Informe jurídico n.º 70 – Abril de 2024.

Transferencias de datos fuera de la UE: situación actual.

El panorama de las transferencias internacionales de datos se va aclarando a medida que se toman decisiones y se adoptan posturas institucionales. 

Hemos observado, por tanto, varias iniciativas recientes, tanto a nivel europeo como nacional, destinadas a facilitar el flujo de datos respetando los derechos fundamentales.

En una reunión celebrada el 4 de marzo con representantes de los quince países ya reconocidos como adecuados, la Comisión Europea demostró así su voluntad de ampliar las formas de cooperación internacional de la UE.

Si bien en el pasado la Comisión se ha mostrado favorable a la colaboración con el Consejo de Europa centrada en los derechos humanos, el Comisario Europeo de Justicia también mencionó en marzo una colaboración más estrecha con la OCDE, una organización cuyo enfoque se centra en el desarrollo económico.

 Los países en cuestión, en América y Asia, tienen enfoques sobre la protección de la privacidad que difieren significativamente de los de la Unión Europea.

Cabe recordar que en enero la Comisión Europea renovó las decisiones de adecuación de todos los países que ya se habían beneficiado de una decisión positiva.

Esto también ha suscitado reacciones en el contexto político actual, como una carta abierta respaldada por 11 organizaciones de la sociedad civil que solicitaba al Comisario Europeo de Justicia, el 22 de abril, que aclarara su decisión de renovar su dictamen de adecuación con respecto a Israel.

 La carta cuestiona, en particular, el cumplimiento de los criterios de adecuación en relación con el tratamiento de datos con fines de seguridad nacional, el respeto de los derechos humanos, el estado de derecho y el acceso a la justicia.

Por supuesto, siguen siendo posibles las transferencias a países que no cuentan con una decisión de adecuación, siempre que, por ejemplo, se hayan adoptado cláusulas contractuales estándar o se hayan establecido normas vinculantes dentro del grupo de empresas para regular las transferencias de datos.

Para ayudar a los grupos en este proceso, la CNIL acaba de publicar una herramienta de autoevaluación.

Se trata de un cuestionario que nos permite verificar el nivel de madurez del proyecto en relación con los requisitos de las normas BCR adoptadas por el Comité Europeo de Protección de Datos (CEPD).

La CNIL recomienda probar el proyecto antes de presentar los BCR para su aprobación.

La herramienta permite verificar la implementación efectiva de los siguientes compromisos:

• Un régimen de responsabilidad basado en la sede europea o la filial europea responsable por delegación de la protección de datos;
• Un procedimiento de capacitación del personal;
• Un procedimiento de auditoría para garantizar el cumplimiento de las normas GCR;
• Un procedimiento interno para la gestión de quejas;
• Una red de responsables de protección de datos o empleados cualificados para supervisar el cumplimiento de las normas;
• Un procedimiento para determinar la conveniencia de realizar una evaluación de impacto en la privacidad (EIP);
• Para las BCR "subcontratista", las obligaciones del subcontratista hacia el responsable del tratamiento de datos;
• Medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los principios de protección de datos.

La CNIL ofrece un mapa interactivo mundial para identificar la situación de cada país en materia de protección de datos, y la lista de países que se benefician de una decisión de adecuación está disponible en la página web de la Comisión Europea.

 

La CNIL impuso una multa de 525.000 euros a HUBSIDE.STORE el 4 de abril. por llevar a cabo campañas de prospección utilizando datos personales obtenidos a través de formularios diseñados de forma engañosa, que no permitieron al responsable del tratamiento de datos obtener un consentimiento válido.

El 25 de marzo, el Secretario de Estado de Asuntos Digitales presentó la hoja de ruta estratégica de Francia para la Década Digital. en presencia del Director General de Redes de Comunicación, Contenido y Tecnología (DG Connect) de la Comisión Europea.

“La hoja de ruta se estructura en torno a cuatro áreas de trabajo destinadas a lograr los objetivos de la “década digital”:

• Habilidades digitales,
• Infraestructura digital,
• La transformación digital de las empresas y
• La digitalización de los servicios públicos.

La Quadrature du Net presentó una denuncia el 2 de mayo ante la CNIL contra el despliegue de sistemas de videovigilancia algorítmica (VSA). lo cual ella considera ilegal.

