La autoridad de control de Bélgica apercibe a Google

La autoridad de control de Bélgica apercibe a Google por su falta de transparencia en relación a una solicitud de eliminación de artículos. 

 

Esta reciente decisión de la autoridad de control de Bélgica se refiere a un abogado inhabilitado hace 10 años que trabaja ahora como asesor legal y solicitó que se eliminasen los artículos que contuviesen información al respecto, pero la autoridad de control de Bélgica desestimó su petición. Según este informe del EDPB, la autoridad de control ha apercibido a Google por la falta de transparencia en el caso. Bajo el RGPD, la autoridad de control Belga reconoció algunas deficiencias en la forma en que Google había gestionado la queja. 

 

Google ha sido apercibido por la autoridad de control de Bélgica a pesar de que se desestimó la queja presentada contra la compañía 

 

Mientras que la autoridad de control belga desestimó las quejas relacionadas con la negación de Google de eliminar los artículos, sí ha considerado necesario apercibir a la empresa por la forma en que se ha gestionado la solicitud. Google no atendió la petición al considerar que existe interés público sobre el acceso a la información relativa al abogado. Aunque la autoridad de control belga no estuvo en desacuerdo con esta decisión, señaló que la solicitud había sido transferida de Google Ireland a Google LLC mediante Google Belgium y que se daban algunas deficiencias en la calidad de la explicación sobre la decisión tomada. En consecuencia, se determinó que la respuesta otorgada por Google no era transparente, en incumplimiento del artículo 12 del RGPD. 

 

Los principales problemas identificados por la autoridad de control de Bélgica en cuanto a la calidad de la respuesta.

 

En relación al artículo 17 del RGPD, la autoridad de control belga estableció que Google había infringido el artículo 12 del RGPD. El artículo 17 trata sobre el derecho de supresión y mientras que la autoridad desestimó la queja del interesado en este caso, consideró que la compañía había violado el artículo 12 por su falta de transparencia al responder al sujeto. El Artículo 12 estipula que “El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo…” El apercibimiento se vio motivado por la imprecisa identificación del responsable.

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Protección de datos de salud: nueva sección en la página de la AEPD

La AEPD ha inaugurado una nueva sección dentro de su página web, destinada a información y recursos específicos para la protección de datos de salud. 

 

La AEPD acaba de inaugurar un nuevo espacio dentro de la zona ‘Áreas de Interés’ en su página web, para facilitar la consulta y la divulgación de información sobre el tratamiento de datos de salud. El objetivo de esta iniciativa es dar una respuesta a las necesidades expresadas por los representantes del sector salud sobre contra con una compilación de legislación y otros recursos en materia de salud y protección de datos. Los datos de salud se consideran categorías especiales de datos personales y por tanto se precisan garantías adicionales para la protección de este tipo de daos en particular.  

 

Esta nueva sección en la página web de la AEPD contiene información destinada a varios miembros de la comunidad. 

 

Los recursos proporcionados por la AEPD en esta nueva sección de su página web se destinan a los ciudadanos, responsables del tratamiento, profesionales de protección de datos, instituciones de salud y la industria farmacéutica, entre otros. Se compone de siete secciones que incluyen información general sobre el tratamiento de datos de salud y cómo ejercer el derecho de acceso a registros médicos. Además, se ofrecen respuestas a preguntas relacionadas con la investigación médica. Asimismo se detalla el criterio establecido por la AEPD en consultas planteadas por miembros del sector de la salud, y también información sobre inspecciones que se han llevado a cabo. Algunos de los recursos adicionales que pueden encontrarse en esta nueva sección son asuntos relacionados con la investigación de salud y ensayos clínicos, al igual que información sobre brechas de datos personales dentro del sector salud. 

 

Se anima a los profesionales de la salud y a otras partes a utilizar estos recursos. 

 

Esta nueva sección de la página web de la AEPD se lanzó el 3 de mayo y contiene numerosos enlaces de utilidad. Se espera que esta información se actualice de manera regular con noticias, novedades legislativas y brechas de datos personales que afecten a datos de salud en concreto. Se puede acceder a este nuevo espacio aquí, disponible para todo el mundo. Se anima a los profesionales de la salud y otras partes interesadas a utilizar este nuevo recurso de gran utilidad ofrecido por la AEPD.   

¿Tratas datos de salud? ¿Necesitas ayuda con los requisitos específicos que se aplican a las categorías especiales de datos personales? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Multa a un banco danés por no eliminar datos que ya no necesitaba

La autoridad de control de Dinamarca ha propuesto una multa para el banco Danske por no haber supuestamente eliminado los datos que ya no eran necesarios y ha presentado un informe policial.

 

La autoridad de control de Dinamarca ha presentado un informe policial contra Danske Bank y ha propuesto que se le imponga una multa de 1,3 millones de euros, según este informe del CEPD. Estos hechos son el resultado de una investigación que data de noviembre de 2020, cuando la autoridad de control inició un caso de oficio tras haber el banco comunicado que había identificado un problema con la supresión de los datos para los que no existía base ni justificación de tratamiento. Se precisa una base legal para poder tratar datos conforme al RGPD y estos sólo podrán almacenarse mientras sea necesario para la finalidad para la que fueron recogidos.

