Boletín Legal Nº 57 – Marzo de 2023.

Cámaras inteligentes y biometría: ¿qué impacto tendrá la ley relativa a los Juegos Olímpicos?

El 23 de marzo, la Asamblea Nacional aprobó el artículo 7 de la ley sobre los Juegos Olímpicos.

El proyecto de ley, aprobado en una asamblea con escasa asistencia (solo estuvieron presentes 73 de los 577 miembros), ya ha generado mucha discusión y sin duda provocará muchas más reacciones en los próximos meses.

De hecho, legaliza el uso de la vigilancia algorítmica hasta diciembre de 2024, en un contexto descrito como excepcional, salvo para eventos que se salgan del estricto marco de los Juegos Olímpicos.

La vigilancia puede referirse a "eventos deportivos, recreativos o culturales" en general, "expuestos a riesgos de actos terroristas o amenazas graves a la seguridad de las personas".

Por lo tanto, puede probarse en eventos deportivos como la Copa del Mundo de Rugby de este otoño.

 

¿Qué es la vigilancia algorítmica? ¿Es una forma de vigilancia biométrica sujeta a las estrictas obligaciones del RGPD y del futuro reglamento europeo sobre inteligencia artificial?

El proyecto prevé el uso de "cámaras aumentadas" con asistencia de inteligencia artificial, pilotadas por drones, que se utilizarán para analizar automáticamente imágenes en tiempo real mediante algoritmos para detectar eventos predeterminados, como movimientos de multitudes, equipaje, gestos o comportamientos sospechosos.

Si bien la CNIL destacó los principales problemas de las cámaras con realidad aumentada en términos de privacidad y protección de datos personales, en sus observaciones del 8 de diciembre no pareció tener en cuenta que se estuviera utilizando el procesamiento biométrico.

Señaló que varias medidas estaban en consonancia con sus recomendaciones:

• Despliegue experimental, limitado en tiempo y espacio, para ciertos fines específicos y que conlleva graves riesgos para las personas,
• Falta de procesamiento de datos biométricos y de referencias cruzadas con otros archivos, y
• Decisiones sujetas a intervención humana previa.

Sin embargo, para la sociedad civil, la tecnología utilizada se enmarca claramente en la categoría de biometría.

En efecto, "identifica, analiza y clasifica constantemente cuerpos, atributos físicos, gestos, siluetas y formas de andar, que son innegablemente datos biométricos".

La Quadrature du Net y unas cuarenta organizaciones internacionales han desarrollado esta perspectiva en una carta abierta a la Asamblea Nacional, coordinada y publicada por el ECNL (Centro Europeo de Derecho de las Organizaciones sin Fines de Lucro).

El RGPD define los datos biométricos como "datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física, que permiten o confirman su identificación única" (Artículo 4.14).

La carta abierta señala que las cámaras inevitablemente capturarán y analizarán rasgos fisiológicos y comportamientos de las personas presentes en espacios públicos vigilados, y que aislar a estas personas de su entorno, lo cual resulta esencial para cumplir el objetivo del sistema, constituye una "identificación única".

Según el RGPD y la interpretación del Comité Europeo de Protección de Datos sobre este tema, la capacidad de aislar a una persona de una multitud o de su entorno, independientemente de que se conozca o no su nombre o identidad, constituye un "identificador único".

Por lo tanto, clasificar a las personas en una categoría que agrupe comportamientos de "riesgo" basándose en estos datos constituiría una categorización biométrica que probablemente estaría en contradicción con las disposiciones del futuro reglamento europeo sobre inteligencia artificial.

En este sentido, cabe destacar la opinión emitida el 18 de junio de 2021 por las autoridades europeas de protección de datos, que solicita una prohibición general de cualquier uso de la IA para el reconocimiento automático de características humanas en espacios de acceso público.

Estos argumentos también figuran en una carta enviada a la Asamblea Nacional por 41 miembros del Parlamento Europeo, quienes subrayan que con esta ley Francia se convertiría en el primer país de Europa en legalizar la vigilancia masiva de su espacio público.

Por lo tanto, es posible que la legislación deba superar una prueba de compatibilidad con el derecho europeo.

