Informe jurídico n.º 72 – junio de 2024.  

Comunicación y marketing en redes sociales: ¿cuáles son las reglas para los profesionales?

Las redes sociales constituyen una fuente de datos que puede utilizarse para identificar clientes potenciales.

El uso de estos datos, ya sea que sean de acceso público en la red social o a través de la creación de una red de contactos, sigue estando sujeto a la ley.

Debe cumplir con los principios del RGPD y la directiva europea sobre comunicaciones electrónicas (directiva ePrivacy).

Las normas son diferentes, por ejemplo, si te pones en contacto con una empresa («B2B») o con una persona física («B2C»).

Las expectativas de las personas también variarán dependiendo de si existe o no una relación previa: preste especial atención a recopilar información sobre personas que no forman parte de su red de contactos (por ejemplo, recabando nombres de posibles clientes en grupos de discusión).

Es importante tener presentes tres principios esenciales: transparencia, respeto por los derechos de las personas afectadas y capacidad de respuesta a sus solicitudes.

• Proporcione información sobre los datos recopilados.

Se recomienda:

• Para anticipar los efectos de una operación de comunicación en línea, como una campaña de correo electrónico, se puede añadir una nota al final del mensaje explicando, en particular, el origen de los datos y la finalidad de la comunicación.
• Proporcionar un artículo o un enlace funcional que conduzca a una página informativa sobre el responsable del tratamiento de datos y los derechos de las personas.
• Ofrecer un medio de contacto sencillo (correo electrónico específico, formulario de contacto o mensaje privado en redes sociales) para permitir solicitudes de acceso, rectificación o supresión de datos.
• Respetar los derechos de las personas y obtener su consentimiento cuando proceda.

Algunas técnicas de prospección pueden ser más intrusivas que otras.

En LinkedIn, por ejemplo, InMail permite (previo pago) enviar mensajes directamente a la bandeja de entrada de cualquier usuario que no forme parte de tu red de contactos.

Algunos programas de marketing también permiten importar contactos (incluidos perfiles y fotos) de redes sociales como LinkedIn, Facebook, Twitter, Viadeo, YouTube o Klout para su posterior procesamiento.

Estas técnicas de prospección deben cumplir con las normas de marketing por correo electrónico, tal como lo establecen el RGPD y la Directiva sobre privacidad electrónica.

Se recuerdan, pues, los siguientes principios:

• Cumplimiento del requisito de consentimiento explícito, o la obtención del acuerdo previo del destinatario del anuncio: este es el caso del envío de publicidad "B2C" por correo electrónico, SMS, MMS, llamadas automatizadas o fax.
• Respeto al derecho de exclusión voluntaria, que permite el envío de publicidad cuando el destinatario no se ha opuesto: este es el caso de la publicidad "B2B" enviada por correo electrónico y la publicidad "B2C" enviada por correo postal o teléfono.
• Organizar la gestión de las solicitudes de las personas interesadas.

Esto implica planificar lo siguiente:

• Una respuesta típica a los usuarios de internet que, por ejemplo, ejercen su derecho a oponerse y/o solicitar acceso a sus datos.
• Un procedimiento interno para tramitar estas solicitudes lo más rápidamente posible, teniendo en cuenta que el plazo estándar previsto por el RGPD es de un mes.

La capacidad de respuesta y la eficacia de la misma son importantes, ya que contribuyen a la reputación online del responsable del tratamiento de datos.

 

La Autoridad Francesa de Protección de Datos (CNIL) ha anunciado que llevará a cabo controles en relación con los Juegos Olímpicos y Paralímpicos. con el fin de garantizar el respeto a la privacidad de los espectadores.

Se centrará en particular en dispositivos de cámara "aumentados", códigos QR para zonas restringidas, servicios de venta de entradas y datos de voluntarios.

La CNIL registró 167 denuncias de infracciones del RGPD tras las elecciones europeas.

En el contexto de las elecciones legislativas anticipadas, se recuerda a los partidos políticos las normas que deben respetarse y se les informa de que se realizarán controles en función del número y la naturaleza de las denuncias que se reciban en el marco de las elecciones.

