores afectados y la información comprometida”, en palabras de EasyJet recogidas por la BBC. 

 

Por el momento, EasyJet no ha encontrado ninguna evidencia de que se haya hecho un uso malicioso de la información, aunque la ICO está investigando el incidente y podría tomar acciones en consecuencia. Se debería tener en cuenta que, independientemente de cómo los hackers usen los datos personales comprometidos, el riesgo para los derechos y libertades que el ataque implica juega un papel esencial para evaluar las consecuencias y decidir las medidas que deberían implementarse. 

 

¿Cuál debería ser la respuesta de EasyJet tras el incidente? 

 

Los pasos que han de tomarse tras descubrir una brecha de seguridad son los siguientes: 

  • Aplcar las medidas necesarias para contener la brecha.
  • Informar al DPO.
  • Evaluar el riesgo de la brecha e identificar elementos relevantesc omo las categorías de datos y los sujetos afectados ademas de las medidas de mitigación.  
  • Informar del incidente si es necesario.
    • La ICO debería haber sido notificada en el plazo de 72 horas tras descubrir el incidente, salvo que fuese poco probable de resultar en un riesgo para los derechos y las libertades de los sujetos. 
    • Los consumidores deberían ser notificados salvo que EasyJet haya tomado las pertinentes medidas para asegurar que ya no se da la posibilidad de que se materialice el alto riesgo para los derechos y libertades de los sujetos. Esto no se da en este caso, pues datos sensibles como detalles de los viajes y de las tarjetas de créditos se han visto comprometidos y podría derivar en ataques ulteriores como phishing. Por ejemplo, bajo la actual situación de emergencia global, los detalles de viaje podrían incluir información de categorías especiales como datos de salud y confirmación de si la persona es positivo en COVID-19. 
  • Evaluar la respuesta y prevenir futuras brechas de seguridad.

 

Es importante recordar que el motive de la mayor parte de brechas de seguridad reside en un error humano, con lo que ofrecer formación a los empleados es crucial.  

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.