La ICO multa

La ICO multa a dos empresas por el envío de millones de mensajes de texto no solicitados durante la pandemia del COVID-19

La ICO ha impuesto multas a dos empresas por 2,7 millones de mensajes de spam enviados durante la pandemia. 

 

Las dos empresas enviaron un total de 2,7 millones de mensajes de texto de spam entre mayo y julio de 2020, en plena pandemia de COVID-19. Esta práctica resultó en miles de quejas, que alcanzaron un registro de 10.000 en el caso de una de las empresas. Las multas impuestas por la ICO superan los 350.000 € entre ambas empresas.

 

La principal multa la impuso la ICO sobre una empresa del oeste de Sussex, por enviar millones de mensajes de texto no solicitados. 

 

Lead Works, una empresa del oeste de Sussex, incurrió en una multa de más de 250.000 € y una orden de ejecución por parte de la ICO. La compañía envió más de 2,6 millones de mensajes de texto entre el 16 de mayo y el 26 de junio de 2020, sin consentimiento válido, lo cual resultó en más de 10.000 quejas. 

La otra empresa se trata de una compañía líder en gestión de productos financieros y crediticios, que fue multada por enviar mensajes con el objetivo de beneficiarse de la pandemia.

 

Por su parte, Valca Vehicle Ltd, de Manchester, fue sancionada con una multa superior a 80.000 €. La empresa, de nombre comercial ‘Debtquity’, se dedica a la búsqueda de clientes potenciales para productos de gestión de deudas y envió más de 95.000 mensajes de texto entre Junio y Julio de 2020, sin ningún tipo de consentimiento por parte de los receptores de los mismos. Estos mensajes tenían como objetivo personas cuyas finanzas se habían visto perjudicadas por la crisis de salud, y derivó en muchas multas a la ICO.  

Las empresas multadas por la ICO infringieron la normativa nacional que implementa la Directiva ePrivacy, denominada PECR, y, en opinión del Comisionado, intentó beneficiarse de la crisis de salud.  

 

La normativa ePrivacy, y en concreto el artículo 22 de la implementación británica, “the Privacy and Electronic Communications Regulations (PECR)”, prohíbe el envío de comunicaciones no solicitadas por email o SMS, con muy pocas excepciones. Bajo la PECR, la ICO tiene el poder de imponer multas que pueden superar los 500.000 €. Los mensajes enviados por estas empresas hacían referencia a la pandemia y al confinamiento, y, en opinión del Comisionado, tenían un claro objetivo de beneficiarse de la actual crisis sanitaria. 

 

Ambas empresas fueron multadas y requeridas para dejar de enviar dichos mensajes.

 

Andy Curry, el responsable de investigaciones de la ICO, afirmó que “Recientemente hemos impuesto varias multas a empresas que han utilizado la pandemia para lucrarse. Aquellos que piensan que pueden explotar la pandemia de esta forma están equivocados”. Además de las multas, ambas empresas han sido requeridas para dejar de enviar este tipo de mensajes. 

 

¿Tus procesos de marketing cumplen con la normativa de protección de datos y comunicaciones electrónicas? Aphaia ofrece servicios de consultoría para el RGPD, la LSSI y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí. 

La ICO y la Comisión

La ICO y la Comisión Nacional de Privacidad de Filipinas firman un Memorando de Entendimiento

La ICO de UK y la NPC de Filipinas firmaron el Memorando de Entendimiento el pasado 12 de enero.  

La ICO de Reino Unido y la Comisión Nacional de Privacidad de Filipinas (NPC) han firmado recientemente un Memorando de Entendimiento con la intención de reforzar sus relaciones actuales. El Memorando surge como una necesidad ante la naturaleza de la economía globalizada y el desempeño de roles similares en sus respectivos países. Sin embargo, el documento no es legalmente vinculante y no es aplicable cuando el cumplimiento con sus provisiones implique una infracción de las responsabilidades de cualquiera de las partes. Tanto la ICO como la NPC continuarán ejerciendo sus respectivas funciones en relación a la legislación nacional, pero podrían colaborar en casos conjuntos y ayudarse con el cumplimiento de cada normativa, siempre y cuando esto no contravenga la seguridad nacional u otras leyes. 

 

El Memorando de Entendimiento ofrece muchas oportunidades de colaboración y cooperación.  

Este Memorando de Entendimiento firmado entre la ICO y la NPC establece la intención de implementar proyectos de colaboración conjuntos e intercambio de información sobre las mejores prácticas en políticas de protección de datos y formación al respecto. Asimismo se acuerda que ambas partes mantendrán reuniones bilaterales anualmente o conforme se decida. No se compartirán datos personales, aunque la ICO y la NPC pretenden intercambiar información sobre investigaciones potenciales o en curso dentro de sus respectivas jurisdicciones. Entre otras áreas de cooperación, el Memorando también incentiva la investigación conjunta de infracciones internacionales o brechas de seguridad que impliquen a ambos países.

