Establecido | 1984 ( 1984 ) |
---|---|
Tipo | organismo público no departamental |
Enfocar | Protección de datos y libertad de información |
Sede | Casa Wycliffe |
Ubicación | |
Orígenes | Ley de Protección de Datos de 1984 |
Región atendida | Reino Unido |
Comisionado de Información | Juan Edwards |
Organización matriz | Departamento de Ciencia, Innovación y Tecnología |
Ingresos (2020/2021) | £57,980,542 |
Gastos (2020/2021) | £57.041.005 |
Personal | 500+ |
Sitio web | ico.org.uk |
Anteriormente llamado | Registrador de Protección de Datos |
La Oficina del Comisionado de Información ( ICO ) es un organismo público no departamental que reporta directamente al Parlamento del Reino Unido y está patrocinada por el Departamento de Ciencia, Innovación y Tecnología . [1] Es la oficina reguladora independiente ( autoridad nacional de protección de datos ) que se ocupa de la Ley de Protección de Datos de 2018 y el Reglamento General de Protección de Datos , el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003 en todo el Reino Unido; y la Ley de Libertad de Información de 2000 y el Reglamento de Información Ambiental de 2004 en Inglaterra, Gales e Irlanda del Norte y, en cierta medida, en Escocia. Cuando auditan una organización, utilizan el software de auditoría de Symbiant. [2]
El Comisionado de Información está en proceso de ser reemplazado por la Comisión de Información según la Cláusula 143 del Proyecto de Ley de Protección de Datos e Información Digital (una vez promulgado). [3]
El Comisionado de Información es un funcionario independiente designado por la Corona . Las decisiones del Comisionado están sujetas a apelación ante un tribunal independiente y los tribunales . La misión del Comisionado es "defender los derechos de información en interés público, promoviendo la transparencia por parte de los organismos públicos y la privacidad de los datos de las personas". [4]
El cargo de Comisionado de Información lo ocupa actualmente John Edwards , quien sucedió a Elizabeth Denham el 3 de enero de 2022. [5]
El 26 de agosto de 2021, John Edwards fue nombrado nuevo Comisionado de Información, en sustitución de Elizabeth Denham. El gobierno del Reino Unido afirmó que "iría más allá del papel tradicional del regulador" y que el trabajo ahora estaría "equilibrado" entre la protección de los derechos y la promoción de la "innovación y el crecimiento económico". También afirmó que la protección de la privacidad debería hacerse "de la forma más ligera posible", que daría prioridad a permitir el envío internacional de datos personales a lugares como Estados Unidos, Corea, Singapur, Dubái y Colombia, entre otros, que quería una política de datos que ofreciera un "dividendo del Brexit" para las empresas (en comparación con los particulares) y que quería deshacerse de las "interminables" ventanas emergentes de cookies. [6] Promover el crecimiento económico no es una de las funciones de la ICO reconocidas por ley y, como tal, este nuevo rol crea el potencial de conflicto con sus funciones estatutarias, establecidas por ejemplo en la sección 115 de la Ley de Protección de Datos de 2018 y el RGPD del Reino Unido, [7] y/o el riesgo de que potencialmente pueda tomar acciones que sean ultra vires . Dado que promover el crecimiento económico no ha sido anteriormente una de sus funciones (se anunció el 26 de agosto de 2021 que es algo que el trabajo implicaría "ahora" y no está establecido en la ley), [6] entonces, lógicamente, promover el crecimiento económico se hará a expensas de la protección de los derechos, ya que esa protección no se ha equilibrado previamente con ella. A partir del 26 de agosto de 2021 [actualizar], el sitio web de la ICO afirma que es "la autoridad independiente del Reino Unido creada para defender los derechos de información en interés público, promoviendo la apertura de los organismos públicos y la privacidad de los datos de las personas". [8]
Desde que Elizabeth Denham fue designada Comisionada de Información de Gran Bretaña en 2016, la ICO ha llevado a cabo investigaciones de alto perfil sobre Equifax, Yahoo, Talk Talk, Uber y Facebook, y ha impuesto a Facebook la multa máxima prevista en la Ley de Protección de Datos de 1998 de 500.000 libras esterlinas [9] por infracciones de la ley de protección de datos. Denham también ha supervisado la conclusión de la investigación de la ICO sobre las actividades de recaudación de fondos de organizaciones benéficas y una serie de multas a empresas responsables de campañas de marketing nocivo [10] .
