Boletín Legal Nº 59 – Mayo de 2023.

Meta sanción: 1.200 millones de euros… ¿y luego qué?

La sanción impuesta el 12 de mayo por la autoridad irlandesa a Meta, la empresa matriz de Facebook, es la más alta jamás impuesta por una autoridad de protección de datos desde la entrada en vigor del RGPD, en un momento en que la normativa celebra su quinto aniversario.

En el centro de esta decisión se encuentra la Facebook transfiere datos de sus usuarios europeos a Estados Unidos, un país que ya no se considera que ofrezca un nivel de protección adecuado. desde la decisión del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020 (sentencia Schrems II).

Esta nueva sanción es también un símbolo de cooperación entre las autoridades de protección de datos, ya que la decisión de la autoridad irlandesa es el resultado de un procedimiento largo y arduo, por no mencionar una lucha de poder con sus homólogos europeos.

Por lo tanto, la APD se vio obligada a ampliar el alcance de su decisión e imponer una multa significativa.

Según la ONG NOYB y su presidente, Max Schrems, quien inició la denuncia, no hay necesariamente nada que celebrar.

El procedimiento duró tres años, enfrentándose a una autoridad nacional que bloqueó sistemáticamente el proceso en varias etapas, y resultó en más de diez millones de euros en costas judiciales… por una multa que irá a parar al Estado irlandés.

 

¿Cuáles son las consecuencias concretas para Meta?

La decisión incluye un período de implementación: la empresa tiene hasta mediados de octubre para dejar de transferir los datos de sus usuarios a Estados Unidos.

Además, deberá eliminar todos los datos ya transferidos desde sus centros de datos en Estados Unidos antes de mediados de noviembre.

Aunque la empresa ha amenazado con dejar de prestar sus servicios en Europa, es poco probable que se produzca este anuncio, ya que Europa es su mayor fuente de ingresos después de Estados Unidos, con la creación de varios centros de datos ubicados en territorio europeo.

La empresa anunció que interpondría un recurso de apelación a nivel nacional contra la autoridad irlandesa y que solicitaría la suspensión de la orden hasta que se agoten los procedimientos legales.

Es probable que Meta esté ganando tiempo, con la esperanza de que un nuevo acuerdo transatlántico regularice las transferencias de datos a Estados Unidos antes del otoño.

Sin embargo, conviene recordar, por un lado, que un nuevo acuerdo no legalizará las transferencias pasadas ni las infracciones legales ya probadas, y por otro lado, que el listón está muy alto en lo que respecta al futuro acuerdo transatlántico.

El proyecto actual ya ha recibido fuertes críticas del Parlamento Europeo, y no es seguro que supere el escrutinio del Tribunal de Justicia de la Unión Europea (TJUE).

 

Impacto en las GAFAM y los responsables del tratamiento de datos en general.

Las leyes de vigilancia estadounidenses, que son la base de las decisiones de la autoridad irlandesa, el CEPD y el TJUE, suponen un problema para todos los principales proveedores de servicios en la nube de EE. UU., como Microsoft, Google o Amazon.

Cabe señalar que la ley de vigilancia estadounidense pertinente (FISA 702) debe ser reautorizada antes de diciembre de 2023.

Si bien varias autoridades supervisoras europeas ya han declarado ilegal el uso de servicios estadounidenses que implican transferencias de datos, sus decisiones no han ido acompañadas de una multa tan elevada como la impuesta a Meta.

Esto podría animar a las principales empresas tecnológicas estadounidenses y a todas aquellas que utilizan servicios en la nube de origen estadounidense a revisar sus prácticas y a realizar, como mínimo, un análisis del impacto de las transferencias.

 

Sin embargo, seguiría siendo necesario que las autoridades de protección de datos fueran suficientemente disuasorias en la aplicación del RGPD.

Actualmente se les critica por su falta de eficacia, como se muestra en el reciente informe del Consejo Irlandés para las Libertades Civiles (ICCL).

Su análisis demuestra que el RGPD rara vez se aplica contra las grandes empresas tecnológicas.

Pocos casos importantes en Europa habrían dado lugar a medidas coercitivas serias: "el registro de decisiones definitivas del CEPD revela que la mayoría (64 %) de las 159 medidas coercitivas adoptadas a finales de 2022 fueron meras amonestaciones".