 

El Memorando no impone una obligación de compartir información ni permite la cesión de datos personales. 

El acuerdo no es legalmente vinculante, y ninguna de las partes tiene obligación de cooperar o compartir información, y especialmente cuando se trata de información fuera del alcance del Memorando o que podría comprometer su responsabilidad legal. Mientras que las partes acuerdan compartir información, esto no implica transferencia o propiedad, ni genera derechos ni obligaciones al respecto.  Realmente las partes no tienen intención de compartir información personal, aunque se define este concepto en los términos de la legislación nacional de cada una. Si tanto la ICO como la NPC quiere compartir información y lo considera necesario, como podría ser el caso de una brecha de seguridad trasnacional, se podrá hacer pero esto no deberá de ningún modo afectar al cumplimiento de cada parte con la normativa de protección de datos.  

 

El Memorando se revisará de manera continua, y se resolverá cualquier disputa mediante negociación.  

El Memorando de Entendimiento debe percibirse como una declaración de intenciones, y ya se anticipa que se revisará de manera continua y bianualmente, a fin de resolver cualquier disputa de forma amistosa, mediante el uso de consultas y negociaciones y sin mediación de los tribunales tradicionales. El acuerdo no recoge compromisos legales vinculantes, de modo que cualquier problema que surja debe resolverse por la vía amistosa, con la comunicación del asunto al primer punto de contacto de cada parte y, después del proceso de negociación, el acuerdo podrá modificarse con los cambios acordados por ambas partes, que se introducirán y firmarán en el Memorando. Se espera que los respectivos puntos de contacto mantengan una comunicación abierta para asegurar que el acuerdo permanece efectivo y cumple su propósito. 

 

¿Tienes dudas sobre este nuevo acuerdo que podría afectar a tu empresa? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

ICO insta a las empresas británicas

La ICO insta a las empresas británicas a cumplir con la ley de protección de datos antes de que finalice el período de transición del Brexit.

La ICO insta a las empresas británicas a cumplir con la ley de protección de datos antes de que finalice el período de transición del Brexit, previsto para el 31 de diciembre de 2020.  

 

El 31 de diciembre de 2020 se produce el final del período de transición y Reino Unido abandonará oficialmente Europa. En consecuencia, la ICO insta a las empresas británicas a comprobar y tomar todas las medidas necesarias para asegurar un flujo de datos legítimo entre Europa y Reino Unido. La ICO aconseja que cualquier empresa que reciba datos de Europa o de la Zona Económica Europea (que incluye Europa, Islandia, Noruega y Liechtenstein) empiece cuanto antes a tomar las medidas precisas para adaptarse a la nueva situación sin perjudicar su continuidad. 

 

Muchas PyMEs dependen del flujo de datos para funcionar, y la ICO pretende ayudarlas durante la transición. 

Las normas de protección de datos se aplican siempre que se trate de información que permita de manera directa o indirecta la identificación de clientes, empleados o cualquier otra persona natural. Los registros de recursos humanos, detalles de clientes, información de nóminas, datos de los servicios cloud, todo ello se considera datos personales y probablemente se verán afectados por la nueva situación. La ICO reconoce que la cesión y transferencia de datos personales es esencial para que la mayoría de PyMEs pueden operar con normalidad, y también apunta que, en este sentido, las pequeñas empresas podrían no contar con personal en su equipo específicamente dedicado a protección de datos o con especialistas que les ayuden con las preparaciones necesarias. En consecuencia, la ICO ha publicado una comunicación donde informa a las empresas sobre los pasos que deben tomar antes del uno de enero para asegurar que siguen cumpliendo con la normativa. 

La ICO insta a las empresas británicas a mantener el cumplimiento con la ley nacional de protección de datos (DPA 2018) y el RGPD, así como a comprobar la información sobre privacidad que ofrecen. 

 

Las empresas británicas deberán continuar cumpliendo con el RGPD y la DPA 2018. Sin embargo, en lo que respecta al intercambio de datos entre empresas en Reino Unido y la Unión Europea, a partir del 1 de enero de 2021, las empresas tendrán que asegurar que cuentan con las salvaguardas necesarias para confirmar que dichos flujos son legítimos. La ICO ha recogido algunas orientaciones y recursos en su página web y recomienda a las empresas hacer uso de ello para decidir las acciones que necesitan tomar si tratan datos personales. Además, las empresas deberían revisar su información de privacidad y cualquier otra documentación por los posibles cambios que podrían necesitar hacer antes del final del período de transición. 

