Si en un post anterior nos hacíamos eco de la histórica sanción a British Airways, en el artículo de hoy nos centraremos en el trasfondo de la sanción a la cadena hotelera Marriott International Inc y las repercusiones que ésta supone para las estrategias de expansión por adquisición. Para ello, en primer lugar, es esencial señalar que Marriott amplió su red hotelera con la compra de Starwood Hotels en 2016.

Brecha de seguridad en Marriott International Inc.

El día 30 de noviembre de 2018 Marriott emitió un comunicado de prensa en el que informaba que el día 8 de septiembre de 2018 se produjo una alerta de seguridad relacionada con un intento de acceder a la base de datos de la red de Starwood Hotels. Durante las investigaciones se descubrió que desde 2014 se habían producido accesos no autorizados a la base de datos de Starwood Hotels consistentes en el duplicado y cifrado de la base de datos de aproximadamente 500 millones de huéspedes. Entre los datos implicados encontramos: nombre, dirección postal, número de teléfono, dirección de correo electrónico, pasaporte, número, información de la cuenta de Starwood Preferred Guest («SPG»), fecha de nacimiento, sexo, información de llegada y salida, fecha de reserva, preferencias de comunicación, números de tarjetas bancarias y fechas de vencimiento de las tarjetas. Según fuente consultadas, de los clientes afectados, aproximadamente 30 millones están relacionados con ciudadanos europeos.

Si la compra de Starwood Hotels por Marriott cerró en 2016 y la exposición de los datos se retrotrae a 2014,  ¿cómo es que nadie se dio cuenta?

Ahí encontramos, precisamente, el motivo de la sanción: la falta de la diligencia debida por Marriott. La comisionada de información Elizabeth Denham ha señalado: “el GDPR deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede incluir llevar a cabo la debida diligencia adecuada al realizar una adquisición corporativa y establecer medidas de responsabilidad adecuadas para evaluar no solo qué datos personales se han adquirido, sino también cómo están protegidos. Los datos personales tienen un valor real, por lo que las organizaciones tienen el deber legal de garantizar su seguridad, al igual que lo harían con cualquier otro activo. Si eso no sucede, no dudaremos en tomar medidas firmes cuando sea necesario para proteger los derechos del público«.

En consecuencia, no sólo basta con identificar los datos adquiridos con la compra, sino que se precisa la intervención de profesionales en protección de datos personales que analicen dónde se encuentran, cómo se utilizan y cómo se protege la información personal de los clientes; a fin de determinar si se ajusta a los estándares de protección de la integridad y confidencialidad de los datos según la normativa vigente. Un ejemplo más de cómo la protección de datos personas es un elemento fundamental en las estrategias de negocio. Esta sanción a Marriott nos debe de servir como advertencia para las estrategias de crecimiento por adquisición, ya que existe el riesgo de sufrir sanciones por infracciones históricas no reveladas.

¿Cuánto le ha costado a Marriott su falta de diligencia en la adquisición de Starwood?

La multa por omisión del deber diligencia asciende a 110 millones de euros, a esta cifra se deben sumar los 80 millones de euros (£ 72 mill ) gastados en atención a los clientes afectados, así como a expertos que pudieran reconducir la situación, además, sus acciones se han devaluado. Total: casi 200 millones de euros. Por su parte, Marriott ya ha anunciado que recurrirá la resolución, tendremos que esperar para conocer la cuantía definitiva, aunque todo indica que el «premio» por la colaboración en la investigación ya se ha aplicado y la cifra se mantendrán.

Sin embargo, más allá de las pérdidas económicas, el verdadero daño para Marriott ha sido el daño en la confianza de sus clientes y es que, los hackers habían estado dentro de sus sistemas durante varios años. Marriott no ha revelado la cuantía de los daños producidos a los clientes, pero se han movilizado 79 millones de euros (£71 mill) por las compañías aseguradoras, lo que puede ser indicativo del daño ocasionado. En este sentido, no se debe de olvidar que el derecho a la protección de los datos personales es un derecho fundamental y su lesión dolosa e imprudente, se paga.

Tanto la sanción a Marriott como la sanción a British Airways recuerdan que el incumplimiento de las reglas del Reglamento General de Protección de Datos se escrudiña cada vez con más rigurosidad. Parece que ya han pasado los años de benevolencia de las autoridades competentes para la adaptación de las empresas a la nueva normativa, estamos asistiendo al inicio de una nueva etapa en las autoridades actuarán con firmeza y, por ende, las organizaciones deberán demostrar sólidamente su cumplimiento de la normativa en protección de datos.

¿Te preocupa la seguridad del dato en tu empresa?

En Ciberlex Consulting aportamos soluciones legales integrales a nuestros clientes para el cumplimiento y adecuación de su actividad empresarial a la regulación en materia de protección de datos personales. Nuestros más de 20 años de experiencia nos avalan y nuestro equipo de expertos ofrece una atención personalizada. Estamos a tu disposición en: info@ciberlexconsulting.com y (+34) 91 169 12 98.

