Informe jurídico n.º 76 – Octubre de 2024.  

Ciberataques: un riesgo creciente y un marco legal en constante evolución.

 El número de ciberataques dirigidos contra empresas o servicios públicos en Francia este otoño es incontable.

Tras Boulanger, Cultura, Truffaut, Grosbill y SFR, ahora le toca a Free sufrir un importante ciberataque, justo cuando finaliza el mes de concienciación sobre ciberseguridad.

En un correo electrónico dirigido a sus clientes, la empresa informó que el ataque provocó el acceso no autorizado a algunos datos personales asociados a las cuentas de los suscriptores, incluyendo sus credenciales de inicio de sesión, información de contacto, detalles contractuales y, en algunos casos, su IBAN. Se estima que la filtración afecta a más de 19 millones de clientes.

Free ha notificado a la CNIL y a la ANSSI sobre la filtración de datos.

Si además tenemos en cuenta los ataques a gran escala que sufrieron dos importantes organizaciones de pagos de terceros y France Travail a principios de 2024, algunos estiman que, en la actualidad, los datos de más de 40 millones de franceses están a la venta en la web oscura.

El aumento de estos ataques ha llevado a la CNIL a publicar una ficha informativa para ayudar a los afectados a protegerse.

Aconseja, en particular, revisar la actividad de la cuenta bancaria, estar alerta ante los riesgos de robo de identidad y suplantación de identidad (phishing), cambiar las contraseñas y utilizar procedimientos de autenticación multifactor.

Hasta ahora, a diferencia de sus homólogos europeos, la CNIL rara vez sancionaba a las empresas víctimas de ciberataques por no proteger sus datos.

Sin embargo, acaba de sancionar a la empresa de seguridad de criptoactivos Ledger por no proteger adecuadamente los datos de sus clientes.

Según La Lettre, que publicó la noticia el 23 de octubre, la multa impuesta asciende a 750.000 euros. La CNIL no ha confirmado esta cantidad.

La empresa sufrió varias filtraciones de datos personales en 2020, que afectaron a numerosos clientes y potenciales clientes.

Se están añadiendo nuevas normas a las disposiciones del RGPD, que exigen a los responsables del tratamiento de datos que protejan los datos.

Estas son las obligaciones de la directiva europea NIS2, que entró en vigor el 17 de octubre.

Esta directiva tiene por objeto mitigar las amenazas a las redes y los sistemas de información que prestan servicios esenciales en sectores clave, con el fin de reforzar la seguridad de la Unión Europea.

El texto amplía su ámbito de aplicación en comparación con la directiva NIS1 y se dirige específicamente a las infraestructuras y entidades esenciales para el correcto funcionamiento de las actividades económicas y sociales en el mercado interior: las administraciones públicas, las infraestructuras de telecomunicaciones, los servicios de información y comunicación, los proveedores de servicios digitales, pero también los sectores de la fabricación de alimentos o productos químicos, la sanidad o el tratamiento de aguas residuales.

Los requisitos se refieren en particular a las medidas de gobernanza y gestión de riesgos cibernéticos, la compartimentación de los sistemas de información administrativos, la obligación de informar sobre cualquier incidente y la seguridad de las cadenas de suministro.

La directiva prevé, al igual que el RGPD, la notificación de incidentes y las sanciones económicas.

Si bien se prevé un período de tres años para el cumplimiento total, es necesario establecer rápidamente un mínimo, a saber: "el registro de la entidad regulada en la ANSSI a través del portal "monespaceNIS2", la notificación de incidentes y la demostración de inversiones en soluciones de seguridad".

Independientemente de las normas y sanciones, es importante recordar las consecuencias humanas de las violaciones de seguridad.

Esto es precisamente lo que acaba de hacer el Comisionado de Información británico (ICO, por sus siglas en inglés) en una publicación del 28 de octubre.

La autoridad subraya, en una advertencia dirigida a los responsables del tratamiento de datos, los efectos a veces devastadores de las filtraciones de datos.

Menciona que el 55% de los adultos en el Reino Unido han sufrido la pérdida o el robo de sus datos, lo que representa a casi 30 millones de personas.

Con demasiada frecuencia se pasan por alto las consecuencias personales y emocionales de esta situación: 301.000 víctimas denuncian angustia emocional, mientras que 25.000 de ellas no reciben ayuda de las organizaciones responsables.

Además, el 32% de los afectados se enteran a través de los medios de comunicación en lugar de la propia organización, lo que acentúa su sentimiento de traición.

La ICO señala que demasiadas organizaciones no miden adecuadamente el daño y descuidan la protección de los datos personales.

"Cuando se produce una filtración de datos, no se trata simplemente de un error administrativo, sino de un fallo en la protección de alguien."

 

        

El 26 de septiembre, la CNIL (Autoridad Francesa de Protección de Datos) multó a Cosmospace y Telemaque, proveedores de servicios psíquicos, con 250.000 € y 150.000 € respectivamente, por no obtener el consentimiento explícito de las personas afectadas. antes del procesamiento de datos sensibles en el contexto de sesiones de consulta grabadas.

Asimismo, anunció que desde junio de 2024 ha impuesto once nuevas sanciones simplificadas, relativas a delitos relacionados con la recopilación excesiva de datos, la falta de registro, el incumplimiento del respeto a los derechos de las personas o la falta de cooperación.

Finalmente, el 17 de octubre de 2024, llamó la atención del Ministerio del Interior y Territorios de Ultramar y del Ministerio de Justicia sobre su deficiente gestión del expediente de tramitación de antecedentes penales.

El 19 de noviembre, la CNIL organiza un evento llamado "Aire", dedicado a la vigilancia y sus implicaciones éticas.

Los debates serán organizados conjuntamente con la Comisión Nacional para el Control de las Técnicas de Inteligencia (CNCTR).

La Fiscalía de París anunció que el 18 de octubre de 2024, durante una reunión de Eurojust, las autoridades judiciales belgas y francesas formaron un equipo conjunto de investigación (JIT) en relación con las investigaciones sobre Telegram.

En Francia, en febrero de 2024 se abrió una investigación preliminar, que dio lugar a la apertura de una investigación judicial y, posteriormente, a la detención de Pavel Durov este verano.

La sección de delitos informáticos de la Fiscalía de París había consultado previamente con varias fiscalías y servicios de investigación, así como con sus socios extranjeros dentro de Eurojust, sobre la dificultad para obtener respuestas a las solicitudes.

El 3 de octubre, el Tribunal de Casación revocó una sentencia del Tribunal de Apelación de Caen y reiteró que un tribunal debe respetar el principio de minimización de datos cuando ordena a un empleador que presente pruebas de posible discriminación salarial en el contexto de un procedimiento civil.

Los datos personales solicitados como prueba deberán limitarse a lo estrictamente necesario para el procedimiento.

El 22 de octubre, la ONG Noyb presentó una denuncia ante la CNIL contra la plataforma de redes sociales Pinterest..

Noyb indica que, a pesar de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 4 de julio de 2023 que condena esta práctica, la plataforma utiliza los datos personales de los usuarios sin solicitar su consentimiento, basándose en su interés legítimo, y que activa el seguimiento por defecto.

La plataforma también está siendo criticada por no proporcionar información sobre los terceros con los que comparte datos.

 

instituciones y organismos europeos

La Comisión Europea publicó el 9 de octubre el informe de su primera revisión relativa a la decisión de adecuación del marco de protección de datos (DPF) entre la UE y Estados Unidos.

La Comisión concluye que las autoridades estadounidenses "han puesto en marcha todos los elementos constitutivos del marco".

Esto incluye la implementación de medidas de protección para limitar el acceso de los servicios de inteligencia estadounidenses a los datos personales a lo estrictamente necesario y proporcional para proteger la seguridad nacional, así como el establecimiento de un mecanismo de reparación independiente e imparcial.

El informe contiene recomendaciones para garantizar que el marco siga funcionando eficazmente, como por ejemplo, el desarrollo de directrices comunes sobre los requisitos clave del DPF.

Durante su sesión plenaria de los días 8 y 9 de octubre, el Comité Europeo de Protección de Datos (CEPD) adoptó una opinión sobre los encargados del tratamiento y los encargados posteriores, directrices sobre el interés legítimo, una declaración sobre normas de procedimiento adicionales para la aplicación del RGPD y el programa de trabajo del CEPD para el período 2024-2025.

El 4 de noviembre, el Comité también adoptó su primer informe sobre el marco de protección de datos entre la UE y EE. UU., así como una declaración sobre el acceso a los datos por parte de las fuerzas del orden.

Destaca los progresos realizados y anima a las autoridades estadounidenses a elaborar nuevas directrices y a la Comisión Europea a supervisar el mecanismo de reparación para los ciudadanos de la UE.