 

Para la mayoría de empresas y organizaciones, la ICO sugiere utilizar Cláusulas Contractuales Tipo (SCC) para mantener el flujo de datos con las garantías debidas. 

La comunicación de la ICO sugiere que las Cláusulas Contractuales Tipo o SCCs podrían ser la mejor opción para las empresas que tratan datos personales y quieren asegurar que sus transferencias de datos cumplen con las garantías europeas requeridas. Como las empresas de Reino Unido van a tratarse de manera oficial como responsables o encargados de tratamiento de un tercer país, desde enero las SCCs podrían emplearse como salvaguarda para las transferencias entre responsables y encargados dentro de la UE e internacionalmente. Son así, según la ICO, la mejor opción que las empresas británicas pueden adoptar tras la transición. 

 

¿Realizas transferencias internacionales de datos a terceros países? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

El Servicio de Insolvencia

El Servicio de Insolvencia de Reino Unido inhabilita a un director de marketing por miles de llamadas no solicitadas.

Un director de marketing ha sido inhabilitado seis años por el Servicio de Insolvencia tras realizar 75,500 llamadas no solicitadas.  

 

Un director de marketing de una compañía ha sido inhabilitado para trabajar como director de marketing o desempeñar roles relacionados, de manera directa o indirecta, con la promoción, formación o gestión de una empresa sin el permiso de los tribunales. Durante los próximos seis años no podrá participar en dichas tareas después de que AMS Marketing, la empresa de la que era director, haya infringido la normativa aplicable, que en este caso se trata de la legislación de Privacidad y Comunicaciones Electrónicas. La ICO informa de que el ex-director será inhabilitado durante seis años desde noviembre de 2020. 

 

Tras varias quejas presentadas ante la ICO y el Servicio de Preferencia Telefónica (TPS), el director fue informado de que se le impondría una multa elevada a AMS Marketing.

 

En el período comprendido entre octubre de 2016 y octubre de 2017, TPS recibió 71 quejas sobre llamadas de marketing no solicitadas realizadas por AMS, mientras que la ICO a su vez recibió 32 quejas más. En consecuencia, la empresa fue multada con más de 100,000 euros. La empresa alegó que no usó la lista de TPS, que sería en Reino Unido el equivalente a la Lista Robinson en España, antes de realizar las llamadas a fin de eliminar aquellos números que habían requerido no recibir comunicaciones no solicitadas. La empresa fue llevada ante los tribunals por este motivo en abril de 2019, cuando la multa aún no había sido satisfecha. 

La inhabilitación tuvo lugar después de que el director no impugnase el incumplimiento de la normativa de Privacidad y Comunicaciones Electrónicas por parte de la compañía.  

El ahora ex director se enfrentó a la inhabilitación el 28 de octubre de 2020, cuando no impugnó el incumplimiento que causó la infracción de la normativa de Privacidad y Comunicaciones Electrónicas por parte de la empresa. 

 

La normativa recoge que “Una persona no deberá usar o instigar a usar un servicio público de comunicaciones electrónicas con finalidades de marketing no solicitado cuando (a) el usuario ha notificado previamente que no quiere recibir ese tipo de llamadas en ese número; o (b) el número asignado a dicho usuario está listado en el registro de la regulación 26”. T 

 

La falta de verificación de que los números no estaban incluidos en la lista TPS de aquellos que habían requerido no recibir llamadas no solicitadas es una clara infracción de esta normativa. Como resultado, desde el 18 de noviembre de 2020, el ex director queda inhabilitado para participar en empresas. 

 

La ICO y el Servicio de Insolvencia han trabajado de manera conjunta para solventarlo, desde que la empresa no abonó la multa impuesta por la ICO. 

 

El Servicio de Insolvencia, una agencia gubernamental que se ocupa de las irregularidades financieras y maximiza la rentabilidad para los acreedores, trabajó con la ICO para solventar el problema después de que AMS no pagase la multa por sus actos. Robert Clarke, Jefe Investigador del Servicio de Insolvencia, afirmó que “el director presentó una absoluta indiferencia de la normativa, y gracias al trabajo conjunto con la ICO, hemos impuesto una inhabilitación que refleja la gravedad del asunto. Cuando los directores de una empresa no cumplen con la normativa para proteger al público, nosotros investigamos todas las circunstancias a fondo y tomamos medidas cuando es necesario”. La orden de inhabilitación emitida al ex director le impone una serie de restricciones detalladas aquí

 

¿Necesitas asesoramiento con el RGPD o la LOPDGDD? Aphaia ofrece servicios de adaptación al RGPD, la LOPDGG y a la CCPA, incluidas evaluaciones de impacto y Delegado de Protección de Datos. Contacta con nosotros aquí