Cabe señalar a este respecto que el proyecto de Reglamento sobre inteligencia artificial figura en el orden del día de la sesión plenaria del Parlamento Europeo de finales de mayo.

 

Y también

CNIL    

 La CNIL ha publicado su lista de temas de control de prioridad Para 2023: este año se centrará en:

• El uso de cámaras "aumentadas" por parte de actores públicos,
• El uso del archivo de incidentes de crédito al consumidor,
• La gestión de los registros de salud de los pacientes y
• Aplicaciones móviles.

También publicó su primer dossier temático a finales de marzo sobre identidad digital, presentando los principios clave y sus posturas sobre el tema.

El expediente está dirigido tanto al público en general como a organizaciones públicas o privadas e investigadores.

En este sentido, cabe recordar que en una publicación de fecha 22 de febrero, la CNIL examinó el experimento realizado desde 2019 sobre la tarjeta electrónica de seguro de salud ("e-carte Vitale"), que se ofrecerá de forma opcional a todos los beneficiarios de la seguridad social antes de finales de 2025.

Más allá de su uso cotidiano, la "e-Carte Vitale" será una alternativa a FranceConnect para el sector de la salud digital.

El 16 de marzo de 2023, la CNIL impuso una multa de 125.000 euros a la empresa. CITYSCOOT.

La CNIL descubrió que la empresa geolocalizaba a sus clientes de forma casi permanente al alquilar un patinete y que conservaba esos datos.

La Comisión también observó que los acuerdos de subcontratación no incluían ciertas cláusulas esenciales, como la naturaleza de los datos recopilados, las medidas de seguridad que debían adoptarse y el destino de los datos en caso de rescisión de los contratos.

La empresa también utilizó un mecanismo reCAPTCHA que transmitía los datos recopilados a GOOGLE para su análisis, sin proporcionar ninguna información al usuario y sin obtener su consentimiento previo.

 

instituciones y organismos europeos

CEPD

El Comité Europeo de Protección de Datos (CEPD) ha puesto en marcha su acción de inspección anual coordinada.

Durante los próximos meses, 26 autoridades nacionales de protección de datos del EEE participarán en esta acción relativa a la designación y el cargo de responsables de protección de datos.

Las investigaciones tendrán por objeto determinar si los delegados cuentan con un puesto que cumpla con los requisitos de los artículos 37 a 39 del RGPD y con los recursos necesarios para desempeñar sus funciones.

Se les enviarán cuestionarios para conocer su situación y determinar si se justifica una investigación formal.

DSA

En virtud del Reglamento de Servicios Digitales (DSA, por sus siglas en inglés), la Unión Europea ha establecido nuevas normas que exigen que las plataformas en línea de gran tamaño (Plataformas en línea de gran tamaño y Motores de búsqueda de gran tamaño) con más de 45 millones de usuarios se registren en la Comisión Europea antes del 17 de febrero.

Según un análisis realizado por un profesor de la London School of Economics and Political Science, participarían 18 actores: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing Search y Google Search.

TikTok

La red social TikTok anunció a mediados de febrero su intención de cumplir con la Ley de Servicios Digitales (DSA, por sus siglas en inglés), que entrará en vigor a mediados de 2023.

TikTok también anunció el despliegue de centros de datos en Europa con el fin de limitar los flujos de datos transfronterizos.

Este anuncio se produce en un momento en que las instituciones de la UE, así como los gobiernos de los Países Bajos, Canadá y la Casa Blanca en Estados Unidos, han pedido recientemente a sus empleados que desinstalen la aplicación de sus equipos profesionales y personales, alegando preocupaciones sobre la protección de datos personales.

DMA

A finales de marzo, la Comisión Europea creó un grupo de alto nivel para garantizar la aplicación coherente del Reglamento sobre Mercados Digitales (RMD) con otras normativas europeas.

Entre los organismos designados se encuentran el Supervisor Europeo de Protección de Datos (SEPD) y el Comité Europeo de Protección de Datos (CEPD).

La Ley de Mercados Digitales se aplica específicamente a las grandes plataformas en línea designadas como "guardianes".

ENISA 

La agencia europea ENISA publicará el 29 de marzo un estudio sobre las amenazas a la ciberseguridad hasta 2030.

Este estudio tiene como objetivo identificar y recopilar información sobre futuras amenazas que podrían afectar a la infraestructura y los servicios de la Unión, así como a su capacidad para garantizar la seguridad digital de la sociedad y los ciudadanos europeos.

ENISA también publica un informe sobre ciberseguridad y estandarización de la IA.

El objetivo del documento es ofrecer una visión general de las normas existentes y futuras, evaluar su alcance e identificar las deficiencias en la estandarización.

Tiene en cuenta las particularidades de la IA, y en especial del aprendizaje automático, y adopta una visión amplia de la ciberseguridad, que abarca los requisitos de confidencialidad, integridad y disponibilidad, así como el concepto más amplio de fiabilidad de la IA.

Por último, el informe examina cómo la estandarización puede respaldar la implementación de los aspectos de ciberseguridad integrados en el reglamento propuesto por la UE sobre IA.

COMISIÓN EUROPEA

El 6 de marzo, la Comisión Europea anunció que, tras un diálogo con las autoridades de protección del consumidor de la UE, WhatsApp se ha comprometido a ser más transparente sobre los cambios en sus condiciones de servicio.

La empresa también facilitará a los usuarios el rechazo de las actualizaciones con las que no estén de acuerdo, y explicará cuándo dicho rechazo conlleva la imposibilidad de que el usuario siga utilizando sus servicios.

WhatsApp también ha confirmado que los datos personales de los usuarios no se comparten con terceros ni con otras empresas de Meta con fines publicitarios.

IAPP

El sitio web de la IAPP incluye una tabla («Iniciativas de datos de la UE en contexto») que enumera las normativas europeas de protección de datos y las iniciativas en curso, desde el RGPD y la DSA hasta la estrategia europea de ciberseguridad. Esta lista se actualizó en marzo de 2023.

 

Noticias nacionales

• REINO UNIDO: El jueves 9 de marzo, el gobierno británico presentó al Parlamento un proyecto de ley, con algunas modificaciones, sobre protección de datos e información digital. La reforma propuesta permitiría, entre otras cosas, que las empresas recopilen datos con mayor facilidad sin el consentimiento de sus usuarios, por ejemplo, en el marco de sus políticas de investigación y desarrollo.

También se simplificarán las obligaciones relativas al consentimiento para la instalación de cookies, y la contratación de un responsable interno de protección de datos dejará de ser obligatoria.

Todavía en el Reino Unido:

• El Centro Nacional de Ciberseguridad ha publicado un artículo que evalúa los riesgos y formula recomendaciones para el uso de LLM (modelos de lenguaje a gran escala) como ChatGPT.

Si los datos de la consulta no se utilizan actualmente para alimentar el modelo, podrían utilizarse en versiones futuras.

El artículo señala el aumento de los riesgos en materia de ciberdelincuencia, como la creación de correos electrónicos de phishing más convincentes o el aprendizaje de nuevas técnicas de ataque.

Recomienda no incluir información sensible en las solicitudes dirigidas a las facultades de derecho públicas.

• Por su parte, la autoridad británica de protección de datos ha actualizado sus directrices sobre inteligencia artificial y protección de datos a petición del sector.

Las directrices aclaran los requisitos de equidad en la IA.

• ITALIA: Los másteres en Derecho (LLM) están cobrando protagonismo al comienzo de la primavera. El 31 de marzo, la autoridad italiana de protección de datos emitió una orden contra OpenAI, bloqueando ChatGPT en Italia por falta de transparencia, ausencia de una razón legítima para el tratamiento de datos, incumplimiento de la obligación de garantizar la exactitud de los datos tratados, falta de verificación de edad y una violación general del principio de "privacidad desde el diseño".
• REPÚBLICA CHECA : La empresa de ciberseguridad y antivirus Avast ha sido multada con 13,7 millones de euros por la Autoridad Checa de Protección de Datos por infringir el RGPD.

Los datos de los usuarios recopilados a través de Google Maps, YouTube, LinkedIn y, en general, de las búsquedas web en Google, se vendieron a través de su filial Jumpshot.

La investigación de la Autoridad Checa de Protección de Datos se refiere al tratamiento histórico de datos personales anterior a enero de 2020, cuando Avast cerró Jumpshot.