En su sentencia C-507/23, de 4 de octubre, el TJUE dictaminó que una disculpa puede constituir una reparación adecuada por daños no pecuniarios con arreglo al artículo 82, apartado 1, del RGPD, en particular cuando sea imposible volver a la situación anterior al daño, siempre que esta forma de reparación sea capaz de compensar íntegramente el daño sufrido por el interesado.

 

Noticias procedentes de los países miembros de la Unión Europea.

La Autoridad Belga de Protección de Datos (APD) publicó en línea el 9 de octubre los documentos de su jornada de estudio sobre "ciudades inteligentes".

El objetivo era proporcionar una plataforma de debate donde las partes interesadas pudieran compartir sus experiencias, mejores prácticas, desafíos, soluciones y visiones para el futuro de las "ciudades inteligentes".

El informe de la jornada de estudio, las intervenciones de los participantes y las secuencias de vídeo están disponibles en la página web de la APD.

En una decisión de fecha 11 de octubre relativa a RTL Belgium, la APD también recuerda al responsable del tratamiento de datos que debe facilitar a los visitantes de su sitio web tanto el rechazo de la instalación de cookies como su aceptación, lo que constituye una aplicación concreta de las condiciones para la validez del consentimiento.

La APD también aprueba el diseño de los botones que se presentan al visitante y remite en particular al trabajo del CEPD sobre este tema.

En este caso particular, el botón naranja brillante de "Aceptar y cerrar" destacaba especialmente del resto del banner de cookies, y para la APD, "este es el botón en el que se centrará principalmente la atención de los usuarios".

En respuesta al argumento de RTL sobre la "libertad artística", la APD replica que "Los responsables del tratamiento de datos deben asegurarse de que el uso de un color no incite de forma evidente a los usuarios a dar su consentimiento para la instalación de cookies en su navegador."

Sin embargo, no hay nada que impida a los responsables del tratamiento de datos utilizar un color de botón que anime igualmente a los usuarios a rechazar la instalación de cookies.

Cabe señalar que la Autoridad Austriaca de Protección de Datos (APD) tomó una decisión en el mismo sentido el 28 de octubre con respecto a la empresa pública de radiodifusión Österreichischer Rundfunk: ordenó a la empresa que adaptara el banner de cookies en su sitio web, porque el resaltado gráfico de la opción "aceptar todas las cookies" invalida el consentimiento del interesado según el artículo 6(1)(a) del RGPD.

Estos dos casos forman parte de una serie de denuncias presentadas por la ONG Noyb en varios países de la UE, y cabe esperar que pronto se tomen nuevas decisiones al respecto.

La Agencia Irlandesa de Protección de Datos (DPA, por sus siglas en inglés) anunció su decisión final el 24 de octubre tras una encuesta realizada en LinkedIn., investigación iniciada tras una denuncia presentada inicialmente ante la CNIL por La Quadrature du net en 2018.

Se centró en el tratamiento que LinkedIn da a los datos personales con fines de análisis del comportamiento y publicidad dirigida a los usuarios, y abordó la legalidad, la equidad y la transparencia de dicho tratamiento.

La decisión incluye una amonestación, una orden para que LinkedIn adapte sus procesos a la normativa vigente y multas administrativas por un total de 310 millones de euros.

La Autoridad Italiana de Protección de Datos (APD) ha multado a Postel SpA, el principal servicio postal de Italia, con 900.000 euros por no haber respondido durante casi un año a una vulnerabilidad conocida y denunciada en sus sistemas.Esto hizo posible una filtración de datos personales: en agosto de 2023, la empresa fue blanco de un ataque de ransomware que provocó el bloqueo de sus servidores y algunas estaciones de trabajo.

La información, publicada en la web oscura, versaba sobre datos de identificación y contacto, datos de pago, así como datos relativos a condenas y delitos penales, datos de salud y afiliación sindical.

La Autoridad de Protección de Datos de los Países Bajos (APD, por sus siglas en inglés) anunció el 23 de octubre que había investigado ocho parques vacacionales que utilizan el reconocimiento facial para acceder a piscinas y zonas de juego, y descubrió que todos estos parques infringían las leyes de privacidad debido a la falta de información y a la ausencia de un consentimiento válido.

Presionados por la APD, siete de los parques modificaron sus métodos de procesamiento de datos.

 

Un archivo de Excel ha permitido la divulgación de la información personal de 9.483 agentes y empleados de la policía de Irlanda del Norte.

