La Oficina del Comisionado de Información ( ICO ) es un organismo público no departamental que depende directamente del Parlamento del Reino Unido y está patrocinado por el Departamento de Ciencia, Innovación y Tecnología . [1] Es la oficina reguladora independiente ( autoridad nacional de protección de datos ) que se ocupa de la Ley de Protección de Datos de 2018 y el Reglamento General de Protección de Datos , el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003 en todo el Reino Unido; y la Ley de Libertad de Información de 2000 y el Reglamento de Información Ambiental de 2004 en Inglaterra, Gales e Irlanda del Norte y, hasta cierto punto, en Escocia. Cuando auditan una organización, utilizan el software de auditoría de Symbiant. [2]
El Comisionado de Información está en proceso de ser reemplazado por la Comisión de Información por la Cláusula 143 del Proyecto de Ley de Protección de Datos e Información Digital (una vez promulgado). [3]
El Comisionado de Información es un funcionario independiente designado por la Corona . Las decisiones del Comisionado están sujetas a apelación ante un tribunal independiente y ante los tribunales . La misión del Comisionado es "defender los derechos de información en interés público, promoviendo la apertura por parte de los organismos públicos y la privacidad de los datos de los individuos". [4]
El cargo de Comisionado de Información lo desempeña actualmente John Edwards , quien sucedió a Elizabeth Denham el 3 de enero de 2022. [5]
El 26 de agosto de 2021, John Edwards fue nombrado nuevo Comisionado de Información, en sustitución de Elizabeth Denham. El gobierno del Reino Unido dijo que "iría más allá del papel tradicional del regulador" y que el trabajo ahora estaría "equilibrado" entre proteger los derechos y promover "la innovación y el crecimiento económico". También dijo que la protección de la privacidad debe hacerse "de la manera más ligera posible", que daría prioridad a permitir que los datos personales se envíen internacionalmente a lugares como Estados Unidos, Corea, Singapur, Dubai y Colombia, entre otros. , que quería una política de datos que generara un "dividendo Brexit" para las empresas (cf. individuos únicamente) y que quería deshacerse de las "interminables" ventanas emergentes de cookies. [6] Promover el crecimiento económico no es una de las funciones de la ICO reconocidas por ley y, como tal, esta nueva función crea el potencial de conflicto con sus funciones estatutarias, establecidas, por ejemplo, en la sección 115 de la Ley de Protección de Datos de 2018 y el RGPD del Reino Unido. [7] y/o el riesgo de que pueda tomar medidas potencialmente ultra vires. Dado que promover el crecimiento económico no ha sido anteriormente una de sus funciones (se anunció el 26 de agosto de 2021 que es algo que el trabajo implicaría "ahora" y no está establecido en el estatuto), [6] entonces, lógicamente, promover el crecimiento económico el crecimiento se producirá a expensas de la protección de los derechos, ya que esa protección no ha estado previamente equilibrada con ellos. A 26 de agosto de 2021 [actualizar], el sitio web de la ICO afirma que es "la autoridad independiente del Reino Unido creada para defender los derechos de información en interés público, promoviendo la apertura de los organismos públicos y la privacidad de los datos de las personas". [8]
Desde que Elizabeth Denham fue nombrada Comisionada de Información de Gran Bretaña en 2016, la ICO ha llevado a cabo investigaciones de alto perfil sobre Equifax, Yahoo, Talk Talk, Uber y Facebook; imponer la multa máxima en virtud de la Ley de Protección de Datos de 1998 de 500.000 libras esterlinas a Facebook, [9] por infracciones de la ley de protección de datos. Denham también ha supervisado la conclusión de la investigación de la ICO sobre las actividades de recaudación de fondos de organizaciones benéficas y una serie de multas para las empresas detrás del marketing molesto. [10]
Elizabeth Denham acogió con satisfacción la introducción del Reglamento general de protección de datos (GDPR) [11] que entró en vigor en mayo de 2018, así como la Ley de protección de datos de 2018. [12]
En octubre de 2018 fue elegida presidenta de la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad (ICDPPC), el principal foro mundial de autoridades de protección de datos y privacidad, que abarca a más de 120 miembros en todos los continentes y que trabaja durante todo el año en la política global de protección de datos. asuntos.
Durante su mandato como Comisionado de Información, Christopher Graham se destacó por obtener nuevos poderes para imponer sanciones monetarias a quienes infrinjan la Ley de Protección de Datos de 1998. También acogió con satisfacción los nuevos poderes para imponer sanciones monetarias en virtud de las Regulaciones de Privacidad y Comunicaciones Electrónicas, así como planteando preocupaciones sobre el daño y la angustia causados por llamadas molestas al público. [13] Christopher Graham sucedió a Richard Thomas en 2009.
