Parece que el regulador de datos del Reino Unido se ha rendido, culpando al coronavirus

La aplicación de la protección de datos se suspendió en el Reino Unido, y la Oficina del Comisionado de Información (ICO) les dijo a los denunciantes que sus casos no serán investigados durante el cierre.

En abril, el ICO dijo que se centraría en los casos más graves durante la pandemia y consideraría el impacto de la situación más amplia en las empresas bajo investigación, pero pidió a las organizaciones que continúen informando de las infracciones, ya que todavía está operando. Pero en realidad, afirman los observadores, ha dejado de funcionar casi por completo.

En las últimas semanas, el ICO ha estado informando a los denunciantes de que no presentará ningún caso. Eso sigue al perro guardián que retrasa una importante investigación adtech y sugiere que las multas pueden reducirse debido a la pandemia, lo que provocó una queja de los activistas del Open Rights Group (ORG), que ha escrito al ICO exigiendo una aclaración. "La presión sobre las organizaciones externas debería ser un factor en sus políticas, pero no puede ser primordial, especialmente cuando gran parte de la respuesta a COVID tiene que ver con el procesamiento de datos personales", dice Jim Killock, director ejecutivo de ORG.

La queja de ORG fue provocada por una carta enviada por el ICO a un abogado que presentaba una queja de protección de datos, lo que sugería que el organismo de control había detenido nuevas investigaciones para evitar presionar a las empresas que ya están luchando con la pandemia. "Desafortunadamente, en este momento no puedo escribir a (la compañía en cuestión) para obtener más información sobre su queja y sus prácticas de derechos de información", se lee en la carta del ICO, vista por Mundo Informático. "Esto se debe a que, como saben, la pandemia de coronavirus está ejerciendo una presión sin precedentes sobre todas las organizaciones y muchas están suspendiendo la actividad o teniendo que priorizar los recursos".

La carta agrega: "Por lo tanto, hemos decidido no presentar ninguna queja que requiera que las organizaciones tomen medidas o respondan a nuestras preguntas hasta que la situación mejore".

Eso plantea preocupaciones, dice Killock, de que las personas pensarán que pueden "simplemente ignorar la protección de datos a corto plazo porque nadie está mirando". Dada la pandemia, es razonable priorizar los casos y ser flexible con las empresas, y el propio personal de la OIC debe trabajar desde casa y mantenerse a salvo. La aplicación no debería detenerse por completo, sino ser examinada caso por caso, dice.

El ICO dice que, a pesar de la carta, todavía está investigando. "Al igual que muchos otros reguladores, hemos emitido un nuevo enfoque regulatorio que dice que adoptaremos un enfoque pragmático al realizar investigaciones durante la pandemia, teniendo en cuenta el impacto particular de la crisis", dice un portavoz.

La pandemia no solo ha tropezado con nuevos casos, sino que también ha retrasado las investigaciones importantes que ya están vencidas. En septiembre de 2018, un grupo de defensores de la privacidad, incluidos ORG, Johnny Ryan de la compañía de navegadores Brave y Michael Veale del University College London, presentaron una queja ante el ICO contra Google e IAB Europe con respecto a las tecnologías publicitarias de licitación en tiempo real. Eso provocó una consulta, pero aún no hay acciones de cumplimiento, aunque el ICO sugirió en enero que la industria debería "prepararse para que el ICO utilice sus poderes más amplios".

El 7 de mayo, el ICO dijo que estaba pausando ese trabajo. "No es nuestra intención presionar indebidamente a ninguna industria en este momento, pero nuestras preocupaciones sobre adtech continúan y nuestro objetivo es reiniciar nuestro trabajo en los próximos meses, cuando sea el momento adecuado", dijo en un comunicado.

Si bien Killock está de acuerdo en que las empresas pueden necesitar más margen durante el brote, dice que la industria de la tecnología publicitaria no debería posponer la mejora de su comportamiento. "Ha pasado mucho tiempo para que esas compañías hagan algo y realmente vean el cambio, no deberían obtener de repente un pase gratis", dijo. La ORG ha dicho que sus abogados le escribirán al ICO sobre el retraso.

