Informe jurídico n.º 64 – Octubre de 2023.

Cifrado y puertas traseras: de las limitaciones técnicas a los desafíos sociales.

Los acontecimientos recientes en Francia reflejan el debate actual que agita a Europa, a saber, el acceso de las fuerzas del orden al contenido de los mensajes cifrados.

El ministro del Interior, al comentar en la radio el reciente atentado en el instituto de Arras, expresó el 22 de octubre su deseo de que se integrara una puerta trasera en los sistemas de mensajería cifrada de extremo a extremo, que permitiría eludir el cifrado de los mensajes y acceder a su contenido.

Según el ministro, esta técnica es una alternativa más eficaz a las soluciones actuales, que implican que los servicios de inteligencia pirateen el teléfono del sospechoso para instalar, por ejemplo, software espía.

Esta práctica, estrictamente regulada por ley, había fallado durante la vigilancia del terrorista que perpetró el ataque.

En la actualidad se habla mucho del "escaneo del lado del cliente", una técnica diferente a la de interceptar mensajes ("ataque de intermediario" - HDM).

Un experto que intervino en un seminario organizado sobre el tema por el supervisor europeo de protección de datos el 23 de octubre describió estas técnicas de la siguiente manera: el "intermediario" intercepta los mensajes durante su transmisión, mientras que el "escaneo del lado del cliente" consiste, figurativamente hablando, en leer por encima del hombro del individuo mientras escribe, antes del cifrado, para comparar su mensaje con el contenido de una base de datos objetable.

Se trata de una forma de moderación de contenido, que se lleva a cabo en el terminal del usuario.

Dos iniciativas destinadas a utilizar sistemáticamente el escaneo en el lado del cliente están generando mucha controversia en Bruselas y Londres, debido a su carácter intrusivo.

A nivel europeo, la propuesta de reglamento sobre CSAM es la que está suscitando más críticas.

El objetivo del texto es combatir la pornografía infantil en línea mediante la detección de la difusión de contenido ilegal.

Si bien existe consenso sobre la importancia primordial de este objetivo, muchos interesados cuestionan la eficacia, la necesidad y la proporcionalidad de las medidas propuestas.

Las autoridades de protección de datos de la UE, expertos de instituciones europeas, así como organizaciones de protección infantil, académicos, expertos en ciberseguridad y supervivientes de abusos sexuales infantiles, han expresado su profunda preocupación.

Además del riesgo de saturar a las fuerzas del orden con falsos positivos, sus críticos temen que se dé un paso demasiado lejos hacia una sociedad en la que cada uno de nosotros viva con la sensación de estar bajo vigilancia constante.

Para más de un centenar de investigadores destacados en este campo, en última instancia, resulta técnicamente imposible implementar el escaneo de contenido sin debilitar el cifrado de extremo a extremo e infringir la privacidad del usuario.

Muchos expertos coinciden en que las soluciones tecnológicas de vanguardia actuales no son lo suficientemente fiables y, además, son vulnerables a los ciberataques.

Esta es también la conclusión a la que llegó Apple, que anunció este verano que abandonaba su proyecto de algoritmo, y Meredith Whittaker, presidenta del servicio de mensajería Signal: «Si la policía puede acceder, también pueden hacerlo los hackers, países hostiles, Putin, el gobierno iraní y cualquiera que quiera causar daño (...). Por lo tanto, es fundamental que mantengamos la seguridad e integridad de estos sistemas».

En este sentido, el gobierno británico pareció haber suavizado su postura con respecto a su nueva ley, promulgada el 26 de octubre, sobre seguridad en línea ("Ley de Seguridad en Línea").

Sin embargo, los ministros no eliminaron la controvertida cláusula de seguimiento, sino que condicionaron su aplicación a su viabilidad técnica.

El regulador tecnológico del Reino Unido (Ofcom) conserva la potestad de exigir a las empresas tecnológicas que desarrollen software de escaneo acorde con la evolución tecnológica.

Si esta tecnología llega a estar disponible, queda por ver cómo se evaluará el equilibrio entre los objetivos represivos de las autoridades y la privacidad de los individuos.

 

• El 12 de octubre, la CNIL impuso una multa de 600.000 euros al GRUPO CANAL+.

La multa se refiere, en particular, a incumplimientos de la obligación de facilitar información, al ejercicio de los derechos de los interesados, a problemas de seguridad relacionados con las contraseñas de los empleados de la empresa, a la subcontratación y al hecho de que la empresa no notificara a la CNIL una grave violación de datos personales ocurrida en 2020.

• La CNIL organiza un evento de reflexión ética el 28 de noviembre titulado "Inteligencia artificial y libre albedrío: ¿somos ovejas digitales?".

