El enfoque de la Oficina del Comisionado de Información (ICO) de multar sólo a las organizaciones del sector público “en los casos más graves” está siendo criticado por los activistas de privacidad de Open Rights Group (ORG), quienes dicen que existe una “necesidad urgente” de probar las afirmaciones del regulador de que las multas no actúan como un elemento disuasorio eficaz para los organismos del sector público.
Los activistas dicen que el enfoque de la ICO de limitar las multas a los organismos del sector público sólo por los problemas más graves de protección de datos “no funciona”, ya que los problemas a menudo persisten mucho después de que se hayan tomado otras medidas de cumplimiento menos severas.
“En un mundo cada vez más digital, la protección de datos es vital para nuestra seguridad personal. La renuencia de la ICO a tomar medidas coercitivas, junto con su política de no desafiar a las organizaciones del sector público cuando sea necesario, no está funcionando”, dijo el director ejecutivo de ORG, Jim Killock.
“A medida que vemos el desarrollo de la tecnología de inteligencia artificial y su mayor uso por parte de las organizaciones del sector público, necesitamos leyes sólidas de protección de datos y un regulador fuerte que actúe como la primera línea de defensa para el público británico”.
En julio de 2022, la ICO adoptó un enfoque de prueba “revisado” de dos años para trabajar con las autoridades públicas, y el comisionado John Edwards argumentó en una carta abierta que las multas son ineficaces para garantizar el cumplimiento de la protección de datos debido a la forma en que castigan indirectamente a las víctimas de violaciones de datos. “en forma de presupuestos reducidos para servicios vitales”.
En julio de 2024, la ICO publicó su Informe anual y estados financieros para el año financiero 2023-24, en el que el regulador de datos revisa su desempeño durante ese período. Muestra dónde la ICO ha investigado a organismos públicos y privados, y la proporción de estas investigaciones que han resultado en amonestaciones, avisos de ejecución (que obligan a los destinatarios a cambiar sus prácticas en materia de datos) o multas.
En cuanto a sus acciones contra organismos del sector público por violaciones de la protección de datos, el ICO emitió una multa (al Ministerio de Defensa por una filtración de datos que expuso las identidades de 245 afganos), dos notificaciones de ejecución (una relativa a la pérdida de control de niños expedientes de casos de abuso en la Fiscalía de la Corona y otro contra el Ministerio del Interior por su etiquetado GPS de refugiados), y 28 amonestaciones.
Ejemplos de estas amonestaciones incluyen una para la policía de Thames Valley por revelar la dirección de un testigo a presuntos delincuentes, lo que obligó a la persona a mudarse de casa; uno para el Hospital Universitario de Derby y Burton NHS Trust por no procesar los datos de pacientes ambulatorios de manera oportuna, lo que retrasó los tratamientos médicos de algunos pacientes hasta por dos años; y uno para la Policía de West Midlands por múltiples incidentes en los que la confusión de datos provocó que los agentes acudieran a direcciones equivocadas.
Otros casos incluyen dos amonestaciones al Ministerio de Justicia, una por la divulgación de detalles de adopción en contra de instrucciones judiciales, y otra por dejar cuatro bolsas de desechos confidenciales en una zona de retención no segura de la prisión, a la que tenían acceso tanto los presos como el personal.
Dado el número de amonestaciones impartidas por prácticas de datos claramente dañinas en comparación con el bajo número de multas y avisos de ejecución, la ORG pide a la ICO que utilice todos sus poderes contra las organizaciones del sector público, incluidos avisos de ejecución y multas cuando sea necesario.
Computer Weekly se puso en contacto con la ICO sobre el análisis y los argumentos de la ORG, y fue dirigido a una declaración de la ICO sobre su enfoque del sector público de junio de 2024.
“Si bien hemos seguido imponiendo multas a organismos públicos cuando correspondía, también hemos estado utilizando nuestras otras herramientas regulatorias para garantizar que la información de las personas se maneje adecuadamente y el dinero no se desvíe de donde más se necesita”, dijo.
