Boletín Legal Nº 79 – Enero de 2025. 

Alojamiento de datos profesionales: cuidado con las plataformas para consumidores.

Las obligaciones de los proveedores de alojamiento de datos en la lucha contra la pornografía infantil tienen un impacto muy significativo en la confidencialidad de los documentos que les confiamos.

Esto es lo que un abogado parisino descubrió recientemente, para su desgracia, al almacenar información confidencial extremadamente sensible en Google Drive en el contexto de un caso penal.

La sentencia del Tribunal de Apelación de París del 24 de enero recuerda a los abogados —así como a cualquier profesional que maneje datos sensibles— que la confidencialidad de los datos no está garantizada en servicios de alojamiento como Google Drive.

De hecho, Google, como cualquier otra empresa sujeta a la legislación estadounidense, puede, en el contexto de la lucha contra el abuso sexual infantil, eliminar una cuenta de alojamiento web o una cuenta de correo electrónico en caso de sospecha de ilegalidad de los datos.

En este caso concreto, al abogado que había almacenado varias docenas de imágenes de pornografía infantil en Google Drive, procesadas en el contexto legítimo de un caso penal, le eliminaron su cuenta de Drive, así como su cuenta de Gmail.

También fue denunciado ante el NCMEC (Centro Nacional para Niños Desaparecidos y Explotados).

Ante la demanda del abogado, que exigía la devolución de sus datos y una indemnización por daños y perjuicios a Google, el Tribunal confirmó que la posesión de los archivos, incluso en un contexto profesional, no justificaba su retención y que la suspensión de la cuenta y la denuncia eran legítimas en virtud de las obligaciones legales a las que está sujeto el proveedor de alojamiento web.

Cabe recordar que los algoritmos de detección que analizan constantemente los archivos y correos electrónicos almacenados no distinguen entre archivos confidenciales legítimos y contenido ilegal, ni entre actividades personales o profesionales.

Una cuenta puede suspenderse sin previo aviso y sin posibilidad de apelación, lo que significa que un abogado puede perder el acceso inmediato a sus archivos y comunicaciones, incluso en el curso de una actividad profesional legítima.

Además, y siguiendo con el tema de la pornografía infantil, los proveedores de alojamiento web estadounidenses que ya analizan el contenido almacenado en sus servidores están obligados a denunciar al usuario ante el servicio policial competente en Francia, es decir, la OFMIN.

El uso de servicios seguros es aún más esencial al ejercer una profesión regulada.

En este sentido, recordemos el informe publicado por la ANSSI en 2023 sobre el estado de la ciberamenaza contra los despachos de abogados.

Si bien los abogados generalmente cuentan con un sistema (e-Drive) y una dirección (avocat.fr) propios y seguros, al igual que los médicos, esto no ocurre necesariamente en todas las profesiones, especialmente en aquellas que no están reguladas.

Actualmente, la normativa europea, y en particular la LCEN francesa (ley del 21 de junio de 2004 sobre la confianza en la economía digital), no establece la obligación de que los proveedores de alojamiento web realicen un análisis sistemático de los datos almacenados, sino la obligación de verificarlos en caso de notificación y sospecha de infracción.

No obstante, el marco jurídico podría evolucionar a nivel europeo con la adopción del futuro reglamento CSAR, cuyo objetivo es prevenir y combatir el abuso sexual infantil.

Si bien nadie cuestiona la validez de los objetivos, el plan para permitir el escaneo sistemático de las comunicaciones privadas está generando un intenso debate.

En la actualidad, se recomienda encarecidamente en cualquier caso:

• Utilizar soluciones en la nube dedicadas a profesionales, diseñadas, cuando proceda, para profesiones reguladas y que garanticen el respeto al secreto profesional;
• Para separar estrictamente los usos personales de los profesionales;
• Para cifrar los datos de extremo a extremo;
• Elegir un proveedor de alojamiento web soberano con sede en Francia, o al menos en Europa.

 

Los días 10 y 11 de febrero, Francia acogerá el Cumbre de Acción sobre Inteligencia Artificial (IA), que reunirá en el Grand Palais a jefes de Estado y de Gobierno, líderes de organizaciones internacionales, directores ejecutivos de pequeñas y grandes empresas, representantes del mundo académico, organizaciones no gubernamentales, artistas y miembros de la sociedad civil.

La CNIL publica su plan estratégico 2025-2028.Este último comprende cuatro ejes principales:

• Inteligencia artificial,
• Derechos de los menores,
• Ciberseguridad
• Usos digitales cotidianos.