Elizabeth Denham acogió con satisfacción la introducción del Reglamento General de Protección de Datos (RGPD) [11] que entró en vigor en mayo de 2018, así como la Ley de Protección de Datos de 2018. [12]
En octubre de 2018 fue elegida presidenta de la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad (ICDPPC), el principal foro mundial de autoridades de protección de datos y privacidad, que abarca más de 120 miembros en todos los continentes y que trabaja durante todo el año en cuestiones de política global de protección de datos.
Durante su mandato como Comisionado de Información, Christopher Graham se destacó por obtener nuevos poderes para imponer sanciones monetarias a quienes incumplan la Ley de Protección de Datos de 1998. También dio la bienvenida a los nuevos poderes para imponer sanciones monetarias en virtud de las Regulaciones de Privacidad y Comunicaciones Electrónicas, así como por plantear inquietudes sobre los daños y la angustia causados por las llamadas molestas al público. [13] Christopher Graham sucedió a Richard Thomas en 2009.
Durante el mandato de Richard Thomas como Comisionado, la ICO fue particularmente conocida por plantear serias preocupaciones sobre la tarjeta de identidad nacional británica y la base de datos propuestas por el Gobierno , así como otras bases de datos similares como el Proyecto de Información al Ciudadano , la Base de Datos Universal de Niños y el Programa Nacional del NHS para TI , afirmando que el país está en peligro de caminar sin darse cuenta hacia una sociedad de vigilancia , [14] llamando la atención sobre el mal uso de dicha información por parte de los antiguos estados del bloque del Este y la España de Francisco Franco .
La Ley de Protección de Datos de 2018 [12] recibió la sanción real el 23 de mayo de 2018. Actualiza las leyes de protección de datos en el Reino Unido, complementa el Reglamento General de Protección de Datos (RGPD), implementa la directiva de aplicación de la ley de la UE y extiende las leyes de protección de datos a áreas no cubiertas por el RGPD. La nueva ley tiene como objetivo modernizar las leyes de protección de datos para garantizar que sean efectivas en los próximos años.
El cargo de protección de datos sobre los controladores de datos del Reino Unido para respaldar la Ley se encuentra bajo el Reglamento de Protección de Datos (Cargos e Información) de 2018. Las exenciones del cargo se dejaron en términos generales iguales que para la Ley anterior: principalmente algunos propósitos básicos internos de empresas y organizaciones sin fines de lucro (personal o miembros, marketing y contabilidad), asuntos domésticos, algunos fines públicos y procesamiento no automatizado. [15] [16] El registro de contribuyentes , que excluye a aquellos controladores de datos que están exentos de pagar una tarifa, está disponible públicamente y se puede buscar en el sitio web de la ICO, [17] que también proporciona enlaces a las contrapartes de la ICO en toda Europa .
El Reino Unido, como miembro de la Unión Europea, estaba sujeto, y como ex miembro todavía lo está, a un estricto régimen de protección de datos . La Ley de Protección de Datos de 1984 creó el cargo, entonces denominado Registrador de Protección de Datos , en el que las personas que procesaban datos personales debían registrar el hecho de que procesaban esos datos en el registro de controladores de datos. En virtud de las disposiciones de la Directiva CE 95/46 (introducida en el Reino Unido como la Ley de Protección de Datos de 1998 , en lugar de como una SI en virtud de la Ley de las Comunidades Europeas de 1972 ), el nombre del puesto se cambió a Comisionado de Protección de Datos y, más tarde, a Comisionado de Información .
