Décision WhatsApp : Fin de l’impunité pour les GAFAM en Europe ?

Decisión de WhatsApp: ¿Fin de la impunidad de los GAFAM en Europa?

Vigilancia Legal No. 38 – Agosto de 2021

Decisión de WhatsApp: ¿Fin de la impunidad de los GAFAM en Europa? En una noticia anterior informábamos sobre las dificultades para alcanzar un acuerdo a nivel europeo sobre la implementación del Reglamento General de Protección de Datos. 

La reciente decisión del regulador irlandés respecto a WhatsApp demuestra un mayor avance en la cooperación entre las autoridades supervisoras establecida por el RGPD.

La multa administrativa de 225 millones de euros impuesta a WhatsApp el 2 de septiembre El caso de Irlanda sigue varios giros y vueltas dentro del Comité Europeo de Protección de Datos (CEPD).

En virtud del procedimiento de resolución de litigios previsto en el artículo 65 del RGPD, el Comité obligó a Irlanda a revisar sus conclusiones :Por ello, tuvo que ampliar los elementos del delito, incrementar significativamente el monto de la multa y acortar los plazos concedidos a Whatsapp para cumplir la decisión.

Para calcular la multa, el Comité consideró que no sólo debe tenerse en cuenta el volumen de negocio de WhatsApp, sino también el de su empresa matriz, Facebook.

También consideró que en caso de múltiples infracciones por el mismo tratamiento de datos, las infracciones deberían sumarse, manteniéndose por debajo del límite de 4% de facturación previsto por el RGPD.

Cabe señalar que la multa, por muy cuantiosa que parezca, representa sólo el 0,08% de la facturación de Facebook.

Esto da que pensar, teniendo en cuenta que las autoridades irlandesas habían previsto inicialmente una multa de 50 millones de euros.

Recordemos que La autoridad de protección de datos de Luxemburgo multó a Amazon con 746 millones de euros a principios de agosto., la multa más grande jamás impuesta bajo el RGPD.

La cuestión principal de la investigación fue si WhatsApp estaba cumpliendo con sus obligaciones de información hacia sus usuarios, así como hacia los no usuarios cuyos datos también se recopilan.

Los avisos informativos se consideraron complejos, lo que hizo imposible comprender adecuadamente los intereses legítimos perseguidos por la empresa.

El uso de la funcionalidad de “acceso a contactos” por parte de los usuarios es totalmente opaco para dichos contactos, cuyos datos son tratados aunque ellos mismos no utilicen necesariamente la aplicación.

Además de una infracción de los artículos 12, 13 y 14 del RGPD en lo que respecta a las obligaciones de información, el Comité concluye que las violaciones son suficientemente graves como para constituir una infracción del artículo 5(1)(a) del RGPD en lo que respecta al principio general de transparencia.

La decisión de la autoridad irlandesa, reforzada por el Comité, constituye un hito útil para los responsables del tratamiento de datos con respecto a las obligaciones de información del RGPD.

Se mantienen las siguientes directrices:

–           Evite dispersar la información en diferentes páginas que requieren que el usuario haga clic en múltiples enlaces, así como menús desplegables interminables y concentrando la información en un solo lugar.

–           Describir las operaciones de procesamiento, los datos recopilados y la base legal para cada finalidad identificada.

Especifique también esta información para cada tercero que tenga acceso a los datos.

Mostrar estos diferentes elementos en forma de tabla puede ayudar a comprenderlos claramente.

–           Poner la información a disposiciónn relativa a los “no usuarios” de forma separada y de fácil acceso.

–           Especificar las circunstancias en las que se conservarán los datos / eliminado, con ilustraciones concretas.

–           Indique la base legal permitir la transferencia de datos fuera de la Unión Europea, especificando, si no hay decisión de adecuación, la base jurídica alternativa.

Una referencia genérica a una página web de la Comisión Europea no es suficiente.

.

Y también

Francia:

La CNIL continúa con sus acciones de cumplimiento en materia de cookies.

Se dirigió a una segunda serie de avisos formales durante el verano, contra varios actores de la venta en línea, grandes plataformas de la economía digital, autoridades locales y el sector bancario.

Ella también tiene sancionado El 27 de julio la empresa Figaro pagó 50.000 euros para el depósito de cookies publicitarias sin el consentimiento de los usuarios de Internet.

Aprovecha esta oportunidad para recordar la división de responsabilidades entre los editores de sitios y sus socios comerciales.

Un fallo informático ha hecho accesible Los datos personales de unas 700.000 personas que se sometieron a una prueba de Covid.

Esta brecha de seguridad pone de relieve la variada fiabilidad de los servicios de transferencia utilizados por los farmacéuticos para alimentar la plataforma SI-DEP del gobierno.

Si bien la plataforma SI-DEP en sí es segura, no todo el middleware lo es.

La Dirección General de Salud (DGS) envió un correo electrónico a los farmacéuticos para recordarles el software homologado y compatible con SI-DEP.

El de Francetest, identificado en la falla hecha pública el 31 de agosto, no formaba parte del mismo.

La CNIL recordar En el contexto actual del inicio del año escolar, los requisitos que deben cumplirse en el contexto del uso de la biometría en los centros educativos.

Se examina el reconocimiento del contorno de la mano para el acceso a los comedores escolares y se describen los requisitos de información, consentimiento y seguridad de los datos.

Añade que negarse a procesar datos biométricos, y por tanto a acceder al comedor por otro medio, no debe causar perjuicio al alumno afectado.

Europa:

Crédito al consumo: El Supervisor Europeo de Protección de Datos (SEPD) publicó el 26 de agosto un dictamen sobre la propuesta de Directiva de la Comisión Europea.

La causa son los nuevos métodos de evaluación crediticia que utilizan tecnologías digitales.

Si dichas evaluaciones son esenciales para conceder crédito al consumidor, el SEPD solicita que determinados datos se excluyan de los procedimientos de evaluación.

Además de los datos de salud y de las redes sociales, el SEPD quiere que la prohibición se extienda a todos los datos sensibles (por ejemplo, los relativos a la religión y las opiniones políticas), así como a los datos de navegación de los usuarios de Internet.

El Controlador también señala la necesidad de regular mejor el papel de los terceros que prestan servicios de análisis de crédito y la certificación de sistemas de inteligencia artificial en este sector.

Reconocimiento facial: el Consejo de Europa publica directrices destinadas a proporcionar un conjunto de medidas de referencia para gobiernos, desarrolladores de reconocimiento facial, fabricantes, proveedores de servicios y entidades que utilizan tecnologías de reconocimiento facial.

El objetivo es garantizar que, cuando se utilicen, no atenten contra la dignidad humana, los derechos humanos y las libertades fundamentales, incluido el derecho a la protección de datos personales.

Italia: La Autoridad de Protección de Datos (Garante) ha multado a Deliveroo con 2,5 millones de euross por el uso no transparente de un algoritmo para gestionar a sus repartidores y la recopilación desproporcionada de sus datos personales en violación de los principios de licitud, transparencia, minimización y limitación del RGPD.

Internacional :

La República Popular China adoptó el 20 de agosto una ley sobre la protección de datos personales (PIPL).

Esta ley entrará en vigor el 1 de noviembre de 2021. 

Su objetivo no es sólo proteger los datos individuales, sino también la seguridad del Estado y los intereses económicos del país con respecto a las GAFAM.

La ley contiene obligaciones estrictas respecto del almacenamiento local de datos y restricciones a las transferencias internacionales.

La toma de poder de Afganistán por los talibanes también tiene repercusiones en el ámbito de la protección de datos.

Varios archivos, incluido el gestionado por los Ministerios del Interior y de Defensa, contendrían información especialmente sensible.

Los datos en cuestión incluyen datos de la policía y del ejército de medio millón de personas: apellidos, nombre, pero también número de identificación vinculado a un perfil biométrico, datos de carrera y relaciones familiares, así como datos personales de dos "ancianos" de tribus, que actúan como garantes durante el reclutamiento.

Toda esta información, cuando cambia de manos, puede ayudar a trazar conexiones entre las comunidades locales y los grupos étnicos.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES