La Oficina del Comisionado de Información (ICO) ha emitido reprimendas a siete organizaciones públicas y privadas por no responder a las solicitudes de información personal, pero los expertos han cuestionado por qué el regulador elige divulgar públicamente algunas reprimendas y no otras.
Según la Ley de Protección de Datos del Reino Unido de 2018 (DPA 18), la ICO tiene la facultad de emitir reprimendas formales, así como multas y otros avisos de aplicación, cuando las organizaciones contravienen la ley.
El 28 de septiembre de 2022, el ICO anunció que había reprendido a siete organizaciones (el Ministerio de Defensa, el Ministerio del Interior, la Policía de Kent, Virgin Media y los distritos londinenses de Croydon, Hackney y Lambeth) por no responder repetidamente a las solicitudes de acceso de sujetos ( SAR) dentro del plazo legal de tres meses.
“SAR y solicitudes hechas bajo FOIA [the Freedom of Information Act] son derechos fundamentales y son una puerta de entrada esencial para acceder a otros derechos”, dijo el comisionado de información John Edwards. “Poder preguntarle a una organización ‘¿qué información tienen sobre mí?’ y ‘¿cómo se está utilizando?’ proporciona transparencia y rendición de cuentas y permite que la persona solicite que se realicen cambios o incluso que se elimine la información.
“Seguiremos apoyando a las organizaciones para que cumplan con sus obligaciones con las personas, además de brindar educación a las personas sobre sus derechos. Esto incluye el desarrollo de un generador de SAR para ayudar a las personas a identificar dónde es probable que se guarde su información personal y cómo solicitarla, al mismo tiempo que brinda información a la organización sobre lo que se requiere de ellos.
“Esperamos que todas las solicitudes de información se manejen de manera adecuada y oportuna. Esto fomenta la confianza del público y garantiza que las organizaciones se mantengan del lado correcto de la ley”.
Edwards dijo que cada una de las siete organizaciones reprendidas tenía entre tres y seis meses para realizar mejoras, o se podrían tomar más medidas de cumplimiento.
Sin embargo, la decisión del regulador de publicar y hacer públicas estas siete amonestaciones ha planteado dudas sobre la coherencia y por qué opta por divulgar algunas amonestaciones, pero no otras.
Con base en una solicitud de la FOIA presentada por Jon Baines, especialista sénior en protección de datos del bufete de abogados Mishcon de Reya, Computer Weekly informó en junio de 2022 que la ICO no había revelado públicamente la mayoría de las reprimendas que había emitido desde noviembre de 2021 a organizaciones del sector público. por infracciones de la ley de protección de datos del Reino Unido.
Los 15 destinatarios de la reprimenda no revelados incluyeron el Servicio de Comunicación del Gobierno (GCS, parte de la Oficina del Gabinete), el Partido de la Independencia del Reino Unido (UKIP), el Servicio de Fiscalía de la Corona (CPS) y el Comisionado de Idioma Galés. Otros destinatarios incluyeron cuatro fuerzas policiales, dos autoridades locales y dos fideicomisos del NHS.
Aunque el ICO se negó a revelar las razones por las que decidió emitir las amonestaciones, confirmó en ese momento que todas las amonestaciones entregadas a los órganos del sector de la justicia penal se emitieron bajo la Parte Tres del DPA 18, que establece reglas específicas para el procesamiento de datos personales. por las entidades encargadas de hacer cumplir la ley con fines de aplicación de la ley.
Chris Pounder, director de la firma de capacitación en protección de datos Amberhawk, dijo: “Las reprimendas deben publicarse y si hay problemas en juego, por ejemplo, seguridad nacional o vigilancia, debe publicarse un resumen”.
Pounder agregó que, según la anterior Ley de Protección de Datos del Reino Unido de 1998, la ICO podía entregar “compromisos” a organizaciones por infringir la ley, y estos “generalmente se publicaban”.
De manera similar a las reprimendas, estos compromisos describirían los problemas y establecerían las acciones que las organizaciones deberían tomar para que sus actividades de procesamiento de datos sean compatibles y en qué plazo.
Cuando se le preguntó sobre el proceso detrás de por qué se publican algunas amonestaciones y otras no, el ICO dijo: “Actualmente, las amonestaciones se publican caso por caso. Entonces, por ejemplo, en relación con las amonestaciones de SAR publicadas recientemente, eso fue parte de un trabajo coordinado para crear conciencia sobre los retrasos de SAR y las consecuencias del incumplimiento. También hemos publicado previamente amonestaciones en casos como el DHSC [Department of Health and Social Care] correspondencia privada Detrás de las pantallas reporte.”