El proyecto Prevent PCP, que reúne a SNCF y RATP con un panel de empresas, entre las que se incluyen el grupo Atos y ChapsVision, adopta la forma de un contrato público que permite a las empresas desplegar sus sistemas VSA en las principales estaciones de toda Europa para detectar "equipaje abandonado", mediante un método basado en la identificación y el seguimiento de los propietarios del equipaje.

En Francia, estos sistemas VSA llevan meses desplegados en la Gare du Nord y la Gare de Lyon de París o, más recientemente, en la Gare de Marseille-Saint-Charles.

 

instituciones y organismos europeos

El Comité Europeo de Protección de Datos (CEPD) adoptó su programa de trabajo para el periodo 2024-2027 a mediados de abril.

Durante los próximos cuatro años, el CEPD seguirá promoviendo el cumplimiento del RGPD mediante el desarrollo de guías prácticas y materiales para un público más amplio.

La cooperación en la aplicación de la legislación sigue siendo también una prioridad. 

Un aspecto novedoso de la estrategia es el énfasis puesto en la interacción con el nuevo marco regulatorio digital.

El CEPD seguirá prestando especial atención a los retos que plantean las nuevas tecnologías, como la inteligencia artificial.

El CEPD también se pronunció el 17 de abril sobre el modelo de "pagar o aceptar cookies" impuesto a los usuarios de las principales plataformas en línea.

En noviembre de 2023, Meta introdujo una tarifa mensual para los usuarios que se negaran a ser rastreados con fines de publicidad personalizada.

Las organizaciones de derechos civiles reaccionaron presentando varias denuncias ante las autoridades competentes de protección de datos (APD), que solicitaron al Comité Europeo de Protección de Datos (CEPD) un dictamen vinculante sobre el asunto.

Esta opinión pone en entredicho el modelo impuesto por Meta y plataformas similares: para el comité, "en la mayoría de los casos, no será posible que las grandes plataformas en línea cumplan con los requisitos del consentimiento válido si solo ofrecen a los usuarios una opción binaria entre consentir el procesamiento de datos personales con fines de publicidad conductual y pagar una tarifa".

El Comité reitera que el consentimiento debe otorgarse libremente y que una alternativa que imponga un pago disuasorio impediría el otorgamiento libre de dicho consentimiento.

Insta a las plataformas a implementar un modelo publicitario alternativo basado en una recopilación más limitada de datos personales.

La iniciativa de la Comisión Europea para animar a las grandes empresas tecnológicas a comprometerse voluntariamente con un "compromiso sobre las cookies", que reduciría el seguimiento de los usuarios de internet y reforzaría su consentimiento, no ha logrado afianzarse.

Según un portavoz de la Comisión que habló con Euronews, la mayoría de las empresas consideraba que introducir un enfoque voluntario para la publicidad digital era "prematuro dada la reciente entrada en vigor de nueva legislación en este ámbito, como el Reglamento de Servicios Digitales (DSA) y el Reglamento de Mercados Digitales (DMA)".

El 11 de abril, el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que un responsable del tratamiento de datos no está exento de responsabilidad por daños y perjuicios en virtud del RGPD simplemente porque una persona que actúa bajo su autoridad no haya seguido sus instrucciones.

Para calcular el monto de los daños y perjuicios que deben abonarse como indemnización, no deben tenerse en cuenta los criterios establecidos para fijar las multas administrativas.

El Abogado General del Tribunal de Justicia de la Unión Europea (TJUE) emitió su dictamen el 25 de abril en un caso relativo al uso que hizo Meta de los datos hechos públicos por el denunciante.

Según la Fiscalía General, la aplicación del "principio de minimización de datos" limita el uso que se puede hacer de los datos personales con fines publicitarios, incluso si los usuarios han dado su consentimiento para recibir publicidad.

Este principio se aplica independientemente del fundamento jurídico utilizado para el tratamiento de datos: incluso un usuario que consiente la publicidad personalizada no puede ver sus datos personales utilizados indefinidamente.

Además, el principio de "limitación de la finalidad" establecido en el artículo 5(1) del RGPD sigue siendo aplicable en el contexto del "web scraping": la información disponible públicamente (sensible en este caso) no puede recopilarse ni procesarse para otros fines, como la publicidad dirigida.

La ONG noyb ha presentado una denuncia ante la Autoridad Austriaca de Protección de Datos (APD) en relación con las "alucinaciones" de ChatGPT, que violarían los principios del RGPD.

