La Oficina del Comisionado de Información ( ICO ) es un organismo público no departamental que depende directamente del Parlamento del Reino Unido y está patrocinado por el Departamento de Digital, Cultura, Medios y Deporte (DCMS). Es la oficina reguladora independiente ( autoridad nacional de protección de datos ) que se ocupa de la Ley de Protección de Datos de 2018 y el Reglamento General de Protección de Datos , los Reglamentos de Privacidad y Comunicaciones Electrónicas (Directiva de la CE) de 2003 en todo el Reino Unido; y la Ley de Libertad de Información de 2000 y el Reglamento de Información Ambiental de 2004 en Inglaterra, Gales e Irlanda del Norte y, hasta cierto punto, en Escocia.
Formación | 1984 (Registrador de protección de datos) |
---|---|
Estatus legal | Oficina gubernamental |
Sede | Wilmslow , Cheshire |
Región atendida | Reino Unido |
Comisionado de información | Elizabeth Denham (julio de 2016) |
Sitio web | ico |
Observaciones | Nombramiento: julio de 2016 |
Papel del comisionado de información
El Comisionado de Información es un funcionario independiente designado por la Corona . Las decisiones del Comisionado están sujetas a apelación ante un tribunal independiente y los tribunales . La misión del Comisionado es "defender los derechos de información en el interés público, promoviendo la apertura por parte de los organismos públicos y la privacidad de los datos para las personas". [1] El papel de Comisionada de Información actualmente lo ocupa Elizabeth Denham , quien sucedió a Christopher Graham en julio de 2016.
Desde que Elizabeth Denham fue nombrada Comisionada de Información de Gran Bretaña, la ICO ha llevado a cabo investigaciones de alto perfil sobre Equifax, Yahoo, Talk Talk, Uber y Facebook; emitir la multa máxima bajo la Ley de Protección de Datos de 1998 de £ 500,000 a Facebook, [2] por infracciones de la ley de protección de datos. Denham también ha supervisado la conclusión de la investigación de la ICO sobre las actividades de recaudación de fondos de organizaciones benéficas y una serie de multas para las empresas detrás del marketing molesto. [3]
Elizabeth Denham ha acogido con satisfacción la introducción del Reglamento general de protección de datos (RGPD) [4] que entró en vigor en mayo de 2018, así como la Ley de protección de datos de 2018. [5]
En octubre de 2018 fue elegida presidenta de la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad (ICDPPC), el principal foro mundial de autoridades de protección de datos y privacidad, que abarca a más de 120 miembros en todos los continentes que trabaja durante todo el año en la política global de protección de datos. asuntos.
Durante su tiempo como Comisionado de Información, Christopher Graham se destacó por obtener nuevos poderes para emitir sanciones monetarias a quienes infrinjan la Ley de Protección de Datos de 1998. También ha dado la bienvenida a nuevos poderes para emitir sanciones monetarias en virtud de las Regulaciones de Privacidad y Comunicaciones Electrónicas, así como plantear preocupaciones sobre el daño y la angustia causados por llamadas molestas al público. [6] Christopher Graham sucedió a Richard Thomas en 2009. Durante el mandato de Richard Thomas como comisionado, la ICO se destacó especialmente por plantear serias preocupaciones sobre la base de datos y la tarjeta de identidad nacional británica propuesta por el gobierno , así como otras bases de datos similares, como la Información Ciudadana. Project , Universal Child Database y el NHS National Program for IT , señalando que el país está en peligro de convertirse en sonámbulo hacia una sociedad de vigilancia , [7] llamando la atención sobre el uso indebido de dicha información por parte de los antiguos estados del bloque del Este y Francisco Franco es España .
Ley de Protección de Datos 2018
La Ley de protección de datos de 2018 [5] recibió la sanción real el 23 de mayo de 2018. Actualiza las leyes de protección de datos en el Reino Unido, complementa el Reglamento general de protección de datos (GDPR), implementa la directiva de aplicación de la ley de la UE y extiende las leyes de protección de datos a áreas que no cubiertos por el RGPD. La nueva ley tiene como objetivo modernizar las leyes de protección de datos para garantizar que sean efectivas en los próximos años.
