Transferencias de datos personales a Estados Unidos: informe de progreso

Vigilancia Legal No. 55 – Enero de 2023

Transferencias de datos personales a Estados Unidos: informe de progresoLa incertidumbre jurídica que pesa actualmente sobre los intercambios de datos entre Europa y Estados Unidos afecta a ámbitos tan concretos como la lucha contra el déficit de vivienda en Francia o el uso de bibliotecas en línea en Finlandia.

La empresa Abritel se ha negado a comunicar sus datos de alquiler al Ayuntamiento de París porque éste recurre para esta recogida a un proveedor de servicios que transfiere dichos datos a Estados Unidos.

El tribunal de justicia de París falló a favor de Abritel en su sentencia del 30 de noviembre de 2022.

En diciembre pasado, la Autoridad de Protección de Datos de Finlandia descubrió que cuatro ciudades habían, entre otras cosas, transferido ilegalmente datos personales a Estados Unidos utilizando Google Analytics y Google Tag Manager en los servicios en línea de sus bibliotecas públicas.

La complejidad de las transferencias hoy en día es principalmente una consecuencia de las sentencias “Schrems I” y “Schrems II” del Tribunal de Justicia de la Unión Europea de octubre de 2015 y julio de 2020 respectivamente.

Estas sentencias invalidaron los acuerdos sucesivos celebrados entre la UE y Estados Unidos bajo los nombres de Principios de Puerto Seguro y Escudo de Privacidad.

En su sentencia de 2020, el Tribunal sostuvo que el Escudo de Privacidad, si bien en principio proporciona un nivel de protección esencialmente equivalente al de la Unión Europea, en la práctica resulta ineficaz debido a requisitos concretos relacionados con la seguridad nacional, el interés público y el cumplimiento de la legislación estadounidense.

Se concluyó que el alcance de los poderes de vigilancia de las autoridades estadounidenses era excesivo en comparación con el derecho europeo y que no estaban garantizados los derechos de los ciudadanos no estadounidenses a apelar ante tribunales independientes.

Desde la publicación de esta decisión, los responsables del tratamiento de datos sujetos al RGPD deben tomar precauciones especiales antes de cualquier transferencia a Estados Unidos.

El uso de cláusulas contractuales que garanticen la protección de datos sigue siendo una opción, siempre que se realicen comprobaciones específicas sobre el contenido de las cláusulas, el contexto de la transferencia y el régimen jurídico aplicable en el tercer país (en particular en lo que respecta a la seguridad nacional).

Si la situación presenta riesgos particulares, el responsable del tratamiento deberá tomar medidas adicionales.

El año pasado, la Comisión adoptó "cláusulas contractuales tipo" modernizadas para facilitar su uso y publicó consejos prácticos para las empresas.

El Comité Europeo de Protección de Datos también explicó en sus recomendaciones del 18 de junio de 2021 las comprobaciones que deben realizarse en el marco de un análisis de impacto de la transferencia.

Sin embargo, dichos requisitos pueden ser difíciles de implementar si el receptor de los datos ocupa una posición dominante.

Una solución más sencilla en estos casos es utilizar soluciones de procesamiento de datos ubicadas en la Unión Europea.

El 13 de diciembre, tras varios meses de negociaciones con Estados Unidos, la Comisión Europea publicó su esperado proyecto de decisión de adecuación sobre el nivel de protección de datos a ambos lados del Atlántico.

Entre los derechos de los que se beneficiarán los ciudadanos de la UE con el nuevo marco jurídico, la Comisión Europea menciona la garantía de recursos, incluido el libre acceso a mecanismos independientes de resolución de disputas y a un panel de arbitraje.

Además, cita una serie de limitaciones y salvaguardias respecto del acceso a los datos por parte de las autoridades públicas estadounidenses, en particular para fines de aplicación de la ley y de seguridad nacional.