Max Schrems, director de noyb, afirmó que su queja se originó porque ChatGPT no proporcionó su fecha de nacimiento exacta y la reemplazó con una suposición poco probable, mientras que el chatbot no informa a los usuarios de que no dispone de los datos correctos para responder a una solicitud.

Según se informa, la empresa de inteligencia artificial se negó a corregir o eliminar las respuestas incorrectas y no divulga ninguna información sobre los datos procesados, sus fuentes o destinatarios.

Desde que la DSA entró en vigor en agosto de 2023, las principales plataformas en línea y motores de búsqueda ("VLOP" y "VLOSE") están obligados a proporcionar repositorios de publicidad transparentes y de acceso público.

Un nuevo informe de Mozilla, en colaboración con CheckFirst, examina este problema en los servicios ofrecidos por 11 empresas, entre ellas AliExpress, la App Store de Apple, Bing, Booking.com, Alphabet (Google Search y YouTube), LinkedIn y Meta (Facebook e Instagram).

El informe señala "una amplia variación entre plataformas" y afirma que ninguna de ellas cuenta con "un repositorio de publicidad totalmente funcional y ninguna proporcionará a los investigadores y a los grupos de la sociedad civil las herramientas y los datos que necesitan para supervisar eficazmente el impacto de los anuncios VLOP en las próximas elecciones en Europa" (a través de GDPRtoday).

  

Noticias procedentes de los países miembros de Europa.

La Autoridad Belga de Protección de Datos (APD) consideró el 2 de abril que la recopilación de la huella digital del terminal de un usuario ("huella digital en línea") debería, en principio, basarse en el consentimiento de la persona interesada.

Esta técnica permite al responsable del tratamiento de datos ofrecer servicios que identifiquen al visitante del sitio web incluso cuando navega en modo incógnito o utiliza una VPN, asignándole un identificador único.

Combinado con la ubicación del usuario, este identificador permite realizar un seguimiento, entre otras cosas, del número de visitas del usuario.

La APD emitió una advertencia específicamente por no facilitar la información y por utilizar los datos de contacto de la persona en cuestión para enviar correos electrónicos de marketing.

La empresa de ciberseguridad y antivirus Avast ha sido multada con 13,7 millones de euros por la Autoridad Checa de Protección de Datos (APD) tras una apelación, la multa más alta jamás impuesta por la APD.

La empresa no anonimizó los datos de navegación de más de 100 millones de usuarios antes de compartirlos con terceros con fines de análisis de mercado.

Cabe recordar que Avast también fue sancionada en febrero en Estados Unidos por la Comisión Federal de Comercio (FTC) y se vio obligada a pagar una suma superior a los 18 millones de dólares.

Ella también es objeto de una denuncia colectiva en los Países Bajos por los mismos delitos.

En Finlandia, el pirata informático responsable de acceder ilegalmente a los historiales de pacientes del centro de psicoterapia Vastaamo, que exigió un rescate de 400.000 euros por los datos robados, fue condenado a seis años y tres meses de prisión por el Tribunal del Distrito Oeste de Uusimaa. 

El ciberataque afecta a los historiales de aproximadamente 33.000 pacientes, una cifra de víctimas sin precedentes en la historia jurídica de Finlandia. 

En aquel momento, la APD impuso una multa administrativa de 608.000 euros a Vastaamo por infringir el RGPD, por descuidar sus obligaciones en materia de tratamiento seguro de datos personales y por retrasar la notificación de la violación de datos.

El ex director ejecutivo de la empresa fue condenado el año pasado a tres meses de prisión, con suspensión de la pena, por no proteger datos personales confidenciales.

Desde entonces, la empresa se ha declarado en bancarrota.

En los Países Bajos, el grupo de telecomunicaciones Odido, anteriormente conocido como T-Mobile Nederland, fue multado con 175.000 euros. por la inspección de infraestructura digital por haber procesado erróneamente datos de tráfico en el marco de un proyecto conjunto con la agencia nacional de estadística.

El proyecto tenía como objetivo desarrollar un algoritmo capaz de proporcionar información sobre los movimientos de grandes grupos de personas, pero los procesos de Odido violaron la legislación sobre privacidad: Odido se había asegurado de anonimizar los datos procesados, pero sin informar a ninguno de los clientes sobre el estudio.

