ICO relaja temporalmente el enfoque regulatorio

los Oficina del Comisionado de Información (ICO) ha realizado una serie de ajustes temporales a su enfoque regulador durante la actual pandemia de coronavirus Covid-19, haciendo hincapié en el pragmatismo y la empatía, pero dijo que no evitará proteger los derechos de información de los ciudadanos del Reino Unido.

En un documento recientemente publicado, el ICO reconoció su responsabilidad de dar cuenta de las circunstancias excepcionales provocadas por la crisis y dijo que la ley le otorgó el poder de adoptar un enfoque flexible sobre cómo aborda la protección de datos.

«Los reguladores aplican su autoridad dentro de la situación social y económica más amplia», dijo la comisionada de información Elizabeth Denham. “Vemos a las organizaciones enfrentando escasez de personal y capacidad, vemos a los organismos públicos enfrentando severas presiones de primera línea, y vemos a las muchas empresas enfrentando fuertes presiones financieras. En este contexto, es correcto que debemos ajustar nuestro enfoque regulatorio.

“Nuestra ley de protección de datos del Reino Unido no es un obstáculo para tal flexibilidad. Explica explícitamente la importancia de que mi oficina tenga en cuenta el interés público general y permite que se priorice la salud y la seguridad de las personas sin necesidad de enmiendas legislativas.

“Un principio que sustenta la ley de protección de datos es que el procesamiento de datos personales debe estar diseñado para servir a la humanidad. En este momento, eso significa que el regulador refleja estos tiempos excepcionales y muestra la flexibilidad que permite la ley.

“Debemos reflejar estos tiempos excepcionales. Continuaremos reconociendo la importancia continua de las protecciones de privacidad y el valor de la transparencia que brinda la libertad de información. Estos derechos son parte de la vida moderna que no debemos perder. Pero mi oficina continuará salvaguardando los derechos de información de una manera empática y pragmática que refleje el impacto del coronavirus ”, dijo.

En la práctica, esto significa que si bien las víctimas de violaciones de datos personales aún deben informar al ICO dentro de las 72 horas estipuladas en la ley, el ICO reconoce que la crisis actual puede afectar este calendario y evaluará los informes de manera más pragmática.

En el futuro, sus investigaciones se llevarán a cabo en el entendimiento de que la emergencia presenta a las organizaciones nuevos desafíos, lo que puede significar que utiliza sus poderes formales para ordenar a las organizaciones que proporcionen evidencia y respondan de manera oportuna, y les da más tiempo para responder.

Espera realizar menos investigaciones en el futuro previsible, con su atención centrada en el «incumplimiento grave». Sin embargo, intentará adoptar un enfoque regulatorio más fuerte contra cualquiera que viole las leyes de protección de datos para aprovechar la crisis.

También ha suspendido su trabajo de auditoría, reconociendo el impacto económico del coronavirus en las organizaciones, así como las restricciones de viaje y contacto, y no puede tomar medidas contra las organizaciones que no pagan o renuevan su tarifa de protección de datos si pueden demostrar que esto se debe a razones vinculadas al coronavirus.

En términos de acciones formales, cualquier acción relacionada con los pedidos pendientes de solicitudes de información pendientes se ha suspendido por ahora. Al decidir si tomará o no medidas formales en el futuro, el ICO tendrá en cuenta si el problema surge directamente de la crisis y si la organización tiene planes establecidos para arreglar las cosas cuando se reanude una apariencia de vida normal. Las organizaciones pueden tardar más en rectificar las infracciones anteriores a la emergencia, y si la ICO emite multas, tratará de tener en cuenta el impacto económico y la asequibilidad teniendo en cuenta la crisis.

La OIC dijo que ahora también buscaría desarrollar nuevas medidas regulatorias que puedan implementarse al final de la crisis para tratar de apoyar el crecimiento económico y la recuperación. Esto podría incluir nuevos servicios de asesoramiento sobre protección de datos, entornos limitados, códigos y mecanismos de transferencia internacional para probar la flexibilidad en el uso seguro de datos.

La protección de datos puede desempeñar un papel central en la promoción del crecimiento económico cuando salgamos de esta pandemia: alentar la confianza pública en la innovación

Elizabeth Denham, Oficina del Comisionado de Información

“Es importante que regulemos el tiempo en que estamos ahora, pero también es importante que miremos hacia el futuro. La protección de datos puede desempeñar un papel central en la promoción del crecimiento económico cuando salgamos de esta pandemia: alentar la confianza pública en la innovación «, dijo Denham.

Ilia Kolochenko, fundadora y CEO de la compañía de seguridad web ImmuniWeb, quien también posee calificaciones en estudios jurídicos, justicia penal e investigación de delitos cibernéticos, dijo que la transición a un enfoque flexible tenía sentido al permitir a las organizaciones centrarse en la implementación práctica de la protección de datos.

«Por otro lado, el mensaje es claro como el cristal, no se tolerará negligencia o mala conducta intencional incluso en medio de la espiral de pandemia», dijo.

“Muchas tecnologías de seguridad y protección de datos implementadas con éxito en oficinas corporativas son simplemente inamovibles para dispositivos domésticos por una variedad de razones técnicas. Además, el uso de algunos de ellos puede ser ilegal en teléfonos móviles privados, por ejemplo, dado que pueden interferir indebidamente en la privacidad personal y en la vida privada mucho más allá de lo razonablemente necesario para garantizar la protección de los datos corporativos y la propiedad intelectual.

“Por lo tanto, sería desproporcionadamente duro y contraproducente esperar que las organizaciones sigan ciegamente los mismos procesos de seguridad para la FMH [work from home] equipos como lo hicieron en el entorno de la oficina.

“Según los informes, esta crisis sin precedentes no altera los requisitos, como las notificaciones de violación de datos. Sin embargo, la mayoría de los requisitos están relacionados con el período de notificación desde que se detecta la infracción y, en estas circunstancias, algunas infracciones pueden tardar más en detectarse.

«Lo que entiendo en el mensaje de ICO es, sin embargo, un enfoque bien equilibrado que considerará de manera justa la integridad de las circunstancias para cualquier violación formal o material de las leyes y regulaciones aplicables», dijo Kolochenko.

La política revisada completa de ICO se puede descargar desde su sitio web.