Informe jurídico n.º 74 – Agosto de 2024.  

Telegram, Signal, Whatsapp… ¿Qué tan buenos son los servicios de mensajería instantánea en un contexto profesional?

Ha habido numerosas reacciones en los medios de comunicación ante la detención en Francia de Pavel Durov, fundador de la aplicación de mensajería. Telegrama.

Independientemente de los debates políticos sobre el tema, este caso nos brinda la oportunidad de evaluar la fiabilidad de los servicios de mensajería instantánea.

¿Hasta qué punto es realmente confidencial la información intercambiada? ¿Son comparables estas aplicaciones y pueden utilizarse en un contexto profesional?

La mayoría de los servicios de mensajería instantánea actuales se jactan de cifrar sus comunicaciones.

Sin embargo, la práctica varía según el servicio de mensajería.

Muchos usuarios de Telegram han descubierto en los últimos días que sus comunicaciones no están protegidas por defecto.

Solo se protegen las comunicaciones directas entre dos participantes que hayan activado manualmente el cifrado en las opciones de conversación.

Cabe señalar que Telegram no utiliza cifrado de código abierto como el protocolo Signal, sino que se basa en una tecnología "propia" que es imposible de verificar. 

Las discusiones grupales (o canales de chat) no se pueden cifrar, por lo que Telegram puede acceder a su contenido, así como a la información sobre los miembros y administradores de estos grupos.

Los intercambios aquí se asemejan más a los de una red social que a los de un servicio de mensajería.

Telegram ha sido criticado durante años por su falta de moderación en los canales de debate, por ignorar las peticiones de muchos gobiernos para eliminar contenido ilegal y por negarse a compartir información sobre posibles infractores.

Estas obligaciones de moderación y cooperación con las fuerzas del orden están previstas en la legislación francesa y en el reglamento europeo sobre servicios digitales.

Es en este contexto que su fundador fue arrestado por falta de cooperación y complicidad en el crimen organizado.

No obstante, esta obligación de cooperar tiene límites: así, la comunicación cifrada de extremo a extremo sigue siendo confidencial y no puede ser interceptada por un tercero, ya sea el proveedor de mensajería, un gobierno o un pirata informático.

Algunos estados están preocupados por el uso generalizado del cifrado y están presionando para que se realicen cambios regulatorios que permitan eludirlo.

Esto se aplica particularmente al contexto del proyecto de reglamento europeo sobre abuso sexual infantil (ASI).

Esta presión para debilitar la confidencialidad de las comunicaciones está provocando numerosas reacciones de defensores de las libertades individuales y autoridades de protección de datos, para quienes equivaldría a una vigilancia generalizada de las comunicaciones privadas, socavaría la seguridad digital al romper el cifrado y no proporcionaría ninguna prueba de que siquiera lograría su objetivo de proteger a los niños.

Dada la situación actual de la legislación y la tecnología, se recomienda encarecidamente utilizar mensajería cifrada de extremo a extremo para intercambiar mensajes profesionales, especialmente cuando el contenido del mensaje es sensible (por ejemplo, datos médicos o financieros).

En este sentido, no todas las aplicaciones son iguales. Si bien el contenido del mensaje puede estar protegido, el cifrado no impide la recopilación de ciertos datos de identificación del usuario o de conexión.

Se recomienda especial precaución en todos los casos al utilizar grupos de discusión.

El uso de grupos WhatsApp El intercambio de datos sensibles en un contexto profesional ha dado lugar, por tanto, a que un responsable del tratamiento de datos haya sido sancionado por una autoridad de protección de datos.

Señal Generalmente se reconoce que proporciona un alto nivel de protección, pero no es la única.

Por ejemplo, podemos mencionar Threema Y Olvid Estos servicios tienen la ventaja de ser europeos. Sin embargo, presentan la desventaja de ser todavía relativamente desconocidos. No obstante, dentro de una empresa, estos sistemas de mensajería pueden representar una alternativa interesante.