Hace una semana la autoridad competente en protección de datos personales de Reino Unido (Information Commissioner’s Office -en adelante ICO-), anunció las sanción más alta hasta la fecha en materia de protección de datos:  205 millones a British Airways, empresa perteneciente al grupo empresarial IAG (International Airlines Group), uno de los mayores grupos de aerolíneas a nivel mundial, entre las cuales se encuentra Iberia.

Antecedentes de la sanción

El 6 de septiembre de 2018 la aerolínea emitió un comunicado de prensa en el que informaba a sus clientes acerca del robo de datos personales a través de la plataforma de reservas de su página web y app. Tras conocerse este incidente de seguridad, la línea aérea tuvo una caída del 2,9% en la bolsa de Londres y de un 2,95% en el Ibex 35. Para paliar el daño reputacional, la compañía se vio obligada a pedir perdón a sus clientes y a responsabilizarse de los posibles daños económicos que éstos pudieran llegar a sufrir con motivo del robo de sus datos personales.

Siguiendo lo estipulado en el artículo 33 del RGPD sobre la obligatoriedad de notificar las violaciones de seguridad, British Airways notificó al ICO y, tras las oportunas investigaciones, se concluyó  que el inicio del incidente fue en junio de 2018 y estuvo ocasionado por el desvío del tráfico de usuarios del sitio web de British Airways hacia un sitio fraudulento a través del cual se recolectaron datos de, aproximadamente, 500.000 clientes. La información comprometida incluía claves de inicio de sesión, nombre y dirección, información tarjeta de pago y datos de reserva de viaje.

¿Por qué se multa a British Airways?

La investigación ha determinado que la brecha de seguridad se produjo por las deficientes medidas de seguridad adoptadas por British Airways, debido a que éstas no eran ni adecuadas ni suficientes para proteger los datos personales de sus clientes. La compañía aérea ya ha anunciado que recurrirá la resolución, por lo que tendremos que esperar la cifra definitiva.

Sin embargo, lo realmente interesante de la sanción a British Airways radica en su cuantía, puesto que ICO impuso una multa a Facebook de “sólo” 565.000 euros en relación con el escándalo de Cambridge Analytica (y que afectó a 2,7 millones de ciudadanos europeos). Si hacemos una comparación entre ambos casos, la sanción de ICO a Facebook se antoja pequeña, máxime teniendo en cuenta que esta semana la Comisión Federal del Comercio de EEUU ha aprobado la sanción de 5.000 millones de dólares a Facebook por dicho escándalo.

Hasta la fecha, el primer puesto del pódium de los sancionados lo ocupaba Google, que fue multado por la autoridad francesa con 50 millones de euros por no cumplir con los estándares de transparencia.

La colaboración se premia

Las autoridades de protección de datos ya lo han señalado y así lo confirma el informe anual del Comité Europeo de Protección de Datos: la colaboración se premia y, con seguridad, se seguirá premiando. Sin embargo, ya ha transcurrido el tiempo suficiente desde que las empresas conocían sus nuevas obligaciones en materia de protección de datos (recordemos que el RGPD entró en vigor en 2016 pero no fue aplicable hasta 2018), por lo que parece que se agota el argumento de la «novedad de la normativa» para excusar las deficiencias de la adecuación ante las autoridades. La colaboración se seguirá premiando, pero los deberes deberán están hechos.

La noticia de la sanción a British Airways se anunció la misma semana que la sanción por 110 millones de euros a la cadena hotelera Marriott International, Inc, un ejemplo más del cambio de tendencia.

En Leegal Tech aportamos soluciones legales integrales a nuestros clientes para el cumplimiento y adecuación de su actividad empresarial a la regulación en materia de protección de datos personales. Nuestros más de 20 años de experiencia nos avalan y nuestro equipo de expertos ofrece una atención personalizada. Estamos a tu disposición en: info@leegaltech.com y (+34) 91 169 12 98.

El pasado 21 de noviembre de 2018 se aprobaba por el Senado la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD), a la espera de su inminente publicación en el BOE y entrada en vigor. Aún habrá que esperar a que el futuro Reglamento que se apruebe en desarrollo de esta Ley aclare puntos que han quedado pendientes y detalle extremos que requieren de más concreción. De momento con la nueva norma se introducen muchas novedades en relación con el Reglamento General de Protección de Datos europeo que entró en aplicación el pasado 25 de mayo. A continuación destacamos algunas de ellas que afectan especialmente al sector sanitario:

Datos de las personas fallecidas (art. 3)

El artículo 3 de la nueva LOPD incluye novedades acerca del tratamiento de datos de las personas fallecidas: “las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión”, salvo que exista indicación legal o del propio fallecido estableciendo lo contrario.

Por su parte, “las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión”.

En el caso de menores serán los representantes legales quienes ejerzan dichos derechos. Si se tratase del fallecimiento de una persona con discapacidad, los derechos podrán ser ejercidos por sus representantes legales o por quienes hubieran sido designados para el ejercicio de funciones de apoyo, “si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado”.