Estas garantías surgen de nuevas reglas introducidas por un decreto estadounidense de 7 de octubre de 2022, que responderían a las preguntas planteadas por el Tribunal de Justicia de la UE en la sentencia Schrems II.

Antes de que se pueda adoptar una decisión final, el borrador debe ser revisado por el Comité Europeo de Protección de Datos (CEPD).

Esta revisión podría resultar en una decisión en aproximadamente dos meses.

El proyecto de decisión tendrá que ser aprobado después por el comité de representantes de los Estados miembros de la UE.

El Parlamento Europeo también tiene derecho a revisar las decisiones de adecuación.

¿La decisión final prevista para la próxima primavera ofrecerá las garantías esperadas en materia de protección de datos, allí donde los acuerdos anteriores han fracasado?

El Supervisor Europeo de Protección de Datos (SEPD) se mostró recientemente optimista sobre el proyecto: «Esto es diferente de lo que vimos con Safe Harbor. No es lo que vimos con Privacy Shield. Es algo nuevo y muy prometedor».

Max Schrems, por su parte, ya ha anunciado que está dispuesto a emprender una tercera acción legal si el texto no protege eficazmente los derechos fundamentales de los europeos.

Y también

Francia:

La startup Lusha, acusada de robar números de teléfono profesionales y direcciones de correo electrónico de 1,5 millones de franceses, no está sujeta al RGPD, según la comisión restringida de la CNIL encargada de imponer sanciones.

El debate se centró en la interpretación del artículo 3, apartado 2, letra b), del Reglamento, que prevé la aplicación del Derecho europeo a las empresas no establecidas en la UE cuando realizan un «seguimiento del comportamiento» de los interesados: en su deliberación del 20 de diciembre de 2022, la CNIL, distanciándose de las conclusiones de su ponente, «no considera que la recogida o el análisis en línea de datos personales relativos a personas físicas en la Unión se consideren automáticamente «seguimiento»», y considera necesario tener en cuenta la finalidad del tratamiento de datos y, en particular, cualquier técnica posterior de análisis del comportamiento o de elaboración de perfiles que implique estos datos.

El 29 de diciembre, la CNIL impuso una multa de 5.000.000 euros a TikTok. para implantar identificadores publicitarios en los dispositivos de los usuarios sin su consentimiento previo.

El banner de cookies de TikTok también se consideró insuficientemente informativo.

Ese mismo día también sancionó a la empresa VOODOO, un editor de juegos para teléfonos inteligentes, fue multado con 3 millones de euros por utilizar un identificador principalmente técnico para publicidad sin el consentimiento de los usuarios.

Contrariamente a la tendencia actual, el Ayuntamiento de Montpellier decidió el 16 de diciembre, al término de una presentación sobre el reconocimiento facial en el contexto de la videovigilancia y las libertades públicas, prohibir "el uso de tratamientos automatizados de análisis de imágenes basados en datos personales o individuales" en su espacio público.

El proyecto de ley relativo al uso de inteligencia artificial en el marco de los Juegos Olímpicos de 2024 fue aprobado por el Senado el 24 de enero.

La CNIL había emitido observaciones sobre este texto, señalando que varias medidas estaban en consonancia con sus recomendaciones: despliegue experimental, limitado en el tiempo y en el espacio, para determinados fines específicos y que corresponde a riesgos graves para las personas, ausencia de tratamiento de datos biométricos y de conciliación con otros ficheros, y decisiones sujetas a intervención humana previa.

La CNIL también destacó el carácter intrusivo de las disposiciones que prevén el tratamiento de datos genéticos para análisis antidopaje.

Europa:

Tras la queja del Consejo Irlandés para las Libertades Civiles (ICCL) y la decisión del Defensor del Pueblo de la UE del 19 de diciembre de 2022, la Comisión Europea se ha comprometido a revisar la gestión por parte de las autoridades de protección de datos de las infracciones del RGPD que involucran a las grandes tecnológicas.

