Boletín Legal Nº 62 – Agosto de 2023.

DMA, DSA: las nuevas obligaciones de los gigantes tecnológicos.

A principios de septiembre, se amplía la protección de los derechos de los usuarios en línea con la aplicación de la Ley de Servicios Digitales a las principales plataformas y la publicación de la lista de empresas sujetas a la Ley de Mercados Digitales.

• Desde el 25 de agosto, el Reglamento europeo sobre servicios digitales (DSA) se aplica a las plataformas en línea de gran tamaño (VLOP) y a los motores de búsqueda en línea de gran tamaño (VLOSE).

El reglamento también se aplicará a partir del 17 de febrero de 2024 a todos los intermediarios que ofrezcan sus servicios a usuarios con sede en la UE, incluidas las plataformas en línea como las tiendas de aplicaciones, las plataformas de economía colaborativa y las plataformas de redes sociales, con obligaciones más limitadas.

Se contemplan excepciones adicionales para las PYME y las microempresas.

Diecinueve empresas entran en la categoría de VLOPS y VLOSES, según la decisión de la Comisión Europea del 25 de abril, entre ellas TikTok, Facebook, X, Snapchat, YouTube y Google Search, minoristas en línea influyentes como Amazon y Zalando, y los dos principales motores de búsqueda en línea, Bing y Google Search.

Estas empresas deberán cumplir con una serie de obligaciones en materia de transparencia, protección de menores, moderación de contenidos y respeto a la privacidad.

En particular, deberán identificar y evaluar los riesgos sistémicos derivados de sus servicios, incluidos los sistemas algorítmicos, tales como:

• La distribución de contenido ilegal
• Los efectos negativos en el ejercicio de los derechos fundamentales
• Los efectos negativos sobre el discurso cívico y los procesos electorales;
• Los efectos negativos sobre la violencia de género, la protección de la salud pública y los menores;
• Las graves consecuencias negativas para el bienestar físico y mental de la persona.

Varias obligaciones de la DSA coinciden con las del RGPD. Estas se enumeran en un artículo reciente del "Foro sobre el Futuro de la Privacidad".

Por ejemplo, existen obligaciones similares o complementarias en lo que respecta a las "prácticas engañosas", la publicidad dirigida basada en datos sensibles o que afecte a menores, la transparencia, la elaboración de perfiles, el análisis de riesgos y la eliminación de contenido ilegal.

Los procedimientos de control son complejos y pueden interferir con los del RGPD: a diferencia de este último, que garantiza la regulación principalmente a nivel nacional con la coordinación del Comité Europeo de Protección de Datos para los casos transfronterizos, la DSA centraliza los controles a nivel de la UE con respecto a los VLOP y VLOSE, al tiempo que otorga a los Estados miembros la responsabilidad de otros proveedores de servicios intermedios.

Esperemos que se establezca una coordinación entre estos diferentes organismos, con el fin de orientar tanto a las empresas afectadas como a las personas que deseen emprender acciones legales.

• Si bien la Ley de Mercados Digitales está en vigor desde mayo, fue el 6 de septiembre cuando la Comisión publicó la lista de seis gigantes tecnológicos, los "guardianes", que deberán cumplir con sus principios. Estos son Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft.

La Comisión indica que un total de 22 servicios básicos de plataforma operados por estos seis guardianes se ven afectados.

El objetivo principal es impedir que estas empresas se aprovechen de su posición dominante.

Por lo tanto, el texto prohíbe la autorreferencia o la obligación para los usuarios profesionales de utilizar únicamente los servicios o productos de la empresa en cuestión.

Los responsables de acceso tampoco pueden prohibir que los usuarios empresariales ofrezcan y promocionen servicios de la competencia, y tienen la obligación de compartir con ellos la información generada por el uso de su plataforma.

También se prevén requisitos específicos de interoperabilidad para los servicios de mensajería en línea, así como opciones para sistemas operativos, navegadores, motores de búsqueda y asistentes virtuales.

Además, los "guardianes" tienen prohibido rastrear y elaborar perfiles de los usuarios con fines publicitarios, a menos que obtengan su consentimiento, e impedirles desinstalar las aplicaciones preinstaladas.

Por lo tanto, algunas de estas obligaciones refuerzan las previstas en la DSA en materia de protección del usuario, en particular en lo que respecta a la elaboración de perfiles.

Varias empresas como TikTok, Meta y Google ya han modificado sus términos de servicio.

Las multas previstas por la DSA y la DMA pueden alcanzar el 61 TP4T y el 101 TP4T de la facturación de las empresas afectadas, respectivamente.

En caso de infracciones reiteradas de la DMA, la sanción puede alcanzar los 201 TP4T de facturación…

Cantidades que superen el límite de 4% previsto por el RGPD, ya presentadas como disuasorias por el legislador en el momento de la adopción del reglamento.

 

Y también

• La CNIL está preparando un borrador de recomendación sobre los sistemas que corren mayor riesgo en caso de una brecha de seguridad, y está iniciando una consulta pública.

Su objetivo es consolidar todas las prácticas de seguridad avanzadas en un único documento, que se centra específicamente en el procesamiento denominado "crítico", definido por los dos criterios acumulativos siguientes:

• El tratamiento de datos es a gran escala en el sentido del RGPD;
• Una filtración de datos personales podría tener consecuencias muy significativas para las personas afectadas, para la seguridad nacional o para la sociedad en su conjunto.

Es posible participar en la consulta hasta el 8 de octubre de 2023.

• El 8 de agosto, la CNIL publicó una nota informativa sobre las balizas conectadas, con el fin de ayudar a cualquier persona que sea víctima de un uso indebido o ilegal a protegerse.

Estas etiquetas, que permiten localizar y encontrar los objetos (por ejemplo, llaves o una cartera), se utilizan a veces para localizar a personas sin su conocimiento.

• El 23 de agosto, Pôle emploi anunció que los datos personales de aproximadamente diez millones de personas registradas en sus archivos habían sido robados tras un "acto de ciberataque".

Estos datos fueron externalizados a la empresa Majorel, responsable de digitalizar los documentos enviados por los solicitantes de empleo.

El nombre y apellido, la condición de solicitante de empleo actual o anterior y el número de seguridad social podrían verse afectados.

Sin embargo, las direcciones de correo electrónico, los números de teléfono, las contraseñas y los datos bancarios no se vieron comprometidos.

 

instituciones y organismos europeos

• El 11 de octubre, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) organiza, en colaboración con la Comisión Europea, el Foro sobre Servicios de Confianza e Identificación Electrónica (eID), con el fin de supervisar la evolución del entorno jurídico, la cartera digital europea y la protección de las actividades en línea de los ciudadanos en toda la UE.

ENISA también publica directrices para teléfonos inteligentes: “SMASHING – Directrices para el desarrollo seguro de teléfonos inteligentes”.

Esta herramienta proporciona un mapa de medidas para los desarrolladores de aplicaciones para teléfonos inteligentes, destinado a garantizar el desarrollo de aplicaciones móviles seguras.

• El Instituto Europeo de Normas de Telecomunicaciones (ETSI) ha publicado un informe sobre "Protección de la Inteligencia Artificial (IA); Manipulación Automatizada de Representaciones de Identidad Multimedia".

El documento abarca técnicas basadas en inteligencia artificial para manipular automáticamente datos de identidad existentes o crear datos de identidad falsos representados en diversos formatos multimedia, como audio, vídeo y texto (deepfakes).

Describe los diferentes enfoques técnicos y analiza las amenazas que plantean los deepfakes en distintos escenarios de ataque.

A continuación, propone medidas técnicas y organizativas para mitigar estas amenazas y examina su eficacia y limitaciones.

• En el marco de su programa de auditoría de 2023, el CEPD se centra en el papel de los DPO.

Un artículo publicado por la IAPP el 31 de julio enumera las decisiones de referencia de las autoridades europeas de protección de datos relativas a la designación y las competencias de los DPO (Delegados de Protección de Datos).

• Fitbit, propiedad de Google, se enfrenta a denuncias por violación de la privacidad en la Unión Europea, donde se alega que la empresa está exportando ilegalmente datos de usuarios, infringiendo las normas de protección de datos de la UE.

Las quejas se dirigen contra la afirmación de Fitbit de que los usuarios han consentido las transferencias internacionales de su información (a Estados Unidos y otros países), mientras que la ONG NOYB alega que la empresa obliga a los usuarios a dar su consentimiento.

 

Noticias procedentes de los países miembros de Europa.

• En los Países Bajos, un informe preliminar de la Autoridad de Protección de Datos (APD), con fecha del 1 de septiembre, solicita medidas adicionales para controlar los riesgos asociados con los algoritmos y la IA, en previsión de la próxima legislación europea.

Para controlarlos mejor, las autoridades públicas y las empresas deben afrontar dos retos.

En primer lugar, los riesgos asociados a la rápida integración de las innovaciones de IA en la sociedad, como los chatbots inteligentes.

En segundo lugar, el informe subraya la necesidad de que todas las principales instituciones públicas y privadas de los Países Bajos comprendan el uso que hacen de los algoritmos de alto riesgo, es decir, aquellos que tienen un impacto sustancial en la vida de las personas. El informe enumera las medidas que deben implementarse.

• La Autoridad Española de Protección de Datos (APD) ha multado a una empresa de medios de comunicación con 20.000 euros por publicar una foto extraída del perfil privado de Instagram de una persona y subirla a un blog con su nombre y edad, en violación del artículo 6(1) del RGPD.

Asimismo, impuso una multa de 120.000 euros (reducida a 72.000 euros) a Fourth Party Logistics SL por subcontratación ilegal debido a la falta de formalización de los contratos y la ausencia de autorizaciones previas para su formalización.

• En Croacia, se publicó una foto que identificaba a un agente de policía como comentario en un vídeo de una operación policial compartido en un grupo público de Facebook.

La APD constató una infracción del artículo 5(1(b)) y del artículo 6(1) del RGPD y ordenó la retirada de la fotografía.

• En un contexto similar, la Autoridad de Protección de Datos de Chipre multó a un periódico local con 7.000 euros por infringir el artículo 5(1)(c) y el artículo 6 del RGPD: el periódico había publicado los nombres y las fotos de agentes de policía en servicio.
• En el marco de una investigación conjunta, las autoridades de protección de datos de los países bálticos auditaron y sancionaron a una empresa de alquiler de coches.

Al calcular la multa, la Autoridad Letona de Protección de Datos destacó la total falta de cooperación por parte del responsable del tratamiento de datos como un factor agravante.

Inicialmente, consideró apropiada una multa de 15.000 euros. Sin embargo, dadas las dificultades financieras a las que se enfrentaba el responsable del tratamiento de datos y el alto riesgo de insolvencia, finalmente redujo la multa a 1.000 euros.

• La nueva ley federal suiza sobre protección de datos entró en vigor el 1 de septiembre.

Entre las nuevas disposiciones inspiradas en el RGPD se encuentran las evaluaciones de impacto para el tratamiento de datos sensibles, los registros de las actividades de tratamiento, el nombramiento de un Delegado de Protección de Datos (DPD) y la notificación de las violaciones de datos. El concepto de «Privacidad desde el diseño» se menciona ahora explícitamente.

 

• El 24 de agosto, doce organismos reguladores internacionales de protección de datos y privacidad de América, Europa, África y la región de Asia-Pacífico anunciaron que esperan que las plataformas de redes sociales y otros sitios web se protejan contra la extracción ilegal de datos ("web scraping").

Este anuncio reitera las recomendaciones proporcionadas previamente por organismos reguladores como la Comisión de Información de Australia, la CNIL y la Oficina del Comisionado de Información del Reino Unido, tras las investigaciones sobre las prácticas de Clearview AI, Inc. en materia de gestión de información personal y sus obligaciones de notificación de violaciones de datos.

• En Estados Unidos, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA) y el Instituto Nacional de Estándares y Tecnología (NIST) publicaron el 21 de agosto una hoja informativa conjunta sobre la preparación para la computación cuántica con el fin de alertar a las organizaciones, en particular a aquellas que dan soporte a los sectores de infraestructura.

críticas – sobre las amenazas de la computación cuántica y para alentar a estas organizaciones a que comiencen a planificar la migración futura a estándares criptográficos postcuánticos (“PQC”).

• El gobierno estadounidense está lanzando la Marca de Confianza Cibernética, su programa para certificar la seguridad del Internet de las Cosas.
• En Estados Unidos, una filtración de datos también está afectando a Tesla: 75.000 personas se ven afectadas.

Dos exempleados de Tesla facilitaron al periódico Handelsblatt información personal y datos de contacto de otros empleados.

La empresa notificó al Fiscal General de Maine sobre la brecha de seguridad y ofreció servicios de protección contra el robo de identidad a los afectados.

En abril de 2023, algunos empleados vieron y compartieron vídeos privados grabados por los Tesla de los clientes, obtenidos a través de los sistemas de seguridad del Modo Centinela de los vehículos.

Tesla no es la única empresa que plantea preocupaciones sobre la privacidad.

Un estudio publicado el 5 de septiembre por la Fundación Mozilla describe los coches de 25 fabricantes como "una pesadilla sobre ruedas en lo que respecta a la privacidad de los datos".

La fundación evaluó las políticas y prácticas de 25 fabricantes de automóviles y advirtió que pueden recopilar y explotar comercialmente mucho más que el historial de ubicaciones, los hábitos de conducción, el historial de navegación del vehículo y las preferencias musicales de los usuarios.

Algunos fabricantes pueden procesar datos muy personales, como, según la política de privacidad, la actividad sexual, el estatus migratorio, la raza, las expresiones faciales, el peso, la salud e incluso la información genética.

Además, más de la mitad de los fabricantes venden los datos a terceros.

• El 25 de agosto de 2023 se publicaron en China nuevas directrices sobre el etiquetado de contenido generado por IA: el Comité Técnico Nacional Chino para la Estandarización de la Seguridad de la Información (“TC260”) publicó la versión final de las “Directrices prácticas para las normas de ciberseguridad: método para el etiquetado de contenido en servicios de inteligencia artificial generativa”.
• Canadá también publica un código de buenas prácticas para la IA generativa y fomenta las contribuciones a dicho documento.
• En India, la Ley de Protección de Datos Personales Digitales de 2023 se publicó en el boletín oficial el 12 de agosto.

Si bien esta ley es bien recibida porque brinda protección a los datos de 760 millones de usuarios de internet, también suscita críticas con respecto al nivel de protección que ofrece, particularmente a la luz del histórico fallo Puttaswamy, que estableció el derecho a la privacidad en la India hace cinco años.

• El 31 de agosto, Apple anunció el abandono del desarrollo de su función de escaneo de iCloud para identificar contenido de pornografía infantil (CSAM).

La empresa se centra ahora en un conjunto de herramientas y recursos en los dispositivos de los usuarios, conocidos como "Funciones de seguridad en las comunicaciones".

Tras colaborar con diversos investigadores de seguridad y privacidad, grupos de defensa de los derechos digitales y defensores de la seguridad infantil, la empresa concluyó que no podía seguir adelante con el desarrollo de un mecanismo de escaneo en la nube, incluso si estuviera diseñado específicamente para preservar la privacidad. 

Analizar los datos privados de iCloud de cada usuario crearía nuevas vulnerabilidades que los ladrones de datos podrían encontrar y explotar. Además, generaría el riesgo de consecuencias no deseadas. Por ejemplo, buscar un tipo específico de contenido abre la puerta a la vigilancia masiva y podría incitar a buscar todo tipo de contenido en otros sistemas de mensajería cifrada.

Esta postura pública es importante en el contexto actual, ya que el Reino Unido, la UE y los EE. UU. están preparando legislación destinada a imponer un control generalizado de los usuarios de internet en el marco de la lucha contra la ciberdelincuencia en general y la protección de los niños en línea en particular.