Amazon podría enfrentarse a una multa

Amazon podría enfrentarse a una multa millonaria presuntas infracciones del RGPD

Amazon podría enfrentarse a una multa de un total de 350 millones de euros por presuntas infracciones del RGPD. 

 

La autoridad de control de Luxemburgo, la CNPD, ha propuesto una multa de mínimo 350 millones de euros para Amazon.com Inc., en relación a varias infracciones del RGPD. El borrador de resolución debe ser primero aprobado por otras autoridades de control europeas a fin de convertirse en definitivo. La decisión final podría requerir de varios meses y, si bien, resultará en una cantidad mayor o menor de la propuesta, tiene el potencial de convertirse en la mayor sanción impuesta por el bloque hasta el momento. A pesar de que se trataría de aproximadamente el 2% de los ingresos netos reportados por la compañía para el año 2020, algunos reguladores europeos consideran que puede no ser suficiente. Las presuntas infracciones están relacionadas con la recogida y uso de datos personales por parte de Amazon. 

 

Las presuntas infracciones cometidas por Amazon estarían relacionadas con la recogida y uso de datos personales por parte de la compañía. 

La propuesta de resolución se ha distribuido entre las autoridades de control de los otros 26 países que componen el bloque. Dado que las oficinas centrales de Amazon se encuentran en el Gran Ducado, la CNPD es la autoridad de control principal para emitir la sanción. Las supuestas infracciones del RGPD conciernen la recogida y uso de datos personales por parte de Amazon, aunque no están vinculadas con su negocio de computación en la nube ni con Amazon Web Services. Meses atrás, algunos antiguos empleados informaron de carencias de cumplimiento en materia de privacidad y seguridad. Conforme a Politico, los tres sujetos fueron entrevistados de manera anónima y se les identificó como antiguos empleados de Amazon con cargos altos, que alarmaron sobre problemas relativos a la seguridad de la información de los consumidores, que no se priorizaba como se debía. No se pudo sin embargo desvelar más detalles debido al estado de la investigación. 

 

De acuerdo a la información proporcionada por los antiguos empleados, los datos almacenados por Amazon están expuestos a riesgos, pues hay una ausencia de información y claridad respecto de los datos que se almacenan, dónde se almacenan y quién puede acceder a ellos. En consecuencia, sería muy difícil para Amazon cumplir con un derecho de acceso ejercido por un consumidor, pues resultaría imposible para la compañía identificar todos los lugares donde se almacena cada pieza de información. Asimismo, el Artículo 17 del RGPD establece que los interesados tienen derecho a solicitar que el responsable elimine todos sus datos personales, lo cual deberá hacerse sin demora. Los representantes de Amazon mantienen que la privacidad de sus consumidores es una prioridad y que cumple con la normativa nacional de todos los países donde opera. 

 

Amazon se enfrenta así a lo que sería una multa récord, que podría ser incluso superior una vez que se tome la decisión final. 

 

Aunque la multa propuesta supondría un récord para las autoridades de control de la UE, algunas de ellas consideran que podría no ser suficiente si se toma en cuenta, entre otros factores, el tamaño de la compañía. Conforme al RGPD, se puede imponer por infracciones una multa de hasta el 4% del beneficio annual de la empresa. La sanción propuesta en este caso representa el 2% de los ingresos netos reportados para 2020, que fueron un total de aproximadamente 17,5 billones de euros. Mientras que la decisión final podría imponer una cantidad mayor o menos, el proceso de decisión, que podría extenderse durante varios meses, tiene el potencial de doblar dicha cifra. Esta propuesta de resolución es tan sólo una de las muchas acciones formales que se están tomando contra gigantes tecnológicos como Amazon. La autoridad de control de Irlanda ha comunicado también su intención de iniciar investigaciones contra otras empresas de este tipo, lo que podría afectar a Facebook, Google o Apple, que también tienen sus oficinas centrales en Irlanda. 

 


¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. ¿Operas de manera internacional y necesitas ayuda con la normativa nacional de cada país? Podemos ayudarte . Infórmate aquí.

Alemania adopta una nueva ley

Alemania adopta una nueva ley sobre protección de datos y privacidad electrónica

Alemania adopta una nueva ley sobre protección de datos y privacidad electrónica en los sectores de telecomunicaciones y servicios de la sociedad de la información.

 

El Parlamento alemán adoptó el mes pasado una nueva ley sobre protección de datos y privacidad en los sectores de telecomunicaciones y servicios de la sociedad de la información. Las leyes que hasta el momento habían regulado estas materias contenían provisiones parciales y contradictorias, lo cual generaba incertidumbre en muchos aspectos. Anteriormente, la regulación de protección de datos y privacidad electrónica se encontraba dividida en dos leyes, la Ley de Servicios de la Sociedad de la Información y la Ley de Telecomunicaciones, hasta el pasado 20 de mayo, cuando se aprobó la Ley de Protección de Datos, que pretende unificar la normativa del país en este ámbito y alinearla con el RGPD. Esta ley, conocida como TTDSG, podría sin embargo ser sustituida pronto por el Reglamento ePrivacy, cuyas negociaciones se encuentran en proceso. 