Durante el mandato de Richard Thomas como Comisionado, la ICO se destacó particularmente por plantear serias preocupaciones sobre la base de datos y el documento de identidad nacional británico propuestos por el gobierno , así como otras bases de datos similares como el Proyecto de Información Ciudadana , la Base de Datos Universal Infantil y el Programa Nacional del NHS. para IT , afirmando que el país corre el peligro de caminar sonámbulo hacia una sociedad de vigilancia , [14] llamando la atención sobre el mal uso de dicha información por parte de los antiguos estados del bloque del Este y la España de Francisco Franco .
La Ley de Protección de Datos de 2018 [12] recibió la aprobación real el 23 de mayo de 2018. Actualiza las leyes de protección de datos en el Reino Unido, complementa el Reglamento General de Protección de Datos (GDPR), implementa la directiva de aplicación de la ley de la UE y extiende las leyes de protección de datos a áreas no cubiertos por el RGPD. La nueva ley tiene como objetivo modernizar las leyes de protección de datos para garantizar que sean efectivas en los próximos años.
El cargo de protección de datos que se impone a los controladores de datos del Reino Unido para respaldar la Ley se establece en el Reglamento de Protección de Datos (Cargos e Información) de 2018. Las exenciones del cargo se dejaron en términos generales igual que para la Ley anterior: en gran medida, algunas empresas y organizaciones sin fines de lucro tienen fines internos básicos. (personal o miembros, marketing y contabilidad), asuntos domésticos, algunos fines públicos y procesamiento no automatizado. [15] [16] El registro de pagadores de tasas , que excluye a los controladores de datos que están exentos de pagar una tasa, está disponible públicamente y se puede buscar en el sitio web de la ICO, [17] que también ofrece enlaces a las contrapartes de la ICO en toda Europa. .
El Reino Unido, como miembro de la Unión Europea, estaba, y como antiguo miembro, sigue estando sujeto a un estricto régimen de protección de datos . La Ley de Protección de Datos de 1984 creó el puesto entonces denominado Registrador de Protección de Datos ante el cual las personas que procesaban datos personales debían registrar el hecho de su procesamiento de esos datos en el registro de controladores de datos. Según las disposiciones de la Directiva 95/46 de la CE (introducida en el Reino Unido como Ley de Protección de Datos de 1998 , en lugar de SI según la Ley de las Comunidades Europeas de 1972 ), el nombre del puesto se cambió a Comisionado de Protección de Datos y más tarde a Comisionado de Información. .
El Reglamento General de Protección de Datos (GDPR) es una nueva ley europea que reemplaza la Ley de Protección de Datos de 1998 en el Reino Unido. El RGPD entró en vigor el 25 de mayo de 2018 y establece requisitos sobre cómo las organizaciones deben manejar los datos personales. Forma parte del régimen de protección de datos en el Reino Unido, junto con la nueva Ley de Protección de Datos de 2018 (DPA 2018). Tras la salida del Reino Unido de la UE el 31 de enero de 2020 , el RGPD sigue formando parte del derecho interno británico en virtud del artículo 3 de la Ley (Retirada) de la Unión Europea de 2018 .
En 2005, la función del Comisionado se amplió para incluir la aplicación de la Ley de Libertad de Información de 2000 y el Reglamento de Información Ambiental de 2004 y el nombre del puesto se cambió de Comisionado de Protección de Datos a Comisionado de Información ("IC"). La aplicación de la Ley de Libertad de Información (Escocia) de 2002 , que se aplica a las autoridades públicas delegadas en Escocia, es responsabilidad del Comisionado de Información de Escocia , un funcionario público independiente, ya que la Ley británica no se aplica a estas autoridades.
La ICO publica orientación sobre la legislación sobre libertad de información, que se está actualizando de acuerdo con su plan estratégico 2019/20 - 2021/22, Openness by Design . [18]
En noviembre de 2011, la ICO recibió poderes para imponer sanciones monetarias de hasta £ 500 000 por infracciones de las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) . PECR se aplica a organizaciones que desean enviar mensajes de marketing a través de medios electrónicos, es decir, teléfono, fax, correo electrónico, mensajes de texto; utilizar cookies o prestar servicios de comunicación electrónica al público en general. Al igual que ocurre con el RGPD, estas regulaciones siguen aplicándose después del Brexit.
