DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: dos pilares de la estrategia digital europea.

Vigilancia Legal No. 46 – Abril de 2022

DSA – DMA: dos pilares de la estrategia digital europeaDesde que se concluyó un acuerdo político en la noche del 22 al 23 de abril, la DSA o Ley de Servicios Digitales ha sido objeto de muchos comentarios en el mundo digital.

Esta legislación sobre servicios digitales constituye, de hecho, junto con la legislación sobre mercados digitales (Digital Markets Act), el núcleo del sistema europeo presentado por la Comisión Europea el 15 de diciembre de 2020.

El objetivo de esta estrategia es crear un campo de juego más equitativo y hacer que las plataformas en línea sean más responsables del contenido que publican.

La DSA, en particular, pretende hacer que el entorno digital sea más transparente y seguro al definir las responsabilidades de los proveedores de servicios digitales.

Complementará la directiva europea sobre comercio electrónico y otros textos como el reglamento "de plataforma a empresa", así como disposiciones sectoriales que regulan, por ejemplo, la moderación del discurso de odio en línea, el terrorismo, la discriminación o los derechos de autor.

La DSA se aplicará a plataformas como motores de búsqueda, redes sociales o plataformas de comercio electrónico. 

Este texto fue objeto de numerosos debates y presiones, tanto por parte de la sociedad civil, que reclamaba un ámbito de aplicación suficientemente amplio, como por parte de los actores económicos digitales, cuyas peticiones iban en la dirección opuesta.

En particular, se planteó la cuestión del alcance de la regulación de los "patrones oscuros" y otros mecanismos destinados a influir en el comportamiento de los visitantes (véase nuestra carta nº 45).

El acuerdo político alcanzado parece lograr un equilibrio entre el control de una economía de plataforma hipercentralizada por un lado y el respeto de los derechos fundamentales, la libertad de expresión y la no discriminación de las personas por el otro.

Los siguientes elementos son especialmente dignos de mención:

  • Un mecanismo de recurso debería permitir a las personas que hayan identificado contenidos potencialmente ilegales obtener una respuesta del anfitrión, según un procedimiento transparente y sin convertir a estos últimos en auxiliares de la policía.
  • La publicidad dirigida será limitada, sin uso de datos sensibles del usuario.
  • Los patrones oscuros también serán prohibidos; la inclusión de las cookies en esta prohibición es incierta.
  • Un mecanismo de respuesta a las crisis, introducido en el contexto de la guerra en Ucrania, permite a la Comisión declarar un estado de emergencia digital en consulta con los reguladores nacionales.

Hay que tener en cuenta que estas medidas se aplican a las plataformas y, por tanto, no modifican la situación con respecto a los sitios web en general.

Estos, no obstante, siguen sujetos a las disposiciones del RGPD y de la directiva europea sobre comunicaciones electrónicas.

La DMA complementa la estrategia digital al apuntar específicamente a los "controladores de acceso" en los mercados digitales, o "guardianes". que tienen una fuerte posición económica en la Unión Europea y que conectan una gran base de usuarios con un gran número de empresas.

El 25 de marzo también se llegó a un acuerdo político sobre este texto, que aclaró el alcance de la DMA: el concepto abarca mercados digitales, tiendas de aplicaciones, motores de búsqueda, redes sociales, servicios en la nube, servicios de publicidad, asistentes de voz y navegadores web.

La DMA tiene como objetivo garantizar que estas plataformas se comporten de manera justa en línea.

Por ejemplo, tendrán que garantizar la interoperabilidad de las funcionalidades básicas de sus servicios de mensajería instantánea.

Además, ya no podrán:

  • Promocionar sus propios productos o servicios en detrimento de los de otros (autorreferencia)
  • Reutilizar datos privados recopilados durante un servicio para los fines de otro servicio
  • Establecer condiciones injustas para los usuarios profesionales
  • Preinstalar ciertas aplicaciones de software
  • Exigir a los desarrolladores de aplicaciones que utilicen determinados servicios (por ejemplo, sistemas de pago o proveedores de identidad) para aparecer en las tiendas de aplicaciones.

