Experian: Credit agency told to stop sharing data without consent

Credit reference agency Experian has been sharing the personal information of millions of people without consent and must stop, the UK’s information commissioner has ruled.

The firm sold on the data to businesses that used it to identify who could afford goods and services, as well as to political parties.

The company must make “fundamental changes” to how it handles data or face a huge fine, the watchdog said.

Experian has said it will appeal.

ICO Issues British Airways With A Ground-breaking Fine

On 16 October 2020, The Information Commissioner’s Office (the “ICO”) imposed a monetary penalty notice fining British Airways Plc (“BA”) £20million for breaching its data security obligations under the General Data Protection Regulation (the “GDPR”) when they faced a cyber-attack in 2018. This is the ICO’s largest fine to date and the amount imposed was a significant reduction on the £183.39 million the ICO announced that it intended to fine BA back in July 2019.

Facebook Appeals Order From Irish Data Protection Commission

In August 2020, the Irish Data Protection Commission (the “DPC”) issued a preliminary order to Facebook requiring Facebook to suspend data transfers to the U.S. that involve personal data of EU residents. This is the DPC’s first action to enforce the Schrems II  ruling issued by the Court of Justice of the European Union (“CJEU”).

€35 Million Fine Issued Under GDPR For Employee Monitoring And IT Security Failings In Germany

During the COVID-19 pandemic, data privacy – and, in particular, employee data privacy – has been at the forefront of employers’ minds.  In the last six months, employers across the globe have been required to give careful thought to a whole host of potential issues, from contact tracing apps to temperature and other health checks in the workplace, as well as processing an increasing volume of health data of its staff. Whilst not COVID-19 related, a recent decision from the Hamburg Commissioner for Data Protection and Freedom of Information in Germany (the “Commissioner”) is an important reminder of the very significant financial and reputational sanctions an employer may face if it does not take appropriately collect, retain and protect employee personal data in line with GDPR.

A Cautionary Tale of Data Breeches and the GDPR after Hacker Steals Extremely Sensitive Data of 40.000 Psychotherapy Patients

In November 2018, a data security vulnerability in the systems of Vastaamo Oy (“Vastaamo”), a major provider of psychotherapy services in Finland, led to the names, personal identity numbers, and patient records of at least 40.000 patients being stolen by an unknown hacker.

[União Europeia] Tribunal de Justiça considera ilegal leis nacionais de retenção massiva de dados de comunicação

via Semanário InternetLab

No dia 06.10.2020, o Tribunal de Justiça da União Europeia (CJEU) decidiu que Reino Unido, França e Bélgica devem respeitar a legislação da União Europeia na coleta e retenção de dados de telecomunicação. De acordo com a decisão da corte europeia, as leis nacionais que exigem que as aplicações de serviços de telecomunicações retenham e transmitam indiscriminadamente dados de tráfego e dados de geolocalização com o objetivo de combate ao crime ou de proteção à segurança nacional violam a legislação da União Europeia e, portanto, são ilegais. No entanto, a corte permitiu que o Estado-Membro, em caso de “ameaça grave à segurança nacional que se revele genuína e presente ou previsível”, poderá derrogar a obrigação de garantir a confidencialidade dos dados relativos às comunicações e requerer, por meio de medidas legislativas, a retenção geral e indiscriminada de dados de telecomunicações “por período limitado e estritamente necessário”, que pode ser estendido se a ameaça persistir. Nos casos de combate à criminalidade grave e a graves ameaças à segurança pública, o Estado-Membro pode prever, também, a coleta e retenção seletiva dos dados de comunicação. De acordo com a decisão, a coleta e retenção massiva de dados deve ser acompanhada de salvaguardas eficazes e ser revista pelo poder judiciário ou por autoridades administrativas independentes. A decisão foi proferida no âmbito dos processos C-623/17 (referente ao caso britânico), movido pela organização Privacy InternationalC-511/18 e C-512/18 (relativo ao caso francês); e C-520/18 (sobre a Bélgica), movidos pela La Quadrature du Net. De acordo com a Privacy International, a coleta em massa de dados viola direitos fundamentais como a privacidade, proteção de dados e liberdade de expressão, garantidos nos artigo 7, 8 e 11 da Carta de Direitos Fundamentais da União Europeia. A La Quadrature du Net avaliou a decisão como uma “derrota vitoriosa”, pois embora a França não possa mais impor a obrigação de retenção em massa de metadados, as exceções previstas pela Corte “reduzem a eficácia do direito à privacidade e inevitavelmente levarão a abusos”.

[Reino Unido] Investigação não encontra ilegalidades da Cambridge Analytica em campanhas políticas

via Semanário InternetLab

No dia 06.10.2020, Elizabeth Denham, chede da autoridade britânica de proteção de dados, divulgou a conclusão da investigação da ICO (Information Commissioner’s Office) sobre o uso de dados pessoais em campanhas políticas. Em 28.10.2018, a agência havia multado o Facebook em 500 mil libras por vazamentos de dados ligados à Cambridge Analytica. Desde então investigações vinham sendo conduzidas pelo órgão para identificar ilegalidades na atuação da empresa de consultoria. Em carta enviada pela autoridade ao Parlamento Inglês, Denham afirma que foram analisados 42 laptops e computadores, 700 TB de dados, 31 servidores, mais de 300.000 documentos e uma ampla gama de materiais físicos e armazenados na nuvem. No entanto, após três anos de investigação, não foram encontradas evidências de ilegalidades. A investigação também concluiu que os dados não foram utilizados para influenciar o resultado do Referendo do Brexit. Segundo Denham, a “investigação foi concluída, mas nosso trabalho nesta área não termina aqui”. A Comissária informou que em breve publicará um relatório das auditorias realizadas pelo ICO aos partidos políticos, bem como fará atualizações nas orientações sobre campanhas políticas ainda esse ano.

Automated decision-making: Uber drivers claim they are de-activated automatically without ability to object in non-compliance with GDPR

Uber drivers from across Europe have bought a claim in the Netherlands (where Uber’s data is based)against Uber claiming that Uber has breached GDPR.

Article 22 GDPR states that, with limited exceptions, data subjects have the right not to be subject to an entirely-automated decision which affects their legal rights. If such an automated decision is made, the data subject shall have the right to an explanation about how the decision was made and to contest the decision.

[Espanha] AEPD multa empresa em €60.000 euros

A Autoridade da Espanha, Agencia Española de Protección de Datos (AEPD), aplicou sanção em empresa de instalação de aquecedores e ares condicionados G. L. P. Instalaciones 86, S. L. por desrespeito aos princípios da GDPR e por tratamento em inobservância às bases legais.