El cargo por protección de datos de los controladores de datos del Reino Unido para respaldar la Ley se rige por el Reglamento de Protección de Datos (Cargos e Información) de 2018. Las exenciones del cargo se mantuvieron en general iguales a las de la Ley anterior: en gran parte, algunos fines centrales internos de empresas y organizaciones sin fines de lucro (personal o miembros, marketing y contabilidad), asuntos domésticos, algunos fines públicos y procesamiento no automatizado. [8] [9] El registro de controladores de datos, que excluye a aquellos que están exentos de pagar una tasa, está disponible públicamente y se puede buscar en el sitio web de la ICO, [10] que también ofrece enlaces a las contrapartes de la ICO en toda Europa .
Ley de protección de datos de 1998
El Reino Unido, como miembro de la Unión Europea , estaba, y como antiguo miembro, sigue estando sujeto a un estricto régimen de protección de datos . La Ley de Protección de Datos de 1984 creó el cargo entonces denominado Registrador de Protección de Datos ante el cual las personas que procesan datos personales tenían que registrar el hecho de su procesamiento de esos datos en el registro de controladores de datos . Según las disposiciones de la Directiva de la CE 95/46 (introducida en el Reino Unido como la Ley de Protección de Datos de 1998 , en lugar de como un SI según la Ley de las Comunidades Europeas de 1972 ), el nombre del puesto se cambió a Comisionado de Protección de Datos y luego a Comisionado de Información. .
Reglamento general de protección de datos (GDPR)
El Reglamento General de Protección de Datos (GDPR) es una nueva ley europea que reemplaza la Ley de Protección de Datos de 1998 en el Reino Unido. El RGPD entró en vigor el 25 de mayo de 2018 y establece requisitos sobre cómo las organizaciones deben manejar los datos personales. Forma parte del régimen de protección de datos del Reino Unido, junto con la nueva Ley de Protección de Datos 2018 (DPA 2018). Tras la salida del Reino Unido de la UE el 31 de enero de 2020 , el RGPD sigue formando parte de la legislación nacional británica en virtud de la sección 3 de la Ley (Retirada) de la Unión Europea de 2018 .
Ley de Libertad de Información de 2000 y Regulaciones de Información Ambiental de 2004
En 2005, el rol del Comisionado se amplió para incluir la aplicación de la Ley de Libertad de Información de 2000 y las Regulaciones de Información Ambiental de 2004 y el nombre del cargo se cambió de Comisionado de Protección de Datos a Comisionado de Información ('IC'). El cumplimiento de la Ley de Libertad de Información (Escocia) de 2002 , que se aplica a las autoridades públicas delegadas en Escocia, es responsabilidad del Comisionado de Información de Escocia , un funcionario público independiente, ya que la Ley británica no se aplica a estas autoridades.
Regulaciones de privacidad y comunicaciones electrónicas (Directiva de la CE) 2003 (PECR)
En noviembre de 2011, se otorgó a la ICO la facultad de imponer sanciones monetarias de hasta £ 500,000 por infracciones de las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) . PECR se aplica a organizaciones que desean enviar mensajes de marketing a través de medios electrónicos, es decir, teléfono, fax, correo electrónico, texto; utilizar cookies o prestar servicios de comunicación electrónica al público en general. Al igual que con el GDPR, estas regulaciones continúan aplicándose después del Brexit.
Llamadas molestas
En marzo de 2013, al comentar sobre una multa de 90.000 libras esterlinas impuesta a la empresa de cocinas empotradas de Cumbernauld , DM Design, por llamadas de marketing molestas, el Comisionado de Información dijo que "esta multa no será una sanción aislada. Sabemos que otras empresas están mostrando un desprecio similar por la ley y tenemos toda la intención de tomar más medidas de aplicación contra las empresas que continúan bombardeando a las personas con mensajes de texto y llamadas de marketing ilegales ". En 2014, el Gobierno cambió la ley para "reducir el umbral legal de daños al consumidor". [11] Esto hizo más fácil para la ICO "tomar medidas coercitivas contra más organizaciones que infrinjan las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) ". [12]
En octubre de 2018, la ICO multó a dos empresas por un total de 250.000 libras esterlinas que realizaron casi 1,73 millones de llamadas telefónicas de marketing directo a personas registradas en el Servicio de preferencia telefónica (TPS). [13] En diciembre de 2018, el Comisionado acogió con satisfacción la nueva ley que significa que la ICO ahora puede responsabilizar directamente a los jefes de las empresas y tiene el poder de multarlos personalmente por infracciones de las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) .
Regulaciones de información ambiental 2004
El Comisionado de Información también es responsable de las apelaciones realizadas en virtud de las Regulaciones de Información Ambiental de 2004 .
