Informe jurídico n.º 75 – septiembre de 2024.  

Anonimización o seudonimización: ¿cualificaciones que evolucionan con el tiempo?

El 5 de septiembre de 2024, la CNIL multó a Cegedim Santé con 800.000 euros por procesar datos sanitarios sin autorización.

La autoridad supervisora señala que estos datos siguieron siendo identificables a pesar de haber sido presentados de forma anónima.

Esta sanción nos brinda la oportunidad de revisar las sutilezas del RGPD en lo que respecta a la anonimización y la pseudonimización de datos.

Cegedim publica y vende software de gestión a médicos generales que trabajan en consultorios privados y centros de salud.

Estos programas informáticos permiten a los médicos gestionar sus agendas, los historiales de sus pacientes y las recetas.

Los clientes también tienen acceso a una base de datos que permite la elaboración de estudios y estadísticas en el ámbito de la salud.

Las comprobaciones realizadas por la CNIL en 2021 revelaron, en particular, que los datos tratados por la empresa —sin autorización previa— eran datos sanitarios seudónimos y, por lo tanto, identificables.

Únicamente los datos completamente anónimos están exentos de las obligaciones del RGPD.

Sin embargo, el proceso de anonimización es particularmente exigente.

En este caso concreto, Cegedim había puesto en marcha un procedimiento destinado a eliminar los identificadores y, en el contexto de conclusiones anteriores que datan de 2012, la CNIL también había considerado que los datos procesados eran efectivamente anónimos.

La Comisión ha revisado hoy estas conclusiones, especificando que debe tenerse en cuenta el contexto actual de la doctrina y la jurisprudencia para evaluar la posible reidentificación de datos.

Por lo tanto, los datos que eran anónimos hace diez años pueden no serlo necesariamente hoy: "Para determinar si es razonablemente probable que se utilicen ciertos medios para identificar a una persona física, es necesario tener en cuenta todos los factores objetivos, como el coste de la identificación y el tiempo necesario para la misma, considerando las tecnologías disponibles en el momento del procesamiento y su evolución".

Más concretamente, la CNIL, al igual que sus homólogas europeas desde 2014, ha especificado los requisitos que deben respetarse en el marco de un procedimiento de anonimización.

Ella explica las principales técnicas de anonimización:

• aleatorización (que tiene como objetivo modificar los atributos de un conjunto de datos para que sean menos precisos, al tiempo que se conserva la distribución general) y
• generalización (que consiste en modificar la escala de los atributos de los conjuntos de datos, o su orden de magnitud).

La CNIL aconseja:

• Identificar la información que debe conservarse, según su relevancia.
• Eliminar elementos de identificación directa, así como valores poco frecuentes que podrían permitir una fácil reidentificación de los individuos;
• Para distinguir la información importante de la información secundaria o inútil;
• Definir el nivel de detalle ideal y aceptable para cada dato almacenado.

Se pueden utilizar tres criterios para garantizar que un conjunto de datos sea verdaderamente anónimo:

1. Individualización: no debe ser posible aislar a un individuo en el conjunto de datos;
2. Correlación: no debería ser posible vincular conjuntos de datos distintos relativos a un mismo individuo;
3. Inferencia: no debería ser posible deducir, con casi total certeza, información nueva sobre un individuo.

En el caso de Cegedim, no se respetó el criterio de individualización: el servicio permitía realizar un seguimiento constante de las personas a lo largo del tiempo mediante un identificador único y aumentar los datos relativos a ellas.

Esto permitió aislar a un individuo en un conjunto de datos y, por lo tanto, aumentó el riesgo de que se revelara su seudonimidad.

Por último, cabe señalar que la persona responsable de la creación de un repositorio de datos sanitarios solo podrá implementarlo tras obtener la autorización de la CNIL o siempre que cumpla con una norma.

En caso de subcontratación, la parte responsable deberá incluir en el contrato de subcontratación todos los requisitos necesarios para garantizar el cumplimiento de la normativa, en particular en lo que respecta a la seguridad de los datos.

En la mayoría de los casos de filtración de datos que son noticia hoy en día (véase más abajo), el eslabón débil en el origen de la filtración fue el subcontratista.

 

 

La composición del nuevo gobierno se conoce desde el 21 de septiembre, con algunas novedades en materia digital.

La "soberanía digital" desaparece del título del Ministerio de Economía y Finanzas, y los asuntos digitales se asignan al Ministerio de Educación Superior e Investigación.

Finalmente, el título de la secretaría encargada ahora es: Inteligencia Artificial y Tecnología Digital.