Como era de esperar, el estudio señala con el dedo a la Comisión Irlandesa de Protección de Datos, ya que 75 de sus decisiones de investigación en casos de la UE han sido anuladas por mayoría de votos en el Comité Europeo de Protección de Datos.

El contexto en materia de recursos legales está evolucionando hacia una mayor protección de las personas: la directiva europea sobre recursos colectivos se implementará este verano, lo que brindará a los usuarios europeos una vía de recurso adicional al permitirles interponer acciones colectivas en caso de una infracción del RGPD en toda la Unión Europea.

En los Países Bajos, que ya permiten este tipo de recursos, se está observando un aumento de las acciones legales.

La organización holandesa de defensa de los derechos del consumidor "Consumentenbond" está reuniendo a usuarios holandeses de Facebook para presentar una queja contra las transferencias de datos entre la Unión Europea y Estados Unidos.

Finalmente, una reciente sentencia del Tribunal de Justicia de la Unión Europea (TJUE, por sus siglas en inglés) ha abierto la puerta a las "demandas de menor cuantía" por violaciones de la privacidad, confirmando que no se requiere un umbral de gravedad para el daño moral sufrido, lo que podría permitir a los usuarios reclamar indemnizaciones por violaciones relacionadas, por ejemplo, con la vigilancia masiva por parte de Estados Unidos.

Esto daría lugar a reclamaciones de indemnización que superarían con creces las sanciones actuales.

 

Y también

     

• El 16 de mayo, la CNIL publicó un plan de acción para el despliegue de sistemas de IA que respeten la privacidad de las personas.

Su intención es ampliar su trabajo en cámaras aumentadas y extenderlo a la IA generativa y a los grandes modelos de lenguaje (LLM, por sus siglas en inglés), así como a aplicaciones derivadas (incluidos los chatbots).

Este trabajo también contribuirá a preparar la entrada en vigor del proyecto de reglamento europeo sobre inteligencia artificial.

• La CNIL ha impuesto una multa de 380.000 euros a la empresa DOCTISSIMO.

La Comisión señaló varias deficiencias en el RGPD, en particular en lo que respecta a los períodos de conservación de datos, la recopilación de datos de salud mediante pruebas en línea, la seguridad de los datos y los métodos de instalación de cookies en los terminales de los usuarios.

• La CNIL publicó su informe de actividades de 2022 el 23 de mayo.

En él se recogen los aspectos más destacados del año pasado, entre los que se incluyen el fortalecimiento del apoyo a las empresas y las administraciones, las campañas de información pública y la educación digital para los jóvenes, la gestión de las quejas y las medidas represivas.

• El Consejo de Estado ha publicado en línea la grabación de la jornada de debates que organizó el 10 de febrero de 2023, en colaboración con la CNIL y la Alliance IHU France, sobre el tema "La IA y el big data: ¿cómo revolucionarán la investigación y la práctica médicas del futuro?".

Este estudio se produjo tras la publicación en agosto de 2022 del informe del Consejo de Estado titulado "Inteligencia artificial y acción pública".

• En una sentencia del 23 de abril de 2023, el Tribunal de Apelación de París dictaminó que los mensajes de WhatsApp deben ser tratados como mensajes SMS cuando se intercambian en las mismas condiciones.

En el contexto de una disputa entre una empresa y sus exempleados, el tribunal dictaminó que el empleador podía acceder a mensajes "personales" no especificados de un grupo de WhatsApp en los teléfonos de trabajo de los exempleados.

 

instituciones y organismos europeos

• Al cumplirse el quinto aniversario del RGPD, numerosos estudios presentan una valoración dispar de su implementación.

La ONG noyb publica sobre este tema un resumen de los 800 casos del RGPD que ha presentado en los últimos cinco años ante las autoridades de protección de datos (APD), de los cuales 86 (%) aún están pendientes de decisión.

La ONG ha identificado más de 60 problemas de procedimiento que están obstaculizando la aplicación del RGPD.

Si bien la multa impuesta a Meta está acaparando titulares, la ONG considera que las autoridades de protección de datos generalmente no aplican el RGPD de manera oportuna.

• Una evaluación realizada por el Future of Privacy Forum (FPF) revela que las infracciones del artículo 25 del RGPD, relativo a la "privacidad desde el diseño", son las que han dado lugar a las multas más elevadas.