Sin embargo, cabe destacar las preocupaciones expresadas desde entonces por más de 40 representantes del sector de la competencia y de la protección de datos: durante la semana del 21 de abril, publicaron una carta explicando sus temores ante un texto demasiado vago, que permitiría a las empresas interesadas combinar todos los datos en su posesión utilizando un único consentimiento, mientras que el RGPD exige una base legal para cada tipo de procesamiento realizado.

La DMA, al igual que la DSA, aún no son definitivas: deben ser aprobadas en sesión plenaria del Parlamento Europeo antes de ser adoptadas.

Mientras tanto, y considerando lo que está en juego, Europa no pierde tiempo: según se informa, está planeando abrir una oficina en San Francisco para relacionarse con los gigantes tecnológicos de Silicon Valley, las mismas empresas que estarán sujetas a estrictos controles bajo las nuevas reglas digitales.

Y también

Francia:

  • Un estudio publicado a mediados de abril por la escuela de periodismo de Sciences Po indica que 184 sitios de la administración pública francesa utilizan Google Analytics, a pesar de las implicaciones destacadas por la CNIL y sus homólogas respecto a las transferencias hacia Estados Unidos.

Estos sitios incluyen los del Consejo de Estado, las aduanas y la presidencia.

  • La CNIL publica recursos sobre inteligencia artificial para diferentes públicos : para los profesionales, un recordatorio de los principios, las posiciones de la CNIL y una guía de autoevaluación; para el público en general, recursos para comprender mejor el problema; finalmente, para los especialistas, información y estudios sobre los problemas y el estado de la cuestión.
  • A principios de abril, la CNIL modificó sus procedimientos represivos y creó un procedimiento simplificado para los casos menos complejos: no se celebrará reunión del colegio ni sesión pública, salvo solicitud del organismo interesado.

Las sanciones que se pueden imponer en este contexto son limitadas: amonestaciones, multas de hasta 20.000 euros y un requerimiento judicial con una multa coercitiva máxima de 100 euros por día de retraso.

Estas sanciones no se hacen públicas.

  • El 15 de abril de 2022, la comisión restringida de la CNIL emitió una Multa de 1,5 millones de euros a Dedalus Biologie por fallas de seguridad que llevaron a la filtración de datos médicos de casi 500.000 personas.

Durante las operaciones de migración de software se identificaron deficiencias de seguridad técnica y organizativa.

Europa:

La Comisión Europea lanzó su Propuesta de un Espacio Europeo de Datos Sanitarios (EHDS).

La propuesta pretende facilitar el acceso de los ciudadanos a sus datos sanitarios en formato electrónico y compartirlos con otros profesionales sanitarios de la UE, permitiendo al mismo tiempo el acceso a estos datos bajo estrictas condiciones a investigadores, innovadores, instituciones públicas o empresas.

Cada Estado miembro deberá designar una autoridad sanitaria digital que participará en una infraestructura digital transfronteriza (MyHealth@EU).

Comité Europeo de Protección de Datos (CEPD)

  • El 6 de abril de 2022, el Comité Europeo de Protección de Datos (CEPD) publicó una Declaración sobre el proyecto de marco transatlántico de protección de datos.

Esta declaración sigue al acuerdo de principio entre la Comisión Europea y Estados Unidos anunciado el 25 de marzo de 2022.

El CEPD señala que este anuncio no constituye un marco legal en el que los exportadores de datos puedan basar sus transferencias.

Deben seguir aplicando las medidas necesarias para cumplir, en particular, la sentencia Schrems II del Tribunal de Justicia de la Unión Europea.

  • El CEPD también publicó una posición común el 28 de abril sobre la cooperación entre las autoridades de protección de datos en materia de control cumplimiento del RGPD.

El documento confirma la voluntad de las autoridades competentes de reforzar su cooperación identificando cuestiones transfronterizas de importancia estratégica, promoviendo investigaciones conjuntas, intercambios de información y mejorando determinadas normas de procedimiento.

