La Autoridad Noruega de Protección de Datos impone una sanción de violación de 5 millones de NOK a la sociedad de peajes Ferde. Entre otras cosas, se dice che la sociedad ha ilegalmente transferido informaciones personales sobre los conductores noruegos a China.
Sanción a Ferde AS
Mediante una noticia en NRK, la Autoridad Noruega de Protección de Datos ha venido a conciencia que Ferde AS estaba transfiriendo informaciones sobre los pasajes de peajes a un encargado del tratamiento en China. Sobre esta base, la Inspección de datos ha empezado una investigación centrada sobre le hecho que Ferde ha implementado rutina y medios para garantizar una adecuada seguridad de las informaciones para las informaciones compartidas con China.
Según la Autoridad, Ferde AS ha violado una serie de obligación básicas que la empresa tiene con arreglo a la ordenanza de privacidad por un periodo entre 1 y 2 años. Entre otras cosas, no ha tenido una base valida para la transferencia de datos personales a China.
Por esto, la Inspección de Datos tiene su decisión de imponer una sanción de 5 millones de NOK, después de haber inviado a la sociedad un aviso de una comisión de la misma suma al comienzo de este año.
Diferentes deficiencias
La ordenanza de privacidad pide que Ferde AS, en calidad de responsable del tratamiento, pueda documentar de haber implementado una serie de medidas para garantizar que los datos personales han sido tratados de manera suficientemente correcta.
En sus investigaciones, la Inspección de Datos ha revelado que Ferde AS no tenia un acuerdo por el tratamiento de datos, tanto de una evaluación del riesgo y de una base de trasferencia por el tratamiento de datos personales de los conductores en China. Todas estas son obligaciones clave en virtud de la legislación sobre privacidad y deben estar en vigor antes de que pueda tener lugar el correspondiente tratamiento de datos personales.
Esto es serio. El objetivo de disponer de estas herramientas es establecer el marco para el tratamiento de los datos personales, identificar posibles deficiencias en el sistema y garantizar la seguridad y la confidencialidad del tratamiento de los datos. La empresa también ha transferido datos personales a China y un gran número de personas están afectadas. Por ello, la Autoridad ha impuesto una tasa de incumplimiento tan elevada.
Focus en la transferencia fuera del EEE
La Inspección de Datos se centró únicamente en cuestiones relacionadas con la existencia de un acuerdo de tratamiento de datos, la evaluación de riesgos y la base para la transferencia de datos personales fuera del EEE. Además, hemos limitado nuestras investigaciones a las condiciones reales que se daban en el periodo de septiembre de 2017 y hasta octubre de 2019. La Inspección de Datos no evaluó otras cuestiones relacionadas con el tratamiento de datos personales por parte de Ferde, incluido el contenido de los acuerdos suscritos, el contenido de la evaluación y los criterios de riesgo resultantes de la sentencia del TJCE en el asunto Schrems II.
La decisión puede ser recurrida. El plazo de reclamación es de tres semanas a partir de la recepción de la carta.