El estudio se basa en más de 90 casos y explica que "algunas autoridades de protección de datos aplican el artículo 25 antes de que se produzcan otras infracciones del RGPD o incluso antes de que tenga lugar el tratamiento de datos previsto".

• El Comité Europeo de Protección de Datos (CEPD) acaba de elegir a Anu Talus, la comisaria finlandesa de protección de datos, como su presidenta.

El nuevo presidente sustituirá a la presidenta saliente, Andrea Jelinek, y supervisará el trabajo del comité durante los próximos cinco años.

• El CEPD publica una recopilación de casos sobre el derecho de oposición y de supresión en virtud del artículo 17 del RGPD. Analiza una selección de decisiones ejemplares de su registro público.
• El Grupo Directivo del Marco de Transparencia y Consentimiento de IAB Europe ha publicado la versión 2.2 de su marco de referencia.

Los principales cambios incluyen la eliminación del fundamento jurídico del interés legítimo para la personalización de la publicidad y el contenido, la mejora de la información proporcionada a los usuarios finales y la exigencia a los proveedores de que proporcionen información adicional sobre sus actividades de procesamiento de datos.

• Un grupo de 30 expertos en informática y ciberseguridad afincados en Europa han escrito una carta abierta a los líderes de la UE.

Expresan su preocupación por los graves riesgos que el reglamento propuesto por la Comisión Europea sobre el abuso sexual infantil (ASI) supone para la confidencialidad y la seguridad de todas las comunicaciones, así como para la salud general de internet y del ecosistema de la información.

 

Noticias procedentes de los países miembros de Europa.

• La Autoridad Federal Alemana de Protección de Datos (BfDI) ha confirmado que revisar los avances tecnológicos, como la IA generativa, desde la perspectiva de la protección de datos forma parte de sus competencias.
• La autoridad danesa de protección de datos ha reprendido a un responsable del tratamiento de datos por compartir datos personales con Meta Irlanda sin asegurarse previamente de que esta última cumpliera con el RGPD al transferir datos a las plataformas de Meta en Estados Unidos.
• Tras un sonado escándalo de filtración de datos y a raíz de una denuncia presentada por la ONG noyb, la Autoridad de Protección de Datos (APD) de Malta ordenó a C-Planet que accediera a la solicitud de información y revelara el origen de los datos personales que poseía. En este caso, los datos habían quedado expuestos como parte de una filtración relacionada con las opiniones políticas de 335.000 votantes de la isla.
• La Unión de Consumidores de los Países Bajos ha presentado una demanda colectiva contra Google por rastrear la ubicación, la navegación web y el uso de aplicaciones de los usuarios sin su consentimiento válido. Se espera que Google indemnice a todos los usuarios que hayan utilizado sus servicios desde el 1 de marzo de 2012.
• La Autoridad Belga de Protección de Datos (APD) ha ordenado la prohibición de la transferencia de datos fiscales de ciudadanos estadounidenses residentes en Bélgica a Estados Unidos. Según la APD, el acuerdo FATCA, que permite dichas transferencias, no cumple con el RGPD, y la autoridad tributaria belga debería haber realizado una evaluación de impacto.
• La Junta Noruega de Apelaciones de Privacidad ha determinado que una plataforma de alquiler de coches tiene una base legal en virtud del artículo 6(1)(f) del RGPD para evaluar la solvencia de un interesado con el fin de reducir el riesgo financiero de la empresa.
• Tras una denuncia anónima contra una agencia de cobro de deudas, la Autoridad Croata de Protección de Datos (APD) impuso una multa de 2.265.000 euros por falta de medidas de seguridad, consentimiento y violación de la obligación de proporcionar información por parte del responsable del tratamiento de datos.
• Tras una denuncia, la Autoridad Austriaca de Protección de Datos (APD) emitió una resolución contra la empresa de reconocimiento facial Clearview AI el 10 de mayo de 2023. La resolución constató infracciones del RGPD (artículos 5, 6 y 9), ordenó al responsable del tratamiento que eliminara los datos del denunciante y que designara un representante en Austria de conformidad con el artículo 27 del Reglamento.
• El 15 de mayo, la Oficina del Comisionado de Información (ICO) multó a TikTok con 12.700.000 libras esterlinas por varias infracciones de la legislación de protección de datos, incluido el uso ilícito de datos personales de menores.