Nota: Numerosos análisis detallan las fortalezas y debilidades de las aplicaciones de mensajería. Por ejemplo, véase el de Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Para un análisis más completo de lo que las fuerzas del orden pueden obtener de un servicio de mensajería, consulte este documento de capacitación del FBI obtenido a través de una solicitud de la Ley de Libertad de Información por parte de Property of the People, una organización estadounidense sin fines de lucro dedicada a la transparencia gubernamental: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS Médicos indicó el 2 de septiembre que la CNIL había dado su aprobación a la creación por parte de la asociación de un repositorio de datos llamado "Contacto".

Según SOS Médicos, Contact está "dedicado a la atención no programada y a la mejora del acceso a la atención médica, y promoverá la investigación y la innovación en salud".

Este sistema consolidará de forma segura y confidencial los datos de millones de pacientes tratados cada año en las 64 asociaciones de la federación.

Según la federación, estos datos deberían reutilizarse en beneficio de los pacientes para mejorar las prácticas y optimizar la atención.

La Universidad Paris-Saclay anunció que fue víctima de un ataque de ransomware el 11 de agosto. Este incidente tuvo lugar una semana después de otro ciberataque contra más de 40 instituciones culturales en Francia: según los informes, los ciberdelincuentes se infiltraron en el sistema informático común de la "Réunion des musées nationaux – Grand Palais", que centraliza todos los datos financieros de estas instituciones, y amenazaron con publicar los datos en un plazo de 48 horas si no se pagaba el rescate.

Según L'Usine Digitale, las 36 tiendas gestionadas por la red se vieron afectadas y sus sistemas fueron desconectados. La Fiscalía de París ha abierto una investigación.

 

instituciones y organismos europeos

La Comisión Europea ha abierto un periodo de consulta, que finalizará el 30 de septiembre, sobre la protección de los menores en internet. particularmente en el contexto de la Ley de Servicios Digitales (DSA) y la Ley de Denuncia de Material de Pornografía Infantil (CSAM).

En virtud de la Ley de Servicios Digitales (DSA, por sus siglas en inglés), la Comisión debe elaborar directrices para ayudar a las plataformas en línea afectadas a cumplir con los requisitos para la protección de la privacidad y la seguridad de los menores.

Estas directrices ofrecerán una lista no exhaustiva de buenas prácticas y recomendaciones para los proveedores de plataformas en línea, con el fin de ayudarles a reducir los riesgos relacionados con la protección de menores. Asimismo, ayudarán a la Comisión y a los coordinadores de servicios digitales a supervisar las plataformas y a hacer cumplir la Ley de Servicios Digitales.

La Comisión Europea publicará este otoño su primer informe sobre el funcionamiento del "Marco de Protección de Datos" (DPF, por sus siglas en inglés) entre la Unión Europea y Estados Unidos. En julio se celebró una reunión bilateral de evaluación sobre este tema, y la Comisión también ha abierto una consulta pública que permite presentar comentarios hasta el 6 de septiembre.

China y la UE han iniciado conversaciones sobre la transferencia de datos en el marco de un nuevo "mecanismo de comunicación de flujo de datos transfronterizo". Según la Comisión Europea, el mecanismo tiene como objetivo encontrar formas de facilitar las transferencias transfronterizas de datos no personales para las empresas europeas, así como su cumplimiento con las leyes chinas de protección de datos.

 

Noticias procedentes de los países miembros de Europa.

En Alemania, el Tribunal de Apelación de Frankfurt ordenó a Microsoft que se abstuviera de colocar y almacenar cookies en los dispositivos de la persona interesada sin su consentimiento, incluso si esto significa que Microsoft deja de colocar cualquier cookie de seguimiento.

Esta decisión parece estar en consonancia con un fallo reciente de un tribunal holandés que prohibió a Microsoft, LinkedIn y Xandr colocar cookies de seguimiento sin el consentimiento del usuario e impuso una multa de 1.000 euros por empresa por cada día de incumplimiento de la decisión (a través de GDPRhub).

