Nuevo proyecto de ley

Nuevo proyecto de ley de privacidad en Canadá.

Se espera que el nuevo proyecto de ley de privacidad en Canadá refuerce la protección de la información personal de manera significativa. 

Bill C-11, el nuevo proyecto de ley de privacidad en Canadá, también denominado “Ley de Implementación de la Carta Digital, 2020” ofrecerá a los canadienses un mayor control y transparencia cuando las empresas traten sus datos personales, y, por tanto, se espera así que se refuerce la protección de la información personal. Esta ley pretende reformular todo el marco de privacidad actual en Canadá. Tras la sentencia del TJUE en el caso “Schrems II” y con Estados Unidos revisando sus propia legislación de privacidad federal, los flujos de datos internacionales se encuentran en un momento delicado que podría motivar la introducción de nueva normativa en este sentido.  

El proyecto de ley fue presentado por el Ministro de Ciencias de la Información y Desarrollo Económico, Navdeep Bains, quien destacó la importancia de interoperabilidad con la normativa de Europa y de Estados Unidos. 

El Presidente de la Autoridad de Registro de Internet canadiense, Byron Holland, aplaudió el proyecto de ley y afirmó «Las empresas que tratan cantidades masivas de datos personales deben ser responsables de protegerlos, ofrecer transparencia sobre los usos y finalidades y afrontar las consecuencias reales en caso de que  traicionen la confianza de sus usuarios”. El Ministro de Ciencias de la Información y Desarrollo Económico, Navdeep Bains indicó que «Dado el aumento progresivo de los canadienses en la tecnología, necesitamos un sistema por el cual los usuarios puedan conocer cómo se usan sus datos y qué control pueden ejercer sobre el tratamiento de los mismos… A fin de que Canadá tenga éxito y nuestras empresas pueden innovar en esta nueva realidad, necesitamos un sistema que se construya sobre la confianza, con normas claras y su respectiva imposición”. También señaló la importancia de la interoperabilidad de la normativa canadiense con la de Europa y la de Estados Unidos. 

La nueva ley de privacidad en Canadá, si se aprueba, podría traer cambios significativos, incluida la posibilidad de multas elevadas a aquellas empresas que la infrinjan. 

Si se aprueba la ley, se podrían imponer multas que alcanzarían la cantidad más alta entre el 5% del beneficio global o 25 millones de dólares canadienses, a aquellas empresas que la infrinjan. La Bill C-11 también incluye la Ley del Tribunal de Protección de la Privacidad y la Información Personal y la Ley de Privacidad del Consumidor. Esta ley también otorgaría al comisionado de privacidad federal el poder de emitir órdenes, incluida la habilidad para obligar a una organización a cumplir or imponer que deje de recoger o tratar datos personales.

La Ley de Implementación de la Carta Digital se centra en algunos principios clave, incluida la transparencia de los algoritmos, la movilidad de los datos, los datos anonimizados o pseudonimizados, la retirada de consentimiento y la eliminación de información personal.

La nueva Ley de Implementación de la Carta Digital se centra en algunos principios clave, incluida la transparencia de los algoritmos, la movilidad de los datos, los datos anonimizados o pseudonimizados, la retirada de consentimiento y la eliminación de información personal. En

este documento se aclaran en detalle algunas de las principales cuestiones alrededor de la Ley de Implementación de la Carta Digital, incluido el hecho sobre cómo esta nueva legislación podría promover un entorno digital sólido en Canadá. 

¿Cuál es la relación entre la Ley de Implementación de la Carta Digital, 2020 (DCIA) y el RGPD?

Se habla mucho sobre la interoperabilidad entre la DCIA y el RGPD. Sin embargo, es interesante analizar cuál es la relación entre ambas en cuanto a los principios básicos. La siguiente tabla compara ambas normativas conforme a los principios clave de la DCIA.

Principios DCIA RGPD

Consentimiento válido

Las nuevas normas sobre consentimiento asegurarían que los interesados cuentan con la información suficiente, en un lenguaje claro, que les permitiese tomar decisiones informadas sobre el uso de sus datos personales. Conforme al RGPD, el consentimiento de los interesados debe ser libre, informado, específico e inequívoco. El interesado debe otorgar su consentimiento mediante una clara acción afirmativa.

