Nuevo proyecto de ley

Nuevo proyecto de ley de privacidad en Canadá.

Se espera que el nuevo proyecto de ley de privacidad en Canadá refuerce la protección de la información personal de manera significativa. 

 

Bill C-11, el nuevo proyecto de ley de privacidad en Canadá, también denominado “Ley de Implementación de la Carta Digital, 2020” ofrecerá a los canadienses un mayor control y transparencia cuando las empresas traten sus datos personales, y, por tanto, se espera así que se refuerce la protección de la información personal. Esta ley pretende reformular todo el marco de privacidad actual en Canadá. Tras la sentencia del TJUE en el caso “Schrems II” y con Estados Unidos revisando sus propia legislación de privacidad federal, los flujos de datos internacionales se encuentran en un momento delicado que podría motivar la introducción de nueva normativa en este sentido.  

 

El proyecto de ley fue presentado por el Ministro de Ciencias de la Información y Desarrollo Económico, Navdeep Bains, quien destacó la importancia de interoperabilidad con la normativa de Europa y de Estados Unidos. 

 

El Presidente de la Autoridad de Registro de Internet canadiense, Byron Holland, aplaudió el proyecto de ley y afirmó «Las empresas que tratan cantidades masivas de datos personales deben ser responsables de protegerlos, ofrecer transparencia sobre los usos y finalidades y afrontar las consecuencias reales en caso de que  traicionen la confianza de sus usuarios”. El Ministro de Ciencias de la Información y Desarrollo Económico, Navdeep Bains indicó que «Dado el aumento progresivo de los canadienses en la tecnología, necesitamos un sistema por el cual los usuarios puedan conocer cómo se usan sus datos y qué control pueden ejercer sobre el tratamiento de los mismos… A fin de que Canadá tenga éxito y nuestras empresas pueden innovar en esta nueva realidad, necesitamos un sistema que se construya sobre la confianza, con normas claras y su respectiva imposición”. También señaló la importancia de la interoperabilidad de la normativa canadiense con la de Europa y la de Estados Unidos. 

 

La nueva ley de privacidad en Canadá, si se aprueba, podría traer cambios significativos, incluida la posibilidad de multas elevadas a aquellas empresas que la infrinjan. 

 

Si se aprueba la ley, se podrían imponer multas que alcanzarían la cantidad más alta entre el 5% del beneficio global o 25 millones de dólares canadienses, a aquellas empresas que la infrinjan. La Bill C-11 también incluye la Ley del Tribunal de Protección de la Privacidad y la Información Personal y la Ley de Privacidad del Consumidor. Esta ley también otorgaría al comisionado de privacidad federal el poder de emitir órdenes, incluida la habilidad para obligar a una organización a cumplir or imponer que deje de recoger o tratar datos personales.

 

La Ley de Implementación de la Carta Digital se centra en algunos principios clave, incluida la transparencia de los algoritmos, la movilidad de los datos, los datos anonimizados o pseudonimizados, la retirada de consentimiento y la eliminación de información personal.

La nueva Ley de Implementación de la Carta Digital se centra en algunos principios clave, incluida la transparencia de los algoritmos, la movilidad de los datos, los datos anonimizados o pseudonimizados, la retirada de consentimiento y la eliminación de información personal. En

este documento se aclaran en detalle algunas de las principales cuestiones alrededor de la Ley de Implementación de la Carta Digital, incluido el hecho sobre cómo esta nueva legislación podría promover un entorno digital sólido en Canadá. 

 

¿Necesitas asesoramiento con el RGPD o la CCPA? Aphaia ofrece servicios de adaptación al RGPD y a la CCPA, incluido evaluaciones de impacto y Delegado de Protección de Datos

La ICO multa a Ticketmaster

La ICO multa a Ticketmaster UK con 1,39 millones de euros tras un ciberataque a su chatbot.

La ICO multa a Ticketmaster UK con 1,39 millones de euros bajo el RGPD, por no impedir un ciberataque a su chatbot. 

 

La ICO ha multado a Ticketmaster UK en relación a una brecha de seguridad que potencialmente habría afectado a nueve millones de consumidores a lo largo de toda Europa. El ataque se instrumentó por medio del chatbot que la empresa utilizaba en su página de pago. La falta de protección de los datos de sus clientes supone una infracción del RGPD por parte de la compañía. 

