Grans multes GDPR Regne Unit Irlanda: què és l'argument? Tots dos països només han emès una única multa finalitzada en virtut de la Llei de privadesa de la UE.
El Reglament general de protecció de dades de la UE tenia per finalitat agrupar organitzacions que no tractessin les dades personals dels europeus amb respecte. Però dos anys després que la regulació entrés en vigor, per què tant EUA com Irlanda han emès cadascuna només una multa GDPR final fins ara?
Quan GDPR va entrar en vigor el 25 de maig de 2018, també ho van fer els poders d’execució més grans dels vigilants de privadesa dels estats membres de la UE. Les organitzacions van rebre només 72 hores per alertar els reguladors quan havien descobert una violació i proporcionaven els detalls del que va passar, quan i com. Qualsevol organització que no ho notifiqui o que hagi tingut controls de seguretat inadequats per protegir la informació d'identificació personal, que hagi estat incomplida o no, ara s'enfronta al potencial de multes fortes.
GDPR faculta als reguladors de la UE que cobrin multes de fins al 4% dels ingressos mundials anuals de l’organització o de 20 milions d’euros (22,2 milions de dòlars), que siguin majors, si violen els drets de privacitat dels europeus, per exemple, al no assegurar les seves dades personals ( vegeu: GDPR: Europa compta fins ara 65.000 notificacions d’incompliment de dades fins ara).
Però fins ara, tant els EUA com Irlanda han emès una sola multa cadascun. Això malgrat les dades del despatx d’advocats DLA Piper demostren que el 27 de gener els països van rebre respectivament el tercer i el quart nombre més gran de notificacions d’incompliment de dades entre les nacions europees.
Grans multes GDPR Regne Unit Irlanda
Les notificacions no necessàriament condueixen a multes i el volum de notificacions no necessàriament es correlaciona amb la gravetat general. Però destaca que nombrosos gegants tecnològics (inclosos Apple, Facebook i Google) tenen la seva seu a Irlanda. Per tant, la Comissió de Protecció de Dades de l'Irlanda, la Comissió de Protecció de Dades, és responsable de qualsevol investigació de GDPR sobre aquestes empreses. Al febrer, DPC va revelar que tenia 21 consultes obertes a diverses d'aquestes empreses, tot i que encara no s'ha emès cap multa - almenys encara (vegeu: Informe de privadesa irlandès dóna informació a les investigacions de GDPR).
Fines fins ara fins ara GDPR
L’única multa GDPR d’Irlanda fins ara es va anunciar el 17 de maig, quan el DPC va multar l’agència del govern infantil i familiar del govern, Tusla, a 75.000 € (84.000 dòlars), per tres casos en què la informació sobre els nens es va divulgar incorrectament a tercers.
Mentrestant, l’única multa de GDPR finalitzada dels EUA es va emetre el 17 de desembre del 2019 contra el dispensari Doorstop amb seu a Londres, per 275.000 £ (341.000 dòlars), després que es guardés els registres de pacients de manera "descuidada".
Doorstop, que subministra medicaments a clients i cases de cura, "va deixar aproximadament 500.000 documents en contenidors desbloquejats a la part posterior del seu local a Edgware", va dir la ICO en el seu avís d'aplicació. "Els documents incloïen noms, adreces, dates de naixement, números del SNS, informació mèdica i receptes que pertanyien a un nombre desconegut de persones", i van patir danys a l'aigua.
El nombre escàs de multes de GDPR als Estats Units i Irlanda es troba "en un contrast notable amb algunes de les autoritats de supervisió entre iguals de l'ICO", va dir Jon Baines, advocat del Mishcon de Reya, amb seu a Londres, el mes passat. "Alemanya i Espanya han dictat més de 20 [multes], per exemple, mentre que França i Itàlia han dictat cadascuna al voltant de 10."
El 17 de gener, França, Alemanya i Àustria ja havien imposat respectivament multes GDPR d’uns 51 milions d’euros (57 milions de dòlars), 24,5 milions d’euros (27 milions de dòlars) i 18 milions d’euros (20 milions de dòlars), segons DLA Piper (vegeu DLA Piper (veure : GDPR: 126 milions de dòlars en multes i recompte).
Tardat: Mega-Mines potencials del Regne Unit
Mentrestant, dues multes britàniques potencialment rècord contra British Airways i Marriott International han estat retardades repetidament (vegeu: Benvolgudes BA i Marriott: Les vostres multituds de GDPR són importants per a nosaltres).