Movilidad de los datos

El proyecto de ley garantizaría que los interesados pudiesen solicitar la transferencia directa de sus datos de una organización a otra. Por ejemplo, los individuos contarían con el poder de solicitar a su banco que compartan su información personal con otra institución financiera. El derecho a la portabilidad permite a los interesados obtener, reusar, mover, copiar o transferir sus datos personales para finalidades propias a través de diferentes servicios sin afectar a su usabilidad. Sin embargo, este derecho sólo se aplica a la información que el interesado ha entregado al responsable.

Supresión de los datos y retirada del consentimiento

La nueva Carta Digital permitiría a los sujetos solicitar que las organizaciones eliminasen sus datos personales y, en la mayoría de casos, también les permitiría retirar su consentimiento para el uso de sus datos personales. El RGPD garantiza un derecho específico para que los interesados puedan retirar su consentimiento en cualquier momento, y debe ser tan sencillo hacerlo como lo fue otorgarlo, mediante un proceso simple de un solo paso.

Transparencia del algoritmo

Conforme a la DCIA, las empresas tendrían que ser transparentes sobre cómo utilizan sistemas de toma automatizada de decisiones como algoritmos e inteligencia artificial para adoptar predicciones, recomendaciones o decisiones en general. Los sujetos también tendrían el derecho de solicitar a las empresas que expliquen la lógica detrás de una decision específica tomada por dichos sistemas y detallar cómo se obtuvo. El RGPD garantiza a los interesados el derecho derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en ellos o les afecte significativamente de modo similar. Hay algunas excepciones que permiten este tipo de tratamiento, aunque en esos casos se requiere la aplicación de medidas adicionales recogidas en el Artículo 22 del RGPD: “el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”.

Información pseudonimizada

La información personal en la que ciertos identificadores directos como los nombres hayan sido eliminados, deberá protegerse del mismo modo y podrá usarse sin el consentimiento de los sujetos sólo en algunas circunstancias. El artículo 6 (4) (e) permite el tratamiento de datos pseudonimizados para fines distintos de aquel para el que se recogieron, sujeto a algunas condiciones..

¿Necesitas asesoramiento con el RGPD o la CCPA? Aphaia ofrece servicios de adaptación al RGPD y a la CCPA, incluido evaluaciones de impacto y Delegado de Protección de Datos

La AEPD aprueba

La AEPD aprueba el primer código de conducta bajo el RGPD.

El primer código de conducta aprobado bajo el RGPD viene de la mano de la AEPD.

 

La AEPD ha aprobado el primer Código de conducta bajo el RGPD en conformidad con los artículos 40 y 41 del RGPD y 38 de la LOPDGDD. El Código de Conducta para el Tratamiento de Datos en la Actividad Publicitaría ha sido presentado en colaboración con Autocontrol (Asociación para la Autorregulación de la Comunicación Comercial), el organismo independiente de autorregulación y supervisión publicitaria. 

 

El primer código de conducta bajo el RGPD, aprobado por la AEPD, recoge el tratamiento de datos para fines publicitarios. 

 

El RGPD establece que las autoridades de control promoverán el uso de códigos de conducta con el objetivo de contribuir a la correcta aplicación de la regulación, en consideración de las características específicas de los diferentes sectores y las necesidades particulares de microempresas y PyMes. Este Código, presentado por Autocontrol, se aplica al tratamiento de datos con fines publicitarios llevado a cabo por empresas adheridas, lo que incluye el envío de comunicaciones comerciales y promociones destinadas a recoger datos con fines publicitarios, así como uso de cookies y tecnologías similares con el objetivo de gestionar espacios publicitarios y también cuando se efectúe publicidad comportamental y elaboración de perfiles con fines publicitarios. 

 

Autocontrol es un organismo de autorregulación y supervisión de la industria publicitaria en España, constituido en 1995 como asociación sin ánimo de lucro. Su objetivo es velar por una publicidad responsable, esto decir, veraz, legal, honesta y leal. Autocontrol está integrado por anunciantes, agencias de publicidad, medios de comunicación y asociaciones profesionales, con el objetivo de trabajar hacia una publicidad responsable. 