En marzo de 2013, al comentar sobre una multa de £ 90 000 impuesta a la empresa de cocinas equipadas DM Design de Cumbernauld por llamadas de marketing molesto, el Comisionado de Información dijo que "esta multa no será una sanción aislada. Sabemos que otras empresas están mostrando un desprecio similar por la ley y tenemos toda la intención de tomar más medidas coercitivas contra las empresas que continúan bombardeando a las personas con mensajes de texto y llamadas de marketing ilegales". En 2014, el Gobierno modificó la ley para "reducir el umbral legal de daño al consumidor". [19] Esto facilitó que la ICO "tome medidas coercitivas contra más organizaciones que infrinjan las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) ". [20]
En octubre de 2018, la ICO multó a dos empresas con un total de £250.000 que realizaron casi 1,73 millones de llamadas telefónicas de marketing directo a personas registradas en el Servicio de Preferencia Telefónica (TPS). [21] En diciembre de 2018, el Comisionado acogió con satisfacción la nueva ley que significa que la ICO ahora puede responsabilizar directamente a los jefes de las empresas y tiene el poder de multarlos personalmente por infracciones de las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) .
El Comisionado de Información también es responsable de las apelaciones realizadas conforme al Reglamento de Información Ambiental de 2004 .
Antes de 2010, los poderes de ejecución se limitaban a emitir avisos de ejecución y perseguir ante los tribunales a aquellos que presuntamente habían infringido la Ley de Protección de Datos de 1998. En 2010, el Comisionado de Información recibió el poder de imponer multas, conocidas como sanciones monetarias, por su propia autoridad, otorgada en abril de 2010. Las primeras se cumplieron el 24 de noviembre de 2010. [22] A partir de 2010, la ICO también recibió la poderes para enviar Avisos de Evaluación, que pueden emitirse a organizaciones que no están dispuestas a trabajar junto con la ICO y corren el riesgo de violar los principios de la Ley de Protección de Datos de 1998. Durante la Investigación Leveson en 2012 salió a la luz que la ICO se había sentido incapaz de cuestionar a la prensa en relación con acusaciones de violaciones debido al poder de la prensa y la percepción de debilidad de sus propios poderes. [23]
A partir del 25 de mayo de 2018, se otorgaron a la ICO nuevos poderes de aplicación en virtud de las nuevas leyes de protección de datos, incluida la capacidad de multar a las organizaciones con 20 millones de euros (o su equivalente en libras esterlinas) o el 4% de la facturación mundial anual total en el ejercicio financiero anterior, lo que ocurra. superior, por infringir las leyes de protección de datos. [24]
En 2002, bajo la 'Operación Motorman', la ICO bajo Richard Thomas allanó varias oficinas de periódicos e investigadores privados, buscando detalles de información personal guardada en bases de datos informáticas no registradas. La operación descubrió numerosas facturas dirigidas a periódicos y revistas en las que se detallaban los precios por proporcionar información personal a los periodistas, identificándose a 305 periodistas como destinatarios de una amplia gama de información. [25]
En 2006, una solicitud en virtud de la Ley de Libertad de Información dio lugar a la publicación de un informe al Parlamento británico titulado "¿Qué precio tiene la privacidad ahora?". [26] El periódico con mayor número de solicitudes fue el Daily Mail con 952 transacciones por parte de 58 periodistas; News of the World ocupó el quinto lugar en la tabla, con 182 transacciones de 19 periodistas. [25] El Daily Mail emitió inmediatamente un comunicado de prensa, en el que rechazaba las acusaciones contenidas en el informe. El editor Paul Dacre dijo que Associated Newspapers sólo utilizó investigadores privados para confirmar información pública, como fechas de nacimiento. [25]
En una aparición en julio de 2011 ante un comité parlamentario, un día después de que la ex directora ejecutiva de News International , Rebekah Brooks , fuera arrestada y puesta en libertad bajo fianza a la luz del escándalo de piratería telefónica de News International , Dacre les dijo que nunca había "tolerado" la piratería telefónica o el blagging. en su periódico, ya que ambos actos eran claramente "criminales". [27]
El 23 de febrero de 2009, la oficina de Droitwich de la Consulting Association (TCA) fue allanada por la ICO, que entregó una notificación de ejecución contra la TCA según los términos de la Ley de Protección de Datos. La acción de la ICO siguió a un artículo del 28 de junio de 2008 sobre supuestas listas negras en la industria de la construcción, escrito por el periodista Phil Chamberlain, publicado en The Guardian . [28]
En 2013, la Oficina del Comisionado de Información multó a Sony Computer Entertainment Europe Ltd. con 250.000 libras esterlinas, cuando muchos sistemas PlayStation fueron pirateados y se robaron los nombres, direcciones, números de teléfono y datos de tarjetas de los usuarios. La ICO descubrió que Sony tenía información excesiva sobre sus usuarios y sistemas de seguridad inadecuados. [29]