Tras la publicación de guías prácticas el pasado mes de abril, El 10 de junio, la CNIL publicó una segunda serie de fichas informativas y un cuestionario dedicados a la regulación del desarrollo de sistemas de inteligencia artificial (IA).

 Estas nuevas herramientas tienen como objetivo ayudar a los profesionales a conciliar la innovación y el respeto por los derechos de las personas, y se centran en particular en la base jurídica del interés legítimo, la transparencia, los derechos de las personas, la anotación de datos y la seguridad del desarrollo de un sistema de IA.

Las fichas informativas estarán disponibles para consulta pública hasta el 1 de septiembre de 2024.

Finalmente, la CNIL examina en un estudio publicado el 4 de julio el desarrollo de alternativas a las técnicas de seguimiento mediante cookies de terceros y sobre sus consecuencias (véase también, más adelante, las cuestiones que plantea el "entorno de pruebas de privacidad" de Google).

 

instituciones y organismos europeos

El 1 de julio, la Comisión Europea informó a Meta de sus conclusiones preliminares de que su modelo publicitario de "pago o consentimiento" no cumple con la Ley de Mercados Digitales. (DMA, art. 5, párrafo 2).

Estas conclusiones confirman las publicadas por el Comité Europeo de Protección de Datos (CEPD) el pasado mes de abril.

Según la Comisión, esta elección binaria obliga a los usuarios a dar su consentimiento para la combinación de sus datos personales y no les proporciona una versión menos personalizada pero equivalente de las redes sociales de Meta.

Estos hallazgos preliminares no prejuzgan el resultado de la investigación.

Meta ahora tiene la oportunidad de ejercer su derecho a la defensa y a responder por escrito.

La Comisión concluirá su investigación en un plazo de 12 meses a partir de la apertura del procedimiento, el 25 de marzo de 2024.

Si finalmente se confirman las conclusiones preliminares de la Comisión, esta podría imponer multas de hasta 10 % del volumen de negocios mundial total de Meta y de 20 % en caso de infracciones reiteradas.

En virtud del Reglamento sobre la gobernanza de datos (RGD), la Comisión Europea ha publicado la lista de los primeros "intermediarios de datos" que le han sido notificados por los Estados miembros.

Los intermediarios de datos funcionan como terceros neutrales que conectan a personas y empresas con los usuarios de datos.

Se registraron cinco empresas, tres de ellas en Francia: AGDATAHUB, Hub One DataTrust y M-ITRUST. Las otras dos fueron notificadas por Finlandia y Hungría (a través de la AFCDP).

El CEPD puso en marcha el proyecto "Auditoría con IA" el 27 de junio. El objetivo es ayudar a las autoridades de protección de datos (APD) a inspeccionar los sistemas de IA definiendo una metodología en forma de lista de verificación para auditar un algoritmo y proponiendo herramientas que mejorarían su transparencia.

El Supervisor Europeo de Protección de Datos (SEPD) publicó sus directrices sobre "inteligencia artificial generativa y protección de datos personales" el 3 de junio. con el fin de proporcionar a las instituciones, órganos, oficinas y agencias de la UE asesoramiento e instrucciones prácticas sobre el tratamiento de datos personales al utilizar sistemas de inteligencia artificial generativa, y para facilitar su cumplimiento de los requisitos del marco jurídico de protección de datos.

El Grupo de Trabajo Internacional sobre Protección de Datos en la Tecnología (IWGDPT) adoptó un documento de trabajo sobre tecnología de reconocimiento facial el 5 de junio.

El documento describe las posibilidades de uso en los sectores público y privado, y presenta tanto los riesgos como las recomendaciones prácticas para una aplicación que cumpla con la protección de datos.

El 20 de junio, el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó en el asunto C-590/22 que El temor de un interesado a que sus datos personales hayan sido revelados a terceros es suficiente para dar lugar a una indemnización., si este temor, con sus consecuencias negativas, se demuestra debidamente.

No es necesario demostrar que estos datos se hayan comunicado realmente a terceros para justificar esta compensación (a través de las noticias del RGPD).

