La Autoridad Financiera de Reino Unido (FCA), la Autoridad de Control (ICO) y el Esquema de Compensación de Servicios Financieros (FSCS) han lanzado una declaración conjunta con un aviso hacia las empresas autorizadas por la FCA y los Profesionales de Insolvencia (IPs) para que sean diligentes cuando traten los datos personales de los clientes
El pasado 7 de febrero, la FCA, la ICO y el FCS publicaron una declaración conjunta con un aviso hacia las empresas autorizadas por la FCA y los IPs contra la venta ilegítima de los datos de los clientes a las Empresas de Gestión de Reclamaciones (CMCs). El motivo es que se ha señalado que algunas compañías autorizadas por la FCA y los IP han tratado de vender datos personales de los consumidores de forma ilegítima. Las CMCs podrían así no estar actuando en el mejor interés de los clientes al promocionar de manera ilegítima sus servicios.
Mientras que el manual de la FCA establece que las CMCs deben actuar de forma honesta, transparente y profesional de acuerdo a los mejores intereses de los consumidores, este podría no estar siendo el caso. Las CMCs que pretendan comprar y usar tales datos personales deberán demostrar cumplimiento con la normativa de privacidad. Aunque los contratos pueden variar, aquellos más estándar normalmente no cubren el consentimiento para que la información personal se comparta con las CMCs a fin de promocionar sus servicios, y podría por tanto no ser legítimo.
Por qué la venta de datos personales de consumidores a las CMCs podría no ser legítima.
Aparte del hecho de que los contratos tipo no cubren el consentimiento para que los datos personales de los clientes se vendan a las CMCs, las empresas que transfieren los datos podrían además no estar cumpliendo con las disposiciones de la ley de protección de datos de Reino Unido y el RGPD. Así por tanto, cualquier comunicación de marketing, ya sea mediante emails o llamadas, podría estar infringiendo las provisiones del ePrivacy y la normativa nacional que la implementa.
¿Cuáles son las implicaciones de tales incumplimientos con la normativa de protección de datos?
Las empresas deben cumplir con la Data Protection Act 2018, el RGPD y el manual de la FCA. En el caso de las empresas autorizadas por la FCA y los IPs en particular, se aplica el código de conducta CMCOB Claims Management: Conduct of Business sourcebook. Cuando la ICO o la FCA descubran que estas empresas han infringido algunas de las leyes de protección de datos, tomarán las acciones correspondientes y se podrían derivar grandes consecuencias.
Continúan así las multas por infracciones de la normativa de protección de datos, como aquella de la que informábamos justo la semana pasada impuesta por la Autoridad de Control Italiana a TIM SpA con más de 27 millones de euros.
¿Tu empresa ha implementado todas las medidas de seguridad adecuadas en conformidad con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