 

El banco no pudo demostrar cumplimiento e infringió así el artículo 5(2) del RGPD. 

 

En relación con la investigación de la autoridad de control de Dinamarca, se descubrió que el banco no había sido capaz de demostrar que se habían establecido normas para el almacenamiento y supresión de datos personales, y tampoco pudo justificar los procesos de eliminación manual de los mismos. El artículo 5(2) del RGPD señala de manera específica que “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo” y el artículo 5(1)(e) indica que “los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales“. De acuerdo a Kenni Elm Olsen, consultora especialista de la autoridad de control de Dinamarca “uno de los principios básicos del RGPD es que sólo se puede tratar la información necesaria, y cuándo ésta ya no lo sea, deberá ser eliminada. Cuando se trata de una organización del tamaño del Danske Bank, que tiene muchos sistemas y muy complejos, es esencial que documentes que la supresión tuvo lugar”. 

 

La autoridad de control de Dinamarca ha propuesto una multa total de 1,3 millones de euros tras considerar los detalles del caso

 

En la determinación de la multa que debería imponerse, la autoridad de control de Dinamarca consideró que se trataba de una infracción de un principio básico del RGPD (Artículo 5) en relación al tratamiento de datos personales. La autoridad de control también tuvo en cuenta que las acciones del banco afectaron a un gran número de interesados. Los sistemas del banco tratan datos personales de varios millones de interesados. La autoridad de control de Dinamarca ha enfatizado la naturaleza y la seriedad de la infracción y también el requisito de que una multa debe ser efectiva, proporcionada al incumplimiento y tener un efecto disuasorio. La autoridad de control de Dinamarca también valoró que el Danske Bank ofreció información de manera activa durante el caso y considera que el banco intentó mitigar el daño potencial ocasionado a los sujetos. Como resultado, se ha impuesto una multa de 1,3 millones de euros.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL publica recursos de IA para apoyar a los profesionales

La CNIL publica una serie de recursos de IA en un esfuerzo por ayudar a los profesionales a cumplir con las normas aplicables. 

 

El incremento del uso de sistemas de IA a lo largo de los años presenta nuevos desafíos en el campo de protección de datos. Como parte de su misión relativa a la información y protección de los derechos, la CNIL ha publicado un conjunto de recursos dedicados a la IA, para ayudar a los profesionales, especialistas y el público en general. Este contenido forma parte de una estrategia europea mayor, que pretende promover la excelencia en el campo de la inteligencia artificial, e incluye normas enfocadas a garantizar la fiabilidad de las tecnologías IA. En concreto, se trata de desarrollar un marco normative sólido para la IA que se base en derechos humanos y valores fundamentales, para obtener así la confianza de los ciudadanos europeos. 

 

Además de ayudar a los profesionales a cumplir con las normas aplicables, los recursos de IA de la CNIL se orientan a especialistas en la materia y serán asimismo útiles para el público en general. 

 

Los recursos se orientan a tres sectores en concreto: profesionales de lA, que serían los responsables o subcontratistas, especialistas (investigadores de IA, expertos en ciencia de datos, ingenieros de machine learning, etc.) y el público en general. Estos recursos pueden ser muy útiles para aquellos miembros de la sociedad en general que estén interesados en el funcionamiento de los sistemas de IA y sus implicaciones en la vida diaria o para aquellos que deseen probar su funcionamiento. Estos recursos serán también muy útiles para los especialistas que traten con la IA de manera regular y aquellos que sientan curiosidad sobre las implicaciones que la IA conlleva para la protección de datos. Sin embargo, están principalmente pensados para profesionales, que traten datos de sistemas de IA o que pretendan hacerlo y necesiten saber cómo cumplir con el RGPD. 

Los recursos de IA de la CNIL incluyen dos extensas guías que pretenden impulsar a los profesionales a que tomen una mayor responsabilidad para cumplir con las normas aplicables en lo relativo al uso de sus sistemas de IA. 

 

Son dos los recursos publicados por la CNIL en este sentido y que pueden ser útiles para los profesionales de IA: por un lado, una guía detallada de cumplimiento con el RGPD y, por otro, una guía de autoevaluación para que las organizaciones comprueben sus sistemas de IA en relación con el marco del RGPD y sus requisitos. La guía de cumplimiento con el RGPD debería resultar práctico en todas las etapas de los sistemas de IA, desde las fases de aprendizaje hasta las de producción. Promueve una mejora y una evaluación continuas para confirmar que el sistema cumple con las necesidades operativas una vez que se ha implementado. Esta guía tiene en cuenta los retos que presentan los sistemas de IA y tiene como objetivo abordarlos de manera preventiva y constante a lo largo de su uso. La guía de autoevaluación proporcionada por la CNIL ha sido diseñada para que se utilice de forma conjunta con la guía del RGPD, y permite a los profesionales de IA comprobar la madurez de sus sistemas de IA en relación al RGPD. Se busca empoderar a estos profesionales con herramientas de enseñanza que fomentan la transparencia y los derechos de los usuarios, evitan brechas y aseguran el cumplimiento y las mejores prácticas.

¿Tu app o tus servicios utilizan IA y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte. Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Infórmate aquí.