 

El Código se aplicará únicamente a los tratamientos: 1) llevados a cabo en el contexto de las actividades de tratamiento de entidades adheridas establecidas en territorio español o 2) que afecten a interesados que residan en España, siempre que estén relacionados con la oferta de bienes o servicios a dichos interesados en España, o el control de su comportamiento en España.

El Código comprende la información que se le debe ofrecer a los interesados cuando se recogen sus datos personales. 

 

Conforme al Código, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y, cuando corresponda, portabilidad, en relación al tratamiento de datos con fines de actividades publicitarias.  El responsable deberá informar a los interesados sobre el tratamiento de sus datos y ofrecer información específica, en concreto la recogida en los artículos 13 y 14 del RGPD, en función de si los datos se obtienen directamente del interesados o por medio de terceros. Además, el responsable deberá informar a los interesados sobre su derecho de oposición al uso de sus datos con finalidad de marketing directo en el momento de la recogida de los mismos. El uso de cookies y herramientas similares quedará sujeto a las provisiones de la LSSI.  

 

El Código crea un Jurado de la Publicidad que actuará en representación de la AEPD en los asuntos relativos a la publicidad y el marketing. 

 

Autocontrol ha implementado también un sistema extrajudicial de resolución de conflictos para tartar aquellas disputas que surjan entre el responsable del tratamiento y los interesados en relación a los tratamientos de datos con fines publicitarios. En cuanto a las funciones de la AEPD como la autoridad de control competente, el Jurado de la Publicidad actuará como el organismo supervisor de las disposiciones de este Código. Cuando el Jurado de la Publicidad declare que se ha infringido el código, impondrá las sanciones oportunas en consonancia con las disposiciones relevantes. 

 

Anualmente, la Secretaría del Jurado de la Publicidad elaborará un informe estadístico para cada entidad adherida con los datos relevantes de la actividad generada por dicha entidad, incluyendo tanto datos relativos a las mediaciones como a las resoluciones del Jurado de la Publicidad. La Secretaría del Jurado de la Publicidad también elaborará un informe estadístico colectivo anual que facilitará a la Agencia Española de Protección de Datos.

 

El Código está asimismo disponible en la página web de Autocontrol.

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

 

Multa a una empresa

Multa a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible.

Multa de 11,000 euros a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible a través de email y correo postal. 

 

La empresa Trinity Chambers LLP envió detalles privados sobre un interesado y su familia a través de email y correo postal. La autoridad de control correspondiente, ODPA, ha publicado recientemente un comunicado con información sobre este caso. 

 

La investigación descubrió que se compartió información sensible sobre el sujeto y su familia debido a un error humano continuado. 

 

La investigación tuvo lugar tras la presentación de una queja al respecto, la cual alegaba una cesión ilegítima de datos personales como consecuencia de un error humano continuado. Conforme al informe, una brecha de seguridad habría permitido el acceso a los datos de terceras partes no relacionadas. Se averiguó que Trinity Chambers LLP envió archivos que incluían información altamente sensible y confidencial a través de email y correo postal, sin la apropiadas medidas de seguridad. Terceros no relacionados que no eran conscientes de la naturaleza sensible del contenido accedieron sin querer al mismo.

 

La multa se ha impuesto con intención de reflejar la gravedad de las consecuencias de la brecha de seguridad. 

 

La presidenta de la ODPA, Emma Martins, afirmó que la ODPA estaba decepcionada con la respuesta de la empresa. Indicó que “Hay poca evidencia de que el responsable de los datos en este caso considerase de manera oportuna el impacto de la brecha de seguridad en los interesados”.  Y añadió que la multa pretende reflejar “la seriedad del suceso y el impacto de no proteger de manera adecuada los datos personales”, además de las graves consecuencias que esto tiene en una comunidad pequeña como Guernsey. 

 

La empresa ha sido multada con 11,200 euros por no proteger los datos personales.  