A principis d’aquest mes, el servei de notícies legals MLex va informar que la comissaria d’informació de la U.K., Elizabeth Denham, que dirigeix l’ICO, va dir en una conferència en línia que es va celebrar a Washington que les penes definitives contra British Airways i Marriott no es anunciarien abans d’agost. Això passaria més de 12 mesos després que la ICO publicés per primera vegada el seu avís d’intenció de multar a la companyia aèria un registre rècord de 184 milions de £ (228 milions de dòlars) i Marriott 99 milions de £ (123 milions de dòlars).
Excepte en circumstàncies inusuals, que ICO emetrà multes definitives en els sis mesos posteriors a l’emissió del seu avís de intenció de multa, segons afirma Baines de Mishcon de Reya. Afegeix qualsevol endarreriment només amb l'acord de l'organització davant d'una multa.
Al mes d'abril, la ICO va dir que, a la vista de COVID-19, que va provocar una gran picada d'ambdues empreses, les multes finals eren inferiors, per la qual cosa no és d'estranyar que les organitzacions haurien acceptat un retard. L’ICO també ha dit que, sempre que la pandèmia continuï, aplicarà a tots els seus esforços un enfocament més flexible, “empàtic i pragmàtic” (vegeu: GDPR i COVID-19: Privacy Regulator Promises ‘Flexibility’).
Com a part d'aquest canvi, l'ICO el mes passat va anunciar que estava aturant la investigació sobre la indústria de la tecnologia publicitària. "L'ICO va exposar recentment el seu enfocament regulatori durant la pandèmia COVID-19, on es va parlar de la reavaluació de les nostres prioritats i recursos. Tenint en compte això, hem pres la decisió de detenir la nostra investigació sobre les ofertes en temps real i la indústria adtech", ICO va dir en un comunicat. "En aquest moment no és la nostra intenció de fer pressió indeguda sobre cap indústria, però segueixen sent les nostres inquietuds pel que fa a adtech, i volem reiniciar la nostra feina en els propers mesos, quan arribi el moment".
Què és el Holdup?
Però el retard continuat de les multes finals que s’emeten contra British Airways i Marriott planteja aquesta pregunta òbvia: Per què el retard?
"La pandèmia a part, el temps que es pren per resoldre aquests dos casos planteja més preguntes que respostes", explica Jonathan Armstrong, un soci de la firma de Londres, Cordery, a Information Security Media Group.
"Tot i que l'impacte de COVID-19 pot explicar alguns dels retards actuals, continuats, per què el que pot acabar sent més d'un any per resoldre aquests assumptes, ja que la ICO va anunciar les seves intencions de multa pot deixar que algú es pregunti si l'aplicació de GDPR segueix com ràpidament com hauria de ser ", diu. "A més, el que també s'esperava que fos un aparador de les primeres multes importants en virtut de GDPR als Estats Units ara pot ser una derrota".
Però Brian Honan, que dirigeix la consultoria en ciberseguretat de BH Consulting, basada a Dublín, diu que no és sorprenent veure un procés legal ampliat, sobretot perquè encara no s’han d’establir normes d’aplicació de GDPR. "El regulador, sigui que l'ICO o qualsevol altre regulador, ha de vetllar perquè el seu cas sigui legalment estanc, com pot ser abans d'emetre una multa o una sanció. Això és molt important ja que les organitzacions, particularment grans, amb recursos legals profunds, ho faran. Sens dubte, impugne cap penalització que els sigui imposada ", afirma.
"Els casos BA i Marriott són un exemple primordial d'això", afirma Honan, que també és assessor de ciberseguretat a Europol, l'agència d'intel·ligència de la llei de la UE. "També hem de tenir en compte que molts dels reguladors tenen recursos limitats i el seu personal s'ha de garantir que recolzin els drets de tots els subjectes de dades el millor que puguin".
Treball a distància: incompliments poden augmentar
La manca de multes d’U.K i d’Irlanda GDPR fins ara no és necessàriament un indicador de les coses a venir.
A més, COVID-19 sembla que suposarà un augment de les infraccions, atès que hi ha més persones que treballen de forma remota, cosa que ha fet més difícil que moltes organitzacions les puguin supervisar i defensar amb controls de seguretat prou robusts, afirma Honan.
"En molts casos, és possible que aquesta gent no estigui treballant en els entorns més ideals o amb els sistemes més segurs, com ara utilitzar els seus propis ordinadors personals. Moltes empreses només es van concentrar a aconseguir que el seu negoci continuï funcionant -per qualsevol mitjà possible- i la seguretat. i és possible que les consideracions sobre protecció de dades no estiguessin al cap de la ment de ningú ", afirma. "De fet, estem experimentant un augment en el nombre d'organitzacions que ens vénen a la recerca d'assistència per gestionar una infracció".
Grans multes GDPR Regne Unit Irlanda