El ICO también proporcionó un enlace a su Política de actividad regulatoria y de aplicación para obtener más información.
Pero de acuerdo con esta política, la “posición predeterminada del ICO es que publicaremos (y, cuando corresponda, publicitaremos) todo el trabajo regulatorio formal, incluidas las decisiones e investigaciones importantes, una vez que se alcance el resultado”.
Específicamente sobre las reprimendas, el ICO agregó: “Las publicaremos si ayudan a promover buenas prácticas o disuadir el incumplimiento”.
Libertad de divulgación de información
En respuesta a una serie de solicitudes de FOIA de seguimiento presentadas por Computer Weekly, y que se centraron principalmente en las reprimendas emitidas a los órganos de justicia penal, la ICO reveló documentación relacionada con la reprimenda de la Oficina del Gabinete, pero no se preguntó sobre ninguna de las otras reprimendas.
Estos incluyen las reprimendas emitidas a la Policía de Hampshire, el Servicio de Policía Metropolitana, la Policía de North Yorkshire (que recibió dos reprimendas), la Policía de Surrey y el Servicio de Fiscalía de la Corona (CPS).
Según las respuestas a la FOIA del equipo de acceso a la información de la ICO, la información sobre estas reprimendas se retuvo porque “la divulgación de la información probablemente perjudicaría la capacidad de la ICO para realizar investigaciones de esta naturaleza tanto ahora como en el futuro”. Agregó: “Es probable que la divulgación ponga en peligro la capacidad de la ICO para obtener información de las organizaciones que investigamos e inhibiría nuestra eficacia como regulador. La divulgación de información podría afectar negativamente la relación que tenemos con ellos y hacerlos más cautelosos a la hora de comprometerse con nosotros en el futuro”.
Además, citó la exención de cumplimiento de la ley de la sección 31 de la FOIA y una exención absoluta de la sección 44, esta última que permite retener información si se proporcionó a la ICO durante una investigación oficial.
Baines de Mishcon de Reya dijo que, aunque podía ver ambos lados, era “inherentemente escéptico” del argumento de que la publicación de información sobre la acción regulatoria formal que ha tomado el ICO haría que las organizaciones fueran menos propensas a participar en el futuro.
“El ICO es el regulador legal, con poderes legales de recopilación de información y poderes para obligar, en ciertas circunstancias, a que se proporcione información”, dijo, y agregó que aunque inevitablemente habrá casos extremos de “controladores de datos dudosos” eludiendo sus obligaciones legales de cooperar, este no será el caso de “un negocio razonable, actuando razonablemente”.
“No estoy del todo convencido de que un enfoque muy transparente de la ICO tendría el efecto escalofriante que sugieren”, dijo Baines. “Si me pidieras que argumentara de otra manera, podría hacerlo. Pero, en general, soy escéptico sobre el argumento de la ronda”.
El ICO no comentó sobre su argumento de que las divulgaciones tendrían un efecto potencialmente disuasorio.
Baines, a quien se le proporcionaron copias de las solicitudes de Computer Weekly, dijo que también tenía preocupaciones generales sobre cómo la ICO y otras autoridades públicas aplican la prueba de interés público al responder a las solicitudes de la FOIA.
“Cuando se trata de la aplicación de exenciones, creo que simplemente se basan en argumentos genéricos a favor de la divulgación”, dijo. “Están obligados a sopesar los factores en la balanza, pero a menudo dicen que la divulgación es el beneficio general de la transparencia y luego se oponen a la divulgación A, B, C, D, E y F, que son todas específicas. ”
También se enviaron solicitudes separadas de FOIA para obtener información sobre las reprimendas a cada uno de los órganos de justicia penal individuales, la mayoría de las cuales se retuvieron bajo la exención de aplicación de la ley, mientras que otras aún no han respondido.
Algunas de las organizaciones reprendidas dijeron que las continuas demoras en responder a las solicitudes de FOIA se deben al hecho de que hasta ahora las organizaciones no han podido localizar las reprimendas que se les emitieron. Solo la Oficina del Gabinete reveló detalles sobre su reprimenda del ICO.
Oficina del Gabinete reprendida por licitación en tiempo real
Según la divulgación de la ICO, la Oficina del Gabinete fue reprendida por su uso de ofertas programáticas en tiempo real (RTB), un proceso automatizado mediante el cual los anunciantes pueden realizar ofertas, en tiempo real, para ubicaciones específicas de anuncios gráficos, por varios motivos.