En respuesta a dos solicitudes de acceso a los datos, la policía facilitó el archivo con la información anonimizada, pero sin eliminarla. Considerada responsable de la filtración, la policía fue multada con la cifra récord de 900 000 euros por la Autoridad de Protección de Datos (DPA) del Reino Unido.

En un contexto similar, la ICO también sancionó al ayuntamiento de Southend-on-Sea: en respuesta a una solicitud de acceso a documentos administrativos, el ayuntamiento proporcionó una hoja de cálculo que aún contenía datos personales.

Las autoridades de protección de datos de 16 jurisdicciones, entre ellas Australia, Canadá, China, España y el Reino Unido, adoptaron una declaración conjunta sobre las tecnologías de "extracción de datos" en el marco de la conferencia internacional de autoridades de protección de datos.

El comunicado subraya que las organizaciones deben cumplir con las leyes de protección de datos cuando utilizan información personal, incluida la información de sus propias plataformas, para desarrollar grandes modelos de lenguaje de IA (LLM).

El comunicado, publicado el 28 de octubre, describe otras expectativas, entre ellas que las organizaciones:

• Implementan una combinación de medidas de seguridad, las revisan y actualizan periódicamente para mantenerse al día con los avances en las técnicas y tecnologías de extracción de datos; y
• Garantizan que la extracción autorizada de datos con fines comerciales o de beneficio social se lleve a cabo de conformidad con la ley y las estrictas condiciones contractuales.

A mediados de octubre, se celebró en Italia la cumbre del G7 de autoridades de protección de datos, con el objetivo de reforzar la colaboración entre las autoridades a nivel mundial.

Se adoptó una declaración sobre el papel de las autoridades para garantizar que la IA se utilice de forma responsable.

También se publicó un comunicado que subraya la importancia de un mecanismo sólido para los flujos de datos transfronterizos que proteja los datos personales a nivel mundial.

El 20 de octubre, la Agencia Australiana de Protección de Datos (DPA, por sus siglas en inglés) publicó dos documentos de orientación sobre protección de la privacidad e inteligencia artificial:

• Una guía sobre el uso de productos de inteligencia artificial disponibles comercialmente;
• Una guía para el desarrollo y entrenamiento de modelos de IA generativa.

Entre los puntos clave relativos a la primera guía, la APD destaca que

• Las obligaciones de privacidad se aplican a cualquier información personal introducida en un sistema de IA, así como a los datos de salida generados por la IA (cuando contienen información personal).
• Si se utilizan sistemas de IA para generar o inferir información personal, incluidas imágenes, esto constituye una recopilación de información personal que debe cumplir con los principios de protección de datos.

Como buena práctica, la APD recomienda que las organizaciones no introduzcan información personal, y en particular información sensible, en herramientas de IA generativa disponibles públicamente, debido a los importantes y complejos riesgos para la privacidad que esto conlleva.

Las comunicaciones internas de TikTok, hechas públicas en octubre, mostraron que a la empresa no le preocupaban los efectos nocivos de la aplicación en los adolescentes estadounidenses, a pesar de que sus propias investigaciones habían puesto de manifiesto numerosas preocupaciones.

Estos documentos confidenciales forman parte de una investigación de más de dos años llevada a cabo por 14 fiscales generales de los Estados Unidos.

La demanda alega que TikTok fue diseñada con la intención expresa de crear adicción en los jóvenes a la aplicación, y que la empresa engañó al público sobre los riesgos que conllevaba.

Según NPR, que tuvo acceso a los documentos, TikTok determinó el número exacto de visualizaciones (260) necesarias para que una persona tuviera probabilidades de volverse adicta a la plataforma.

Según los investigadores estatales, "aunque esto pueda parecer significativo, los vídeos de TikTok pueden durar tan solo 8 segundos y los espectadores los reproducen de forma rápida y automática. (...) Por lo tanto, en menos de 35 minutos, es probable que el usuario promedio se vuelva adicto a la plataforma".

El Archivo de Internet está sufriendo actualmente una oleada de ciberataques.

La primera serie de ataques, que se hizo pública a mediados de octubre, consistió en varios ataques DDoS. Los piratas informáticos también revelaron que habían obtenido acceso a los datos de 31 millones de usuarios.

A finales de octubre, la organización fue víctima una vez más de una intrusión, esta vez en su plataforma de soporte por correo electrónico Zendesk, tras haber sido advertida repetidamente de un robo de tokens de autenticación.