La Inspección de Datos comunica a la sociedad Disqus Inc una sanción de 25 millones de NOK para violación del principio de responsabilidad, requisito de una base jurídica y falta de informaciones a los interesados.
La Autoridad Noruega de Protección de Datos tuvo conocimiento del caso mediante un informe de NRKbeta en diciembre 2019. Aquí fue revelado que Disqus compartía los datos personales de los usuarios de internet sin que los sitios web que utilizaban la solución del campo de comentarios de la empresa fueran a conciencia. Sobre la base de la cobertura de NRK, la Autoridad Noruega de Protección de Datos ha verificado si Disqus haya violado los requisitos la ordenanza de privacidad.
La Autoridad ha visto que Disqus ha trazado, perfilado y compartido informaciones personales sobre las personas en Noruega cuando han visitado siete sitios web con la solución de campo de los comentarios de Disqus entre mayo 2018 y diciembre 2019. Nuestra conclusión preliminar es que lo que ha pasado en violación de la ordenanza de privacidad requisitos de responsabilidad, base jurídica e información por el registrado.
Control de los visitadores de los sitios web noruegas
Disqus es una empresa americana que, ofrece soluciones por el campo de los comentarios y publicidad programática para los sitios web. NRKbeta ha descrito en diferentes artículos de noticias como las pruebas han demostrado que los visitadores de Disqus controlaban los sitios web noruegas que utilizaban el campo de los comentarios de Disqus. Las informaciones personales han sido compartidas con una serie de empresa del sector marketing sin que los visitadores fueran informados.
Sobre la base de las informaciones que la autoridad tiene del caso, en Noruega ha sido principalmente un problema. Sobre la base de la relación que ha considerado la autoridad, han pensado que los sitios web interesados sean tv.2. no/broom, khrono.no, adressa.no, NRK.no/ytring, P3.no, rights.no e document. no. Disqus piensa que el rastreo, la perfilación y la compartición de datos personales podrían ser basados sobre un equilibrio de intereses como base jurídica, no obstante el hecho que Disqus no sabia que el GDPR se aplicaba a las personas en Noruega.
Después de haber analizado el caso, la autoridad ha concluido que Disqus no podía basar su control de varios sitios, sitios web o dispositivos para fines de marketing sobre un equilibrio de intereses. Este rastreo pide generalmente el consentimiento.
La conclusión preliminar de la Inspección de Datos es que Disqus no tenía una base jurídica por el rastreo, perfilación y la compartición de las informaciones personales de las personas en Noruega que han visitado los sitios web que utilizaban la solución del campo de los comentarios.
En la notificación, también la Autoridad ha concluido que Disqus ha violado la obligación de información en la ordenanza de privacidad y que la sociedad ha violado el principio de responsabilidad presumiendo erróneamente que la ordenanza sobre la privacidad no se aplica a las personas físicas en Noruega.
Los propietarios de los sitios web son también responsables de terceras partes a cuál acceden sobre sus sitios web en conformidad con las normas de ordenanza de privacidad. En este round, la Autoridad Noruega de Protección de Datos ha dejado prioridad a la supervisión Disqus.
Graves violaciones
La Inspección de datos toma en serio lo que ha pasado. Los sitios web interesados en el caso han sido noticias y Disqus, entre otras cosas, ha controlado los sitios de noticias visitados desde personas en Noruega. Esto ha pasado también sin que los que han sido controlados recibieran informaciones sobre esto.
El control y la perfilación escondidos representan una de las principales intrusiones a la privacidad. Cuando no recibes informaciones que alguien está utilizando nuestras informaciones personales, perdimos la oportunidad de pedir el acceso y las informaciones y para protestar contra el hecho que nuestras informaciones personales se utilizan para fines de marketing como en este caso.
La Autoridad Noruega de Protección de Datos ha también puesto gran énfasis sobre el hecho que la compartición de datos personales por el marketing programático lleva a una alta probabilidad que los interesados pierden el control sobre quien tiene los propios datos personales.
Gastos elevados
Las sanciones por violación tienen que ser efectivas, ser proporcionadas a la infracción y tener un efecto disuasivo. En este caso, hay cientos miles informaciones interesadas, muy privadas sobre cuales sitios de noticias se visitan, rastreo escondido en el tiempo, informaciones personales que van fuera de la calle en la publicidad programática.
La autoridad ha supervisado el servicio de Disqus en el periodo desde la entrada en vigor del Reglamento de Privacidad (GDPR) hasta diciembre de 2019, cuando Disqus ha cambiado su widget sobre los sitios noruegas.
No es una decisión final
Disqus tiene un término para enviar los propios comentarios dentro del 31 de mayo. El fin del aviso es de ayudarlos a proporcionar un feedback sobre como evaluar el caso. Tomamos una decisión final después de haber considerado eventuales comentarios de Disqus.