Supervisor Europeo de Protección de Datos (SEPD)

EL Supervisor Europeo de Protección de Datos (SEPD) organiza una conferencia en Bruselas los días 16 y 17 de junio centrada en el cumplimiento del RGPD en el mundo digital.

CPDP

Cabe destacar también la conferencia académica anual CPDP (Computadoras, Privacidad y Protección de Datos), pospuesta del 23 al 25 de mayo de este año. El programa se estructura en torno al tema “La era de las máquinas inteligentes”.

Parlamento Europeo

El 19 de abril, el Comisión de Investigación Pegasus El Parlamento Europeo ha comenzado sus trabajos.

La comisión tiene doce meses para preparar su informe sobre el software espía utilizado por varios gobiernos para espiar a numerosas personalidades públicas, políticos, periodistas y activistas.

Tribunal de Justicia de la Unión Europea

Dos paradas importantes de la Tribunal de Justicia de la Unión Europea Se publicaron el mes pasado:

  • El 5 de abril, el Tribunal confirmó su jurisprudencia según la cual los datos de comunicaciones electrónicas (incluidos los datos de localización) no pueden conservarse de forma general e indiscriminada para combatir delitos graves.
  • El 28 de abril, el Tribunal reconoció explícitamente que las asociaciones de protección de los consumidores pueden interponer acciones representativas contra las violaciones de la protección de datos personales, independientemente de la violación real del derecho del interesado a la protección de datos y en ausencia de un mandato para hacerlo.

La Autoridad Española de Protección de Datos impuso una multa de 1.500 euros a una persona que instaló una cámara de videovigilancia en la vía pública y cerca de domicilios particulares, sin cartel informativo y en violación de los artículos 5(1)(c) y 13 del RGPD.

La DPA holandesa ha multado al Ministerio de Asuntos Exteriores con 565.000 euros. por medidas de seguridad insuficientes y falta de información adecuada a las personas interesadas en el contexto de las solicitudes de visado.

La autoridad húngara de protección de datos ha multado a un banco con 670.000 euros por uso ilegal de inteligencia artificial.El banco realizó análisis automáticos de grabaciones de audio de su servicio de atención al cliente.

La Autoridad de Protección de Datos de Dinamarca ha multado a Danske Bank con 1.345.000 euros por no cumplir con los procedimientos de retención y eliminación de datos. En más de 400 sistemas informáticos, que involucran a varios millones de personas. El caso también es objeto de una investigación policial.

En Bélgica, la DPA impuso una multa de 200.000 euros al aeropuerto de Bruselas Zaventem y de 100.000 euros al aeropuerto de Bruselas Sur Charleroi. para los controles de temperatura de los pasajeros realizados en el marco de la lucha contra la COVID-19 sin una base legal válida.

Internacional :

Existen preocupaciones sobre las capacidades de escucha y grabación de los altavoces inteligentes.

Un estudio académico publicado a finales de abril detalla el uso que hace Amazon de los datos recopilados por Alexa con fines de segmentación publicitaria y la valoración de estos datos, que se revenden a un precio treinta veces superior al de otros datos.

A mediados de abril, el Comisario irlandés de Derechos Humanos expresó las mismas reservas al Ministro de Justicia, esta vez en relación con la reutilización de estos datos en el contexto de las investigaciones policiales.

El 21 de abril, la Secretaria de Estado de EE. UU., Gina M. Raimondo, emitió una declaración sobre la creación del “Foro Global CBPR”.

Este foro tiene como objetivo facilitar la transferencia de datos personales y actividades comerciales entre Estados Unidos, Canadá, Japón, la República de Corea, Filipinas, Singapur y Taiwán.

Cabe señalar que las CBPR (Reglas de Privacidad Transfronteriza) existen desde hace aproximadamente diez años y las empresas certificadas se encuentran principalmente en Estados Unidos.

La OCDE planea desarrollar un marco para el acceso confiable de los gobiernos a los datos del sector privado.

Este tema es una de las prioridades de la organización internacional para 2022, junto con la localización de datos y las transferencias internacionales de datos personales.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES