NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Cibercrime Law

El Ministerio de Justicia del Reino Unido lanza una consulta sobre multas por violaciones de datos

Fondo

El 9 de noviembre de 2009, el Ministerio de Justicia del Reino Unido lanzó una consulta solicitando la opinión del público sobre la implementación propuesta de una sanción máxima de £ 500,000 (aproximadamente US $ 837,950) por infracciones graves de la Ley de Protección de Datos del Reino Unido de 1998 (el “DPA”) . Esta Consulta sigue a la publicación por parte de los Comisionados de Información del borrador de la guía esta semana, explicando las circunstancias en las que se impondrá una multa. El lanzamiento de la Consulta pone fin a las especulaciones recientes sobre el nivel de multa que probablemente se impondrá por una infracción deliberada o grave de la DPA, incluidas las infracciones a la seguridad de los datos.

La DPA impone obligaciones a los controladores de datos que procesan datos personales para: (i) procesar datos personales de manera justa y legal; (ii) obtener datos personales solo para fines legales específicos, y no seguir procesando datos personales de ninguna manera incompatible con dichos fines; (iii) garantizar que los datos personales sean adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados; (iv) garantizar que los datos personales sean precisos y, cuando sea necesario, se mantengan actualizados; (v) conservar los datos personales solo durante el tiempo que sea necesario para los fines para los que se recopilan; (vi) procesar datos personales de acuerdo con los derechos de las personas; (vii) implementar medidas técnicas y organizativas apropiadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental o daño de datos personales; y (viii) no transferir datos personales a una jurisdicción fuera del Espacio Económico Europeo a menos que esa jurisdicción ofrezca niveles de protección adecuados para los derechos y libertades de las personas en relación con el procesamiento de datos personales.

En 2008, la DPA fue modificada por la Sección 144 de la Ley de Justicia Penal e Inmigración de 2008 (“CJIA”) para otorgar al Comisionado de Información la facultad de imponer sanciones monetarias civiles a los controladores de datos que cometan infracciones graves de cualquiera de las obligaciones establecidas. arriba (conocidos como los “principios de protección de datos”). Antes de hacerlo, el Comisionado de Información debe estar convencido de que la infracción: (i) fue grave y de un tipo que probablemente cause un daño sustancial o angustia a una persona; y (ii) fue deliberada o el controlador de datos sabía, o debería haber sabido, que existía el riesgo de que ocurriera la infracción y que probablemente causaría daños o angustia sustanciales, pero no tomó las medidas razonables para prevenir eso. Además, antes de imponer una sanción monetaria, el Comisionado de Información debe entregar al controlador de datos un aviso de intención, el cual debe informar al controlador de datos del monto propuesto de la multa monetaria y de su derecho a hacer declaraciones escritas a la Información. Comisionado dentro de un período especificado. El Comisionado de Información no puede emitir la multa monetaria hasta que haya expirado el período para hacer tales declaraciones.

La Consulta

La Consulta brinda a las organizaciones la oportunidad de expresar sus puntos de vista sobre las sanciones máximas propuestas. El documento de Consulta emitido por el Ministerio de Justicia destaca el objetivo subyacente del gobierno del Reino Unido de salvaguardar los datos personales de manera efectiva y procesarlos de manera responsable y legal. Además, el gobierno del Reino Unido opina que la implementación de tales sanciones debería contribuir a un mayor cumplimiento de la DPA y una mayor confianza para las personas cuyos datos personales se procesan. La Consulta también destaca, sin embargo, que cualquier sanción financiera impuesta debe ser proporcionada, teniendo en cuenta circunstancias específicas, tales como las dificultades económicas que una sanción puede traer a un controlador de datos que ha infringido la DPA. Sobre esta base, el Ministerio de Justicia ha sugerido que, para las pequeñas empresas, la multa máxima no debe superar el 10% de la facturación anual.

Se ha invitado a los responsables del tratamiento de datos del Reino Unido y sus órganos representativos a presentar sus respuestas a la Consulta antes del 21 de diciembre de 2009, abordando, en particular, la cuestión de si una multa de hasta £ 500,0000 es una “sanción proporcionada por casos graves contravenciones de los principios de protección de datos “. El Ministerio de Justicia publicará un documento resumiendo las respuestas recibidas hasta el 11 de enero de 2010.

La posición del comisionado de información

La sección 144 de la CJIA también requiere que el Comisionado de Información publique una guía sobre las circunstancias en las que se emitirán multas monetarias y cómo se determinará el nivel de una multa. El Comisionado de Información emitió dicha guía estatutaria en forma de borrador el 4 de noviembre de 2009 y se espera que la guía sea definitiva una vez que se complete el proceso de Consulta.

La guía enfatiza que una sanción pecuniaria será apropiada solo en las situaciones más graves y, en particular, cuando actuará como una sanción que penaliza los actos ilícitos y un disuasivo para prevenir futuros incumplimientos. Al determinar el monto de una sanción financiera, el Comisionado de Información tendrá en cuenta el sector (por ejemplo, si el controlador de datos es una organización voluntaria o una organización en el sector público), el tamaño y los recursos financieros y de otro tipo de un controlador de datos. Como regla general, es más probable que un controlador de datos con recursos financieros sustanciales reciba una sanción monetaria más alta que un controlador de datos con recursos limitados por una infracción similar de la DPA.

Las sanciones pecuniarias sólo pueden imponerse con respecto a infracciones “graves” de la DPA. Es más probable que una infracción sea grave cuando uno de los siguientes factores está presente: (i) es o fue particularmente grave debido a la naturaleza de los datos personales en cuestión; (ii) la duración y el alcance de la infracción; (iii) el número de personas real o potencialmente afectadas por la infracción; (iv) el hecho de que esté relacionado con un tema de importancia pública; o (v) la infracción se debió a un comportamiento deliberado o negligente por parte del responsable del tratamiento.

El Comisionado de Información generalmente considerará si un controlador de datos ha tomado medidas razonables para prevenir una infracción caso por caso. Es más probable que se considere que un controlador de datos ha tomado medidas razonables para prevenir una infracción si, por ejemplo: (i) se llevó a cabo una evaluación de riesgos o hay evidencia que sugiera que el controlador de datos había reconocido los riesgos del manejo de datos personales y tomó medidas para abordar dichos riesgos; o (ii) el controlador de datos implementó guías o códigos de prácticas publicados por el Comisionado de Información u otros y relevantes a la infracción.

El tema subyacente de la guía se centra en la razonabilidad y la proporcionalidad. Como regla general, el Comisionado de Información buscará asegurar que la imposición de una sanción pecuniaria sea apropiada y el monto de la sanción sea razonable y proporcionado, tomando en cuenta los hechos particulares del caso y el objetivo de la sanción. En particular, el Comisionado de Información considerará los hechos y circunstancias particulares de una infracción y de cualquier representación que le haga un controlador de datos.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar