Informe jurídico n.º 68 – Febrero de 2024.

Controles de la CNIL: ¿cuáles son las prioridades para 2024? ?

Como cada año, la CNIL ha publicado a principios de 2024 el balance de su actividad pasada y sus prioridades para los próximos meses.

Indica controles cada vez más estrictos, que se vuelven más eficientes gracias a la implementación de un procedimiento simplificado para ciertos casos.

El año pasado, los controles afectaron a diversos sectores como la publicidad y el comercio electrónico, la seguridad, la geolocalización de vehículos, los derechos de los empleados y el procesamiento de datos sanitarios.

La CNIL ha sancionado tanto a multinacionales como a pymes, así como a agentes públicos y privados.

Sin embargo, la Comisión parece haberse percatado del esfuerzo adicional que deben realizar los responsables de las pequeñas organizaciones para cumplir con el RGPD.

En un estudio sobre el impacto económico del RGPD, publicado el 1 de marzo, señala que "el RGPD es proporcionalmente más favorable para los grandes agentes económicos, que disponen de más recursos para destinar al cumplimiento de la normativa".

De ello extrae conclusiones al señalar que "el regulador debe compensar activamente esta tendencia con una política exigente hacia los grandes actores, y aún más hacia los actores muy grandes, en proporción a los riesgos que plantean y a los recursos de los que disponen".

Así pues, como también especifica la declaración conjunta de la CNIL y la Autoridad de Competencia de diciembre de 2023, la CNIL ya asume, y asumirá aún más en el futuro, una dimensión asimétrica en su actuación reguladora sobre los mercados digitales.junto con un conocimiento profundo de los modelos de negocio, en beneficio de las personas y para la protección de sus derechos fundamentales.

Entre las medidas anunciadas este año, como era de esperar, se encuentran los archivos relacionados con los Juegos Olímpicos y Paralímpicos de 2024 y el derecho de las personas a acceder a sus datos.

En relación con los Juegos OlímpicosLa CNIL tiene previsto verificar el uso que se hará de los dispositivos de seguridad y, en particular, el uso de cámaras de realidad aumentada, códigos QR para zonas de acceso restringido y autorizaciones de acceso.

El volumen de datos y el número de socios involucrados en el evento también llevarán a la Comisión a verificar el uso de los datos de venta de entradas, para evitar la reutilización fraudulenta de los datos de las personas afectadas.

Cabe señalar que la cuestión del uso del reconocimiento facial por parte de las fuerzas del orden también figura entre las prioridades del Comité Europeo de Protección de Datos (CEPD) en su programa de trabajo 2023-2024.

El derecho de las personas a acceder a sus datos. Este es el tema de la acción coordinada del CEPD para 2024 (véase también más abajo).

El Comité Europeo de Protección de Datos (CEPD) adoptó directrices sobre este tema en 2023 para ayudar a los responsables del tratamiento de datos a implementar procedimientos de acceso, complementarios a los publicados por la CNIL.

La CNIL también se centrará en los datos recopilados en línea de menores. Se verificará si se han implementado mecanismos de control de edad, qué medidas de seguridad se han previsto y si se respeta el principio de minimización de datos.

Por último, se examinará el impacto de la desmaterialización de los recibos de caja y el uso de programas de fidelización en los derechos de las personas..

Sustituir los recibos en papel por SMS o correo electrónico, por ejemplo, implica la recopilación de datos adicionales.

La CNIL especifica que estos datos, al igual que la información relativa a las compras de los particulares, solo pueden utilizarse con fines publicitarios segmentados con el consentimiento previo de los interesados.

Por último, cabe señalar que la CNIL puede tramitar un caso independientemente de las prioridades identificadas, a partir de una denuncia, una publicación en la prensa o un informe de una autoridad de protección de datos de otro país europeo.

 

    

• El 31 de enero, la CNIL impuso una multa de 100.000 euros a la empresa de servicios inmobiliarios PAP.

La CNIL (Autoridad Francesa de Protección de Datos) identificó deficiencias en cuanto a los plazos de retención de datos, la información a los usuarios, la gestión de las relaciones entre el PAP (Punto de Acceso Personal) y un subcontratista, y la seguridad de los datos (almacenamiento de contraseñas en texto plano). Estas vulnerabilidades de seguridad exponían los datos a riesgos de ciberataques y filtraciones.

• El 31 de enero, también multó a FORIOU con 310.000 euros por utilizar datos proporcionados por intermediarios de datos con fines de prospección comercial, sin asegurarse de que las personas afectadas hubieran dado su consentimiento válido para ser contactadas.