• NORUEGA: La Autoridad Noruega de Protección de Datos (APD) ha multado a Argon Medical Devices con 220.000 euros por retrasar la notificación de una violación de datos debido al uso sistemático y generalizado de consultores externos.

Se consideró que recurrir a terceros ralentizaba indebidamente el proceso de notificación de violaciones de seguridad.

Noruega de nuevo:

• Tras una de las 101 denuncias presentadas por la ONG NOYB en relación con las transferencias a Estados Unidos, la Autoridad Noruega de Protección de Datos notificó a un responsable del tratamiento su intención de sancionarlo por el uso de Google Analytics y la posterior transferencia de datos personales a Estados Unidos, en violación del artículo 44 del RGPD.
• También en Noruega, la Junta de Apelaciones de Privacidad ratificó la decisión de la Autoridad de Protección de Datos de multar a un municipio con 352.555 euros por violar el artículo 5(1)(f) y los artículos 24 y 32 del RGPD tras un ataque de ransomware que provocó la pérdida irrecuperable de datos personales altamente sensibles y su venta en la web oscura.
• AUSTRIA: La Autoridad Austriaca de Protección de Datos (APD) ha dictaminado que el uso del píxel de seguimiento de Facebook infringe el RGPD y la sentencia "Schrems II" del Tribunal de Justicia de la Unión Europea (TJUE) sobre los flujos transatlánticos de datos.
• BÉLGICA: En Bélgica, una autoridad pública pudo invocar el artículo 6, apartado 1, letra e) del RGPD para geolocalizar los coches de empresa de sus empleados, porque no existían otras soluciones menos invasivas y el seguimiento era necesario para un uso eficiente de sus limitados recursos.

En este caso, sin embargo, el responsable del tratamiento de datos fue amonestado por varias otras infracciones de la normativa.

• IRLANDA: El Banco de Irlanda fue multado con 750.000 euros. La Autoridad de Protección de Datos (APD) determinó que el responsable del tratamiento de datos no había evaluado adecuadamente los riesgos asociados al procesamiento ni había implementado las medidas de seguridad apropiadas.
• ESPAÑA: La Agencia Española de Protección de Datos (APD) ha multado a Orange España con 100.000 euros por infringir el principio de minimización de datos al exigir una fotografía del anverso y el reverso del documento de identidad del cliente para entregarle un teléfono comprado online.
• En España, un responsable del tratamiento de datos que no responda a una solicitud de acceso debido a un error de un empleado es, no obstante, responsable de la violación del artículo 15 del RGPD.

 

• ESTADOS UNIDOS : El 25 de marzo, la Comisión Federal de Comercio publicó un artículo en su blog titulado "Chatbots, deepfakes y clones de voz", o engaño mediante IA.

La FTC señala una preocupante amenaza emergente que las empresas del ecosistema digital deben abordar.

La oficina de tecnología de la FTC también publicó un análisis y una guía sobre los píxeles de seguimiento de terceros, basándose en sus recientes decisiones con respecto a los proveedores de servicios de salud digital.

• El NIST (Instituto Nacional de Estándares y Tecnología) está poniendo en marcha un Centro de Recursos para una inteligencia artificial fiable y responsable.

El objetivo es apoyar a las partes interesadas en la IA en el desarrollo de estas tecnologías.

Se complementa con un marco de gestión de riesgos y un manual de procedimientos, y tiene como objetivo proporcionar acceso a una amplia gama de recursos relevantes sobre el tema.

• COREA DEL SUR: La Comisión de Protección de Datos Personales de Corea del Sur ha multado a McDonald's, British American Tobacco y Samsung por violaciones de la privacidad.

McDonald's fue multada con 484.000 euros por almacenar archivos de respaldo relacionados con los usuarios de su servicio McDelivery en un servidor que tenía habilitada la opción de compartir, lo que permitió a los piratas informáticos acceder a los datos de 4.876.106 clientes.

En otro incidente, se robaron los datos de 766.846 compradores de hamburguesas, lo que provocó que la empresa recibiera una multa inicial de 7.000 euros.

• ARGELIA: La Ley nº 18-07 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales entrará en vigor en agosto de 2023.