 

En febrero de 2018, varios clientes de Monzo informaron de una serie de transacciones fraudulentas. También se recibieron quejas similares de Barclaycard, MasterCard y American Express. Nueve semanas después de dichas alteras, Ticketmaster comenzó a monitorizar el tráfico de red en su página de pago. Así, la brecha comenzó en febrero de 2018, pero la multa se vincula con el período que comienza el 25 de mayo de 2018, tras la implementación de las nuevas normas bajo el RGPD.  

 

Esta brecha de seguridad afectó potencialmente a millones de consumidores que vieron comprometida su información de pago. 

 

La brecha incluía nombres, números de tarjeta, fechas de expiración y números de CVV y habría potencialmente afectado a 9,4 millones de clientes de Ticketmaster en toda Europa, 1,5 millones de los cuales serían de Reino Unido. Las investigaciones destaparon que, como resultados de la brecha, unas 60.000 tarjetas de crédito de clientes de Barclays se sometieron a fraude. Otras 6.000 tarjetas fueron reemplazadas por Monzo debido a sospecha de uso fraudulento.  

La ICO descubrió que no se implementaron las medidas de seguridad necesarias para proteger los datos de los consumidores. 

La investigación de la ICO reveló que la decisión de Ticketmaster de incluir un chatbot, ofrecido por un tercero, en su página de pago permitió que el atacante accediese a los detalles financieros de sus consumidores. El Vicepresidente de la ICO, James Dipple-Johnstone, afirmó que “Ticketmaster debería haber hecho más para reducir el riesgo de un ciberataque. No hacerlo ha conducido a que millones de personas en Reino Unido y en toda Europa hayan sido expuestas a un posible fraude”. La ICO concluyó que Ticketmaster no valoró los riesgos de utilizar un chatbot en su página de pago y en consecuencia no seleccionó ni implementó a tiempo las medidas adecuadas para evitarlos e identificar la fuente de la actividad fraudulenta. La ICO envió a Ticketmaster UK una notificación de multa el 7 de febrero de 2020. 

La multa de la ICO a Ticketmaster se impone de parte de todas las autoridades de control europeas y toma en consideración el impacto de la pandemia del COVID-19. 

Puesto que la brecha ocurrió antes de que Reino Unido saliese de la Unión Europea, la ICO ha actuado como la autoridad de control principal. La ICO complete el proceso recogido en el Artículo 60 del RGPD antes de proceder con la sanción. Este artículo establece que la autoridad de control principal deberá coordinar con otras autoridades de control interesadas en un esfuerzo de alcanzar un consenso. El proceso incluía entregar un borrador de la decisión al resto de autoridades de control para recoger su opinión y tomar sus comentarios en consideración. En la imposición de la multa la ICO no sólo ha tenido en cuenta la asequibilidad de la misma, sino también el impacto económico del COVID-19, entre otros factores. 

La información ofrecida por la ICO a este respecto está disponible en su página web. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La AEPD aprueba

La AEPD aprueba el primer código de conducta bajo el RGPD.

El primer código de conducta aprobado bajo el RGPD viene de la mano de la AEPD.

 

La AEPD ha aprobado el primer Código de conducta bajo el RGPD en conformidad con los artículos 40 y 41 del RGPD y 38 de la LOPDGDD. El Código de Conducta para el Tratamiento de Datos en la Actividad Publicitaría ha sido presentado en colaboración con Autocontrol (Asociación para la Autorregulación de la Comunicación Comercial), el organismo independiente de autorregulación y supervisión publicitaria. 

 

El primer código de conducta bajo el RGPD, aprobado por la AEPD, recoge el tratamiento de datos para fines publicitarios. 

 

El RGPD establece que las autoridades de control promoverán el uso de códigos de conducta con el objetivo de contribuir a la correcta aplicación de la regulación, en consideración de las características específicas de los diferentes sectores y las necesidades particulares de microempresas y PyMes. Este Código, presentado por Autocontrol, se aplica al tratamiento de datos con fines publicitarios llevado a cabo por empresas adheridas, lo que incluye el envío de comunicaciones comerciales y promociones destinadas a recoger datos con fines publicitarios, así como uso de cookies y tecnologías similares con el objetivo de gestionar espacios publicitarios y también cuando se efectúe publicidad comportamental y elaboración de perfiles con fines publicitarios. 

 

Autocontrol es un organismo de autorregulación y supervisión de la industria publicitaria en España, constituido en 1995 como asociación sin ánimo de lucro. Su objetivo es velar por una publicidad responsable, esto decir, veraz, legal, honesta y leal. Autocontrol está integrado por anunciantes, agencias de publicidad, medios de comunicación y asociaciones profesionales, con el objetivo de trabajar hacia una publicidad responsable. 