La CNIL nos recuerda que es responsabilidad de la empresa que utiliza los datos asegurarse de que las personas interesadas hayan dado su consentimiento válido previamente, en el momento de la recogida.

La Comisión observó que, si bien la empresa impuso ciertos requisitos contractuales a sus proveedores de datos ascendentes, no se ejerció ningún control efectivo de dichos requisitos en las etapas posteriores de la cadena de suministro.

• El 30 de enero, el Consejo de Estado consideró que las transferencias automáticas de datos fiscales entre Francia y Estados Unidos en virtud del acuerdo FATCA no infringen los artículos 5 y 46 del RGPD, y que la ausencia de una decisión de adecuación no impide las transferencias de datos "necesarias por razones importantes de interés público".

La Asociación de Estadounidenses Accidentales había solicitado al Consejo de Estado que revocara la decisión de la CNIL, que había concluido desestimar su denuncia.

El Consejo de Estado consideró que la CNIL había justificado suficientemente su decisión.

Cabe señalar que, sobre el mismo tema, la autoridad belga de protección de datos había llegado a una conclusión diferente y había prohibido la transferencia de datos fiscales de belgas estadounidenses por accidente a los Estados Unidos.

• La empresa emergente francesa Mistral, especializada en el desarrollo de inteligencia artificial, anunció una alianza estratégica con Microsoft el 26 de febrero.

Según el diario Le Monde, este anuncio está provocando fricciones en Bruselas, tras una intensa labor de presión, especialmente por parte de Francia, para favorecer a las empresas emergentes europeas y limitar las obligaciones que les conciernen en la futura regulación de la IA.

Los eurodiputados verdes han enviado una carta a la Comisión Europea planteando dudas sobre posibles conflictos de intereses y problemas de transparencia relacionados con las actividades de lobby de Mistral en materia de esta regulación.

• A mediados de enero, la ANSSI publicó tres guías destinadas a "gestionar la mitigación de un incidente cibernético".

Estas guías constan de tres partes: estratégica, operativa y técnica.

La agencia señala que "si un incidente grave no se soluciona de forma adecuada o parcial, sus efectos pueden prolongarse en el tiempo".

"Este alto potencial de desestabilización requiere (...) experiencia en la contención de estos ciberataques, en la recuperación del control del sistema de información comprometido y en el restablecimiento de un estado operativo suficiente."

La remediación es una dimensión fundamental de la respuesta ante incidentes cibernéticos, junto con la investigación y la gestión de crisis.

• Tras ocho meses de experimentación, el permiso de conducir digital está disponible desde el 14 de febrero para todos aquellos que lo soliciten.

Con la aplicación de identidad francesa, también es posible digitalizar el documento de identidad y utilizarlo para determinados trámites, como la concesión de un poder notarial.

 

instituciones y organismos europeos

• El 28 de febrero, el CEPD puso en marcha su "marco coordinado para las investigaciones" (CFE) para 2024.

A lo largo del año, las autoridades europeas de protección de datos (APD) participarán en esta iniciativa sobre la aplicación del derecho de acceso.

En su sesión plenaria de octubre de 2023, el CEPD eligió el derecho de acceso para su tercera acción coordinada de aplicación, "porque está en el centro de la protección de datos y es uno de los derechos de protección de datos que se ejercen con mayor frecuencia, y uno sobre el que las autoridades de protección de datos reciben muchas quejas".

• El CEPD emitirá próximamente un dictamen decisivo sobre el modelo de negocio de "aceptar o pagar", que exige el pago para acceder al contenido de los sitios web a los visitantes que rechazan las cookies.

Meta adoptó este enfoque en noviembre de 2023, lo que llevó a las autoridades de protección de datos de los Países Bajos, Noruega y Hamburgo a solicitar al CEPD que emitiera un dictamen vinculante sobre la legalidad de esta práctica.

La sociedad civil teme que, si se legitima este modelo económico, las empresas de todos los sectores industriales sigan el ejemplo de Meta, lo que podría suponer el fin del consentimiento genuino para el uso de datos.

Veintiocho ONG han enviado una carta al CEPD instándole a que emita un dictamen que proteja el derecho fundamental a la protección de datos.

• Durante su sesión plenaria a mediados de febrero, el CEPD adoptó un dictamen que aclara el concepto de establecimiento principal en el contexto de la "ventanilla única".

Las empresas no pueden simplemente crear un establecimiento principal "poniendo un cartel en la puerta": el establecimiento debe ser donde se toman las decisiones de procesamiento, y si estas decisiones se toman en el extranjero, no puede haber un establecimiento principal: el procedimiento de ventanilla única no se aplica. El CEPD también adoptó una declaración en la que insta a los legisladores de la UE a garantizar que el Reglamento CSAM, destinado a proteger los derechos de los niños en línea, respete los derechos a la privacidad y la protección de datos. 

• El Parlamento Europeo, y más concretamente la subcomisión de defensa, se encontraba en estado de máxima alerta a finales de febrero tras descubrirse rastros de pirateo informático en los teléfonos de dos de sus miembros, lo que suscitó temores de ciberataques e injerencia extranjera en el período previo a las elecciones europeas de junio.

El pasado mes de diciembre, Politico informó de que la ciberseguridad de la institución "aún no ha alcanzado los estándares del sector" y "no está totalmente a la altura del nivel de amenaza" que representan los piratas informáticos.

Estas nuevas revelaciones se suman a incidentes anteriores en los que otros miembros del Parlamento Europeo fueron blanco de los programas espía Pegasus y Predator.

• El 19 de febrero, la Comisión Europea inició una investigación sobre los derechos de los niños en TikTok.

Sospecha, en particular, de infracciones relativas a la transparencia y a las obligaciones de protección de menores establecidas en el Reglamento de Servicios Digitales (DSA), como el diseño adictivo, la verificación de edad inadecuada y la configuración de privacidad predeterminada insuficiente. El DSA está en vigor en la UE desde el 17 de febrero.

• Los Estados miembros de la UE, con el apoyo de la Comisión Europea y la Agencia Europea de Ciberseguridad (ENISA), publicaron el 21 de febrero un informe sobre ciberseguridad y la resiliencia de las infraestructuras y redes de comunicación europeas.

Este informe surge a raíz de una evaluación realizada por los Estados miembros sobre los riesgos asociados a estas infraestructuras y redes.

La evaluación identificó una serie de amenazas, como programas de borrado seguro de datos, ataques de ransomware, ataques a la cadena de suministro, ataques físicos y sabotaje.

• El 13 de febrero, el Tribunal Europeo de Derechos Humanos (TEDH) dictaminó en el caso Podchasov sobre la recopilación y el acceso de Rusia a las comunicaciones privadas de los ciudadanos.

En medio del debate sobre los supuestos peligros de las comunicaciones cifradas, el Tribunal indicó claramente que debilitar el cifrado de las comunicaciones para todos los ciudadanos no estaba justificado.

Según E. Tuchtfeld, "esta decisión envía un mensaje importante no solo al Estado ruso, sino también a otros gobiernos europeos que están considerando instalar 'puertas traseras' en servicios de mensajería cifrada como Telegram, Signal o WhatsApp".

• El Tribunal Europeo de Derechos Humanos también consideró, en una sentencia del 15 de febrero, que la retención sistemática e indiscriminada de datos de telecomunicaciones utilizados en Eslovenia contra un exjuez durante su juicio debía considerarse una violación de su derecho a la privacidad.

En el momento de la condena del demandante, los proveedores de servicios de comunicaciones estaban obligados a conservar los datos de telecomunicaciones de forma sistemática e indiscriminada durante un período de 14 meses.

El Tribunal consideró que dicha conservación no se ajustaba a los límites de lo necesario en una sociedad democrática.

La retención, el acceso y el tratamiento de los datos en el contexto del proceso penal contra el solicitante vulneraron, por tanto, su derecho al respeto de la vida privada.

 

Noticias procedentes de los países miembros de Europa.

• En Bélgica, la Autoridad Belga de Protección de Datos (APD) ha habilitado en su sitio web una sección titulada "Documentos para el DPO".

Incluye, en particular, decisiones judiciales y de la APD relacionadas con los DPO, por ejemplo, sobre temas como el conflicto de intereses y la protección contra el despido.

• La Autoridad Belga de Protección de Datos también consideró que, independientemente de la retirada de una reclamación, seguía teniendo la potestad de declarar una violación de los derechos de la persona interesada y de imponer una multa por incumplimiento del RGPD.
• La Autoridad Italiana de Protección de Datos (APD) anunció el 29 de febrero que había impuesto una multa de más de 79 millones de euros a Enel Energia por graves infracciones en el tratamiento de datos personales de numerosos usuarios del sector eléctrico y gasístico, realizado con fines de telemarketing.
• La APD también multó al municipio de Siracusa con 5.000 euros por no facilitar los datos de contacto del DPO de conformidad con el artículo 37 del RGPD.
• La Autoridad Griega de Protección de Datos (APD) ha multado con 5.000 euros a un responsable del tratamiento de datos porque su delegado de protección de datos (DPD) no respondió, a pesar de varios recordatorios, al cuestionario que le envió en el marco de la acción europea coordinada de las APD en 2023.
• En España, la APD se negó a permitir que las obligaciones de diligencia debida en materia de lucha contra el blanqueo de capitales se utilizaran como excusa para que un banco obligara a un denunciante a proporcionar detalles sobre el origen de su dinero a través de correos electrónicos no cifrados.