 

La nueva ley implementa la Directiva ePrivacy en relación al uso de cookies en Alemania. 

 

La Directiva ePrivacy, aprobada en 2002 y modificada en 2009, establece que las páginas web están obligadas a recoger el consentimiento informado de los usuarios antes de instalar y utilizar cookies. Así, la nueva normativa alemana implementa estas normas europeas sobre cookies que datan de 2009, y lo hace en consonancia con el RGPD y la jurisprudencia del TJUE del 2019 en Planet49, Caso C-673/17. La ausencia de consentimiento en el uso de cookies es incompatible con la normativa europea, tal y como demuestran diversas sentencias tanto del TJUE como de los tribunales alemanes. Cabe destacar que las últimas modificaciones de la Ley de Telecomunicaciones han sido cuestionadas por la oposición, que alegan que no contiene provisiones suficientes de protección de datos. 

 

El uso y desarrollo de fibra óptica en Alemania se beneficiará de esta nueva ley. 

 

Actualmente Alemania se encuentra a la cola de la mayoría de países europeos en lo que respecta a la implementación de fibra óptica, pues tan sólo el 4.7% de su banda ancha está representado por conexiones de fibra óptica. Muchos países europeos como Suecia, Lituania y España cuentan con unos porcentajes de conexiones de fibra óptica que oscilan entre el 69% y el 75% de la banca ancha. Es importante recordar que la fibra óptica un ancho de banda dedicado, que no se comparte con ningún otro cliente, de forma que generalmente es más rápida y fiable. La Ley de Telecomunicaciones establece claros estándares en lo relativo a los derechos de acceso a internet, basados en “80% de la velocidad de Internet empleada en subida de contenido e información y descargas”, conforme a MP Falko Mohrs. Las modificaciones de la ley no sólo reafirman el derecho de acceso a internet, sino que también contienen una lista de otros servicios, entre los que se incluyen las videoconferencias sin interferencias, que se consideran necesarias para garantizar la capacidad de los ciudadanos a fin de participar en el mundo digital. Con la introducción de este índice de referencia, que se fija y revisa de manera anual en colaboración con la agencia de red del país, Mohrs confía en que se acelerará la implementación de la fibra óptica en Alemania. 

  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. ¿Operas de manera internacional y necesitas ayuda con la normativa nacional de cada país? Podemos ayudarte . Infórmate aquí.

Código de Conducta de la Nube

El CEPD aprueba el Código de Conducta de la Nube para la UE

El CEPD aprueba el Código de Conducta de la Nube para la UE a fin de asegurar que la industria de la nube en Europa cumpla con el RGPD. 

 

La industria de la nube ha aprobado recientemente dos códigos de conducta con el objetivo de que dichos servicios en Europa cumplan con el RGPD. Euractiv ha informado de que el Comité Europeo de Protección de datos (“CEPD”) aprobó el mes pasado dos códigos de conducta para los proveedores de servicios e infraestructura en la nube. La presidenta Andrea Jelinek afirmó que “Apreciamos los esfuerzos realizados por los responsables del código para elaborar los códigos de conducta, los cuales son una herramienta práctica y transparente que reduce costes, asegura una mayor consistencia en el sector e impulsa el cumplimiento con el marco de protección de datos”. Estos dos códigos de conducta son los primeros de este tipo aprobados de manera official por las autoridades de protección de datos, y ofrecerán un plan de acción para el cumplimiento con la regulación de protección de datos en Europa. 

 

Todos los proveedores de servicios en la nube están invitados a unirse al Código de Conducta de la Nube para la UE, que cubre todo el espectro de servicios en la nube. 

 

El nuevo Código de Conducta de la Nube para la UE cubre todo el rango de servicios: software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). El código se ha elaborado junto a diversas autoridades de la Unión Europea, y se dirige a los proveedores de servicios en la nube, con el objetivo tanto de ofrecer orientaciones para su cumplimiento con la normativa de protección de datos como de generar confianza en los consumidores. Existen diferentes opciones de participación según el interés de cada proveedor de servicios en la nube, quienes pueden declarar sus servicios como adheridos al código.  Se espera que éste potencie la transparencia y confianza en el sector de los servicios en la nube europeos. Los dos códigos designarán organismos de control independientes para asegurar su correcta aplicación y desempeñarán auditoría externa y estarán acreditados por la autoridad de protección de datos correspondiente. 