Para Henri d'Agrain, delegado general de Cigref (una asociación que representa a empresas y organismos gubernamentales del sector digital), este título "no refleja la importancia del continuo nube, datos e IA, que toda política pública seria en este ámbito debe abordar". Añade que "el énfasis en la inteligencia artificial en este título debe considerarse a la luz de las ambiciones del Palacio del Elíseo para la Cumbre de Acción sobre IA, que se celebrará en París en febrero de 2025".

Tras una consulta pública, la CNIL publicó el 24 de septiembre la versión final de sus recomendaciones para ayudar a los profesionales a diseñar aplicaciones móviles que respeten la privacidad..

A partir de 2025, se garantizará que estos aspectos se tengan debidamente en cuenta mediante una campaña de control específica.

La CNIL pretende aclarar y regular el papel de los profesionales, así como garantizar la calidad de la información y el consentimiento de los usuarios de aplicaciones móviles.

Tras el incidente de SFR el mes pasado, ahora le toca a Free advertir a sus clientes sobre una fuga de datos.

Entre los datos a los que accedió el atacante se encontraban, como mínimo, el nombre, los apellidos, el número de teléfono y la dirección postal de los clientes.

Además de estos dos operadores, muchos minoristas franceses, entre ellos Boulanger, Cultura, Truffaut y Grosbil, fueron víctimas a mediados de septiembre del pirateo de sus datos de entrega, que fueron publicados y revendidos en la web oscura por el mismo pirata informático.

Los riesgos para las personas generalmente se refieren al robo de identidad y a la obtención de datos relacionados con su domicilio.

En cuanto a Cultura, empresa especializada en la venta de productos culturales, también se han filtrado los contenidos de las cestas de la compra, lo que proporciona información precisa sobre los hábitos de lectura de los compradores, con consecuencias potencialmente muy intrusivas.

En la mayoría de estos ataques, el pirata informático había atacado a un proveedor de servicios de las empresas implicadas.

El 25 de septiembre, la Sala Social del Tribunal de Casación dictó una sentencia por la que invalidó el despido de un empleado basado en la interceptación de correos electrónicos enviados desde su dirección profesional.

El Tribunal recuerda que "el empleado tiene derecho, incluso en el momento y lugar de trabajo, al respeto de la privacidad de su vida privada".

Esto implica, en particular, la confidencialidad de la correspondencia.

Por lo tanto, el empleador no puede, sin violar esta libertad fundamental, utilizar el contenido de los mensajes personales enviados o recibidos por el empleado mediante una herramienta informática proporcionada para fines laborales, para disciplinarlo.

 

instituciones y organismos europeos

El 25 de septiembre, la Comisión reunió en Bruselas a los principales actores del sector de la IA para celebrar las primeras 100 firmas de los compromisos del Pacto de la IA.

Los firmantes son corporaciones multinacionales y pequeñas y medianas empresas europeas de diversos sectores. Hasta el momento, Meta y Apple no han firmado este Pacto.

Los compromisos voluntarios recogidos en el documento invitan a las empresas participantes a comprometerse a llevar a cabo al menos tres acciones fundamentales:

• Adopte una estrategia de gobernanza de la IA para promover la adopción de la IA dentro de la organización y trabajar para el cumplimiento futuro de las regulaciones de IA.
• Identificar y mapear los sistemas de IA que puedan clasificarse como de alto riesgo según la normativa sobre IA.
• Fomentar el conocimiento de la IA entre el personal.

Se anima a las empresas a asumir otros compromisos adaptados a sus actividades, como garantizar la supervisión humana, mitigar los riesgos y etiquetar de forma transparente ciertos tipos de contenido generado por IA, como los "deepfakes".

El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó en una sentencia de 4 de octubre (C 621/22) que un interés comercial puede ser un "interés legítimo" en el sentido del artículo 6, apartado 1, letra f) del RGPD, siempre que no sea contrario a la ley.

Aunque esta postura pueda parecer obvia, en los Países Bajos dejó de serlo hace algunos años: según la Autoridad de Protección de Datos (APD) neerlandesa, el interés legítimo debía basarse en un fundamento jurídico.

El Tribunal reitera que tal requisito es excesivo y que basta con que la finalidad no sea contraria a la ley. Cabe señalar que esta decisión no constituye una autorización ilimitada para todas las prácticas de marketing: siempre debe realizarse un balance de los intereses y derechos en juego.

Asimismo, el 4 de octubre, el Tribunal de Justicia de la Unión Europea (TJUE) dictó sentencia en el asunto C-446/21 en la que respalda la acción legal interpuesta contra Meta en relación con su servicio de Facebook.

Las preguntas se referían a la limitación del uso de datos personales para publicidad en línea y a la limitación del uso de datos personales disponibles públicamente a los fines originalmente previstos para su publicación.