La Autoridad Belga de Protección de Datos (APD) ha rechazado una reclamación presentada por un interesado tras una violación de datos. Consideró que las medidas técnicas y organizativas adoptadas por el responsable del tratamiento de datos en virtud del artículo 32 del RGPD eran adecuadas.

Ayuda oficial al desarrollo danesa Se consideró que, para que exista un consentimiento libre y explícito para el uso del reconocimiento facial para el acceso a un gimnasio, la persona interesada debe contar con otros métodos de verificación que no impliquen el procesamiento de datos biométricos.

En España, la Autoridad de Protección de Datos (APD) multó con 145.000 euros a un responsable del tratamiento de datos tras el robo de una memoria USB sin cifrar que contenía datos personales relacionados con un caso penal.Consideró que se había producido una violación del principio de confidencialidad, a pesar de que no existía ninguna prueba de que se hubiera accedido a los datos.

En Italia, la APD Se impuso una multa de 20.000 euros a un municipio que había publicado ilegalmente los nombres de los candidatos no seleccionados en un proceso de selección público. Además, el municipio no había formalizado un contrato vinculante con su subcontratista, lo que constituye una infracción del artículo 28, apartado 3, del RGPD.

La APD también multó a un proveedor de telecomunicaciones con un millón de euros por contactar con sus clientes con fines de prospección comercial sin obtener el consentimiento válido. La autoridad de protección de datos consideró que un responsable del tratamiento de datos no podía invocar el interés legítimo para realizar llamadas telefónicas con fines de marketing a sus clientes.

El 22 de julio, en colaboración con la CNIL, la Autoridad Neerlandesa de Protección de Datos (APD) impuso una multa de 290 millones de euros a Uber BV (con sede en los Países Bajos) y a Uber Technologies INC. (con sede en Estados Unidos) por transferir datos personales fuera de la UE sin las garantías suficientes.

La CNIL (Autoridad Nacional de Informática y Libertades de Francia) recibió una denuncia colectiva de la Liga de Derechos Humanos, que representa a más de 170 conductores de la plataforma. La Autoridad de Protección de Datos de los Países Bajos (APD) determinó que el tratamiento de los datos personales de los conductores, del que Uber BV y Uber Technologies Inc. son responsables conjuntamente, implica transferencias a Estados Unidos. Entre el 6 de agosto de 2021 y el 21 de noviembre de 2023 (fecha en que Uber se adhirió al Marco de Protección de Datos), estas transferencias no contaron con las garantías adecuadas. La APD concluyó que se produjo una infracción del artículo 44 del RGPD. Uber anunció su intención de apelar esta decisión, que considera infundada.

La Autoridad de Protección de Datos de los Países Bajos (APD) impuso a Clearview AI una multa de 30,5 millones de euros el 3 de septiembre, además de una sanción adicional de 5 millones de euros por incumplimiento. Clearview había creado, en concreto, una base de datos ilegal con miles de millones de imágenes faciales, incluidas las de ciudadanos neerlandeses. La APD también prohibió el uso de los servicios de Clearview. Dado que la empresa no ha mostrado ninguna voluntad de modificar sus prácticas, la APD indicó que está explorando diversas vías legales, incluida la posibilidad de responsabilizar personalmente a los directivos de la empresa por estas infracciones.

La Universidad Noruega de Ciencia y Tecnología (NTNU) ha publicado un informe titulado "Pruebas piloto de Copilot para Microsoft 365" bajo los auspicios de los "entornos de pruebas" de la Autoridad Noruega de Protección de Datos.

La universidad probó el servicio de inteligencia artificial Copilot de Microsoft y publicó 8 conclusiones clave a principios del verano de 2024, útiles antes de comenzar a utilizar este nuevo servicio.

La Autoridad Eslovena de Protección de Datos (APD) consideró que un centro educativo puede negarse parcialmente a atender una solicitud de acceso presentada por un padre o tutor, si la divulgación de ciertos datos puede perjudicar el interés superior del menor.