Se centrará en dos de estos usos: las aplicaciones móviles y la identidad digital.

La CNIL también publicará varias directrices para los responsables del tratamiento de datos a principios de este año.

Ella publicó la versión final de su obra el 31 de enero. Guía sobre evaluaciones de impacto para transferencias de datos fuera de la Unión Europea.

En una publicación del 23 de enero, nos recuerda que Comprobaciones que deben realizarse al utilizar bases de datos disponibles gratuitamente en Internet. o proporcionado por un tercero.

También responde a las filtraciones de datos a gran escala que afectaron a millones de personas en 2024 y propone medidas para reforzar la seguridad y hacer frente a los riesgos de ataque.

Estas disposiciones se refieren a los procedimientos internos de la empresa, así como a las precauciones que deben tomarse en caso de subcontratación.

Ella todavía la recuerda Recomendaciones sobre cómo integrar SDK (kits de desarrollo de software) en aplicaciones móvilese indica que realizará controles para garantizar su cumplimiento con el RGPD.

Finalmente lo publicó el 20 de enero. revisión de sus controles en el marco de una acción europea coordinada relativa al respeto del derecho de accesoy señala que las medidas implementadas por los responsables del tratamiento de datos a veces son insuficientes: por ejemplo, cuando las personas ejercen su derecho a acceder a todos sus datos, algunas organizaciones solo proporcionan una respuesta parcial o incompleta.

La asociación de consumidores UFC-Que Choisir perdió su demanda contra Google.

En junio de 2019, interpuso una demanda colectiva contra la empresa, denunciando prácticas contrarias al RGPD: geolocalización intrusiva, seguimiento de movimientos sin consentimiento y publicidad dirigida no solicitada.

La demanda colectiva se basó en una decisión de la CNIL que había impuesto una multa récord de 50 millones de euros a Google.

La asociación exigía 1000 euros por usuario afectado, lo que suponía un total de 27.000 millones de euros.

El tribunal judicial de París rechazó la solicitud, alegando falta de pruebas suficientes, y ordenó a la asociación pagar 10.000 euros en concepto de costas judiciales a Google.

 

instituciones y organismos europeos

El 16 de enero, el El Comité Europeo de Protección de Datos ha adoptado directrices relativas a la seudonimización.

En ellas se especifican la definición y las condiciones de aplicación de la seudonimización, así como sus ventajas.

También proporcionan varios ejemplos.

Si bien la pseudonimización no exime a los datos de la aplicación del RGPD, sí reduce los riesgos asociados al tratamiento de datos (por ejemplo, en el caso del ransomware).

Las directrices están abiertas a comentarios hasta el 28 de febrero.

El miércoles 29 de enero, el Tribunal General de la Unión Europea (TG) falló a favor del Comité Europeo de Protección de Datos (CEPD) en una disputa con la Autoridad Irlandesa de Protección de Datos (APD).

La decisión del Comité, impugnada por Irlanda, solicitaba a la Autoridad de Protección de Datos (DPA) que ampliara su investigación sobre las infracciones del RGPD cometidas por Meta.

El tribunal señala que "una ampliación de la investigación, solicitada necesariamente por al menos la mitad de las autoridades de control (...), no tiene por objeto, contrariamente a lo que alega el demandante, complicar la tarea de la persona que presentó la denuncia o la del controlador objeto de la misma, sino que constituye una medida para defender sus respectivos derechos" (§56).

En su decisión T-354/22, el Tribunal General de la Unión Europea condenó a la Comisión Europea por infringir el RGPD en el contexto del registro en línea para un evento que ella misma organizaba.

Mediante el enlace "Conectar con Facebook" que aparece en la página principal, la Comisión "creó las condiciones que permitieron la transmisión de la dirección IP del solicitante a Facebook" y, por consiguiente, a Estados Unidos.

En aquel momento, el Escudo de Privacidad había quedado invalidado y, por lo tanto, la transmisión se consideró contraria al artículo 46 del Reglamento 2018/1725.

El Tribunal sostuvo que "el daño moral alegado por el demandante debe considerarse real y cierto", ya que la transferencia "lo colocó en una situación de inseguridad con respecto al tratamiento de sus datos personales, en particular su dirección IP".

Esta decisión podría tener consecuencias si se invalida el "Marco de privacidad de datos", ya que reconoce que la simple conexión de un usuario de Internet a un servicio estadounidense constituye una transferencia de datos personales a Estados Unidos.

