Boletín Legal Nº 63 – Septiembre de 2023.

Brexit: una visión general de la protección de datos.

Desde que el Reino Unido abandonó la Unión Europea el 31 de enero de 2020, han surgido diferencias cada vez más significativas entre los marcos de protección de datos a ambos lados del Canal de la Mancha.

El país sigue aplicando la ley que transpuso el RGPD a nivel nacional, denominada "RGPD del Reino Unido", y desde el 28 de junio de 2021, el Reino Unido se beneficia de un nivel de protección adecuado, que autoriza el intercambio de datos con la UE.

La decisión de adecuación es válida hasta el 27 de junio de 2025, pero podría revisarse antes si el marco jurídico del Reino Unido cambiara significativamente antes de esa fecha.

Entre los acontecimientos que podrían generar suspicacia en la Comisión Europea se encuentra la ambición del Reino Unido de convertirse en un "centro de datos", facilitando el intercambio internacional de datos, y el actual borrador de revisión del "RGPD del Reino Unido", que pretende aliviar las obligaciones de las empresas británicas.

El 21 de septiembre, el Reino Unido formalizó el "puente de datos" que había concluido en junio con Estados Unidos.

El acuerdo entrará en vigor el 12 de octubre.

El Reino Unido también ha concluido acuerdos con varios países que la UE ya considera adecuados: Canadá, Israel, Japón, Nueva Zelanda, Suiza y Uruguay.

Su lista de prioridades también incluye Australia, Colombia, Dubái, la República de Corea y Singapur.

Esta facilitación de los intercambios internacionales plantea la cuestión de las transferencias posteriores de datos europeos que, tras pasar por el Reino Unido, serían recibidas posteriormente por un país que la UE no considera que garantice una protección de datos equivalente.

El Reino Unido está avanzando, en efecto, hacia una evaluación más pragmática de las garantías ofrecidas por terceros países, basada más en el riesgo.

Paralelamente a estas iniciativas relativas a la transferencia de datos, el Reino Unido está preparando un proyecto de ley sobre protección de datos e información digital ("Proyecto de Ley de Protección de Datos e Información Digital (n.º 2)") destinado a sustituir el actual RGPD británico.

Este texto ya fue leído dos veces en el parlamento la primavera pasada y aún debe ser debatido en una tercera lectura.

El proyecto respeta el principio de limitación de la finalidad, pero modifica su alcance: autoriza el tratamiento posterior de los datos cuando estos se hayan recopilado sin consentimiento, por ejemplo, en casos de uso basados en el interés público.

El impacto de esta norma en el uso de cookies aún no está claro, aunque el gobierno afirma que quiere limitar las ventanas emergentes no deseadas que solicitan el consentimiento del usuario.

La definición de investigación científica se ha actualizado y ampliado, y sus condiciones de práctica se han flexibilizado.

Esto podría permitir a las empresas procesar datos con mayor facilidad para fines comerciales, argumentando que estas prácticas comerciales consisten en investigación y desarrollo tecnológico. 

El proyecto también reduce los requisitos impuestos a las empresas en materia de mantenimiento de registros y control proactivo de sus actividades de procesamiento de datos, excepto para aquellas cuyo procesamiento suponga altos riesgos para los derechos de las personas.

El texto también introduce un marco para el uso de "servicios de verificación digital fiables y seguros", que parece responder al proyecto de identidad digital de la Unión Europea.

Para las empresas que operan en toda la UE, algunos de los beneficios de la reforma destinada a reducir la carga administrativa serán limitados: por ejemplo, seguirán teniendo que nombrar un responsable de protección de datos y no podrán beneficiarse de la flexibilización de ciertas normas relativas a la conservación de datos.

El plan también incluye la sustitución del organismo regulador actual, la ICO, por un consejo, y otorgar al Secretario de Estado la facultad de orientar determinadas actividades de la institución mediante la designación de prioridades estratégicas.

La existencia de un regulador independiente de protección de datos será uno de los elementos clave que la UE tendrá en cuenta al reevaluar la "equivalencia esencial" del Reino Unido con sus normas de protección de datos.

Este asunto ya ha suscitado interrogantes en el Parlamento Europeo.

La ley podría aprobarse la próxima primavera.