 

• Existe una tendencia creciente hacia el uso de la IA en un contexto profesional. Por ejemplo, un abogado estadounidense utilizó ChatGPT para buscar casos legales para un escrito judicial, y al menos seis de los casos citados eran inexistentes; un caso típico de alucinación de la IA, en el que el chatbot inventa información.

El juez que preside el caso escribió: «El tribunal se enfrenta a una situación sin precedentes. Un escrito presentado por el abogado del demandante en oposición a una moción de desestimación está repleto de citas de casos inexistentes». El abogado se disculpó y ahora se enfrenta a una audiencia disciplinaria.

• El 16 de mayo, Sam Altman, director ejecutivo de OpenAI, testificó ante el Congreso de los Estados Unidos.

Tras reconocer que la IA podría potencialmente "fallar" y manifestar su deseo de colaborar con el gobierno para evitar que esto suceda, matizó sus declaraciones: el desarrollador de ChatGPT cree que es importante permitir que las empresas y los proyectos de código abierto desarrollen ciertos modelos "por debajo de un umbral de capacidad significativo", sin una regulación estricta ni mecanismos como licencias o auditorías.

• El 23 de mayo, el Congreso de los Estados Unidos publicó un informe titulado "Inteligencia Artificial Generativa y Privacidad de Datos: Una Introducción": el informe se centra en cuestiones de privacidad y consideraciones políticas relevantes para el Congreso.
• También en el ámbito de la IA, el Centro de Información sobre Privacidad Electrónica (EPIC) publicó su informe titulado "Generando Daños: Impacto de la IA Generativa y Caminos a Seguir". El documento tiende un puente entre los campos de la privacidad y la IA desde la perspectiva de los posibles daños.
• La Comisión Federal de Comercio de Estados Unidos ha emitido una declaración de política sobre la recopilación de información biométrica que no ha pasado desapercibida.

La agencia afirma que utilizará su experiencia en prácticas desleales para perseguir el procesamiento perjudicial de información biométrica, y está desarrollando una interpretación amplia de los datos biométricos, incluidos datos como una fotografía facial, incluso si no se procesan para identificar a la persona en cuestión.

• El 18 de mayo, el fiscal general del estado de Washington anunció que Google pagaría 39,9 millones de dólares al estado por prácticas engañosas de geolocalización.

Google también implementará una serie de reformas para aumentar la transparencia de su configuración de geolocalización.

• La Comisión Europea, en colaboración con la ASEAN (Asociación de Naciones del Sudeste Asiático), ha publicado una guía sobre la transferencia de datos personales utilizando las cláusulas contractuales estándar adoptadas por ambas organizaciones.

La guía se publicará en dos partes: una "Guía de referencia" que ofrece una comparación entre las CMC de la ASEAN y las CSC de la UE, y una "Guía de implementación" que describe las mejores prácticas de las empresas que cumplen con los requisitos de ambos conjuntos de cláusulas contractuales.

• La Red Iberoamericana de Autoridades de Protección de Datos (“RIPD”) anunció el 8 de mayo que coordinaría una investigación sobre ChatGPT.
• El 11 de abril de 2023, la Administración del Ciberespacio de China (CAC) publicó un borrador de medidas administrativas para los servicios de inteligencia artificial generativa ("borrador de medidas de IA").

Este proyecto estaría en consonancia con el enfoque general de China en materia de regulación de datos, ciberseguridad y contenido en línea, que hace especial hincapié en el mantenimiento del orden político y social.

La CAC también publicó el 30 de mayo directrices sobre el registro de contratos estándar para la exportación de datos personales.

• El 23 de mayo, el Ministerio de Tecnologías de la Información y las Telecomunicaciones de Pakistán finalizó un proyecto de ley sobre la protección de datos personales.

Entrará en vigor a más tardar dos años después de la fecha de su promulgación, según lo que determine el gobierno federal.

• Las autoridades brasileñas han ordenado el bloqueo de la aplicación Telegram, muy utilizada en Brasil, argumentando que no estaba cooperando lo suficiente en una investigación en curso sobre grupos neonazis.

El tribunal ordenó a Telegram pagar una multa de aproximadamente 200.000 euros diarios por no proporcionar esta información. La solicitud solo incluía parcialmente los datos requeridos.