El Consejo de la UE acuerda su posición sobre la Ley de Gobernanza de Datos

Se espera que la Ley de Gobernanza de Datos proporcione a la UE una ventaja competitiva en un mundo cada vez más impulsado por datos.

 

En un comunicado emitido el pasado 1 de octubre, el Consejo anunció  que los Estados miembros han acordado un mandato de negociación sobre la propuesta relativa a la Ley de Gobernanza de Datos (LGD). La finalidad de esta ley es promover una serie mecanismos de cesión de datos, que, entre otros aspectos, faciliten la reutilización de determinadas categorías de datos protegidos por el sector público, mejoren la confianza del público en los servicios de intermediación e impulsen el altruismo de datos.

 

La Ley de Gobernanza de Datos promoverá la reutilización de datos del sector público a la vez que se preserva la privacidad y confidencialidad.

 

La LGD complementará la Directiva sobre Datos Abiertos, que no cubre los datos del sector público y creará un mecanismo que permitirá la reutilización segura de determinadas categorías de datos del sector público que están sujetos a derechos de terceros, como datos protegidos por derechos de propiedad intelectual, secreto comercial y datos personales. En consecuencia, los organismos que autoricen esta reutilización necesitarán implementar una serie de medios técnicos que aseguren la privacidad y confidencialidad de la información. La posición del Consejo introduce mayor flexibilidad y respeta las provisiones nacionales existentes de los diferentes Estados Miembro.

 

La LGD promoverá la creación de un nuevo modelo empresarial para la intermediación de datos.

 

Los servicios de intermediación pueden facilitar la cesión de datos mediante la creación de entornos seguros tanto para las empresas como para los sujetos. Este modelo podría canalizarse a través de plataformas digitales y ayudaría a los interesados a ejercer sus derechos bajo el RGPD y garantizar un intercambio de datos con garantías legales. Una opción es diseñar elementos tales como espacios personales de datos o carteras de datos que ofrezcan un control absoluto sobre los mismos a la vez que estos se ceden a las compañías en que cada individuo confía.

 

Los intermediarios tendrían que formar parte de un registro que estuviese accesible a los sujetos, a fin de asegurar su confiabilidad, y sólo podrán utilizar los datos con la finalidad prevista, lo que implica que no se podrán vender ni emplear con una finalidad alternativa. El Consejo también ha aclarado qué empresas pueden ofrecer los servicios de intermediación de datos.

 

El fomento del altruismo de datos es otro de los objetivos de la Ley de Gobernanza de Datos, para permitir a las compañías y sujetos la cesión de datos por el bien común.

 

La propuesta de la LGD busca simplificar la cesión de datos de manera voluntaria para finalidades relevantes para el interés público, como la investigación. Las organizaciones podrán solicitar registrarse para recoger datos con objetivos de interés general, y aquellas que lo hagan serán reconocidas a  tales efectos en todos los Estados Miembro. Se espera que esta medida genere la confianza suficiente para motivar a los sujetos y a las empresas para compartir sus datos, y que estos puedan así usarse en el beneficio de la sociedad. En colaboración con las organizaciones altruistas y las partes implicadas, se desarrollará también un código de conducta al que dichas organizaciones deberían adherirse.

 

 

Se creará un Comité Europeo de Innovación en materia de Datos para asegurar la consistencia de las prácticas entre todas las organizaciones involucradas.

 

La LGD da lugar también a una nueva estructura, el denominado Comité Europeo de Innovación en materia de Datos, que se encargará de mantener la consistencia entre las organizaciones implicadas en la cesión de datos y aconsejará a la Comisión para la mejora de la interoperabilidad de los servicios de inmediación. Además, velará por la coherencia en la tramitación de las solicitudes de datos del sector público. Se espera que todos estos cambios en conjunto impulsen un mayor intercambio de datos mediante la generación de confianza sobre la seguridad y protección de los derechos y libertades.

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Multa a una empresa de Viena por tratamiento ilegítimo de datos bajo el RGPD

Una empresa de Viena se enfrenta a una multa de dos millones de euros por recogida y tratamiento ilegítimo de datos bajo el RGPD. 

 

El operador de programas de fidelidad Unser Ö-Bonus Club GmbH deberá hacer frente a una multa de dos millones de euros por tratamiento ilegítimo de datos. La compañía ha sido acusada de recoger datos de los interesados sin informarles de manera debida sobre las finalidades del tratamiento. Conforme al RGPD, los sujetos han de recibir información suficiente y completa sobre los usos que se les va a dar a sus datos y tener el derecho de decidir no proporcionar su información en caso de estar en desacuerdo. Esta decisión de la autoridad de control de Austria demuestra que las empresas que instan a sus consumidores a aceptar la política de privacidad sin ofrecerles una oportunidad real de leer y comprender los términos quedan expuestas a que se les pueda imponer una multa por no cumplir con la normativa. Cabe asimismo destacar que se les debería preguntar a los interesados si han “leído y comprendido” la política de privacidad, en lugar de solicitarles que la “acepten”, pues esto último queda reservado a aquellos casos en los que la base legítima para el tratamiento sea consentimiento.