Investigadores, expertos y artistas visuales intercambiarán puntos de vista sobre las principales cuestiones éticas relativas a la influencia de la inteligencia artificial en las decisiones individuales.

• También en relación con la IA, la CNIL publicó el 11 de octubre guías prácticas sobre la creación de bases de datos de entrenamiento para sistemas de IA.

Estas fichas informativas tienen como objetivo ayudar a los profesionales a conciliar la innovación con el respeto a los derechos individuales. Están abiertas a consulta pública hasta el 16 de noviembre de 2023.

• La ONG noyb presentó tres denuncias en Francia el 14 de septiembre contra Fnac, la aplicación inmobiliaria SeLoger y la aplicación de fitness MyFitnessPal.

Las aplicaciones de estas empresas accederían ilegalmente a los datos personales de los usuarios y los compartirían con terceros para fines de análisis sofisticados tan pronto como se abriera la aplicación, sin haber informado ni obtenido el consentimiento de las personas afectadas.

La ONG planea presentar más denuncias contra las empresas de aplicaciones móviles.

 

instituciones y organismos europeos

• Tras iniciar una investigación el 12 de octubre sobre el cumplimiento por parte de X del Reglamento de Servicios Digitales (DSA), la Comisión Europea también está examinando a Meta y TikTok.

Según se informa, las empresas de redes sociales han recibido solicitudes formales de información sobre su gestión de contenido ilegal y desinformación desde el comienzo de la guerra entre Israel y Hamás.

• Algunos critican a la Comisión Europea por no respetar sus propias normas en materia de microsegmentación en las redes sociales.

Hoy en día, la prensa, las ONG y los parlamentarios europeos la acusan de haber dirigido sus comunicaciones a determinados perfiles de usuarios de internet, en particular a audiencias ubicadas en países escépticos ante su propuesta de regulación sobre pornografía infantil (CSAM).

• En septiembre de 2023, la Comisión Europea publicó dos cláusulas contractuales modelo para la IA que pueden utilizarse de forma voluntaria en la contratación pública de IA, para el procesamiento con o sin altos riesgos.

Estas cláusulas están dirigidas a los organismos públicos que deseen adquirir un sistema de inteligencia artificial desarrollado por un proveedor externo.

• El Supervisor Europeo de Protección de Datos (SEPD) publicó el 23 de octubre unas recomendaciones dirigidas a los colegisladores de la UE para los trílogos relativos al reglamento de IA.

En particular, apoya la inclusión en la normativa del derecho de las personas afectadas por el uso de sistemas de IA a presentar una reclamación ante una autoridad competente y a beneficiarse de un recurso judicial efectivo contra sus decisiones.

Asimismo, reitera su petición de que las autoridades de protección de datos sean designadas como autoridades nacionales de supervisión.

También apoya la necesidad de un enfoque europeo, en particular en los casos transfronterizos con un impacto significativo, y la propuesta de establecer una "oficina europea de IA" presentada por el Parlamento Europeo.

• El SEPD también emitió un dictamen el 11 de octubre sobre dos propuestas de directrices relativas a las normas de responsabilidad en materia de IA.
• El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) adoptaron el 19 de septiembre un dictamen conjunto sobre la propuesta de reglamento relativa a normas de procedimiento adicionales para la aplicación del RGPD.

Esta propuesta tiene como objetivo garantizar la aplicación de medidas correctivas rápidas para las personas involucradas en casos transfronterizos.

El CEPD y el SEPD piden una armonización exhaustiva de los requisitos de admisibilidad, sugieren mejorar la creación de consenso mediante una mayor participación de las autoridades de supervisión pertinentes e invitan a los colegisladores a mantener el enfoque actual respecto al derecho de las partes a ser oídas en el proceso de resolución de controversias.

• El CEPD y el SEPD emitieron un dictamen conjunto el 17 de octubre sobre la propuesta de reglamento relativa al euro digital.

Los reguladores aprueban especialmente que los usuarios sigan teniendo la opción de pagar en euros digitales o en efectivo.

No obstante, realizan varias observaciones para garantizar que solo se traten los datos personales necesarios, en particular en el contexto de la lucha contra el fraude, y para evitar una centralización excesiva de datos personales por parte del Banco Central Europeo o de los bancos centrales nacionales.

• Durante su sesión plenaria de octubre, el CEPD eligió el tema para su tercera acción coordinada de implementación del RGPD: cómo las empresas implementan el derecho de acceso de las personas.

Esta acción está prevista para 2024 y estará sujeta a un seguimiento específico a nivel nacional y europeo.