El Reglamento General de Protección de Datos (RGPD) es una nueva ley de ámbito europeo que sustituye a la Ley de Protección de Datos de 1998 en el Reino Unido. El RGPD entró en vigor el 25 de mayo de 2018 y establece los requisitos sobre cómo deben gestionar las organizaciones los datos personales. Forma parte del régimen de protección de datos en el Reino Unido, junto con la nueva Ley de Protección de Datos de 2018 (DPA 2018). Tras la salida del Reino Unido de la UE el 31 de enero de 2020 , el RGPD sigue formando parte de la legislación nacional británica en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018 .
En 2005, el papel del Comisionado se amplió para incluir la aplicación de la Ley de Libertad de Información de 2000 y el Reglamento de Información Ambiental de 2004 , y el nombre del puesto se cambió de Comisionado de Protección de Datos a Comisionado de Información (IC). La aplicación de la Ley de Libertad de Información (Escocia) de 2002 , que se aplica a las autoridades públicas descentralizadas en Escocia, es responsabilidad del Comisionado de Información Escocés , un funcionario público independiente, ya que la Ley británica no se aplica a estas autoridades.
La ICO publica una guía sobre la legislación en materia de libertad de información, que se está actualizando de conformidad con su plan estratégico 2019/20 - 2021/22, Apertura por diseño . [18]
En noviembre de 2011, la ICO recibió poderes para imponer sanciones monetarias de hasta 500.000 libras esterlinas por infracciones de la normativa sobre privacidad y comunicaciones electrónicas (PECR, por sus siglas en inglés) . La PECR se aplica a las organizaciones que desean enviar mensajes de marketing a través de medios electrónicos, es decir, teléfono, fax, correo electrónico o mensajes de texto; utilizar cookies o proporcionar servicios de comunicación electrónica al público en general. Al igual que con el RGPD, estas regulaciones siguen aplicándose después del Brexit.
En marzo de 2013, al comentar una multa de 90.000 libras esterlinas impuesta a la empresa de cocinas de Cumbernauld DM Design por llamadas publicitarias molestas, el Comisionado de Información dijo que "esta multa no será una sanción aislada. Sabemos que otras empresas están mostrando un desprecio similar por la ley y tenemos toda la intención de tomar más medidas coercitivas contra las empresas que siguen bombardeando a las personas con mensajes de texto y llamadas comerciales ilegales". En 2014, el Gobierno cambió la ley para "reducir el umbral legal de perjuicio para el consumidor". [19] Esto facilitó que la ICO "tomara medidas coercitivas contra más organizaciones que incumplieran el Reglamento sobre Privacidad y Comunicaciones Electrónicas (PECR) ". [20]
En octubre de 2018, la ICO multó a dos empresas con un total de £250.000 que realizaron casi 1,73 millones de llamadas telefónicas de marketing directo a personas registradas en el Servicio de Preferencias Telefónicas (TPS). [21] En diciembre de 2018, el Comisionado dio la bienvenida a la nueva ley que significa que la ICO ahora puede responsabilizar directamente a los jefes de las empresas y tiene el poder de multarlos personalmente por infracciones del Reglamento de Privacidad y Comunicaciones Electrónicas (PECR) .
El Comisionado de Información también es responsable de las apelaciones presentadas en virtud del Reglamento de Información Ambiental de 2004 .