 

A pesar de que la empresa sí proporcionaba la política de privacidad, ésta no era fácil de localizar y por tanto se consideró que no informaba de manera adecuada a los usuarios. 

 

La investigación reveló que Unser Ö-Bonus Club GmbH había habilitado un formulario de registro mediante el cual se recogían datos personales, los cuales después eran empleados para crear perfiles para los usuarios. Posteriormente esta información se compartía con empresas de publicidad con finalidades de marketing. Si bien la compañía ponía a disposición de los usuarios una política de privacidad, esta se encontraba situada de tal manera que no se localizaba con facilidad, debajo de las opciones “sí” o “no”.  Se consideró por tanto que este formato no permitía informar de forma plena a los sujetos.  

 

Se concluyó que la empresa había infringido varias provisiones del RGPD. 

 

Se determinó que Unser Ö-Bonus Club GmbH había infringido varios artículos del RGPD así como una serie de recomendaciones y orientaciones, en los campos de recogida de información, consentimiento, tratamiento de datos con finalidad de elaboración de perfiles e incumplimiento continuado tras la admisión de los hechos. Estas violaciones están vinculadas con los Artículos 6, 7, 12 y 13 del RGPD. Conforme al RGPD, las empresas podrán únicamente tratar los datos personales cuando cuentan con una finalidad legítima, y deberán ser capaces de demostrar que han recogido el consentimiento debido cuando este es aplicable. También se tendrá que proporcionar una serie de información sobre el tratamiento en el momento en que se recogen los datos y no se podrá ocultar ningún elemento ni detalle al respecto. 

 

La multa impuesta se vio incrementada por las prácticas continuadas de tratamiento de datos recogidos de manera ilegítima tras admitir las infracciones cometidas. 

 

La compañía continuó tratando los datos recogidos de manera ilegítima aun después de admitir las infracciones cometidas al respecto. Aunque el formulario se modificó para cumplir con los requisitos del RGPD, no dejaron de usarse los datos que se habían recogido por medio del anterior formulario, que había sido considerado inapropiado. La compañía acusó a la autoridad de control de Austria por no informarles de que el uso continuado de dichos datos se consideraba ilegítimo y no ético. Sin embargo, la autoridad de control decidió imponer una multa por dicho incumplimiento de manera separada, lo que hizo que la sanción alcanzase un total de dos millones de euros.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

TikTok multada

TikTok, multada por la autoridad de control de Holanda

 

TikTok se enfrenta a una multa de la autoridad de control de Holanda por no proporcionar a sus usuarios información traducida.

 

TikTok ha sido multada recientemente por la autoridad de control de Holanda, según informa el CEPD. Tras una investigación efectuada sobre aplicaciones de uso común entre los menores, se descubrió que la información proporcionada por TikTok en el momento de la descarga e instalación, entre lo que se incluye la política de privacidad, se encontraba en inglés. En consecuencia, la falta de una version en el idioma holandés viola los derechos de los usuarios, pues no se les está ofreciendo información clara y comprensible sobre el tratamiento de sus datos personales, lo que es en sí mismo una infracción de la normativa de protección de datos. La multa impuesta a TikTok por estos hechos asciende a 750.000€, la cual ya ha sido recurrida por la compañía.

 

TikTok, multada por la autoridad de control de Holanda y ahora también investigada por la autoridad de control de Irlanda tras establecer allí su sede.

 

Esta multa inicial fue impuesta por la autoridad de control de Holanda en un momento en el que TikTok no tenía sede en Europa. Ahora, con ésta operativa en Irlanda, será la autoridad de control de Irlanda quien tendrá que llevar a cabo cualquier investigación sucesiva derivada de estos hechos. La autoridad de control de Holanda sólo puede ya evaluar la infracción relacionada con la traducción de la política de privacidad, que ya había sido solventada cuando se estableció la sede en Irlanda. Cuando las empresas no cuentan con oficinas en Europa, cualquier Estado Miembro puede supervisar sus actividades, pero desde el momento en que se establece una sede en un país europeo, la responsabilidad recae sobre la autoridad de control de dicho territorio.

 

TikTok ha realizado cambios en su aplicación para hacerla más segura para sus usuarios menores de edad.

 

Desde el pasado octubre, cuando la autoridad de control de Holanda presentó sus resultados de la investigación, TikTok ha realizado algunos cambios para proteger a sus usuarios menores de 16 años. Mientras que estas modificaciones no ofrecen una protección absoluta dado que los usuarios aún pueden crear una cuenta con información falsa, la autoridad de control recibe de forma positiva estos ajustes por parte de TikTok para reducir el riesgo en menores. Los padres podrán ahora gestionar las cuentas de sus hijos a través de sus propios perfiles o mediante la funcionalidad “Emparejamiento Familiar”. Esta novedad no evitará que los menores se expongan ellos mismos a riesgo si mienten sobre su edad, pero sí ofrecerá a los padres el poder de revisar las cuentas de sus hijos y ofrecer mayor seguridad sobre las mismas.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

 

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.