En mayo de 2018 se produjo un mayor escrutinio tanto de Facebook como de Amazon con respecto a los informes sobre el uso de datos personales biométricos sin el consentimiento de los sujetos. [30]
El 23 de marzo de 2018, la ICO registró la sede londinense de Cambridge Analytica en medio de informes de que la empresa recopiló datos personales de millones de usuarios de Facebook como parte de una campaña para influir en las elecciones presidenciales de Estados Unidos de 2016. [31]
En octubre de 2018, la ICO impuso a Facebook una multa de 500.000 libras esterlinas, el máximo permitido según las leyes que se aplicaban en el momento en que ocurrieron los incidentes, por infracciones de la ley de protección de datos. La investigación de la ICO encontró que entre 2007 y 2014, Facebook procesó la información personal de los usuarios de manera injusta al permitir que los desarrolladores de aplicaciones (en concreto, Aleksandr Kogan y su empresa GSR como clientes de SCL Ltd y Cambridge Analytica) accedieran a su información sin un consentimiento suficientemente claro e informado. y permitir el acceso incluso si los usuarios no habían descargado la aplicación, sino que simplemente eran "amigos" de personas que sí la habían descargado. [9]
En noviembre de 2018, la ICO multó a Uber con £ 385 000 por no proteger la información personal de los clientes durante un ciberataque. Una serie de fallas de seguridad de datos evitables permitieron que los atacantes accedieran a los datos personales de alrededor de 2,7 millones de clientes británicos y los descargaran desde un sistema de almacenamiento basado en la nube operado por la empresa matriz estadounidense de Uber. [32]
En septiembre de 2018, la ICO impuso a Equifax Ltd una multa de 500.000 libras esterlinas por no proteger la información personal de hasta 15 millones de ciudadanos británicos durante un ciberataque en 2017. El incidente, que ocurrió entre el 13 de mayo y el 30 de julio de 2017 en Estados Unidos, afectó a 146 millones de clientes en todo el mundo. [33]
En febrero de 2019, la ICO inició una investigación de la plataforma para compartir vídeos y aplicación móvil TikTok , tras la multa que su empresa matriz ByteDance recibió de la Comisión Federal de Comercio de Estados Unidos , por recopilar información de menores de 13 años en violación de la Ley de Protección de la Privacidad Infantil en Línea del país . En declaraciones ante un comité parlamentario, la comisaria de Información, Elizabeth Denham, dijo que la investigación se centra en la misma cuestión de la recopilación de datos privados, así como en el tipo de vídeos recopilados y compartidos por niños en línea, así como en el sistema de mensajería abierta de la plataforma, que permite a cualquier adulto enviar mensajes a cualquier niño. Señaló que la empresa estaba potencialmente violando disposiciones del RGPD que "obligan a la empresa a proporcionar diferentes servicios y diferentes protecciones para los niños". [34]
En octubre de 2022, Interserve recibió una multa de 4,4 millones de libras esterlinas por una infracción de la ley de protección de datos en mayo de 2020 que permitió a los piratas informáticos acceder a los datos de hasta 113.000 empleados de Interserve. Si bien se detectó un correo electrónico de phishing, la ICO dijo que Interserve "no investigó a fondo la actividad sospechosa". Como resultado, el atacante comprometió 283 sistemas y 16 cuentas, desinstaló la solución antivirus de la empresa y cifró los datos personales de empleados actuales y anteriores. Interserve cuestionó que su personal y su respuesta hubieran sido complacientes. Dijo que también había tratado de reducir los riesgos en los sistemas que respaldan las operaciones en curso en Tilbury Douglas y Mitie Group. [35] La multa fue la cuarta mayor jamás exigida por el ICO. [36]
El papel del CI se refleja en todos los países de la Unión Europea y el Espacio Económico Europeo que tienen funcionarios equivalentes creados según sus versiones de la Directiva 95/46 .
La Oficina del Comisionado de Información es la autoridad independiente del Reino Unido creada para defender los derechos de información en interés público, promoviendo la apertura por parte de los organismos públicos y la privacidad de los datos de las personas.
[La Oficina del Comisionado de Información es] la autoridad independiente del Reino Unido creada para defender los derechos de información en interés público, promoviendo la apertura por parte de los organismos públicos y la privacidad de los datos de las personas.
reducir el umbral legal de daño al consumidor
tomar medidas coercitivas contra más organizaciones que infrinjan el
Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003
El comisionado dijo que las multas, las primeras que impone, "enviarían un mensaje contundente" a quienes manejan datos.
Su Majestad
la Reina
aprobó el nombramiento de Elizabeth Denham como Comisionada de Información del Reino Unido.