 

Se espera que estos códigos de conducta estimulen la industria de la nube y aporten mayor certeza tanto a las empresas como a los ciudadanos de la UE. 

 

Mientras que sólo el 36% de las empresas utilizan computación en la nube, la incertidumbre en en torno a la aplicabilidad judicial y a la protección de datos se perciben como barreras. Se espera que este importante paso hacia unas orientaciones claras para las empresas europeas solucione estos problemas, dado que los servicios en la nube son cada vez más populares. Como incentivo adicional para las compañías, estas podrán ahora lidiar con el dilema generado por la resolución del caso Schrems II. Aunque estos códigos no pueden usarse en el contexto de transferencias internacionales, los clientes podrán solicitar el almacenamiento de sus datos dentro de la UE. Los ciudadanos de la UE disfrutarán los beneficios de mayor control sobre sus datos personales, transparencia sobre la localización de los datos y certidumbre en cuanto al tratamiento de los mismos.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

nuevas Cláusulas Contractuales Tipo

Se adoptan nuevas Cláusulas Contractuales Tipo para las transferencias internacionales de datos

Las nuevas Cláusulas Contractuales Tipo adoptadas por la Comisión Europea la semana pasada introducen mayores garantías legales y de privacidad para las transferencias internacionales de datos. 

 

Desde que el TJUE emitió el pasado julio su decisión sobre la transferencia de datos fuera de la UE por medio de Cláusulas Contractuales Tipo en el caso Schrems II, estas han sido uno de los principales temas de conversación en este campo. Numerosas empresas emplean SCCs para la transferencia de datos con diversas finalidades, incluidas, entre otras, el almacenamiento de datos, las finanzas y el marketing. Fue el pasado miércoles cuando la Comisión Europea anunció que adoptaría nuevas Cláusulas Contractuales Tipo el viernes 4 de junio. El Comisario Europeo de Justicia Didier Reynders dijo que estas nuevas SCCs “incorporan algunos elementos de  transparencia y rendición de cuentas en absoluto cumplimiento con el RGPD”, y añade que el objetivo es evitar un “Schrems III”. 

 

La Comisión Europea ha adoptado dos conjuntos de Cláusulas Contractuales Tipo que reflejan los nuevos requisitos bajo el RGPD. 

 

Las nuevas SCCs adoptadas por la Comisión Europea para la transferencia de datos a terceros países incorporan detalles de la sentencia del TJUE en el caso Schrems II y ofrecen una mayor practicidad legal para los negocios europeos. Las nuevas SCCs pretenden ayudar a las pequeños y medianas empresas a realizar transferencias de datos en cumplimiento con los requisitos de seguridad. Ofrecen a las compañías una plantilla que es fácil de implementar y permite el libre movimiento de datos entre las fronteras, sin barreras legales. 

 

La Comisión Europea también ha adoptado otro conjunto de Cláusulas Contractuales Tipo para las relaciones entre responsables y encargados dentro de la Unión Europea, conforme al Artículo 28 RGPD.  

 

Las nuevas SCCs son más prácticas y flexibles para cubrir un amplio rango de posibles transferencias.

 

Las nuevas Cláusulas Contractuales Tipo incluyen una perspectiva de los diferentes pasos que las empresas tendrán que implementar conforme con la sentencia del caso Schrems II y lo complementan con ejemplos de posibles medidas complementarias que pueden ser necesarias para asegurar absoluto cumplimiento. Estas medidas complementarias pretenden reforzar la protección de datos en las transferencias de datos a terceros países que no se consideran con un nivel adecuado de protección, e incluyen cifrado y pseudonimización de los datos, que pueden evitar que los mismos se atribuyan a un sujeto específico sin emplear detalles adicionales. Las nuevas SCCs adoptadas por la Comisión Europea cubren un amplio rango de escenarios, todos en una única herramienta práctica.  

 

Se establece un período de transición de 18 meses para los responsables y encargados que estén utilizando las anteriores SCCs. 

Desde la sentencia del TJUE el pasado verano, muchas empresas han estado empleando Cláusulas Contractuales Tipo para facilitar sus transferencias de datos a terceros países. Tras la anulación del EU-US Privacy Shield el pasado julio, el tribunal confirmó la validez de las Cláusulas Contractuales Tipo para la transferencia de datos fuera de la UE. Sin embargo, se señaló también que en muchos casos las SCCs no ofrecían en sí mismas suficiente protección para los datos personales. Estas, ahora antiguas, SCCs se encuentran actualmente en uso por la mayoría de empresas que efectúan transferencias de datos a terceros países. La Comisión Europea ha confirmado que estas SCCs pueden seguir en uso durante los próximos 18 meses, período durante el cual las organizaciones tendrán que efectuar la transición a las nuevas SCCs adoptadas el pasado viernes. 

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPAInfórmate aquí.