La autoridad de control de Islandia ha multado al responsable y al encargado de una app por recoger datos innecesarios sin consentimiento.
A comienzos del brote de COVID-19, el gobierno de Islandia emitió tarjetas regalo a todos sus ciudadanos adultos debido a la presión económica ocasionada por los efectos de la pandemia. Estas tarjetas regalo se expidieron a través de una app que se creó de manera acelerada dado el contexto en el que pretendía usarse y, por ello, los ajustes no se configuraron de manera correcta, tras lo que se derivaron varios problemas relacionados con los datos, entre ellos la recopilación innecesaria de cantidades sustanciales de datos personales y de derechos de acceso a los dispositivos móviles de los usuarios. En consecuencia, en el momento de lanzarse la app, un gran número de interesados presentó ante la autoridad de control de Islandia diversas quejas vinculadas con la cantidad de datos personales que la app utilizaba así como los derechos de acceso con los que ésta contaba.
Se trataban sin consentimiento cantidades innecesarias de datos.
La celeridad requerida en el desarrollo y publicación de la app en combinación con un error humano condujo a la recogida y tratamiento de cantidades innecesarias de datos personales, principalmente debido a que los ajustes no estaban configurados debidamente, lo cual también daba lugar a unos derechos de acceso a los dispositivos móviles de los usuarios que eran excesivos. Durante la investigación, la autoridad de control de Islandia descubrió también que no se recogía de los usuarios el consentimiento debido, lo que supone una brecha del artículo 7 del RGPD, donde se establecen las condiciones para un consentimiento válido. Además, tampoco se cumplía con el artículo 12 (transparencia) y el artículo 13 (información que debe proporcionarse cuando los datos personales se recogen de los sujetos), pues la autoridad de control de Islandia concluyó que la información ofrecida era insuficiente.
El responsable y el encargado de tratamiento fueron multados con 50.800€ y 27.100€ respectivamente.
Para la determinación de la multa, la autoridad de control de Islandia tuvo en cuenta la infracción de diversos artículos del RGPD, asociados con múltiples principios relacionados con el tratamiento de los datos personales (artículo 5), la licitud del tratamiento (artículo 6), las condiciones para un consentimiento válido (artículo 7), el tratamiento de categorías especiales de datos personales (artículo 9), la transparencia (artículo 12), la información que debe facilitarse cuando los datos personales se obtienen del interesado (artículo 13), la responsabilidad del responsable del tratamiento (artículo 24), la protección de datos por diseño y por defecto (artículo 25), el acuerdo de encargado de tratamiento (artículo 28(3)) y la seguridad del tratamiento (artículo 32). La autoridad de control consideró Asimismo la naturaleza y alcance del tratamiento y el número de interesados que podrían haberse visto afectados. El Ministro de Industria e Innovación y la empresa YAY ehf fueron multados con 50.800€ y 27.100€ respectivamente.
Como diferencia en la aplicación del RGPD entre los diferentes Estados Miembro, cabe recordar que en España no se puede imponer multas económicas al sector público por incumplimiento del RGPD y la LOPDGDD, sólo emitir apercibimientos.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. También podemos ayudarte con la notificación de las brechas de seguridad y la identificación de las medidas de mitigación. Infórmate aquí.
