La Oficina del Comisionado de Información (ICO) no ha revelado públicamente la mayoría de las “reprimendas” que ha emitido desde noviembre de 2021 a organizaciones del sector público, incluido el Servicio Digital del Gobierno (GDS), por violaciones de la ley de protección de datos del Reino Unido, una libertad de información ( FOI) muestra la solicitud.
Según el Reglamento General de Protección de Datos (GDPR) del Reino Unido, la ICO tiene el poder de entregar reprimendas formales, así como multas y otros avisos de ejecución, cuando las organizaciones infringen la ley.
Los 15 destinatarios de la reprimenda incluyen el GDS (parte de la Oficina del Gabinete), el Partido de la Independencia del Reino Unido (UKIP), el Servicio de Fiscalía de la Corona (CPS) y el Comisionado de Idioma Galés. Otros destinatarios incluyen cuatro fuerzas policiales, dos autoridades locales y dos fideicomisos del NHS.
El ICO confirmó a Computer Weekly que todas las reprimendas emitidas a los organismos del sector de la justicia penal se emitieron en virtud de la Parte Tres de la Ley de Protección de Datos de 2018, que establece reglas específicas para el procesamiento de datos personales por parte de las entidades encargadas de hacer cumplir la ley con fines de aplicación de la ley.
Las amonestaciones no reveladas fueron reveladas por una solicitud de Libertad de Información (FOI, por sus siglas en inglés) presentada por Jon Baines, un especialista sénior en protección de datos del bufete de abogados Mishcon de Reya, quien estaba dando seguimiento a una solicitud anterior que mostraba que la ICO había emitido 42 amonestaciones entre el 25 de mayo 2018 (cuando entró en vigor el RGPD del Reino Unido) y el 15 de noviembre de 2021.
En la gran mayoría de los casos, el ICO no reveló públicamente que había tomado medidas para reprender a estas organizaciones, a pesar de su propia política que dice que su “posición predeterminada” es publicar todos los resultados regulatorios formales.
“Por ‘resultados regulatorios formales’ nos referimos a aquellos en los que notificamos o emitimos algún tipo de aviso, amonestación, recomendación o informe después de nuestro trabajo regulatorio”, dijo el ICO en su Política de actividad regulatoria y de cumplimiento. “Nuestra posición predeterminada es que publicaremos (y, cuando corresponda, publicitaremos) todo el trabajo regulatorio formal, incluidas las decisiones e investigaciones importantes, una vez que se alcance el resultado”.
Específicamente sobre las reprimendas, el ICO agregó: “Las publicaremos si ayudan a promover buenas prácticas o disuadir el incumplimiento”.
Si bien el ICO no ha revelado los detalles de las contravenciones específicas que llevaron a la emisión de las reprimendas, su Política de acción regulatoria dice que el organismo de control se reservará sus “poderes más significativos (i) para las organizaciones y las personas sospechosas de conducta indebida reiterada o intencional o fallas graves para tomar las medidas adecuadas para proteger los datos personales”.
En respuesta a la divulgación de la FOI sobre la falta de reprimendas públicas, Mishcon de Reya dijo que la ICO había confirmado que, en el futuro, incluiría reprimendas al publicar sus conjuntos de datos en línea de los resultados del trabajo de casos.
Computer Weekly le pidió a la ICO que confirmara que publicaría todas las reprimendas en el futuro, a lo que un portavoz respondió que las reprimendas se publicaron como parte de los conjuntos de datos disponibles en su sitio web.
Si bien las hojas de cálculo adjuntas a esta página web contienen entradas que muestran que se emitieron algunas de las reprimendas, no hay documentación adjunta que detalle la naturaleza de la reprimenda.
Computer Weekly preguntó al ICO si publicaría los documentos de reprimenda reales en el futuro, en lugar de confirmar si se había emitido uno a través de entradas en hojas de cálculo, a lo que un portavoz respondió: “Actualmente, las reprimendas se publican en el conjunto de datos. Mirando hacia el futuro, revisaremos nuestro enfoque para publicitar nuestro trabajo una vez que el Parlamento haya acordado la Política de acción regulatoria”.
Las únicas reprimendas que la ICO decidió hacer totalmente públicas desde noviembre de 2021 fueron las dadas al gobierno escocés y a los Servicios Nacionales del NHS de Escocia en febrero de 2022, que se emitieron por no proporcionar a las personas información clara sobre cómo funcionaba la aplicación NHS Scotland Covid Status. utilizando sus datos.
“El ICO ha decidido hacer pública esta amonestación por el importante interés público que despiertan las cuestiones planteadas. La decisión de emitir una amonestación en este caso refleja que esta es la forma más efectiva y proporcionada de garantizar que los problemas identificados se resuelvan rápidamente”, dijo en ese momento.
Sobre por qué estas reprimendas se considerarían de “interés público significativo” y las otras no, Baines le dijo a Computer Weekly que supuso que la conexión con la pandemia de covid-19 las hacía “particularmente convincentes cuando se trataba de un análisis de interés público”.
Otras reprimendas son de dominio público, pero solo a través de informes de noticias (en el caso del Consejo de Sheffield) o menciones breves enterradas en el sitio web de ICO que no brindan detalles (en el caso de UKIP). Baines dijo que no estaba al tanto de ninguna otra reprimenda que fuera de dominio público.
Computer Weekly preguntó directamente al ICO por qué las reprimendas emitidas a las autoridades escocesas se consideraron de gran interés público, mientras que todas las demás emitidas desde noviembre de 2021 no lo fueron.
Señalando su Política de actividad regulatoria y de aplicación, un portavoz de ICO dijo: “Declaramos que publicaremos las reprimendas si ayudan a promover las buenas prácticas o disuadir el incumplimiento. En el caso de la aplicación Scottish Covid, la amonestación se hizo pública para disuadir el incumplimiento”.
Sobre si la falta de publicación de las amonestaciones fue contraria a sus propias políticas de divulgación, el portavoz agregó que el ICO había cerrado recientemente una consulta sobre su Política de acción regulatoria: “Una vez que el Parlamento acuerde la Política de acción regulatoria, revisaremos nuestro enfoque a la divulgación, publicación y publicidad de nuestro trabajo, que se establece en el documento Comunicación de nuestra política de actividad regulatoria y de aplicación”.
El documento ya dice que la “posición predeterminada” de la ICO es publicar todos los resultados regulatorios formales.
Al comentar sobre la divulgación de la FOI en general, Baines dijo: “Todavía no me queda claro por qué el ICO no ha publicado en el pasado, como dice su propia política sobre la publicación de acciones regulatorias, ‘La publicidad ayuda a aumentar la confianza y la conciencia de- nuestro trabajo para promover las buenas prácticas y disuadir a aquellos que puedan estar pensando en infringir la legislación sobre derechos de información’”.
Agregó: “Siento que tengo un buen conocimiento de la comunidad de profesionales de la protección de datos, y los miembros de esa comunidad pueden aprender de los resultados de las investigaciones regulatorias; la falta de publicidad por parte de la ICO es una oportunidad perdida para ayudar a elevar los estándares generales de concienciación y cumplimiento”.