Le impuso una multa de 2.500.000 euros al responsable del tratamiento de datos.

• La Autoridad Danesa de Protección de Datos, en su quinta decisión relativa a Chromebook, determinó que 53 municipios habían compartido ilegalmente datos personales de estudiantes con Google para fines de desarrollo propios de Google, en violación del artículo 6(1)(e) del RGPD.
• En el Reino Unido, la Autoridad de Protección de Datos multó al Ministerio de Defensa británico con 409.080 euros (350.000 libras esterlinas) por revelar 265 direcciones de correo electrónico de personas que buscaban abandonar Afganistán tras el ascenso al poder de los talibanes en 2021.
• El Servicio Federal de Inteligencia suizo (FIS, por sus siglas en inglés) se ve implicado en una investigación publicada a mediados de enero, en la que se afirma que el FIS tiene acceso a los correos electrónicos de todos los ciudadanos suizos y que monitoriza masivamente sus comunicaciones en virtud de una ley de 2016.

Los datos se recopilarían directamente de los cables de comunicación, mediante equipos instalados en la infraestructura de los proveedores de servicios de internet. La SRC niega estas acusaciones (a través de la carta de la AFCDP).

• Un ciberataque contra una empresa estadounidense provocó la filtración de información sensible sobre la fuerza aérea suiza en la web oscura.

El grupo de hackers ALPHV se atribuyó la responsabilidad del ataque, que resultó en la publicación de documentos clasificados, incluido un contrato de 5 millones de dólares entre Suiza y Ultra Intelligence & Communications, un proveedor de tecnologías de cifrado y comunicación para el sector de la defensa.

En julio de 2023, un ataque similar afectó a la empresa suiza Xplain, seguido en noviembre por un ciberataque a la empresa de software Concevis, que también trabaja para el sector de la defensa y la administración tributaria.

 

• El 28 de febrero, la administración Biden adoptó una orden ejecutiva destinada a proteger los datos personales sensibles de los estadounidenses de la explotación por parte de ciertos terceros países ("países de preocupación").

Este decreto autoriza al Fiscal General a impedir la transferencia a gran escala de datos personales de ciudadanos estadounidenses a países que susciten preocupación y establece salvaguardias para otras actividades que podrían permitir a esos países acceder a datos confidenciales de los estadounidenses.

Estos datos incluyen, en particular, datos genómicos, biométricos, de salud, de geolocalización y financieros.

• El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) publicó en febrero medidas concretas para integrar la seguridad en cada fase del ciclo de desarrollo de software.

La guía recomienda que los fabricantes prioricen una serie de medidas concretas, entre ellas, establecer requisitos básicos de seguridad para la integración de software de código abierto y ampliar la supervisión de los "datos de procedencia".

• También en Estados Unidos, la Comisión Federal de Comercio (FTC) acaba de prohibir a Avast la venta de los datos de navegación de sus clientes con fines publicitarios.

La FTC investigaba las acusaciones de que Avast vendía datos de navegación mientras afirmaba que sus productos bloqueaban el rastreo en línea. Avast fue multada con 16,5 millones de dólares.

Cabe señalar que la Autoridad Checa de Protección de Datos ya había sancionado a la empresa en abril de 2023 por los mismos motivos.

• Las modificaciones a la ley de protección de datos de Georgia entraron en vigor el 1 de marzo.

Estos cambios tienen como objetivo garantizar una protección más cercana a la del RGPD. 

Ahora, los operadores de telefonía móvil y sus proveedores de servicios SMS tienen prohibido utilizar los datos personales de los ciudadanos con fines de marketing directo sin su consentimiento previo.

Además, ahora es obligatorio que las instituciones públicas y ciertas empresas privadas nombren un responsable de protección de datos.

• El Comisionado de Protección de Datos Personales de Hong Kong (PDPC) realizó controles de cumplimiento en 28 organizaciones locales entre agosto de 2023 y febrero de 2024 en relación con el tratamiento de datos personales en el contexto del uso de la IA.

El ejercicio abarcó varios sectores, entre ellos las telecomunicaciones, las finanzas y los seguros, los servicios de belleza, el comercio minorista, el transporte, la educación y los ministerios gubernamentales.

La PCPD no detectó ninguna infracción, aunque señaló que un número creciente de organizaciones, tanto públicas como privadas, están implementando la IA para mejorar su eficiencia operativa diaria.