Antes de 2010, los poderes de ejecución se limitaban a emitir avisos de ejecución y perseguir judicialmente a los presuntos autores de infracciones de la Ley de Protección de Datos de 1998. En 2010, el Comisionado de Información recibió la facultad de imponer multas, conocidas como sanciones monetarias, por su propia autoridad, otorgada en abril de 2010. Las primeras de ellas se notificaron el 24 de noviembre de 2010. [22] A partir de 2010, la ICO también recibió la facultad de emitir Avisos de Evaluación, que pueden emitirse a organizaciones que no estén dispuestas a trabajar junto con la ICO y corran el riesgo de infringir los principios de la Ley de Protección de Datos de 1998. Durante la Investigación Leveson de 2012, salió a la luz que la ICO se había sentido incapaz de cuestionar a la prensa en relación con las acusaciones de infracciones debido al poder de la prensa y la percepción de debilidad de sus propios poderes. [23]
A partir del 25 de mayo de 2018, se le otorgaron a la ICO nuevos poderes de ejecución bajo las nuevas leyes de protección de datos, incluida la capacidad de multar a las organizaciones con 20 millones de euros (o su equivalente en libras esterlinas) o el 4 % de la facturación anual total mundial del año financiero anterior, lo que sea mayor, por violar las leyes de protección de datos. [24]
En 2002, en el marco de la «Operación Motorman», la ICO, dirigida por Richard Thomas , realizó redadas en las oficinas de varios periódicos y de investigadores privados en busca de información personal almacenada en bases de datos informáticas no registradas. La operación descubrió numerosas facturas dirigidas a periódicos y revistas en las que se detallaban los precios por proporcionar información personal a los periodistas, y se identificó a 305 periodistas como destinatarios de una amplia gama de información. [25]
En 2006, una solicitud en virtud de la Ley de Libertad de Información condujo a la publicación de un informe en el Parlamento británico titulado "¿Qué precio tiene ahora la privacidad?". [26] El periódico con el mayor número de solicitudes fue el Daily Mail , con 952 transacciones de 58 periodistas; el News of the World quedó en quinto lugar en la tabla, con 182 transacciones de 19 periodistas. [25] El Daily Mail emitió inmediatamente un comunicado de prensa en el que rechazaba las acusaciones contenidas en el informe. El editor Paul Dacre dijo que Associated Newspapers sólo utilizaba investigadores privados para confirmar información pública, como las fechas de nacimiento. [25]
En una aparición en julio de 2011 frente a un comité parlamentario, un día después de que la ex directora ejecutiva de News International Rebekah Brooks fuera arrestada y puesta en libertad bajo fianza a la luz del escándalo de escuchas telefónicas de News International , Dacre les dijo que nunca había "aceptado" escuchas telefónicas o estafas en su periódico, ya que ambos actos eran claramente "criminales". [27]
El 23 de febrero de 2009, la oficina de la Consulting Association (TCA) en Droitwich fue allanada por la ICO, que notificó a la TCA una orden de ejecución en virtud de la Ley de Protección de Datos. La acción de la ICO se produjo tras la publicación de un artículo del 28 de junio de 2008 sobre una supuesta inclusión en listas negras en el sector de la construcción, escrito por el periodista Phil Chamberlain y publicado en The Guardian . [28]
En 2013, la Oficina del Comisionado de Información impuso a Sony Computer Entertainment Europe Ltd. una multa de 250.000 libras esterlinas por el ataque informático a numerosos sistemas PlayStation, en el que se robaron los nombres, direcciones, números de teléfono y datos de tarjetas de los usuarios. La ICO determinó que Sony tenía información excesiva sobre sus usuarios y sistemas de seguridad inadecuados. [29]
En mayo de 2018 se intensificó el escrutinio tanto de Facebook como de Amazon con respecto a los informes sobre el uso de datos personales biométricos sin el consentimiento de los sujetos. [30]
El 23 de marzo de 2018, la ICO registró la sede de Cambridge Analytica en Londres en medio de informes de que la empresa recopiló los datos personales de millones de usuarios de Facebook como parte de una campaña para influir en las elecciones presidenciales estadounidenses de 2016. [31]