Consentimiento de los menores de edad (arts. 7 y 12)

La nueva Ley incluye una modificación en la edad del consentimiento del menor para el tratamiento de datos personales, fijándola en 14 años. Así, se modifica la previsión de la anterior redacción del Proyecto, que la fijaba en 13 años.

Cuando el menor disponga de una edad inferior a 14 años habrá de mediar consentimiento de quien ostente la titularidad de la patria potestad o la tutela.

Sistemas de información de denuncias internas (art. 24)

El artículo 24 trata de conjugar la protección de datos con la existencia de un sistema de denuncias internas dentro de la empresa. Se parte de un principio general de licitud de estos sistemas que permitan reportar dentro de la organización conductas contrarias a la normativa general o sectorial que fuera aplicable.

No obstante, la norma trata de limitar el acceso a los datos contenidos en el canal, restringiéndolo a quien, estando o no dentro de la empresa, desarrolle “funciones de control interno y de cumplimiento o a encargados del tratamiento que eventualmente se designen a tal efecto”. No obstante, será lícito el acceso por terceras personas o las comunicaciones efectuadas a terceros cuando vengan derivadas de la adopción de medidas disciplinarias o la tramitación de procedimientos judiciales. En el caso del ejercicio de medidas disciplinarias contra un trabajador, se permitirá también el acceso al “personal con funciones de gestión y control de recursos humanos”.

Por otra parte, cuando pasen tres meses desde la introducción de los datos a través del sistema de denuncias, deberá procederse a su supresión de estos del sistema, excepto si la finalidad de la conservación es dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Una vez transcurridos los tres meses, los datos obtenidos por el canal de denuncias podrán ser tratados por la persona que corresponda según lo indicado anteriormente para la investigación de los hechos denunciados, teniendo que borrarse cualquier rastro del propio sistema de denuncias interno.

Las denuncias a las que no se haya dado curso, solo podrán constar de forma anonimizada, sin existir la obligación de bloqueo de datos que prevé el artículo 32 de la LOPD.

Designación y cualificación del Delegado de Protección de Datos (arts. 34 y 35)

Se fija la obligación de nombrar a un Delegado de Protección de Datos cuando se trate de “centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”, excepto cuando se traten de profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas, ejerzan su actividad a título individual.

Tratamiento de datos de salud (DA 17ª)

La DA 17ª de la LOPD se encarga de aclarar cuáles son los criterios del tratamiento de datos en la investigación en salud. Se recuerda la pertenencia de los datos de la salud y los datos genéticos a las categorías especiales de datos personales del Reglamento UE, haciéndose una enumeración de las leyes con implicaciones en este grupo de datos (Ley 14/1986, de 25 de abril, General de Sanidad, Ley 33/2011, de 4 de octubre, General de Salud Pública, entre otras).

Se indica que “el interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica.”. Tales finalidades pondrán abarcar categorías relacionadas con áreas generales vinculadas a una disciplina médica o investigadora, siendo lícita y compatible la reutilización de datos personales para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.

Se excepciona la obtención del consentimiento del interesado cuando “las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública” lleven a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.

Por otra parte, se considera lícito por la LOPD “el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica” sin mediar consentimiento alguno por parte de su titular, requiriéndose para ello:

• Una separación técnica y funcional entre el seudonimizador y el equipo investigador.
• Que haya un compromiso de confidencialidad y seguridad por parte del equipo investigador a la hora de acceder a los datos.

“Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.”.

Los derechos de los interesados frente al responsable quedan sin efecto en el tratamiento de datos personales con fines de investigación en salud y biomédica cuando:

• Se ejerzan ante investigadores o centros de investigación que utilicen los datos anonimizados o seudonimizados.
• El ejercicio de los derechos esté relacionado con los resultados de la investigación.
• La investigación tenga como objeto la defensa de un interés público general que se encuentre amparado por una norma con rango de Ley.

Se establecen una serie de conductas a realizar cuando se lleva a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica:

• Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento, específicamente los de reidentificación de los datos seudonimizados.
• Someter la investigación a las normas de calidad y a las directrices internacionales sobre buena práctica clínica.
• Establecer medidas para que los investigadores no puedan identificar a los interesados.
• Designar un representante legal establecido en la UE, si el promotor de un ensayo clínico no está establecido en la Unión.

El uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica tendrá que contar con un informe previo del Comité de Ética de la Investigación previsto en la normativa sectorial. Si no existiera dicho Comité, se habrá de realizar un informe previo por parte del Delegado de Protección de Datos o, en su defecto, por un experto con los conocimientos exigidos por la normativa para ser designado DPD.

Los Comités de Ética habrán de contar entre sus miembros, en el plazo de 1 año desde la entrada en vigor de la nueva LOPD, con un Delegado de Protección de Datos o, en su defecto, con un experto con conocimientos en el Reglamento UE 2016/679, cuando se ocupen de la materia de tratamiento de datos personales seudonimizados o anonimizados en actividades de investigación.