APD Belgica: IAB, finances i NIS2
El regulador de dades belgue ocupa un lloc unic a la UE. El pais alberga les seus centrals de la UE i l'OTAN. Te mes bancs globals i organismes financers que qualsevol estat de la UE excepte Luxemburg. Aixo dona a l'Autorite de protection des donnees/Gegevensbeschermingsautoriteit (APD/GBA) un ampli abast i influencia.
La resolucio sobre IAB Europe
Al febrer de 2022, el regulador belgue va resoldre contra IAB Europe. El cas tractava sobre el Marc de Transparencia i Consentiment (TCF). El TCF impulsa uns 220.000 milions d'euros en publicitat digital de la UE cada any.
El que va trobar el regulador: La cadena de consentiment del TCF es dada personal. Esta vinculada a l'ID pseudonim d'un usuari. IAB Europe va ser designada controladora conjunta. Aixo la va fer responsable de com els editors i les empreses publicitaries utilitzen aquestes dades.
La multa de 250.000 euros era petita. L'impacte real va ser molt mes gran. L'autorita va exigir un redisseny complet del TCF. Tots els editors de la UE que utilitzen una eina de consentiment en van notar les conseqüencies. Tambe tots els compradors de publicitat.
La llio: la tecnologia de tot un sector pot incomplir el RGPD. No nomes les empreses solitaries hi estan exposades. Tota la cadena pot ser considerada responsable. Cap elos d'aquesta cadena esta fora de l'escrutini.
Sector financer: NIS2 i RGPD conjuntament
Belgica alberga l'Autorita Bancaria Europea, l'EIOPA i el centre global de SWIFT. Els bancs i les asseguradores d'alli han de complir tant l'Article 32 del RGPD com l'Article 21 de NIS2. Aquestes dues lleis comparteixen molt terreny.
L'Article 21 de NIS2 estableix aquestes regles:
- Avaluacions de risc en arees humanes, fisiques i digitals
- Informes d'incidents presentats en 24 hores
- Plans de recuperacio empresarial
- Verificacions de seguretat de la cadena de subministrament
- Xifratge per a les dades en transit i en repos
- Controls d'acces de factor multiple
L'Article 32 del RGPD estableix aquestes regles:
- Emmascarat de dades i xifratge de registres personals
- Capacitat per restaurar l'acces despres d'un incident
- Proves periodiques dels controls de seguretat
- Salvaguardes tecniques basades en el risc
Aquests controls apareixen en ambdues lleis: xifratge, control d'acces, resposta a incidents i verificacions de la cadena de subministrament. Els programes robustos de l'Article 32 del RGPD compleixen la majoria de les necessitats de l'Article 21 de NIS2. Un conjunt de controls integrats es el cami mes eficient. Consulteu la nostra guia de compliment RGPD per a una revisio completa de les dues lleis.
Aplicacio el 2024: temes clau
El regulador belgue va emetre 82 decisions el 2024. Els casos del sector financer van augmentar un 56% respecte al 2023. Quatre temes destaquen.
Perfilat sense consentiment: Els bancs que utilitzen dades de transaccions per a analisi de despeses o ofertes de productes han de complir les regles del RGPD. El regulador va rebutjar la "millora del servei" com a rao valida quan el perfilat es basa en aquestes dades.
Puntuacio de credit amb IA: L'Article 22 del RGPD regula les decisions de credit automatitzades. Exigeix revisio humana i raons clares. Diverses empreses fintech mancaven d'aquestes salvaguardes. Aixo va ser un focus clau.
Fusio de dades despres de fusions: Els bancs que van fusionar registres despres d'adquisicions sovint van vulnerar les regles de finalitat. El consentiment original no cobria el nou us combinat.
Externalitzacio sense eines de transferencia: Les empreses que van enviar feines d'IT a tercers paisos sense les eines legals adequades van ser objecte d'accions. Els casos cobriren India, el Marroc i les Filipines.
Per a les empreses amb operacions bancaries a Belgica: els controls integrats de RGPD i NIS2 son la millor defensa abans d'una auditoria. La nostra descripcio general de seguretat i compliment explica com el disseny de coneixement zero redueix l'exposicio a l'origen.