Aplicación
Antes de 2010, los poderes de ejecución se limitaban a emitir notificaciones de ejecución y a perseguir a los presuntos infractores de la Ley de Protección de Datos de 1998 a través de los tribunales. En 2010 se le otorgó al Comisionado de Información la facultad de imponer multas, conocidas como sanciones pecuniarias, por su propia autoridad, otorgada en abril de 2010. Las primeras fueron notificadas el 24 de noviembre de 2010. [14] A partir de 2010, las ICO también recibieron la poderes para entregar Avisos de evaluación, que se pueden emitir a organizaciones que no están dispuestas a trabajar junto con la ICO y corren el riesgo de violar los principios de la Ley de Protección de Datos de 1998. Durante la Investigación Leveson en 2012, salió a la luz que la ICO había sentido incapaz de desafiar a la prensa relacionada con acusaciones de infracciones debido al poder de la prensa y la debilidad percibida de sus propios poderes. [15]
A partir del 25 de mayo de 2018, el ICO recibió nuevos poderes de ejecución en virtud de las nuevas leyes de protección de datos, incluida la capacidad de multar a las organizaciones con 20 millones de euros (o su equivalente en libras esterlinas) o el 4% de la facturación mundial anual total en el año financiero anterior, lo que sea superior, por violar las leyes de protección de datos. [dieciséis]
Investigaciones
Sony
En 2013, la Oficina del Comisionado de Información multó a Sony Computer Entertainment Europe Ltd. con 250.000 libras esterlinas, cuando muchos sistemas PlayStation fueron pirateados y se robaron los nombres, direcciones, números de teléfono y datos de las tarjetas de los usuarios. La ICO descubrió que Sony tenía demasiada información sobre sus usuarios y sistemas de seguridad inadecuados. [17]
Operación Motorman
En 2002, en el marco de la 'Operación Motorman', la ICO dirigida por Richard Thomas allanó varias oficinas de investigadores privados y periódicos en busca de detalles de información personal guardada en bases de datos informáticas no registradas. El operativo destapó numerosas facturas dirigidas a periódicos y revistas, en las que se detallaban los precios por el suministro de información personal a los periodistas, identificándose 305 periodistas como destinatarios de un amplio abanico de información. [18]
En 2006, una solicitud en virtud de la Ley de Libertad de Información llevó a la publicación de un informe al Parlamento británico titulado "¿Qué precio tiene la privacidad ahora?". [19] El periódico con mayor número de solicitudes fue el Daily Mail con 952 transacciones de 58 periodistas; el News of the World llegó quinto en la tabla, con 182 transacciones de 19 periodistas. [18] El Daily Mail emitió inmediatamente un comunicado de prensa, en el que rechazó las acusaciones contenidas en el informe. El editor Paul Dacre dijo que Associated Newspapers solo usaba investigadores privados para confirmar información pública, como las fechas de nacimiento. [18]
En una comparecencia en julio de 2011 frente a un comité parlamentario, un día después de que la ex directora ejecutiva de News International , Rebekah Brooks, fuera arrestada y puesta en libertad bajo fianza a la luz del escándalo de piratería telefónica de News International , Dacre les dijo que nunca había "tolerado" la piratería telefónica o el bombardeo. en su periódico, ya que ambos actos fueron claramente "criminales". [20]
Asociación de consultores
El 23 de febrero de 2009, la oficina de Droitwich de la Asociación de Consultoría (TCA) fue allanada por la ICO, que entregó una notificación de ejecución contra TCA en los términos de la Ley de Protección de Datos. La acción de la ICO siguió a un artículo del 28 de junio de 2008 sobre supuestas listas negras en la industria de la construcción, del periodista Phil Chamberlain, publicado en The Guardian . [21]
Uso de reconocimiento facial por Amazon y Facebook
Mayo de 2018 vio un mayor escrutinio tanto de Facebook como de Amazon (empresa) con respecto a los informes sobre el uso de datos personales biométricos sin el consentimiento de los sujetos. [22]
Cambridge Analytica y Facebook
El 23 de marzo de 2018, la ICO registró la sede de Cambridge Analytica en Londres en medio de informes de que la empresa recopiló los datos personales de millones de usuarios de Facebook como parte de una campaña para influir en las elecciones presidenciales de 2016 en EE. UU. [23]