 

• El 18 de septiembre de 2023, la CNIL multó a la empresa de transporte aéreo de mercancías SAF LOGISTICS con 200.000 euros por recopilar demasiados datos de sus empleados, incluidos datos sensibles y extractos de antecedentes penales.

También se le imponen sanciones por no cooperar suficientemente con los servicios de la CNIL.

• A finales de septiembre tuvo lugar la Semana Europea del Desarrollo Sostenible, lo que brindó a la CNIL la oportunidad de comunicar información sobre su folleto dedicado al tema: explora las intersecciones entre la protección de datos, las libertades y el medio ambiente: "¿Proteger los datos protege el planeta? ¿Están nuestras libertades en transición? ¿Deberíamos compartir datos para proteger el medio ambiente?".

El documento intenta responder a estas preguntas y propone recomendaciones para conciliar dos objetivos.

• La CNIL publicó este verano un borrador de guía sobre la reutilización de datos públicos.

La guía incorpora la postura de la CNIL, sus homólogos, así como las decisiones de los tribunales franceses y europeos, enriquecida por una serie de consultas con diversos actores directamente involucrados en el desarrollo de enfoques para la apertura, el intercambio y la reutilización de datos de acceso público (socios institucionales, asociaciones y empresas, abogados, investigadores).

• El 29 de agosto, la CNIL (Autoridad Francesa de Protección de Datos) ordenó a Boursorama que cumpliera con las disposiciones del RGPD, "en particular, cesando el tratamiento de las credenciales de acceso al sitio web impots.gouv.fr": Boursorama solicitaba efectivamente el acceso al nombre de usuario y la contraseña del sitio web impots.gouv.fr a quienes deseaban obtener un préstamo o abrir un plan de ahorro en acciones.

La CNIL indica que la empresa dispone de un plazo de dos meses para cumplir con la normativa.

• Mozilla lanza un llamamiento público para que se reaccione ante la futura ley SREN, que prevé la implementación de un "filtro antifraude" en internet.

La fundación argumenta, en el título de su petición, que Francia está obligando a los navegadores web a "censurar sitios web".

Un mecanismo obligatorio exigiría a los intermediarios que adoptaran todas las medidas adecuadas para impedir que los usuarios de Internet accedieran a direcciones consideradas dañinas, durante un período de al menos siete días.

En principio, la fundación considera loable intentar combatir el fraude en línea.

Sin embargo, ella cuestiona los métodos elegidos para lograr este objetivo, ya que sientan un precedente, pues la estrategia de filtrado, una vez implementada, podría extenderse a otros temas.

 

 

instituciones y organismos europeos

• La Comisión Europea publica directrices sobre la nueva directiva europea de ciberseguridad, NIS2.

Esta directiva impone obligaciones en materia de seguridad, notificación de incidentes y gobernanza a entidades de diversos sectores críticos, incluidos la energía, el transporte, las finanzas, la salud y las infraestructuras digitales.

Los dos documentos de orientación ayudan a determinar si se aplican los requisitos de la NIS2 o los requisitos sectoriales, y tienen por objeto garantizar que los requisitos de registro sean coherentes en toda la Unión.

• Durante el mes de octubre, la Comisión de Libertades Civiles del Parlamento Europeo comenzará a examinar el Reglamento sobre "la protección de los niños en Internet" (CSAM).

Este texto es objeto de críticas cada vez más virulentas, en particular en lo que respecta a la medida destinada a obligar a las principales plataformas a escanear de forma proactiva el contenido privado intercambiado con sus servicios para detectar pornografía infantil.

Numerosos actores de la sociedad civil, todas las autoridades europeas de protección de datos y también abogados del Consejo de la UE creen que el reglamento impondría "limitaciones particularmente significativas al derecho a la privacidad" y que existe un "riesgo grave" de que sea contrario a textos fundamentales de la UE.

• El Mes de la Ciberseguridad es una oportunidad para que ENISA, la Agencia de la Unión Europea para la Seguridad de la Información, publique recomendaciones sobre el ransomware.

Entre los documentos disponibles se encuentran consejos para los operadores del sector eléctrico, un objetivo prioritario para los piratas informáticos.

• El 7 de septiembre, el diputado Philippe Latombe, miembro de la CNIL, impugnó ante el Tribunal de Justicia de la Unión Europea el Marco de Protección de Datos, que permite el intercambio de datos entre la UE y Estados Unidos desde este verano.
• Latombe presentó dos recursos, uno para suspender el acuerdo de inmediato y otro relativo al contenido del texto.