El 14 de agosto, Suiza adoptó una decisión de adecuación para Estados Unidos, que permite la transferencia de datos a empresas certificadas bajo un "marco de privacidad de datos" suizo-estadounidense.

De este modo, Suiza se une a la Unión Europea y al Reino Unido, que permiten a las organizaciones transferir los datos personales de sus residentes a Estados Unidos en condiciones similares.

La ONG noyb alertó a los medios de comunicación el 12 de agosto sobre la red social "X", que ha comenzado a utilizar ilegalmente los datos personales de más de 60 millones de usuarios en la UE/EEE para entrenar su tecnología de IA ("Grok") sin su consentimiento.

A diferencia de Meta (que recientemente tuvo que interrumpir el entrenamiento de su IA en la UE), Twitter, según la ONG, no informó a sus usuarios con antelación. La Comisión Irlandesa de Protección de Datos ha iniciado acciones legales contra X, y noyb ha presentado denuncias en nueve países europeos para detener estas prácticas. El compromiso de X de dejar de usar estos datos finalmente se concretó con el lanzamiento de la nueva versión de Grok. Según la ONG, el modelo de IA se entrenó, efectivamente, con datos de la UE.

 

En el Reino Unido, un responsable del tratamiento de datos fue amonestado por no realizar una evaluación de impacto en la privacidad, tal como exige el artículo 35 del RGPD británico, antes de implementar un sistema de reconocimiento facial en una escuela. El responsable del tratamiento tampoco había obtenido el consentimiento válido.

Las Naciones Unidas y la Organización Internacional del Trabajo han publicado un informe titulado "Cuidando la brecha de la IA: dando forma a una perspectiva global sobre el futuro del trabajo".

Entre otras conclusiones, el informe menciona que los avances tecnológicos están poniendo en peligro puestos de trabajo en sectores como los centros de llamadas y otros tipos de externalización de procesos empresariales, muy extendidos en algunos países en desarrollo.

Si bien algunas tareas en estas profesiones podrían automatizarse, el documento añade que la mayoría aún requiere intervención humana. «Esta automatización parcial podría generar mejoras en la eficiencia, permitiendo que las personas dediquen más tiempo a otras áreas de trabajo».

Un juez federal estadounidense dictaminó el 5 de agosto que Google mantenía un monopolio ilegal en las búsquedas por internet. El tribunal concluyó que "Google violó la Sección 2 de la Ley Sherman al mantener su monopolio en dos mercados de productos en Estados Unidos: los servicios de búsqueda general y la publicidad de texto general, mediante acuerdos de distribución exclusivos".

Nigeria publicó su "estrategia nacional de IA" el pasado mes de agosto.

En concreto, se afirma que: «Nigeria y el continente africano en general presentan algunos de los retos y oportunidades más singulares e importantes que la IA podría abordar. Desde la optimización de la agricultura en climas diversos hasta la mejora de la infraestructura de salud pública, las soluciones de IA desarrolladas localmente y adaptadas a las realidades locales están mucho mejor preparadas para afrontar estos retos que los modelos impuestos externamente y creados para un contexto y una población completamente diferentes. (…) Muchos conjuntos de datos en Nigeria adolecen de imprecisiones, incompletitud y falta de estandarización. Es necesario mejorar la calidad de los datos para garantizar la fiabilidad y la eficacia de los algoritmos de IA, que requieren datos limpios y precisos para funcionar de forma óptima».

“X” ha suspendido sus operaciones en Brasil tras meses de conflicto con el juez del Tribunal Supremo.

El 31 de agosto, el juez ordenó la prohibición de X y la congelación de los activos de Starlink, la empresa espacial de Elon Musk. Esta decisión se produce tras una investigación de varios meses sobre la difusión de información falsa y difamatoria a través de la red social, así como una investigación posterior contra Musk por presunta obstrucción a la justicia.