 

Mientras que los datos personales afectados no se correspondían con la clasificación de “datos personales de categoría especial”, eran altamente sensibles y privados. Como resultado de la investigación, la ODPA determinó que la empresa habría infringido la normativa aplicable en relación a la cesión ilegítima de datos personales a terceros. La multa también refleja la falta de implicación del responsable y la subestimación del potencial impacto en los interesados afectados. 

 

Conforme a la ODPA, la empresa no ha recurrido la decisión.

 

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

Una investigación sobre el sector

Una investigación sobre el sector de la calificación crediticia en los últimos dos años resulta en medidas coercitivas sobre Experian.

Una investigación sobre el sector de la calificación crediticia con Experian, Equifax y TransUnion en el centro de la misma en relación al tratamiento de datos vinculado a la intermediación de los mismos ha resultado en medidas coercitivas. Así lo comunicaba la ICO en un informe publicado a principios de este mes, el cual incluye extensos detalles sobre la investigación, incluidos los procesos y el marco legal aplicado. 

 

La investigación descubrió que había grandes cantidades de datos que las Agencias de Calificación Crediticia (CRAs) Experian, Equifax y TransUnion estaban tratando sin el conocimiento de los interesados.

 

La investigación de la ICO descubrió que estas tres Agencias de Calificación Crediticia (CRAs) estaban enriqueciendo datos personales y comerciando con ellos sin ofrecer ningún tipo de información al respecto a los interesados. Estos datos personales eran después utilizados por empresas, partidos políticos y organizaciones benéficas para buscar nuevos clientes, elaborar perfiles e identificar a personas que podrían adquirir sus productos y servicios. 

 

La ICO define la intermediación de datos como “la práctica de obtener información sobre los interesados y comerciar con ella, incluido a través de concesiones y licencias a otras empresas o individuos. La información de los interesados normalmente es información agregada de diferentes fuentes o enriquecida de alguna otra forma con el fin de construir perfiles”. La recogida y tratamiento de datos personales sin el conocimiento de los interesados incumple la normativa de protección de datos. 

 

A través de la investigación, la ICO ha descubierto varios incumplimientos de la normativa de protección de datos por parte de cada empresa. 

 

A través de la investigación, la ICO ha descubierto que cada una de las empresas involucradas utilizaba la información no sólo para la función de calificación crediticia, sino también con fines de marketing. Algunas de ellas incluso llevaban a cabo elaboración de perfiles para generar nueva información sobre datos previamente desconocidos de los interesados. 

 

Estas organizaciones tampoco eran transparentes. Mientras que se ofrecía alguna información en sus páginas web, no se explicaban de manera clara los usos a los que se destinaban los datos. Además, se estaban empleando de manera incorrecta algunas bases legitimadoras del tratamiento. 

 

Mientras que las tres empresas incumplieron la normativa de protección de datos, sólo se han impuesto medidas coercitivas sobre Experian, que no mejoraron sus procesos de cumplimiento. 

 

Las tres agencias realizaron mejoras en sus servicios como resultado del trabajo llevado a cabo por la ICO en la investigación. De manera adicional, Equifax y TransUnion retiraron algunos de sus productos y servicios. Por este motivo la ICO decidió no tomar ninguna medida contra ellos. 

 

Aunque Experian también ha realizado algunos avances, la ICO consideró que no había hecho lo suficiente, pues rechazó las recomendaciones de “accountability” o rendición de cuentas proporcionadas por la ICO, y como resultado no facilitó a los interesados la información de privacidad necesaria, ni paró de utilizar sus datos con fines de marketing. 

 

Experian tendrá que realizar los cambios pertinentes en los próximos 9 meses o afrontar nuevas medidas, incluida una posible multa.

 

La ICO decidió emitir un apercibimiento, al considerarlo como la forma más efectiva de conseguir el cumplimiento de la compañía en esta situación. El apercibimiento requiere a Experian realizar todos los cambios necesarios en los próximos 9 meses, sujeto a otro tipo de medidas en caso de no hacerlo, lo cual podría incluir una multa de hasta 20 millones de euros o el 4% de su beneficio anual global. Este apercibimiento de la ICO también insta a Experian a informar a los interesados en consecuencia, y asimismo deberá dejar de destinar a marketing los datos derivados de la sección del negocio de calificación crediticia.

 

¿Has implementado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.