Privacidad de datos: el costo de hacerlo mal

Publicado: 2022-10-12

Cuando el Reglamento General de Protección de Datos (RGPD) de Europa entró en vigor en mayo de 2018, sentó las bases para una nueva generación de leyes de privacidad de datos que brindan una mayor protección a los consumidores. Los principios básicos, como el consentimiento inequívoco, la minimización de datos, la limitación del propósito y el derecho a objetar, habían escrito efectivamente las mejores prácticas de datos establecidas en la ley.

Desde entonces, se ha adoptado en todo el mundo una legislación de privacidad al estilo del RGPD. La CCPA de California puso la bola en marcha en los EE. UU., con muchos otros estados siguiendo (Colorado, Connecticut, Utah y Virginia) o en proceso de seguir (Michigan, Nueva Jersey, Ohio y Pensilvania). En todo el mundo, también hemos visto la introducción de LGPD en Brasil y PIPL en China, por nombrar solo dos.

Un desafío que ahora enfrentan los controladores y procesadores de datos es la ambigüedad. Es decir, ¿qué significan realmente las cláusulas clave de estas nuevas leyes? A menudo, deben someterse a prueba en los tribunales de justicia para aclarar su verdadera intención y establecer un precedente legal. Esto está ocurriendo ahora en Europa, y los profesionales de otros lugares pueden aprender de estos casos y aplicar los hallazgos antes de que caigan en conflicto con ellos en sus propios países.

Europa toma medidas enérgicas contra la privacidad de datos

Los reguladores europeos definitivamente han estado enseñando los dientes en 2022.

Clearview AI, una empresa de reconocimiento facial, ha sido multada con 20 millones de euros por la agencia de protección de datos de Italia y otros 9 millones de euros por la Oficina del Comisionado de Información (ICO) del Reino Unido por procesamiento ilegal de datos personales biométricos y de geolocalización.

El regulador irlandés impuso una multa de 17 millones de euros a Meta (Facebook) por no contar con las medidas técnicas y organizativas adecuadas.

En España, Google fue multada con 10 millones de euros por obligar a los usuarios a aceptar la transferencia de solicitudes de eliminación de contenido a un tercero.

Más recientemente, como resultado de no proteger la privacidad de los niños mientras usaban la plataforma, TikTok podría enfrentar una multa de £ 27 millones luego de una posible violación de las leyes de protección de datos del Reino Unido.

Un tema común en estos casos son los principios básicos de "legalidad, equidad y transparencia", lo que significa que las empresas deben ser claras con las personas sobre cómo se procesarán sus datos personales y que se ha establecido una base legal adecuada para hacerlo.

En el Reino Unido, la acción de ejecución en 2022 se ha centrado en gran medida en el envío no autorizado de mensajes de marketing. Las nuevas leyes de privacidad de datos como GDPR requieren una base legal, generalmente consentimiento o interés legítimo, para el procesamiento de datos personales, que incluye la actividad de marketing.

Casos recientes* muestran que este requisito aún no se entiende claramente (¡o se ignora deliberadamente!):

  • Finance Giant Ltd ( 60 000 £ ): promovió el envío de un total confirmado de 505 759 mensajes de marketing directo no solicitados.
  • Bizfella Limited ( £ 30 000 ): promovió el envío de 224 550 mensajes SMS de marketing directo no solicitados.
  • H&L Business Consulting Limited ( 80 000 £ ): promovió el envío de 451 705 mensajes SMS no solicitados con fines de marketing directo.

*Los lectores pueden obtener los textos completos de todas las sentencias en el sitio web de la ICO y también pueden suscribirse para recibir el boletín "Medidas de ejecución" de la ICO.

Los consumidores quieren saber cómo se utilizan sus datos

Un tema importante presente en todos estos casos (y otros) es que originalmente salieron a la luz por las quejas de los consumidores. Los consumidores ahora tienen una mayor comprensión de sus derechos de privacidad de datos y están preparados para ejercer estos derechos si creen que sus datos personales están siendo mal utilizados.

Al manejar datos de consumidores, es importante recordar:

  • El consentimiento válido requiere que los individuos tengan opciones y control reales.
  • Se debe informar explícitamente a las personas de que recibirán mensajes de marketing.
  • El consentimiento debe separarse de otras políticas de privacidad y/o términos y condiciones de los remitentes.
  • El consentimiento indirecto sólo puede ser válido cuando es suficientemente claro y específico.
  • Debe haber un medio simple para que las personas rechacen el uso de sus datos de contacto.

Algunas empresas han caído en otras trampas de privacidad

Luego de una migración a un nuevo sistema de CRM, Reed Online programó inadvertidamente correos electrónicos de marketing para clientes que anteriormente habían sido cancelados o eliminados.

Tuckers Solicitors experimentó un ataque de ransomware, lo que resultó en una violación de datos personales. El ICO dictaminó que el hecho de que la empresa no implementara las medidas técnicas y organizativas adecuadas los había hecho vulnerables a los ataques.

La Oficina del Gabinete del gobierno del Reino Unido divulgó las direcciones postales de los destinatarios de los Honores de Año Nuevo 2020 en línea, una falla para evitar la divulgación no autorizada de la información de las personas.

Muchos incidentes de privacidad de datos no aparecen en los titulares

Si bien las infracciones de alto perfil ocupan los titulares, muchos incidentes son mucho más mundanos.

El ICO publica un informe de seguridad de datos trimestral, con los problemas "no cibernéticos" (es decir, autoinfligidos) más recientes que incluyen:

  • Datos enviados por correo electrónico al destinatario incorrecto ( 22 por ciento )
  • Acceso no autorizado ( 14 por ciento )
  • Datos publicados o enviados por fax a un destinatario incorrecto ( 13 por ciento )
  • Pérdida/robo de papeleo o datos dejados en un lugar inseguro ( 8 por ciento )
  • Falta de redacción ( 6 por ciento )

Estas tendencias apuntan en gran medida a errores humanos y/o capacitación inadecuada, y presentan un argumento convincente a favor de implementar prácticas de "privacidad por diseño" donde los procesos sólidos minimizan las oportunidades de incumplimiento.

Todavía no estamos viendo realmente las multas del "cuatro por ciento de los ingresos globales" que teóricamente se pueden imponer, aunque no quiere decir que esto no sucederá. La multa de British Airways (BA), tal como se propuso, estuvo cerca antes de reducirse debido a una variedad de factores atenuantes, incluido el impacto de la crisis de Covid-19 en las finanzas de BA. Si bien ninguna empresa quiere lidiar con una violación de la privacidad, existen factores atenuantes que se considerarán si sucede, que incluyen:

  • Si fue una infracción por primera vez
  • Gravedad de la infracción
  • Si fue deliberado o accidental
  • Notificación proactiva a la autoridad de control
  • Acciones tomadas para reducir el impacto en los interesados

Los reguladores generalmente serán más indulgentes con las empresas que son transparentes sobre lo que salió mal, cooperan para ayudar en la investigación y se mueven rápidamente para implementar medidas que evitarán que vuelva a ocurrir.

Este es sólo el comienzo…

Hay mucho más que decir sobre este tema. ¿Quiere obtener más información sobre la legislación de privacidad de datos en todo el mundo? Consulte nuestra Guía de cumplimiento y leyes de privacidad global .

Descarga la Guía