Ese mismo día, el TJUE también validó, en el asunto C-21/23, la posibilidad de que un competidor de una empresa presente una demanda ante los tribunales civiles basándose en la prohibición de prácticas comerciales desleales, con el fin de impedir que dicho competidor infrinja las disposiciones sustantivas del RGPD.

Cabe señalar que ya existe jurisprudencia en este sentido en el derecho francés.

El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó el 26 de septiembre (asunto C 768/21) que, cuando se ha constatado una violación de datos, las autoridades de protección de datos no están obligadas a ejercer facultades correctivas en virtud del artículo 58, apartado 2, del RGPD, cuando no sea apropiado, necesario o proporcionado subsanar la deficiencia detectada.

Según el Tribunal, tras analizar todas las circunstancias del caso, las autoridades de protección de datos pueden abstenerse de ejercer dicha facultad correctiva, por ejemplo, cuando el responsable del tratamiento haya implementado medidas técnicas y organizativas adecuadas para garantizar que la infracción cese y no se repita.

El Tribunal finalmente dictaminó en una sentencia de 12 de septiembre (asuntos acumulados C 17/22 y C 18/22) que no solo un acto legislativo sino también la jurisprudencia nacional pueden estipular una obligación legal, de conformidad con el artículo 6, apartado 1, letra c), del RGPD, de revelar a un accionista la identidad de todos los demás accionistas afectados.

Tras las iniciativas emprendidas en Francia, Dinamarca, España y Alemania en el ámbito de la verificación de edad en línea, la ONG europea EDRi y 63 organizaciones, académicos y expertos en privacidad, cifrado, seguridad infantil, derechos de las trabajadoras sexuales y derechos del consumidor publicaron una declaración conjunta el 16 de septiembre.

Insta a la Comisión Europea a que priorice las medidas eficaces de protección infantil, al tiempo que expresa su seria preocupación por la idoneidad, la proporcionalidad y el impacto negativo en los derechos fundamentales de las propuestas actuales.

 

Noticias procedentes de los países miembros de la Unión Europea.

Una resolución publicada el 11 de septiembre por la Conferencia de Autoridades Independientes de Protección de Datos de Alemania (DSK) ofrece recomendaciones prácticas para el marco para la transferencia de datos personales en el contexto de las "Transacciones de Activos" En lo que respecta a los datos personales que obran en poder de las empresas: datos de los clientes y potenciales clientes de la empresa, sus empleados, socios comerciales, etc.

En Alemania, la Autoridad de Protección de Datos de Hamburgo adoptó un documento controvertido sobre los modelos de lenguaje a gran escala (LLM, por sus siglas en inglés).

La autoridad concluyó, por tanto, que los sistemas de gestión de leyes (LLM) no almacenan datos personales y que esta conclusión está de acuerdo con la opinión del Tribunal de Justicia de la Unión Europea (TJUE).

Sin embargo, a diferencia de la fase de entrenamiento, los datos de entrada y salida de un sistema de IA pueden constituir datos personales, con las consecuencias que esto implica: por lo tanto, las solicitudes de acceso, supresión o rectificación pueden estar relacionadas con estos datos.

En Bélgica, Flandes se está distanciando del gobierno federal en materia de protección de la privacidad.

El periódico Le Soir anunció el 1 de septiembre que Jan Jambon, el ministro presidente flamenco, había ordenado a sus ministros el 20 de septiembre, pocos días antes de dejar su cargo, que ya no presentaran los proyectos de decretos y decisiones a la Autoridad Federal de Protección de Datos (APD), sino a su organismo regional, la Vlaamse Toezichtcommissie (VTC).

De hecho, desde 2019, el gobierno flamenco ya venía eludiendo sistemáticamente la APD tramitando sus decretos a través de la VTC, a pesar de una sentencia de marzo de 2023 del Tribunal Constitucional que recordaba que el gobierno flamenco tenía que pasar por la APD para adoptar sus textos.

Hoy, el Ministro Presidente quiere formalizar la competencia flamenca: ha enviado una carta a la Comisión Europea solicitando el reconocimiento de las competencias de las VTC en lo que respecta al RGPD.

La Autoridad Belga de Protección de Datos (APD) multó a un responsable del tratamiento de datos con 100.000 euros por no responder de manera oportuna a la solicitud de acceso de un interesado.

No obstante, la APD rechazó la solicitud de la persona interesada de recibir información sobre los empleados específicos que accedieron a sus datos.

También en Bélgica, la Sala de Litigios de la APD rechazó el 6 de septiembre la validez del mandato de representación presentado por Noyb en un caso relativo a la integración de scripts de Google Analytics en un sitio web, en un momento en que el Escudo de Privacidad había sido invalidado por el TJUE.