La consulta de tecnología publicitaria no es la única investigación interrumpida por la pandemia, ya que la semana pasada la resolución de dos casos de alto perfil se retrasó hasta agosto. Marriott y British Airways fueron investigadas por el ICO luego de importantes incidentes de piratería que expusieron los detalles personales de cientos de millones de clientes. En julio de 2019, el ICO dictaminó que cada uno había infringido las leyes de protección de datos y dijo que tenía la "intención de multar" a Marriott £ 99 millones y British Airways £ 183.4m. Todavía tiene que emitir las multas, lo que lleva la acción final a agosto, según el asesor de protección de datos de Mischon De Reya, Jon Baines.

Ese retraso adicional y la posible reducción de las multas también podrían atribuirse a la pandemia. Según los informes, la jefa de ICO, Elizabeth Denham, sugirió en una conferencia la semana pasada que las multas deberán evaluarse teniendo en cuenta la pandemia, mencionando específicamente una aerolínea y una cadena de hoteles como ejemplos. "Cuando se trata de una aerolínea y una cadena hotelera que se ven significativamente afectadas por los resultados de la pandemia, habrá que reexaminar el caso financiero de cada una de esas compañías", dijo, según un informe legal. servicio de noticias MLex citado por Baines.

Puede justificarse un poco de margen para multas. Rowenna Fielding, líder de protección de datos en la consultora Protecture, sugiere que hay otras acciones que podrían ser efectivas, incluidas las notificaciones de cumplimiento que obligan a las empresas a realizar cambios. "Creo que (ICO) se arrinconó cuando anunciaron estas enormes multas", dice ella. "Ahora tienen que retroceder, y no importa lo que digan al respecto en este momento, la gente lo interpretará como que el ICO no es apto para su propósito porque esa es su experiencia en el pasado".

La acción reducida de ICO durante el brote viene junto con críticas más amplias de que el perro guardián no está aplicando GDPR. A principios de mayo El Telégrafo informó que un consultor estadounidense había sido contratado para considerar los poderes de la OIC, luego de una investigación parlamentaria el año pasado que pedía una revisión sobre si la OIC tenía "los recursos necesarios para actuar como un regulador efectivo". El ICO dijo que era una revisión planificada y de rutina.

Y necesitamos un perro guardián de privacidad efectivo, aún más durante el brote. La ICO ha tenido mucho trabajo provocado por la pandemia, incluido un aumento de estafas y el intento del gobierno de crear una aplicación de seguimiento de contactos. El ICO consultó los planes iniciales para la aplicación, pero ha dicho que eso no constituye aprobación.

Fielding dice que la debacle de la aplicación de seguimiento de contactos sugiere que el ICO estaba trabajando más como consultor que como un perro guardián, dando consejos que fueron ignorados por NHSX cuando creó la aplicación. "Denham declaró públicamente que la arquitectura descentralizada era mejor desde el punto de vista de la privacidad", dice Fielding. "Y luego, cuando se le preguntó en la reunión del comité parlamentario por qué esta línea no se había tomado más enérgicamente con NHSX, ella realmente no tenía mucha respuesta".

Sin embargo, el ICO ha hecho bien al ofrecer orientación y educación a las empresas durante el brote, en particular sobre cómo administrar la información de salud con los empleados cuando regresan al trabajo, agrega Fielding. La OIC dice que tomará medidas enérgicas contra cualquiera que se aproveche de la crisis actual y ha reenfocado sus prioridades "en los temas de derechos de información que probablemente causen el mayor daño o angustia a los ciudadanos y las empresas", según un portavoz.

Pero si el perro guardián es visto como impotente o distraído, la preocupación es que las compañías no se molesten en seguir la ley, especialmente si creen que no hay repercusiones inminentes, dice Fielding. Y podría afectar si las personas se toman el tiempo para presentar informes, como el demandante que recibió la carta de la OIC diciendo que no se tomarían medidas. "Si las personas no tienen fe en que la ICO hará algo, no se molestarán en quejarse ante la ICO", dice Fielding. "Existe la sensación de que incluso si el ICO podría ser una amenaza en circunstancias normales, ahora se ha metido en su madriguera y cierra la puerta".

Cobertura de coronavirus de Mundo Informático

? Cómo mata el coronavirus, un órgano a la vez

?️ Los hogares de cuidado fallidos son el verdadero escándalo de coronavirus

? Las reglas de bloqueo del Reino Unido, explicadas

❓ El esquema de licencia de retención de trabajo del Reino Unido, explicado

? ¿Puede Universal Basic Income ayudar a combatir el coronavirus?

? Siga Mundo Informático en Gorjeo, Instagram, Facebook y LinkedIn