Un comienzo de verano marcado por sanciones récord y nuevas medidas de apoyo.

Legal Watch – Julio-Agosto 2019.

El comienzo del verano trae consigo un aumento de las temperaturas, pero también del número de multas por infringir las normas de privacidad.

En particular, la ICO, la autoridad de control británica, anunció su intención de imponer dos sanciones ('notice of intention to fine') por un importe total de más de 280 millones de libras, contra el grupo hotelero Marriot International por el equivalente a 111 millones de euros, y British Airways por un importe de más de 200 millones de euros.

En ambos casos, las violaciones del RGPD implicaron ataques informáticos que fueron posibles gracias a fallas de seguridad de datos que expusieron la información de cientos de miles de clientes.

El 19 de julio la ICO también multó a un agente inmobiliario de Londres con £80 millones por no proteger más de 18.000 registros de clientes durante dos años.

Cabe señalar que la mayoría de las sanciones recientes se centran en violaciones de seguridad y accesos ilegales dentro y fuera de las empresas.

Al otro lado del Atlántico, la Comisión Federal de Comercio de Estados Unidos ha negociado una orden de acuerdo de cinco mil millones de dólares con Facebook por violar la privacidad de los usuarios de Internet.

Esta multa no tiene precedentes en la historia de la FTC y sigue siendo una de las más altas jamás impuestas por el estado estadounidense.

Sin embargo, sigue siendo una cifra relativa en comparación con los ingresos anuales de Facebook, que ascienden a 55.800 millones de dólares. En su comunicado de prensa del 24 de julio, la FTC detalla las razones de su acción, relacionadas con el incumplimiento de sus medidas cautelares de protección de datos de 2012.

Además de esta multa, la compañía se ve obligada a reestructurar su modelo de protección de datos, incluyendo un comité de supervisión más independiente de su CEO y reglas más estrictas para la gestión de aplicaciones de terceros y datos de usuarios, en particular en lo que respecta al reconocimiento facial, la gestión de contraseñas y el cifrado de datos.

Si bien las autoridades supervisoras están haciendo un uso cada vez mayor de sus poderes de control, también están garantizando que las prácticas de las empresas se guíen por el marco legal.

La CNIL comunicó el 18 de julio las normas aplicables a las cookies, estos rastreadores instalados en los terminales de los usuarios y que permiten, en particular, la segmentación publicitaria.

La CNIL actualiza los requisitos necesarios para obtener el consentimiento de los internautas: este consentimiento ya no puede ser implícito y debe resultar de una acción clara del individuo.

Los muros de cookies, que impiden el acceso a un sitio si no acepta las cookies, están prohibidos.

Esta interpretación de la validez del consentimiento ya había sido aclarada por el Comité Europeo de Protección de Datos en un comunicado de prensa de mayo de 2018.

Lo confirma el propio texto del RGPD y debería explicarse con más detalle en el futuro reglamento sobre “privacidad y comunicaciones electrónicas”, que sustituirá a la Directiva 2002/58/CE “ePrivacy”.

Una nueva recomendación de la CNIL aclarará las modalidades prácticas para obtener el consentimiento y se concederá a las empresas un periodo de adaptación de seis meses para permitirles cumplir con la ley.

Y además:

En Europa:

El 24 de julio, la Comisión Europea publicó un informe que hace balance, un año después, de la implementación del RGPD.

Identifica las acciones implementadas por las autoridades supervisoras, el fortalecimiento de su cooperación, así como los esfuerzos de cumplimiento del sector privado.

La Comisión anuncia su intención de apoyar estos esfuerzos con diversas herramientas como cláusulas contractuales tipo, códigos de conducta y mecanismos de certificación, con especial atención a las PYME.

Desde una perspectiva internacional, Corea del Sur podría ser el próximo país en beneficiarse de un nivel adecuado de protección que facilite la transferencia de datos. La Comisión está considerando otros tipos de acuerdos multilaterales para facilitar el intercambio internacional de datos.

En el mundo:

• ESTADOS UNIDOS :

En el Senado de Estados Unidos se está pidiendo la adopción de una ley federal de protección de datos.

El senador Ron Wyden presentó una legislación a tal efecto en noviembre de 2018.

A nivel estatal, California es pionera: la CCPA (Ley de Privacidad del Consumidor de California) entrará en vigor el 1 de enero de 2020, pero actualmente está sujeta a modificaciones por parte del Senado de Estados Unidos. Comparada a menudo con el RGPD, especialmente en lo que respecta a los derechos de los interesados a la información y a la oposición, difiere especialmente en su alcance, que se centra en la protección del consumidor.

Asia:

Una serie de eventos relacionados con la protección de datos personales tuvieron lugar en Singapur durante la primera quincena de julio, reuniendo a profesionales del sector en diferentes escenarios.

 Los debates en el Foro Asia Pacífico fueron resumidos por la IAPP.

Hacen hincapié en la responsabilidad corporativa y la supervisión por parte de las autoridades reguladoras.