La Sala de Controversias consideró que el mandato constituía un abuso de derechos por parte de Noyb.

En un caso aparte, la Autoridad Belga de Protección de Datos (APD) confirmó varias quejas presentadas por Noyb en 2023 y ordenó a cuatro importantes sitios web de noticias belgas que adaptaran sus avisos de cookies al RGPD.

La autoridad española de protección de datos publicó el 2 de octubre un informe sobre el tratamiento de datos personales y la verificación de la edad de los menores en el entorno digital.

El documento aboga por el desarrollo de políticas de protección proactivas por parte de los servicios de la sociedad de la información.

La Agencia Española de Protección de Datos (APD) ha multado con 72.000 euros a una empresa fintech por implementar medidas insuficientes de verificación de la identidad de sus clientes, lo que permitió a los estafadores obtener un préstamo a nombre de la víctima sin su conocimiento.

El 27 de septiembre, la Comisión Irlandesa de Protección de Datos (DPC) multó a Meta con 91 millones de euros.

La decisión se refiere a las medidas adoptadas por la empresa para garantizar un nivel de seguridad adecuado a los riesgos asociados al tratamiento de contraseñas y a la obligación de documentar y notificar a la autoridad de protección de datos las violaciones de datos.

La autoridad recuerda a los responsables del tratamiento de datos que deben evaluar los riesgos inherentes al almacenamiento de las contraseñas de los usuarios e implementar medidas para mitigar dichos riesgos.

El 12 de septiembre, la APD también anunció la apertura de una investigación contra Google en relación con el uso de datos personales de usuarios europeos para desarrollar un modelo de inteligencia artificial en el ámbito de las traducciones.

La investigación se refiere al modelo de inteligencia artificial "Pathways Language Model 2" (PaLM 2), lanzado por Google en 2023, sin que se haya realizado un análisis de impacto en la protección de datos.

En Italia, la APD multó a una compañía energética con 5.000.000 de euros por no implementar las medidas adecuadas para garantizar el cumplimiento del RGPD por parte de sus subcontratistas.

Esto les permitió celebrar contratos con las personas afectadas sin su conocimiento.

La Autoridad Portuguesa de Protección de Datos (APD) ha multado a un responsable del tratamiento de datos con 107.000 euros por enviar repetidamente comunicaciones comerciales no solicitadas.

Se consideró responsable al responsable del tratamiento de datos, a pesar de que los envíos habían sido realizados por un subcontratista que utilizaba su propia base de datos.

 

Un informe de la Comisión Federal de Comercio de Estados Unidos (FTC), publicado el 19 de septiembre, revela que las principales empresas de redes sociales y transmisión de video han llevado a cabo una vigilancia generalizada de los usuarios con controles de privacidad laxos y protecciones inadecuadas para niños y adolescentes.

El informe recomienda limitar la retención y el intercambio de datos, restringir la publicidad dirigida y reforzar la protección de los adolescentes.

El gobierno chino publicó el 30 de septiembre el "Reglamento sobre la gestión de la seguridad de los datos en red", que entrará en vigor el 1 de enero de 2025. 

El texto tiene por objeto regular las actividades de procesamiento de datos en red, proteger los derechos e intereses legítimos de las personas y organizaciones, y salvaguardar la seguridad nacional y el interés público.

Asimismo, en China, el Comité Técnico Nacional de Normalización de la Seguridad de la Información (TC260) ha publicado un marco de gobernanza de la seguridad de la información relativo a la IA.

El documento contiene una serie de principios y proporciona una clasificación útil de los riesgos relacionados con la IA y las medidas tecnológicas para abordarlos.

IBM ha publicado un informe sobre el coste de las filtraciones de datos en 2024.

Entre las conclusiones del informe, cabe destacar que:

• El coste total medio de una filtración de datos es de 4,88 millones de dólares, y las filtraciones de datos son más costosas en Estados Unidos.
• La escasez de profesionales con habilidades en ciberseguridad ha empeorado,
• Casi la mitad de las violaciones se refieren a datos personales (46 %) o registros de propiedad intelectual (43 %),
• La intervención de las fuerzas del orden reduce los costes del ransomware en una media de 1 millón de dólares.
• Se requieren 292 días para identificar y contener las brechas de seguridad que impliquen el robo de credenciales.

Instagram ahora ofrece cuentas para adolescentes con configuraciones de seguridad más estrictas, lo que permite a los padres restringir el uso de la aplicación.

Las cuentas para adolescentes están diseñadas específicamente para proteger a los menores de contenido dañino y contactos no deseados, al tiempo que reducen el tiempo que pasan en la aplicación.