En octubre de 2018, la ICO emitió una multa de £ 500,000, el máximo permitido según las leyes que se aplicaban en el momento en que ocurrieron los incidentes, a Facebook, por infracciones de la ley de protección de datos. La investigación de la ICO encontró que entre 2007 y 2014, Facebook procesó la información personal de los usuarios de manera injusta al permitir que los desarrolladores de aplicaciones (específicamente, Aleksandr Kogan y su compañía GSR como clientes de SCL Ltd y Cambridge Analytica) accedan a su información sin un consentimiento suficientemente claro e informado. y permitir el acceso incluso si los usuarios no habían descargado la aplicación, pero eran simplemente "amigos" de personas que sí lo habían hecho. [2]
Uber
En noviembre de 2018, la ICO multó a Uber con £ 385,000 por no proteger la información personal de los clientes durante un ciberataque. Una serie de fallas de seguridad de datos evitables permitió a los atacantes acceder y descargar los datos personales de alrededor de 2,7 millones de clientes británicos desde un sistema de almacenamiento basado en la nube operado por la empresa matriz de Uber en EE. UU. [24]
Equifax
En septiembre de 2018, la ICO emitió a Equifax Ltd una multa de £ 500,000 por no proteger la información personal de hasta 15 millones de ciudadanos británicos durante un ciberataque en 2017. El incidente, que ocurrió entre el 13 de mayo y el 30 de julio de 2017 en el EE.UU., afectó a 146 millones de clientes en todo el mundo. [25]
Tik Tok
En febrero de 2019, la ICO inició una investigación de la plataforma para compartir videos y la aplicación móvil TikTok , luego de la multa que recibió su empresa matriz ByteDance de la Comisión Federal de Comercio de los Estados Unidos , por recopilar información de menores de 13 años en violación de la Ley de Protección de la Privacidad Infantil en Línea del país . En declaraciones a un comité parlamentario, la comisionada de Información Elizabeth Denham dijo que la investigación se centra en el mismo tema de la recopilación de datos privados, así como en el tipo de videos recopilados y compartidos por niños en línea, así como el sistema de mensajería abierta de la plataforma que permite a cualquier adulto para enviar un mensaje a cualquier niño. Señaló que la empresa estaba potencialmente violando las disposiciones del RGPD que "requiere que la empresa proporcione diferentes servicios y diferentes protecciones para los niños". [26]
Lista de comisionados de información
- Elizabeth Denham (nombrada el 15 de julio de 2016) [27]
- Christopher Graham (nombrado el 29 de junio de 2009) [28]
- Richard Thomas (nombrado el 2 de diciembre de 2002)
- Elizabeth France (nombrada el 1º de septiembre de 1994) [29]
- Eric Howe (nombrado en septiembre de 1984)
Roles similares en Europa
El papel del CI se refleja en todos los países de la Unión Europea y el Espacio Económico Europeo que tienen funcionarios equivalentes creados bajo sus versiones de la Directiva 95/46 .
Ver también
- Privacidad de la información
- Comisionado de información
- Departamentos del Gobierno del Reino Unido
- Privacidad Internacional
- Oficina de Comunicaciones del Reino Unido (Ofcom)
- Oficina de Mercados de Gas y Electricidad del Reino Unido (Ofgem)
- Autoridad de Regulación de los Servicios de Agua del Reino Unido (Ofwat)
- Servicio de preferencia telefónica
- Comisionado de Protección de Datos (Irlanda)
- Categoría: Bases de datos en el Reino Unido
- Operación Motorman (investigación de ICO)
Referencias
- ^ "Oficina del comisionado de información" . Oficina del Comisionado de Información . Consultado el 7 de enero de 2010 .
La Oficina del Comisionado de Información es la autoridad independiente del Reino Unido creada para defender los derechos de información en el interés público, promoviendo la apertura por parte de los organismos públicos y la privacidad de los datos para las personas.
- ^ a b "ICO emite una multa máxima de £ 500,000 a Facebook por no proteger la información personal de los usuarios" (Comunicado de prensa). Oficina del Comisionado de Información. 25 de octubre de 2018 . Consultado el 22 de agosto de 2020 .
- ^ "Llamadas y mensajes molestos" . Oficina del Comisionado de Información . Consultado el 22 de agosto de 2020 .
- ^ "Guía del Reglamento General de Protección de Datos (RGPD)" . Oficina del Comisionado de Información . Consultado el 22 de agosto de 2020 .
- ^ a b "Ley de Protección de Datos 2018" . Oficina del Comisionado de Información . Consultado el 22 de agosto de 2020 .
- ^ "Apuntando a los peores infractores y cortando llamadas molestas" . 3 de abril de 2014 . Consultado el 24 de marzo de 2018 .