Estos incluyen el hecho de que la Oficina del Gabinete no había realizado una evaluación de impacto de protección de datos (DPIA), ya sea cuando se implementó RTB por primera vez en 2014 o al comienzo del Reglamento General de Protección de Datos (GDPR) en mayo de 2018, y no había identificado una base legal para el tratamiento de datos tanto personales como de categoría especial.
La amonestación decía que la Oficina del Gabinete tampoco había publicado nunca un aviso de privacidad sobre sus actividades de procesamiento y no incluía RTB en su registro de actividades de procesamiento.
Aunque la Oficina del Gabinete ha estado utilizando RTB desde 2014 para enviar mensajes individualizados a los usuarios del servicio, también afirmó al ICO que no creía que el sistema estuviera procesando ningún dato personal.
Computer Weekly preguntó a la Oficina del Gabinete cómo llegó a la conclusión de que no se estaban procesando datos personales dada la naturaleza de la publicidad dirigida del sistema, pero no respondió al momento de la publicación.
Sobre los pasos que ha tomado para remediar los problemas planteados por su amonestación, la Oficina del Gabinete dijo en su respuesta a la FOIA: “Se han implementado una serie de medidas mejoradas de protección de datos y otras medidas de diligencia debida para garantizar el cumplimiento de las campañas gubernamentales con la última ICO. guía.”
El ICO confirmó que la Oficina del Gabinete había realizado una DPIA y publicó un aviso de privacidad luego de la reprimenda.
Sin embargo, el propio oficial de protección de datos (DPO) de la Oficina del Gabinete, cuya opinión está incluida en la DPIA, dijo que había un alto riesgo de que RTB usara datos personales ilegalmente. “Mi consejo es que sigue existiendo un alto riesgo de que los datos personales se recopilen y utilicen ilegalmente dentro del sistema RTB”, dijo el DPO.
“Esto se debe a que el ICO ha informado que la única base legal adecuada para gran parte de estos datos es el consentimiento. El consentimiento recopilado en nombre de la Oficina del Gabinete por parte de los editores solo puede ser válido si se nombra a la Oficina del Gabinete como destinatario que se basa en ese consentimiento. Esto no es, que yo sepa, el caso. Por lo tanto, recomiendo que cese el uso de RTB hasta que podamos tener una confianza razonable de que nuestro uso de RTB cumple con la ley de protección de datos”.
El ICO dijo que se realizó una revisión del progreso de la Oficina del Gabinete en la primavera de 2022. “Estábamos satisfechos con su progreso en ese momento y no fue necesaria una revisión adicional”, dijo. “Al igual que con todos los asuntos que consideramos, si hay nueva información o inteligencia que nos lleve a considerar apropiado retomar este asunto, lo haríamos”.
Agregó: “Con respecto al procesamiento y la evaluación de DPO, por supuesto esperaríamos precaución cuando haya alguna cuestión de cumplimiento, y es sensato no procesar hasta que se resuelva”.
Computer Weekly preguntó a la Oficina del Gabinete si podía explicar la contradicción entre la respuesta de la FOIA que dice que se han implementado todas las medidas recomendadas y su DPO que dice que el uso del sistema debe detenerse hasta que haya una mayor confianza en que está funcionando. legalmente, pero no recibió respuesta al momento de la publicación.
Preocupaciones claras sobre RTB
Baines dijo que, dadas las claras preocupaciones de la ICO sobre la industria de RTB, le sorprende que el regulador no haya publicado ni difundido la amonestación de la Oficina del Gabinete.
En junio de 2019, el ICO publicó un informe sobre tecnología publicitaria (adtech) y RTB, que enumera específicamente la falta de transparencia en el ecosistema, la dependencia de bases legales cuestionables para justificar el procesamiento de datos y el intercambio y uso de datos de categoría especial como un principales preocupaciones. También señaló que el ICO no creía que los problemas de protección de datos planteados por el sector pudieran abordarse sin intervención.
“En general, desde el punto de vista de la ICO, la industria de la tecnología publicitaria parece inmadura en su comprensión de los requisitos de protección de datos”, dijo. “Si bien la entrega automatizada de impresiones de anuncios llegó para quedarse, tenemos preocupaciones generales y sistémicas sobre el nivel de cumplimiento de RTB”.
Al comentar sobre la reprimenda de la Oficina del Gabinete, Baines dijo: “Creo que es realmente interesante que tomaron medidas contra la Oficina del Gabinete en el momento en que publicaban informes sobre la industria. YO…