En la sentencia «Mousse» del 9 de enero de 2025 (C-394/23), el Tribunal de Justicia de la Unión Europea (TJUE) considera que no es necesario preguntar a los compradores de billetes de tren si deben ser llamados «Señor» o «Señora».

El Tribunal recuerda que "para que el tratamiento de datos personales se considere necesario para la ejecución de un contrato, en el sentido de esta disposición, debe ser objetivamente indispensable para lograr una finalidad que forme parte integrante del servicio contractual destinado al interesado".

En este caso, el Tribunal indica que parece existir una solución práctica y menos intrusiva: la empresa en cuestión podría optar por una comunicación basada en fórmulas genéricas, inclusivas y corteses que no estén correlacionadas con una identidad de género presunta.

En una sentencia de 9 de enero, el TJUE también aclaró los criterios para definir las solicitudes "excesivas" en el sentido del artículo 57, apartado 4, del RGPD, haciendo hincapié en que no se trata solo del número de solicitudes realizadas por el interesado, sino más bien de la intención abusiva que hay detrás de dichas solicitudes.

Esta decisión afecta a los APD, pero el razonamiento resulta interesante para los responsables del tratamiento de datos.

El Tribunal de Justicia de la Unión Europea considera que las autoridades de control tienen la carga de la prueba y deben demostrar la existencia de una intención abusiva por parte de la persona que realizó la solicitud.

La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 19 de diciembre de 2024 (asunto C-65/23) aclara que, si bien los acuerdos empresariales pueden constituir una base jurídica específica, los empleadores deben asegurarse de que este tipo de acuerdo cumpla con el RGPD.

En este caso concreto, una empresa alemana y su comité de empresa habían suscrito acuerdos relativos al tratamiento de los datos de los empleados.

La disputa giraba en torno al uso de un nuevo software basado en la nube, a través del cual se transferían datos personales a servidores en Estados Unidos.

El Tribunal de Justicia de la Unión Europea subraya que los tribunales nacionales están obligados a verificar el cumplimiento de todos los principios del RGPD, incluso si el tratamiento de datos se basa en un convenio colectivo.

 

Noticias procedentes de los países miembros de la Unión Europea.

En Bélgica, la Autoridad Belga de Protección de Datos (APD) reprendió el 7 de enero a un empleador por gestionar ilegalmente las denuncias relativas a la agresión a un menor por parte de uno de sus empleados.

El responsable de seguridad de la empresa había solicitado a la Autoridad Nacional de Seguridad francesa la prórroga de la autorización de seguridad de uno de sus empleados, solicitud que fue rechazada mediante una decisión motivada de la Autoridad, comunicada a la dirección y al empleado.

Sin embargo, la dirección transmitió esta información al supervisor directo de la persona, quien inició un proceso disciplinario en su contra.

La APD señala múltiples infracciones, entre ellas la falta de base jurídica, la transmisión de datos sin una finalidad compatible, el tratamiento ilícito de datos sensibles y la falta de transparencia hacia la persona afectada.

En Dinamarca, la APD aceptó la solicitud del FC Copenhague de utilizar tecnología de reconocimiento facial durante los partidos de fútbol, de conformidad con la legislación nacional, argumentando que la aplicación prevista de las suspensiones constituye un interés público sustancial.

No se ha concedido permiso para eventos que no sean partidos de fútbol.

La asociación danesa "Danes je nov dan" ha lanzado una herramienta diseñada para poner a prueba la capacidad de los usuarios para identificar contenido generado por IA, al tiempo que les informa sobre los riesgos asociados a su mal uso.

Presentada en forma de cuestionario interactivo, la herramienta abarca diversas áreas como el reconocimiento de imágenes sintéticas, textos y vídeos.

A diferencia de su homóloga danesa, la Agencia Española de Protección de Datos (APD) consideró que la implementación de un sistema opcional de reconocimiento facial, utilizado para gestionar el acceso a un estadio de fútbol, violaba el principio de minimización de datos, ya que existían alternativas menos invasivas, y sobre esta base impuso una multa de 200.000 euros a los responsables.

La Autoridad Española de Protección de Datos (APD) también multó al operador CI Postal con 200.000 euros por haber abandonado, entre septiembre y octubre de 2022, alrededor de 8.000 cartas que le habían sido confiadas por varias empresas en espacios públicos.

La APD constata una infracción de los artículos 5(1)(f) y 32 del RGPD en materia de confidencialidad y seguridad, y señala la ausencia de un sistema de trazabilidad para el correo y la formación insuficiente de los empleados sobre las normas de protección de datos.