El Tribunal también consideró el 20 de junio, en los asuntos acumulados C 182/22 y C 189/22 – Scalable Capital, que El daño moral causado por una violación de datos personales no es, por su propia naturaleza, menos importante que el daño físico..

Además, para que un suceso se clasifique como robo de identidad, los datos personales deben haber sido utilizados indebidamente por un tercero.

En una sentencia del 6 de junio (Bersheda y Rybolovlev contra Mónaco), el Tribunal Europeo de Derechos Humanos dictaminó que la investigaciones llevadas a cabo por el juez instructor en el teléfono móvil de un abogado La recuperación masiva e indiscriminada de datos personales, incluidos datos que habían sido previamente borrados por el solicitante, excedió la jurisdicción de este juez y no estuvo acompañada de garantías para asegurar el respeto a la condición y el secreto profesional del solicitante como abogado.

Bajo la presión de la sociedad civil y del organismo europeo responsable de la aplicación de la Ley de Servicios Digitales (DSA), LinkedIn ha eliminado de su plataforma la segmentación de anuncios basada en datos personales sensibles de los usuarios..

Este tipo de discriminación se consideró una violación de la Ley de Seguridad Digital (DSA).

La empresa A mediados de junio, Meta confirmó que suspendía sus planes de entrenar sus sistemas de IA utilizando datos de usuarios en la UE y el Reino Unido.

El proyecto se centró en los datos de los usuarios de Facebook, Instagram y Threads.

Esta decisión se produce tras la actuación de la Comisión Irlandesa de Protección de Datos, que actúa en nombre de varias autoridades de protección de datos de la UE y, en particular, de la autoridad de Hamburgo.

 

Noticias procedentes de los países miembros de Europa.

APD belga El 3 de junio, se impuso una multa de 172.000 euros a una empresa que no había cumplido con la solicitud de eliminar datos y seguía enviando correos electrónicos de marketing directo.

La Autoridad de Protección de Datos (APD) no tuvo en cuenta los argumentos del responsable del tratamiento de datos destinados a culpar al Delegado de Protección de Datos (DPD): es responsabilidad del responsable del tratamiento de datos responder a las solicitudes de acceso y garantizar que el DPD disponga de recursos suficientes.

En GreciaLa APD impuso multas de 400.000 y 40.000 euros respectivamente al Ministerio del Interior y a un miembro del Parlamento Europeo por enviar comunicaciones políticas no solicitadas, habiendo facilitado el Ministerio del Interior al eurodiputado las direcciones de correo electrónico de las personas afectadas.

En Luxemburgo, La APD consideró que el uso de la videovigilancia para justificar el despido de un empleado infringía el principio de limitación de la finalidad del RGPD si se había instalado originalmente para garantizar la seguridad de los empleados.

En los Países Bajos, Un tribunal ha prohibido a Microsoft, LinkedIn y Xandr colocar cookies de seguimiento en sitios web de terceros sin el consentimiento del usuario y ha impuesto una multa de 1.000 euros por empresa por cada día de incumplimiento de la decisión.

El tribunal dictaminó que estas plataformas siguen siendo responsables de recabar el consentimiento válido, incluso cuando confían esta recopilación a sitios web de terceros que integran sus tecnologías de seguimiento.

En DinamarcaLa APD reprendió a la ciudad de Copenhague por no haber impedido el posible acceso a los datos personales de 3,7 millones de personas por parte de 37.500 empleados no autorizados.

Departamento de Policía de Letonia Se impuso una multa de 1.000 euros a una empresa que ofrecía servicios de fotografía en un parque de atracciones.

La empresa tomó fotografías de los visitantes basándose en el consentimiento implícito, lo cual no puede considerarse una acción positiva.

En ItaliaLa APD ha multado a una empresa con 100.000 euros por el tratamiento ilegal de números de teléfono con fines de telemarketing.

La APD consideró que un responsable del tratamiento de datos no puede transferir su responsabilidad y obligaciones en virtud del RGPD al subcontratista mediante una cláusula contractual.

Ayuda oficial al desarrollo sueca Avanza Bank AB fue multada con 1.318.955,55 euros (15 millones de coronas suecas) por infringir el artículo 5(1)(f) y el artículo 32 del RGPD, ya que la activación accidental de dos funciones de Meta Pixel dio lugar a la transferencia no autorizada de datos personales a Meta Pixel.

En Polonia, la ODA Multó a una empresa con 54.600 euros después de que la pérdida de una memoria USB que contenía datos de empleados sin cifrar provocara una filtración de datos.

13 de junio, La ONG NOYB ha presentado una denuncia ante la Autoridad Austriaca de Protección de Datos (APD) contra las prácticas de Google en relación con la recopilación de datos personales a través de su "entorno de pruebas de privacidad".

La ONG señala que, desde que Google anunció en septiembre de 2023 que eliminaría gradualmente las cookies de terceros de su navegador Chrome, se ha animado progresivamente a los usuarios a activar una supuesta "función de privacidad publicitaria" que, en realidad, permitiría a Google rastrearlos.

El 4 de junio, NOYB también presentó una denuncia en Austria contra Microsoft, cuyos servicios "365 Education" supuestamente violan los derechos de protección de datos de los niños.

Según la ONG, cuando los estudiantes quisieron ejercer sus derechos en virtud del RGPD, Microsoft afirmó que las escuelas eran "responsables" de sus datos, a pesar de que las escuelas no tienen control sobre los sistemas de Microsoft.

La asociación Eu Travel Tech presentó a finales de mayo una denuncia ante las autoridades francesas y belgas de protección de datos contra Ryanair, en relación con la reciente implementación de un requisito para procesar los datos biométricos de los clientes para acceder a las funciones de gestión de reservas y facturación en línea.

La asociación considera que este proceso de verificación biométrica viola los principios de legalidad, equidad y transparencia del RGPD (a través de la AFCDP).

 

La OCDE publicó el 26 de junio un Informe sobre inteligencia artificial, gobernanza de datos y protección de la privacidad.

Este informe analiza las iniciativas nacionales y regionales y sugiere posibles áreas de colaboración.

Al abogar por una mejor cooperación internacional, el informe pretende orientar el desarrollo de sistemas de IA que respeten y apoyen la privacidad.

La OCDE también publicó el 19 de junio un Documento de trabajo titulado "Hacia la seguridad digital desde el diseño para los niños".

El documento se centra en las acciones que deben emprender los proveedores de servicios digitales y propone ocho medidas clave, que incluyen herramientas prácticas, medidas para promover una cultura de seguridad y estrategias de mitigación de daños.

Estos elementos se ilustran mediante estudios de caso, que ponen de relieve la necesidad de adoptar enfoques adaptados al contexto.

La Agencia de Privacidad de California (CPPA) y la CNIL han firmado una declaración de cooperación., el 25 de junio de 2024, en París.

La CNIL indica que ambas autoridades tienen la intención de aunar esfuerzos para reforzar la protección de los datos personales de los ciudadanos franceses y californianos.

Según se informa, Nvidia (uno de los principales proveedores de semiconductores para computación de IA), Microsoft y OpenAI son objeto de una investigación. Investigación antimonopolio en los Estados Unidos.

Según un informe de Politico, el Departamento de Justicia (DOJ) y la Comisión Federal de Comercio (FTC) cooperarán en este asunto. El DOJ se centrará en Nvidia, y la FTC examinará la alianza entre Microsoft y OpenAI para determinar si existe alguna ventaja desleal entre ambas.

Japón aprobó el 12 de junio una ley similar al Reglamento Europeo de Mercados Digitales (DMA).

El texto incluiría "obligaciones para garantizar la interoperabilidad, la transparencia y la portabilidad de los datos".

La ley entrará en vigor a finales de diciembre de 2025.

La empresa estadounidense Dropbox anunció a principios de mayo que había sido víctima de un ciberataque..

La intrusión maliciosa afecta a su plataforma segura de firma electrónica de documentos, Dropbox Sign, anteriormente conocida como HelloSign.

Los datos robados incluyen nombres, direcciones de correo electrónico, contraseñas cifradas, información de pago e información de autenticación.

La empresa afirma haber restablecido las contraseñas de todos los usuarios y haber desconectado todas las sesiones (a través de AFCDP).