“Ahora revisaremos la prueba de dos años antes de tomar una decisión sobre el enfoque del sector público en otoño. Mientras tanto, continuaremos aplicando este enfoque a nuestras actividades regulatorias en relación con las organizaciones del sector público”.
El 20 de noviembre de 2022, en referencia a la aplicación de la ICO en el sector privado, dijo el comisionado de información John Edwards Los tiempos que las cuantiosas sanciones financieras que a menudo imponen los reguladores europeos tienden a dar lugar a largas batallas legales, que podrían agotar los recursos de los reguladores y, en última instancia, debilitar su capacidad para imponer cambios significativos.
“No creo que la cantidad o el volumen de las multas sean un indicador del impacto”, afirmó. “Sabes, aparecen muchos titulares. Es fácil compilar tablas de clasificación, pero en realidad no creo que ese enfoque sea necesariamente el que tenga el mayor impacto”.
Añadió que la ICO prefiere colaborar con las empresas para fomentar el cumplimiento en lugar de imponer multas por valor de cientos de millones de libras.
“Las reprimendas no son lo suficientemente buenas”
Según un análisis de ORG del último informe anual de la ICO, los casos de acciones coercitivas que han tenido lugar muestran la gravedad de la mala práctica de datos del sector público, y que hay poca evidencia de que las reprimendas conduzcan a un cambio genuino a pesar de la mayor dependencia de ellas.
“La ICO debería utilizar toda la gama de sus poderes de aplicación en el sector público, hasta que pueda demostrar que enfoques alternativos dan como resultado una mejora sustancial en el cumplimiento de la protección de datos”, dijo ORG en una de sus recomendaciones para la ICO.
Añadió que el regulador debería publicar “todas las pruebas resultantes de la ‘prueba de enfoque del sector público’ de dos años en la que las organizaciones del sector público fueron multadas sólo como último recurso”, y que esto debería ser seguido por una auditoría independiente realizada externamente para validar la recomendaciones.
ORG agregó además que debería haber enmiendas al proyecto de ley de acceso y uso de datos (DUAB) propuesto por el nuevo gobierno laborista, de modo que se prohíba a la ICO emitir más de una reprimenda a una organización: “Cualquier infracción posterior debería dar lugar a una escalada de acciones”. – no ‘reprimendas finales’ adicionales que socavan la premisa de la reprimenda inicial y tienen poco impacto en el comportamiento”.
La DUAB debería modificarse aún más para exigir que la ICO publique una tabla de clasificación del desempeño de las solicitudes de acceso a sujetos (SAR) de los organismos del sector público, de modo que las organizaciones que consistentemente no respondan dentro de los plazos legales puedan tener prioridad para tomar medidas de cumplimiento.
“Los SAR son un vehículo importante para garantizar la privacidad y seguridad de las personas”, afirmó. “Sin embargo, desde 2018, la ICO también ha intentado sin éxito que tres autoridades se ocupen de sus retrasos en el SAR. Este año, seis años después de que el problema se hiciera evidente por primera vez, el Ayuntamiento de Plymouth, la policía de Devon y Cornwall y la policía de Dorset recibieron cada uno una ‘reprimenda final’”.
Este año marca la primera vez que la ICO publica el número de amonestaciones en un informe anual, a lo que se comprometió a hacerlo en diciembre de 2022 después de una solicitud de libertad de información de Jon Baines, especialista senior en protección de datos del bufete de abogados Mishcon de Reya. – reveló que el regulador no había revelado la mayoría de las 42 amonestaciones que había emitido a organismos del sector público entre mayo de 2018 y noviembre de 2021.
Una libertad de seguimiento sobre la solicitud de información de Baines de junio de 2022 encontró otras 15 amonestaciones desde noviembre de 2021 que no se habían divulgado públicamente hasta ese momento.