Además, multó a Generali España con 4.000.000 de euros tras detectar importantes deficiencias en el enfoque de la empresa en materia de seguridad de datos.lo que permitió que un tercero no autorizado accediera a los datos de más de 25.000 antiguos clientes.

La Autoridad de Protección de Datos de Estonia (APD) ha multado a Asper Biogene con 85.000 euros (el 10% de su facturación) por no proteger adecuadamente los datos confidenciales durante un ataque de ransomware..

La empresa realiza pruebas genéticas como pruebas de paternidad y análisis de enfermedades hereditarias.

Los piratas informáticos lograron descargar más de 33 GB de archivos PDF, sin anonimizar ni seudonimizar, relativos a aproximadamente 100.000 estonios.

En Grecia, la Autoridad de Protección de Datos (APD) impuso una multa de 50.000 euros al Ministerio de Crisis Climática y Protección Civil por no haber designado un Delegado de Protección de Datos (DPD)., violando así, entre otras cosas, el artículo 37 del RGPD.

La startup china Deepseek lanzó a finales de enero un chatbot similar a ChatGPT de OpenAI y Co-Pilot de Microsoft.

Además de las acusaciones de gigantes estadounidenses de que Deepseek utilizó datos generados por sus propios sistemas, el chatbot chino ya ha llamado la atención de la Autoridad Italiana de Protección de Datos (APD): el 30 de enero, la APD bloqueó el chatbot en Italia y abrió una investigación tras recibir respuestas de Deepseek que se consideraron totalmente insuficientes a sus preguntas.

Las APD irlandesas, belgas y francesas también indicaron que habían abordado el tema.

Las decisiones relativas a las "prácticas engañosas" en las cookies son cada vez más numerosas.ent: En Suecia, la APD reprendió a una empresa de juegos de azar por el mal diseño de su banner de cookies.

El hecho de que se resaltara gráficamente la opción de aceptación y los pasos adicionales necesarios para rechazar las cookies invalidaba el consentimiento según el artículo 6 del RGPD.

La APD también emitió tres resoluciones de amonestación contra empresas que, durante períodos que oscilaban entre unos pocos meses y varios años, habían integrado el servicio de medición de audiencia de Meta (Meta Pixel) en sus páginas web.

Esta integración tuvo el efecto de redirigir el tráfico a Meta de forma invisible para los usuarios.

 

La Autoridad de Protección de Datos del Reino Unido (DPA, por sus siglas en inglés) anunció en un comunicado de prensa el 23 de enero que está abordando el problema del cumplimiento de la normativa sobre cookies para los 1.000 sitios web más grandes del Reino Unido.

La ICO también publica una "estrategia" para garantizar que el seguimiento en línea ofrezca a las personas "opciones claras y confianza en cómo se utiliza su información", así como nuevas directrices sobre los modelos de "consentimiento o pago".

En Estados Unidos, los tres miembros demócratas de la Junta de Supervisión de la Privacidad y las Libertades Civiles (PCLOB, por sus siglas en inglés), un consejo encargado de revisar los programas de vigilancia de seguridad nacional desde la perspectiva de la privacidad, fueron destituidos el 27 de enero tras negarse a dimitir tal y como les había pedido la Casa Blanca.

En el contexto del "Marco de Protección de Datos" entre Europa y Estados Unidos, la PCLOB se consideraba un recurso esencial para respetar los derechos de las personas en materia de vigilancia masiva.

Aún se desconoce el impacto de esta medida en la viabilidad del acuerdo transatlántico.

Tras revocar la orden ejecutiva sobre IA del expresidente Joe Biden, Donald Trump firmó una nueva que "revoca ciertas políticas y directrices existentes sobre IA que constituyen obstáculos para la innovación estadounidense en este campo, allanando el camino para que Estados Unidos actúe con decisión y mantenga su posición como líder mundial en inteligencia artificial".

El 23 de enero, OpenAI presentó su agente "Operator", descrito como "un agente que puede conectarse a la web para realizar tareas por usted".

Mientras que las aplicaciones de IA generativa pueden, por ejemplo, responder preguntas, resumir textos y crear imágenes y vídeos sintéticos, las aplicaciones de IA agente pueden realizar tareas más complejas, no solo creando sino también implementando contenido.

Operator está diseñado, por lo tanto, para automatizar tareas como planificar vacaciones, rellenar formularios o hacer la compra.

Está entrenado para interactuar con los botones, menús y campos de texto habituales de la web, y también puede hacer preguntas adicionales para personalizar aún más estas tareas.

Open AI aclara que los usuarios pueden tomar el control de la pantalla en cualquier momento.