Está solicitando al Tribunal que suspenda urgentemente el acuerdo, invocando un reglamento europeo de 1958 que exige que los textos europeos de ámbito general se redacten en los cuatro idiomas oficiales, mientras que desde el 10 de julio, el DPF solo existe en inglés.

• El uso de herramientas de videoconferencia plantea problemas de protección de datos, especialmente porque los datos se transfieren con mucha frecuencia fuera de la UE.

El Tribunal de Justicia de la UE realizó una "evaluación del impacto de la transferencia (EIT)" en relación con su uso de Cisco Webex, y sometió el tratamiento a la autorización del Supervisor Europeo de Protección de Datos (SEPD).

La decisión del Supervisor Europeo de Protección de Datos (SEPD) y la evaluación de impacto del Tribunal de Justicia de la Unión Europea (TJUE) constituyen referencias útiles para cualquier responsable del tratamiento de datos que utilice estas herramientas en un contexto profesional.

 

Noticias procedentes de los países miembros de Europa.

• La Autoridad Belga de Protección de Datos (APD) rechazó una denuncia el 16 de agosto, a pesar de la existencia de infracciones del RGPD.

Consideró que las infracciones no habían tenido un "impacto social y/o personal importante" y que, por lo tanto, los recursos necesarios para examinar la denuncia serían desproporcionados.

• Tras la decisión vinculante del Comité Europeo de Protección de Datos (CEPD), la Comisión Irlandesa de Protección de Datos publicó su decisión final el 1 de septiembre, en la que concluyó, en particular, que TikTok infringió el principio de equidad del RGPD al tratar datos personales de menores de entre 13 y 17 años.

En la ventana emergente de registro, se animaba a los niños a optar por una cuenta pública.

La decisión final de la APD considera que la configuración pública predeterminada también era contraria a los principios de protección de datos desde el diseño y por defecto, minimización de datos y transparencia.

Además de una amonestación y una orden de cumplimiento, la autoridad irlandesa de protección de datos impuso una multa de 345 millones de euros.

• La Autoridad de Protección de Datos de Baja Sajonia, en colaboración con otras seis autoridades de protección de datos, ha elaborado una guía sobre el uso de Microsoft 365 con fines profesionales.

Las autoridades recomiendan que se celebre un acuerdo complementario entre la parte responsable y Microsoft, que deberá prevalecer sobre todos los textos contractuales contradictorios.

Este acuerdo deberá regular, en particular, los períodos de eliminación adaptados a las necesidades del responsable del tratamiento de datos, los requisitos de información relativos al uso de subcontratistas, así como el tratamiento de datos por parte de Microsoft para sus propios fines comerciales.

• En una resolución de mediados de julio relativa al tratamiento de datos con fines de marketing, la Autoridad Italiana de Protección de Datos (APD) recuerda que no está justificado, en vista del principio de limitación de la retención de datos, conservar los datos hasta la fecha de retirada del consentimiento.

Este recordatorio ya está incluido en las directrices 5/2020 del CEPD, según las cuales deben tenerse en cuenta el contexto y las expectativas legítimas de las personas: es una buena práctica exigir un consentimiento renovado periódicamente.

• El Tribunal Supremo italiano ha confirmado la ilegitimidad del despido de un empleado por parte de un banco italiano debido al control ilegal de sus correos electrónicos y a la vigilancia a la que fue sometido dicho empleado.

El Tribunal Supremo declaró que es necesario garantizar un equilibrio justo entre las exigencias de protección de los intereses y la propiedad de la empresa, vinculadas a la libertad de iniciativa económica, y la protección de la dignidad y la privacidad del trabajador, según las circunstancias.

La monitorización de todas las comunicaciones en el ordenador portátil de la empresa del demandado era injustificada porque era indiscriminada, ilimitada y porque el demandante no había informado al demandado de la posible monitorización de las comunicaciones de su ordenador portátil, ni de la naturaleza y el alcance de dicha monitorización.

• En una decisión publicada el 21 de agosto, la Autoridad Española de Protección de Datos (APD) sancionó a un responsable del tratamiento de datos por infringir los artículos 28(2) y 28(3) del RGPD.

Esta sanción se impuso a pesar de que no existía ningún contrato entre el responsable del tratamiento de datos y los subcontratistas, y de que el responsable del tratamiento de datos no había sido informado de la participación de los subcontratistas en las actividades de procesamiento de datos.

• La Agencia Española de Protección de Datos (APD) publica un blog sobre monedas digitales en el que aborda los mayores riesgos que plantean las criptomonedas: volatilidad, especulación, falsa sensación de disponibilidad, seguridad y anonimato.
• La Comisión Electoral del Reino Unido anunció el 8 de agosto que había sido víctima de una filtración de datos.

El ciberataque se remonta a agosto de 2021 y fue descubierto en octubre de 2022.

Los piratas informáticos, que aún no han sido identificados, obtuvieron acceso a los datos de 40 millones de votantes registrados entre 2014 y 2022.

• El gobierno británico ha suspendido sus planes para debilitar el cifrado en línea mediante la implementación del proyecto de ley de seguridad en línea.

Este proyecto de ley pretendía obligar a aplicaciones de mensajería como WhatsApp a analizar las conversaciones de sus usuarios en busca de pornografía infantil. Las cláusulas controvertidas se mantendrían en el proyecto de ley, pero el gobierno británico ha declarado que no obligará a las empresas tecnológicas a implementarlas.

• Un equipo de investigación británico publicó un artículo en agosto de 2023 sobre el desarrollo de una inteligencia artificial (IA) capaz de descifrar una contraseña simplemente escuchando los sonidos producidos por las teclas del teclado.

La IA fue entrenada con un conjunto de datos de más de 100.000 pulsaciones de teclas y probada con éxito en una variedad de dispositivos, incluidos ordenadores portátiles, teléfonos inteligentes y altavoces inteligentes.

 

• La Organización Internacional de Normalización (ISO) publicó recientemente la norma ISO 22989:2022 – Conceptos y terminología de la IA, que establece la terminología y describe los conceptos en el campo de la inteligencia artificial.

Este documento puede utilizarse para desarrollar otros estándares y para facilitar la comunicación entre las distintas partes interesadas. Es aplicable a todo tipo de organizaciones (empresas comerciales, organismos gubernamentales, organizaciones sin ánimo de lucro).

• Según se informa, Meta se está preparando para implementar un modelo de suscripción de pago para sus plataformas de redes sociales Instagram y Facebook.

Según el Wall Street Journal, los usuarios que no deseen que se les rastree con fines de publicidad personalizada deberán pagar entre 10 y 15 euros al mes, dependiendo del dispositivo utilizado (teléfono inteligente, ordenador).

• La videovigilancia con reconocimiento biométrico está en el centro de un escándalo en Argentina: errores, un sistema susceptible de manipulación, acceso no autorizado, falta de medidas de transparencia…

El 75% de la capital está bajo videovigilancia, pero el sistema de reconocimiento facial está siendo criticado después de que al menos 140 errores hayan provocado controles policiales o detenciones desde 2019.

Los activistas decidieron demandar al gobierno de la ciudad y en abril de 2022 lograron la desactivación del sistema.

Desde entonces, la ciudad de Buenos Aires ha estado luchando para volver a ponerlo en servicio.

• Un investigador de seguridad indonesio reveló en Twitter que un hacker ha puesto a la venta por 10.000 dólares un archivo que contiene los datos de casi 35 millones de titulares de pasaportes.

Ya se sabe que el pirata informático robó y puso a la venta en 2022 los datos de 1.300 millones de tarjetas SIM de los servidores del Ministerio de Comunicaciones y Tecnologías de la Información de Indonesia, y también se sospecha que está detrás del robo de información personal de 17 millones de clientes de la compañía eléctrica indonesia en 2022 (a través de la AFCDP).

• A mediados de septiembre, Arabia Saudí publicó su reglamento para la aplicación de la ley de protección de datos personales, así como el reglamento sobre la transferencia de datos personales fuera del Reino.
• El 15 de octubre de 2021, el gobierno ruandés promulgó una ley sobre la protección de datos personales y la privacidad.

El gobierno ha concedido un período de transición de dos años para que las personas y organizaciones adapten sus actividades de procesamiento de datos a la ley. Este período finalizará el 15 de octubre de 2023.