- ^ Patrick Foster, "La vigilancia del Gran Hermano significa que nadie está a salvo, advierten los expertos" , The Times , 27 de marzo de 2007, consultado el 16 de septiembre de 2007
- ^ Revisión de exenciones de pago de cargos a la Oficina del Comisionado de Información (PDF) (Informe). Departamento de Digital, Cultura, Medios y Deporte. Noviembre de 2018 . Consultado el 30 de abril de 2020 .
- ^ "El Reglamento de Protección de Datos (Cargos e Información) 2018 - Procesamiento exento de programación" . Legislación.gov.uk . Consultado el 30 de abril de 2020 .
- ^ "Registro de contribuyentes" . Oficina del Comisionado de Información . Consultado el 22 de agosto de 2020 .
- ^ "Plan de acción para llamadas molestas" (PDF) . Departamento de Cultura, Medios y Deporte . Consultado el 8 de abril de 2016 .
Reducir el umbral legal de daños al consumidor.
- ^ "Plan de acción para llamadas molestas" (PDF) . Departamento de Cultura, Medios y Deporte . Consultado el 8 de abril de 2016 .
tomar medidas coercitivas contra más organizaciones que infrinjan el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003
- ^ "La ICO multa a dos empresas por más de un millón de llamadas molestas realizadas a suscriptores de TPS" (Comunicado de prensa). 26 de noviembre de 2018 . Consultado el 22 de agosto de 2020 .
- ^ "BBC News - Primera multa de la ley de protección de datos emitida por el comisionado" . BBC Online . BBC . 24 de noviembre de 2010 . Consultado el 24 de noviembre de 2010 .
El comisionado dijo que las multas, la primera que ha emitido, "enviarían un mensaje contundente" a quienes manejan los datos.
- ^ "La primera línea" . 1 de diciembre de 2011.
- ^ "Penalizaciones" . Oficina del Comisionado de Información . Consultado el 22 de agosto de 2020 .
- ^ "Sony multada por pirateo de PlayStation" . 24 de marzo de 2018 . Consultado el 24 de marzo de 2018 , a través de www.bbc.co.uk.
- ^ a b c "Lanzamiento del jefe de información en prensa sobre delitos de datos" . Presione Gaceta. 15 de diciembre de 2006. Archivado desde el original el 11 de enero de 2012 . Consultado el 18 de julio de 2011 .
- ^ "¿Qué precio tiene la privacidad ahora?" . Oficina de Comisionados de Información. 15 de diciembre de 2006. Archivado desde el original el 20 de febrero de 2014 . Consultado el 18 de julio de 2011 .
- ^ "El editor de Daily Mail Paul Dacre 'nunca aprobó la piratería ' " . Noticias de la BBC. 18 de julio de 2011 . Consultado el 18 de julio de 2011 .
- ^ Chamberlain, Phil (28 de junio de 2008). "Enemigo a las puertas" . The Guardian . Consultado el 7 de septiembre de 2015 .
- ^ Frenkel, Sheera (8 de mayo de 2018). "Facebook para reorganizar después del escrutinio sobre la privacidad de los datos (publicado en 2018)" . The New York Times . ISSN 0362-4331 . Consultado el 6 de diciembre de 2020 .
- ^ Gonzales, Richard (23 de marzo de 2018). "Investigadores del Reino Unido allanan las oficinas de Cambridge Analytica en Londres" . NPR .
- ^ "La ICO multa a Uber con 385.000 libras esterlinas por fallas en la protección de datos" (Comunicado de prensa). Oficina del Comisionado de Información. 27 de noviembre de 2018.
- ^ "La agencia de referencia crediticia Equifax es multada por violación de seguridad" (Comunicado de prensa). Oficina del Comisionado de Información. 20 de septiembre de 2018 . Consultado el 22 de agosto de 2020 .
- ^ Hern, Alex (2 de julio de 2019). "TikTok bajo investigación sobre el uso de datos de niños" . The Guardian . ISSN 0261-3077 . Consultado el 13 de julio de 2020 .
- ^ "Nuevo Comisionado de Información del Reino Unido nombrado formalmente" . 15 de julio de 2016 . Consultado el 25 de julio de 2016 .
Su Majestad la Reina aprobó el nombramiento de Elizabeth Denham como Comisionada de Información del Reino Unido.
- ^ McNally, Paul (13 de enero de 2009). "Christopher Graham es el nuevo comisionado de información" .
- ^ Lashmar, Paul (27 de noviembre de 2000). "Elizabeth France: esta mujer te está mirando, hermano mayor" . The Independent . Consultado el 9 de agosto de 2011 .
enlaces externos
- Página web oficial