En octubre de 2018, la ICO impuso a Facebook una multa de 500.000 libras esterlinas (el máximo permitido por la legislación vigente en el momento en que se produjeron los incidentes) por infracciones de la legislación en materia de protección de datos. La investigación de la ICO concluyó que, entre 2007 y 2014, Facebook procesó de forma injusta la información personal de los usuarios al permitir a los desarrolladores de aplicaciones (en concreto, a Aleksandr Kogan y su empresa GSR, clientes de SCL Ltd y Cambridge Analytica) acceder a su información sin un consentimiento suficientemente claro e informado, y al permitir el acceso incluso si los usuarios no habían descargado la aplicación, sino que simplemente eran "amigos" de personas que sí lo habían hecho. [9]
En noviembre de 2018, la ICO multó a Uber con 385.000 libras esterlinas por no proteger la información personal de sus clientes durante un ciberataque. Una serie de fallos de seguridad de datos evitables permitieron que los atacantes accedieran y descargaran los datos personales de unos 2,7 millones de clientes británicos desde un sistema de almacenamiento en la nube operado por la empresa matriz estadounidense de Uber. [32]
En septiembre de 2018, la ICO impuso a Equifax Ltd una multa de 500.000 libras esterlinas por no proteger la información personal de hasta 15 millones de ciudadanos británicos durante un ciberataque en 2017. El incidente, que ocurrió entre el 13 de mayo y el 30 de julio de 2017 en los EE. UU., afectó a 146 millones de clientes en todo el mundo. [33]
En febrero de 2019, la ICO inició una investigación de la plataforma de intercambio de videos y la aplicación móvil TikTok , luego de la multa que recibió su empresa matriz ByteDance de la Comisión Federal de Comercio de los Estados Unidos , por recopilar información de menores de 13 años en violación de la Ley de Protección de la Privacidad Infantil en Línea del país . Hablando ante un comité parlamentario, la Comisionada de Información Elizabeth Denham dijo que la investigación se centra en el mismo tema de la recopilación de datos privados, así como en el tipo de videos recopilados y compartidos por niños en línea, así como en el sistema de mensajería abierta de la plataforma que permite a cualquier adulto enviar mensajes a cualquier niño. Señaló que la empresa estaba violando potencialmente las disposiciones del RGPD que "requiere que la empresa brinde diferentes servicios y diferentes protecciones para los niños". [34]
En octubre de 2022, Interserve recibió una multa de 4,4 millones de libras por una infracción de la ley de protección de datos en mayo de 2020 que permitió a los piratas informáticos acceder a los datos de hasta 113.000 empleados de Interserve. Si bien se había detectado un correo electrónico de phishing, la ICO dijo que Interserve "no investigó a fondo la actividad sospechosa". Como resultado, el atacante comprometió 283 sistemas y 16 cuentas, desinstaló la solución antivirus de la empresa y encriptó los datos personales de empleados actuales y anteriores. Interserve negó que su personal y su respuesta hubieran sido complacientes. Dijo que también había tratado de reducir los riesgos en los sistemas que respaldaban las operaciones en curso en Tilbury Douglas y en Mitie Group. [35] La multa fue la cuarta más grande jamás exigida por la ICO. [36]
Comisionado de Información | |
---|---|
desde el 3 de enero de 2022 | |
Oficina del Comisionado de Información | |
Tipo | Corporación unipersonal |
Informes a | Parlamento del Reino Unido |
Designador | La reina Isabel II por cartas patentes |
Duración del mandato | hasta 7 años no renovable |
Instrumento constitutivo | Ley de Protección de Datos de 2018 |
Precursor | Registrador de Protección de Datos |
Formación | 1984 ( 1984 ) |
Primer titular | Eric Howe |
Salario | £200.000 por año |
Sitio web | www.ico.org.uk |
El papel del CI se refleja en todos los países de la Unión Europea y del Espacio Económico Europeo , que cuentan con funcionarios equivalentes creados conforme a sus versiones de la Directiva 95/46 .
La Oficina del Comisionado de Información es la autoridad independiente del Reino Unido creada para defender los derechos de información en interés público, promover la transparencia por parte de los organismos públicos y la privacidad de los datos de las personas.
[La Oficina del Comisionado de Información es] la autoridad independiente del Reino Unido creada para defender los derechos de información en interés público, promover la apertura de los organismos públicos y la privacidad de los datos de las personas.
reducir el umbral legal de perjuicio para el consumidor
tomar medidas coercitivas contra más organizaciones que incumplen la
Directiva de la CE sobre privacidad y comunicaciones electrónicas de 2003
El comisionado dijo que las multas –las primeras que ha impuesto– "enviarían un mensaje contundente" a quienes manejan datos.
Su Majestad
la Reina
ha aprobado el nombramiento de Elizabeth Denham como Comisionada de Información del Reino Unido.