Medirá el tiempo empleado en cada paso de cada procedimiento y su avance, y realizará esta revisión seis veces al año.

El Comité Europeo de Protección de Datos (CEPD) ha creado un grupo de trabajo para examinar en detalle cuestiones relacionadas con las cookies..

En un borrador de informe fechado el 17 de enero, el CEPD aclara las prácticas específicas que son ilegales, entre ellas:

• La falta de una opción de exclusión voluntaria en la página de inicio
• Casillas premarcadas
• Enlaces a la opción de exclusión en letra minúscula en texto separado
• Enlaces a la opción de exclusión fuera del banner de cookies
• Reclamación de un interés legítimo en instalar cookies no esenciales
• La ausencia de una opción permanente para retirar el consentimiento.

El CEPD aclara que estas conclusiones reflejan un umbral mínimo en la evaluación de las cookies.

Deberían combinarse con los requisitos de la Directiva sobre privacidad electrónica y leerse a la luz de otros trabajos del CEPD sobre patrones oscuros.

La comisión especial del Parlamento Europeo (PEGA) investigará el uso de Pegasus y otros programas de vigilancia espía continúan su labor mediante estudios, audiencias con expertos y visitas de investigación a Israel, Polonia y Grecia. El borrador de recomendaciones se presentará al Parlamento el 10 de junio.

La ONG EDRi organizó su conferencia anual, el Privacy Camp, el 25 de enero. que reúne a defensores de los derechos digitales, activistas, académicos y formuladores de políticas en torno a cuestiones actuales de derechos humanos.

Las presentaciones están disponibles en línea a través del sitio web del evento.

En una importante sentencia del 12 de enero de 2023 (asunto C-154/21), el Tribunal de Justicia de la Unión Europea confirmó que el responsable del tratamiento de datos tiene la obligación de comunicar a cualquier persona que lo solicite la lista de destinatarios exactos de sus datos personales cuando hayan sido compartidos con terceros, y no sólo con categorías de destinatarios.

El TJUE precisa en otra sentencia de 12 de enero (asunto C-132/21) que Los recursos administrativos y civiles previstos por el RGPD podrán ejercerse de forma concurrente e independiente. el uno del otro.

De esta forma se pueden iniciar procedimientos de reclamación paralelos ante las autoridades de protección de datos (APD) y procedimientos judiciales sobre la misma cuestión.

Corresponde a los Estados miembros garantizar que el ejercicio paralelo de estos recursos no perjudique la aplicación coherente y uniforme del Reglamento.

El proyecto de ley sobre seguridad en línea del Reino Unido se está debatiendo actualmente en el Parlamento.

El texto, que pretende proteger a los niños, identifica contenidos de riesgo, en particular los de autolesión, los “deep fakes” y el intercambio de imágenes íntimas sin consentimiento, que se definirán como nuevos delitos penales.

Los críticos señalan la falta de definición o precisión del texto, lo que permitiría supresiones excesivas de contenidos y el establecimiento de una vigilancia generalizada.

El sitio web "enforcementtracker" presenta un inventario de las sanciones económicas impuestas por las autoridades de control en aplicación del RGPD: el año 2022 cerró con un total de más de 830 millones de euros por 448 sanciones, frente a los 1.300 millones de euros de 2021.

Como era de esperar, Irlanda, sede de las mayores empresas tecnológicas, ocupa el primer puesto con más de 80.000 multas.

La agencia de noticias irlandesa DPA anunció el jueves 19 de enero una multa de 5,5 millones de euros contra WhatsApp, además de decisiones similares contra Facebook e Instagram.

Se ha determinado que la base legal utilizada por WhatsApp para procesar datos personales (mejora del servicio y seguridad) es contraria al derecho europeo.

Esta decisión ha sido criticada por la sociedad civil, que señala que la cuestión central del uso de datos para publicidad comportamental, marketing, suministro de datos métricos a terceros e intercambio de datos con empresas afiliadas no ha sido abordada por la autoridad irlandesa, a pesar de la decisión del CEPD publicada el 24 de enero.

AOD noruega encontró que una empresa de mensajería y logística había infringido el artículo 32 del RGPD debido a una evaluación de riesgos insuficiente y a la falta de medidas de seguridad adecuadas.

La aplicación utilizaba números de teléfono como único medio de autenticación para acceder al perfil del cliente.

autoridad española consideró que la Comisión Nacional contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte no podía invocar la excepción de interés público del artículo 9(2)(g) del RGPD para procesar los datos biométricos de los aficionados al fútbol que ingresan a los estadios.

AOD italiana multado con 20.000 euros a un club deportivo por utilizar ilegalmente un sistema de huellas dactilares para registrar la asistencia de sus empleados al trabajo.

También multó con un millón de euros al proveedor de energía Areti por etiquetar erróneamente a algunos de sus clientes como estafadores, impidiéndoles así cambiar de proveedor de energía.

AOD de Estonia consideró que el uso de cámaras de CCTV para vigilar a los empleados no podía basarse en el consentimiento, sino únicamente en el interés legítimo en el sentido del artículo 6(1)(f) del RGPD, siempre que se hubiera realizado una evaluación válida de dicho interés.

Internacional

“Privacidad por diseño” se convierte en un estándar internacionalEl 8 de febrero, la Organización Internacional de Normalización (ISO) adoptará la norma ISO 31700.

Esto incluye 30 requisitos y orientación sobre los principios de privacidad desde el diseño.

ESTADOS UNIDOS : Además de desarrollar estándares técnicos (Marco de Gestión de Riesgos del NIST) en el área de políticas de IA, la Casa Blanca ha publicado un borrador de la Declaración de Derechos de la IA.

Varios estados de EE.UU. también están trabajando en legislación en este ámbito.

El presidente Biden recientemente se hizo eco de estas recomendaciones en una columna para el Wall Street Journal destacando los esfuerzos de su administración para combatir la discriminación algorítmica, promover la transparencia algorítmica e implementar legislación para la gobernanza de la IA.

También en el campo de la IA, la El 27 de enero, la Comisión Europea y la administración estadounidense firmaron un "acuerdo administrativo sobre inteligencia artificial para el bien público".

El acuerdo se firmó en el marco del Consejo de Comercio y Tecnología UE-EE.UU. (TTC).

Microsoft anunció en su blog a mediados de diciembre que trasladaría el almacenamiento de los datos de sus clientes europeos dentro de la Unión Europea.

Sin embargo, este programa no resuelve todos los problemas relacionados con el acceso de Estados Unidos a los datos europeos.

La Ley de la Nube permite a las autoridades penales estadounidenses acceder a datos de proveedores de servicios de nube de Estados Unidos, independientemente de dónde estén almacenados los datos y sin tener que iniciar procedimientos a través de asistencia jurídica mutua internacional.

Australia ha sido víctima de ciberataques dirigidos contra sus agencias gubernamentales y el sector privado durante varios meses.

El país sospecha de ataques de origen ruso y chino, que pretenden paralizar las instituciones y empresas del país y afectar directamente la vida de los ciudadanos a través de la difusión masiva de datos personales.

Para algunos, esto es un anticipo de lo que les espera a los países occidentales: varios sistemas ferroviarios alemanes, por ejemplo, han sufrido recientemente extraños fallos de funcionamiento.

Tras anunciarlo el pasado mes de marzoEl gobierno ruso se retira formalmente del Convenio 108 del Consejo de Europa sobre protección de datos así como todos los demás tratados internacionales del Consejo de Europa.

Tras este anuncio, el Consejo, por su parte, puso en marcha un mecanismo formal y canceló unilateralmente la membresía de Rusia.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.