• El 31 de octubre, la Autoridad Noruega de Protección de Datos (DPA, por sus siglas en inglés) emitió un comunicado en el que indicaba que su decisión contra Meta se extendería a la UE/EEE.

El comunicado de prensa indica que el Comité Europeo de Protección de Datos (CEPD) acaba de aprobar la extensión permanente a toda Europa de la prohibición noruega del marketing conductual en Facebook e Instagram.

• Tras las revelaciones y la investigación del Parlamento Europeo sobre el software espía Pegasus, un informe de Amnistía Internacional y la Colaboración Europea de Investigación (EIC) examina el caso Predator y pone de relieve la incapacidad de la UE para regular el uso indebido de software espía en su propio territorio.

El informe se centra en un grupo llamado Intellexa Alliance, con sede en Europa, que "desarrolló, operó y comercializó" un "conjunto de productos de monitorización" entre 2007 y 2022. 

Estos productos permiten enviar intentos de infección silenciosos a usuarios de proveedores de servicios de internet colaboradores, o a todo un país si el operador del software espía tiene acceso directo al tráfico de internet.

• El 6 de septiembre, representantes de la industria farmacéutica europea (EPFIA) se opusieron a la introducción de un mecanismo de exclusión voluntaria para la recopilación de datos de salud para uso secundario en el reglamento propuesto sobre el futuro Espacio Europeo de Datos de Salud (EHDS).

La postura del grupo refleja las preocupaciones de los investigadores y diseñadores de tecnología, quienes temen que la introducción de la opción de exclusión voluntaria en el sistema comprometa el uso de los datos para la investigación y la innovación.

• En un comunicado de prensa fechado el 5 de septiembre de 2023, TikTok anunció que está reforzando la protección de datos de sus usuarios europeos.

La empresa planea construir dos nuevos centros de datos en Europa, además del que ya tiene en Dublín.

TikTok también ha contratado a una empresa de seguridad europea externa para que realice una auditoría independiente de su procesamiento de datos.

 

Noticias procedentes de los países miembros de Europa.

• La Autoridad Belga de Protección de Datos (APD) publicó el 20 de octubre una lista de verificación para ayudar a las organizaciones a garantizar que sus prácticas en materia de cookies y otros mecanismos de seguimiento cumplan con la normativa vigente.

El documento le permite repasar paso a paso las buenas y las malas prácticas.

La APD nos recuerda que solo las cookies estrictamente necesarias están exentas de consentimiento, y que todas las demás categorías de cookies solo pueden instalarse y leerse si el usuario ha dado su consentimiento previo, libre, específico, informado, inequívoco y activo.

• El Tribunal de Distrito de Ámsterdam adoptó una importante decisión el 18 de octubre en un procedimiento sumario relativo a la tecnología publicitaria y las cookies de seguimiento.

La empresa francesa Criteo no puede simplemente invocar la obligación contractual de sus clientes (editores de sitios web) de obtener el consentimiento de los usuarios de internet: también es responsable de obtener un consentimiento válido para la instalación de cookies, ya que, de no ser así (y en ausencia del consentimiento obtenido por el editor), la instalación de cookies es ilegal.

La decisión se basa en el Convenio de Roma II (jurisdicción del Tribunal), la Directiva sobre privacidad electrónica y el RGPD.

El tribunal reconoce la decisión de la CNIL y rechaza la defensa de Criteo de que el demandante no había configurado su navegador para rechazar las cookies.

Asimismo, rechaza el argumento de que las demandas del demandante perjudicarían su modelo de negocio, teniendo en cuenta que prevalecen los intereses de privacidad del demandante.

El tribunal aplica además la sentencia del Tribunal de Justicia en el caso Österreichische Post (C-154/21) y dictamina que Criteo debe proporcionar una descripción completa de los terceros con los que se han compartido los datos.

• La Autoridad Griega de Protección de Datos (APD) ha multado a la Organización de Transporte Urbano de Atenas (OASA) con 50.000 euros por infringir el artículo 5(1)(e) del RGPD, ya que su sistema de venta de billetes electrónicos no cumplía con el principio de limitación del almacenamiento.

Además, reprendió a la OASA por infringir el artículo 35(1) del RGPD, ya que su evaluación de impacto en la protección de datos para su sistema de venta de billetes electrónicos era insuficiente.

• La Autoridad Sueca de Protección de Datos (APD) ha multado al Consejo de Educación de la Ciudad de Estocolmo con 800.000 coronas suecas (aproximadamente 68.324 euros) por utilizar cámaras de vigilancia en una escuela en violación del artículo 5(1)(a), (c), el artículo 6(1) y el artículo 13 del RGPD.
• La Autoridad Italiana de Protección de Datos (APD) ha multado a un colegio de abogados italiano con 20.000 euros por publicar en su página web información sobre dos denunciantes sin una base jurídica legítima, de conformidad con lo dispuesto en el artículo 10 del RGPD y el artículo 2 del Código de Privacidad italiano.
• La Autoridad Croata de Protección de Datos (APD) ha impuesto la multa administrativa más alta de su historia, que asciende a 5.470.000 euros, a EOS Matrix doo, una agencia de cobro de deudas, por múltiples infracciones del RGPD.
• En el Reino Unido, Clearview AI ganó su apelación contra la multa impuesta por la Autoridad de Protección de Datos del Reino Unido (DPA, por sus siglas en inglés) ante el Tribunal de Primera Instancia (FTT, por sus siglas en inglés).

El tribunal dictaminó que el "RGPD del Reino Unido" no era aplicable, argumentando que las actividades de procesamiento de Clearview implicaban la prestación de un servicio en nombre de organismos encargados de hacer cumplir la ley ubicados en un tercer país, fuera del ámbito de aplicación del RGPD y del "RGPD del Reino Unido".

El tribunal considera además a Clearview y a sus clientes como responsables conjuntos del tratamiento de datos con este fin represivo.

El razonamiento del tribunal ha suscitado un amplio debate entre los expertos en protección de datos en relación con la cualificación de los corresponsables del tratamiento y la no aplicación del derecho europeo y/o británico al caso concreto.

• A principios de octubre, el chatbot con inteligencia artificial de Snap atrajo la atención de la ICO.

La APD anunció que había emitido una notificación preliminar de cumplimiento contra Snap por lo que describe como "un posible fallo a la hora de evaluar adecuadamente los riesgos de privacidad que plantea su chatbot 'My AI'".

Un número creciente de autoridades de protección de datos, como las del Reino Unido e Italia, están asumiendo las responsabilidades de los reguladores de la IA.

 

• La Asamblea Global de Privacidad (GPA, por sus siglas en inglés) celebró su conferencia anual a mediados de octubre en Bermudas.

Las autoridades debatieron la aplicación de las normas de privacidad a la IA y, el 20 de octubre, adoptaron una resolución relativa a la IA generativa.

Esta resolución se produce después de que los líderes del G7 adoptaran el 30 de octubre principios rectores internacionales sobre inteligencia artificial (IA) y un código de conducta voluntario para los desarrolladores de IA, en el marco del proceso de Hiroshima sobre IA.

• Estados Unidos también publicará un decreto sobre IA y un manual de gestión de riesgos de IA el 30 de octubre, mientras que el Reino Unido organizará una cumbre sobre seguridad de la IA el 2 de noviembre.
• La oficina del Comisionado de Privacidad de Nueva Zelanda ha publicado una guía sobre el desarrollo y el uso de sistemas de inteligencia artificial en cumplimiento de los Principios de Privacidad (PPP).
• Canadá también publicó en septiembre un código de conducta para desarrolladores y gestores de sistemas avanzados de IA generativa.

El código identifica las medidas que deben implementarse para mitigar los riesgos asociados con estos sistemas, basándose en seis principios fundamentales: responsabilidad, seguridad, justicia/equidad, transparencia, supervisión humana y validez/solidez de los sistemas.

• Estados Unidos: Los fiscales generales de 41 estados estadounidenses se han unido para presentar una demanda contra Meta, alegando que sus plataformas de redes sociales Instagram y Facebook son adictivas y perjudiciales para los niños.

La demanda acusa a Meta de recopilar de forma reiterada y sistemática información sobre niños menores de 13 años y de no informar ni obtener el consentimiento de los padres con respecto a su uso.

• El 12 de octubre de 2023, California publicó un proyecto de ley que regula a los intermediarios de datos y que modifica la ley vigente de 2018 (CCPA).

El texto estipula que los intermediarios de datos deben registrarse ante la agencia de protección de datos y proporcionarle información más detallada sobre las solicitudes individuales, la recopilación de cierta información y la auditoría obligatoria de su cumplimiento con la ley.

El proyecto también crea un mecanismo que permite a las personas solicitar que todos los intermediarios de datos eliminen la información personal que tengan sobre ellas.

• El servicio de pruebas genéticas 23andMe ha sufrido una filtración de datos.

Un hacker publicó la información genética de cuatro millones de usuarios en el foro de ciberdelincuencia BreachForums.

Este incidente se produce tras otra filtración ocurrida a principios de octubre.

• En los Emiratos Árabes Unidos, el Ministerio de Inteligencia Artificial, Economía Digital y Aplicaciones de Teletrabajo publica un libro blanco titulado "Marco de autogobierno para un metaverso responsable".