La Autoridad Griega de Protección de Datos (APD) ha impuesto una multa de 2.995.140 euros al Servicio Postal Helénico. por no implementar las medidas de seguridad adecuadas, lo que provocó una filtración de datos que afectó a más de 4 millones de personas.

La Agencia Española de Protección de Datos (AEPD) había decidido imponer una multa de 2.000.000 de euros a un banco. por no haber obtenido el consentimiento de las personas interesadas para el tratamiento de sus datos personales.

El responsable del tratamiento de datos, tras admitir su error, pagó finalmente una multa reducida de 1.200.000 euros. 

En efecto, una ley española (39/2015) relativa a los procedimientos administrativos permite al controlador reconocer su responsabilidad por una presunta infracción y/o pagar la multa propuesta por la AEPD en la fase de investigación a cambio de una reducción de 40 % del importe de la multa.

La AEPD también multó a un responsable del tratamiento de datos con 3.500.000 euros por no realizar una evaluación de riesgos adecuada. y que había pasado por alto fallos de seguridad evitables, lo que provocó una filtración de datos que afectó a 1,3 millones de personas.

En Suecia, la Autoridad de Protección de Datos (APD) amonestó a un responsable del tratamiento de datos por solicitar a los interesados que proporcionaran una copia de su documento de identidad. así como los documentos firmados por correo en el contexto de una solicitud de eliminación de datos, cuando no existía ningún motivo razonable para dudar de la identidad de las personas interesadas.

 

Grindr ha sido objeto de una demanda colectiva en el Reino Unido. alegando que la aplicación de citas LGBTQ compartía información sensible sobre sus usuarios, como su estado serológico respecto al VIH y su orientación sexual, con anunciantes.

Según un informe de la BBC, la aplicación supuestamente utilizó "tecnología de seguimiento secreta" para recopilar y compartir ilegalmente estos datos con terceros (vía GDPRtoday).

El 3 de mayo, el Consejo de la OCDE adoptó revisiones a los Principios sobre Inteligencia Artificial.

En respuesta a los recientes avances en las tecnologías de IA, incluido el surgimiento de la IA generalista y generativa, los principios actualizados abordan de manera más directa los desafíos asociados con la IA en materia de privacidad, derechos de propiedad intelectual, seguridad e integridad de la información.

En Estados Unidos, la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA, por sus siglas en inglés) acaba de ser prorrogada por dos años.

Esta sección, que autoriza la vigilancia limitada sin orden judicial de ciertas comunicaciones, debe ser renovada periódicamente por el Congreso.

Según se informa, la votación fue polémica, ya que el Congreso consideró varias propuestas para actualizar el texto de la ley: según Associated Press, hubo desacuerdo sobre si se debería limitar el uso de la ley por parte del FBI para espiar a los estadounidenses.

El Senado finalmente aprobó el proyecto de ley el 20 de abril con muy pocos cambios en el texto.

El 23 de abril, el Senado aprobó la Ley de Protección de los Estadounidenses contra las Aplicaciones Controladas por Adversarios Extranjeros, un proyecto de ley que ha sido ampliamente descrito como una prohibición de TikTok.

El presidente estadounidense Joe Biden acaba de firmar la ley que obligará a la plataforma china a separar sus operaciones en Estados Unidos de las de su empresa matriz, ByteDance, o aceptar que los ciudadanos estadounidenses ya no podrán usar el servicio. TikTok ya ha anunciado acciones legales.

Una orden propuesta por la Comisión Federal de Comercio de Estados Unidos (FTC), con fecha del 15 de abril, acusa a una empresa de telemedicina de salud mental de violar su política de privacidad y de engañar a sus clientes sobre su política de cancelación de servicio.

La FTC tiene previsto multar a Cerebral y a su director ejecutivo con 7 millones de dólares por recopilar información personal identificable de sus clientes y luego venderla a terceros.

El Tribunal Europeo de Derechos Humanos está tramitando actualmente varios miles de casos relativos a condenas en Turquía por pertenencia a una organización terrorista armada, basadas en el presunto uso de la aplicación de mensajería cifrada denominada "Bylock".

Los demandantes alegan que sus condenas se basaron en el presunto uso de esta aplicación que, según los tribunales turcos, fue diseñada para el uso exclusivo de los miembros de FETÖ/PDY bajo la apariencia de una aplicación global.

Según ellos, cualquiera que hubiera utilizado los servicios de Bylock podría, en principio, ser condenado basándose únicamente en ese hecho por pertenecer a una organización terrorista armada.