 

El Código se aplicará únicamente a los tratamientos: 1) llevados a cabo en el contexto de las actividades de tratamiento de entidades adheridas establecidas en territorio español o 2) que afecten a interesados que residan en España, siempre que estén relacionados con la oferta de bienes o servicios a dichos interesados en España, o el control de su comportamiento en España.

El Código comprende la información que se le debe ofrecer a los interesados cuando se recogen sus datos personales. 

 

Conforme al Código, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y, cuando corresponda, portabilidad, en relación al tratamiento de datos con fines de actividades publicitarias.  El responsable deberá informar a los interesados sobre el tratamiento de sus datos y ofrecer información específica, en concreto la recogida en los artículos 13 y 14 del RGPD, en función de si los datos se obtienen directamente del interesados o por medio de terceros. Además, el responsable deberá informar a los interesados sobre su derecho de oposición al uso de sus datos con finalidad de marketing directo en el momento de la recogida de los mismos. El uso de cookies y herramientas similares quedará sujeto a las provisiones de la LSSI.  

 

El Código crea un Jurado de la Publicidad que actuará en representación de la AEPD en los asuntos relativos a la publicidad y el marketing. 

 

Autocontrol ha implementado también un sistema extrajudicial de resolución de conflictos para tartar aquellas disputas que surjan entre el responsable del tratamiento y los interesados en relación a los tratamientos de datos con fines publicitarios. En cuanto a las funciones de la AEPD como la autoridad de control competente, el Jurado de la Publicidad actuará como el organismo supervisor de las disposiciones de este Código. Cuando el Jurado de la Publicidad declare que se ha infringido el código, impondrá las sanciones oportunas en consonancia con las disposiciones relevantes. 

 

Anualmente, la Secretaría del Jurado de la Publicidad elaborará un informe estadístico para cada entidad adherida con los datos relevantes de la actividad generada por dicha entidad, incluyendo tanto datos relativos a las mediaciones como a las resoluciones del Jurado de la Publicidad. La Secretaría del Jurado de la Publicidad también elaborará un informe estadístico colectivo anual que facilitará a la Agencia Española de Protección de Datos.

 

El Código está asimismo disponible en la página web de Autocontrol.

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.

 

Multa a una empresa

Multa a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible.

Multa de 11,000 euros a una empresa de la isla de Guernsey por compartir información altamente confidencial y sensible a través de email y correo postal. 

 

La empresa Trinity Chambers LLP envió detalles privados sobre un interesado y su familia a través de email y correo postal. La autoridad de control correspondiente, ODPA, ha publicado recientemente un comunicado con información sobre este caso. 

 

La investigación descubrió que se compartió información sensible sobre el sujeto y su familia debido a un error humano continuado. 

 

La investigación tuvo lugar tras la presentación de una queja al respecto, la cual alegaba una cesión ilegítima de datos personales como consecuencia de un error humano continuado. Conforme al informe, una brecha de seguridad habría permitido el acceso a los datos de terceras partes no relacionadas. Se averiguó que Trinity Chambers LLP envió archivos que incluían información altamente sensible y confidencial a través de email y correo postal, sin la apropiadas medidas de seguridad. Terceros no relacionados que no eran conscientes de la naturaleza sensible del contenido accedieron sin querer al mismo.

 

La multa se ha impuesto con intención de reflejar la gravedad de las consecuencias de la brecha de seguridad. 

 

La presidenta de la ODPA, Emma Martins, afirmó que la ODPA estaba decepcionada con la respuesta de la empresa. Indicó que “Hay poca evidencia de que el responsable de los datos en este caso considerase de manera oportuna el impacto de la brecha de seguridad en los interesados”.  Y añadió que la multa pretende reflejar “la seriedad del suceso y el impacto de no proteger de manera adecuada los datos personales”, además de las graves consecuencias que esto tiene en una comunidad pequeña como Guernsey. 

 

La empresa ha sido multada con 11,200 euros por no proteger los datos personales.  

 

Mientras que los datos personales afectados no se correspondían con la clasificación de “datos personales de categoría especial”, eran altamente sensibles y privados. Como resultado de la investigación, la ODPA determinó que la empresa habría infringido la normativa aplicable en relación a la cesión ilegítima de datos personales a terceros. La multa también refleja la falta de implicación del responsable y la subestimación del potencial impacto en los interesados afectados. 

 

Conforme a la ODPA, la empresa no ha recurrido la decisión.

 

¿Has aplicado todas las medidas para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDDevaluaciones de impacto y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.