Informe jurídico n.º 78 – diciembre de 2024. 

¿Cuáles son las perspectivas para la protección de datos en 2025?

El nuevo año continúa con la implementación gradual del "paquete digital" de la Unión Europea.pero también nueva legislación destinada a reforzar la protección de datos personales frente a los retos que plantean las ciberamenazas.

A medida que la inteligencia artificial se generaliza en las empresas, podemos anticipar un cambio en el apoyo a la toma de decisiones hacia sistemas más autónomos que dejen menos margen para el juicio humano, con los riesgos que dicho uso conlleva en términos de calidad y protección de los datos.

La normativa sobre inteligencia artificial regula estas nuevas prácticas, aunque habrá que esperar hasta agosto de 2026 para que todas sus disposiciones sean aplicables..

Como veremos en las noticias que aparecen a continuación, su implementación ya es objeto de directrices, como lo demuestra el reciente dictamen del Comité Europeo de Protección de Datos (CEPD).

Los responsables del tratamiento de datos también deberán tener en cuenta el Reglamento de Servicios Digitales (DSA, por sus siglas en inglés), que está en vigor desde el 17 de febrero.lo que impone nuevas obligaciones, en particular en lo que respecta a la transparencia, la moderación de contenidos y la protección del usuario.

Según la Asociación Francesa de Responsables de Protección de Datos (AFCPD), estas normativas generan solapamientos y exigen a los DPO mantener, con considerable dificultad, una visión general para garantizar un cumplimiento coherente. La asociación cita como ejemplo el tratamiento de datos de recursos humanos, que puede pasar de una categoría no sensible a una sensible en función de las tecnologías utilizadas, como la inteligencia artificial.

"Estas interacciones plantean cuestiones fundamentales sobre la gestión armoniosa de las obligaciones legales."

En materia de seguridad, el reglamento europeo sobre ciberresiliencia (Ley de Ciberresiliencia, CRA) entró en vigor el 10 de diciembre de 2024, y la mayoría de sus disposiciones serán aplicables en 2027.

El objetivo de la CRA es reforzar la protección de los datos de consumidores y empresas frente a las ciberamenazas. Esta legislación impone obligaciones a fabricantes, desarrolladores y minoristas de productos conectados en materia de evaluaciones e información sobre ciberseguridad.

En este mismo contexto, la normativa europea sobre resiliencia operativa digital (Ley de Resiliencia Operativa Digital, DORA) será aplicable a partir del 17 de enero..

Impone requisitos estrictos para garantizar la resiliencia digital de las instituciones financieras y para gestionar los riesgos operativos relacionados con las tecnologías de la información, en particular los riesgos asociados con los proveedores externos.

La directiva europea relativa a la seguridad de las redes y los sistemas de información (NIS2) es aplicable en principio desde el 17 de octubre, fecha en la que debería haberse incorporado al derecho francés.

El texto amplía su ámbito de aplicación en comparación con la directiva NIS1 y se centra específicamente en las infraestructuras y entidades esenciales para el correcto funcionamiento de las actividades económicas y sociales en el mercado interior.

Se prevé un período de tres años para el cumplimiento total, pero se debe establecer rápidamente un mínimo, a saber, el registro ante la ANSSI de la entidad regulada, la notificación de incidentes y la demostración de inversiones en soluciones de seguridad.

Dado que la ley de transposición aún no ha sido adoptada, persisten las incertidumbres en cuanto a la identificación de las entidades reguladas y las medidas concretas que deben adoptarse.

También existe cierta incertidumbre en torno al calendario de varios proyectos europeos: ¿qué ocurrirá con el proyecto ePrivacy, que lleva mucho tiempo en marcha?

Si bien la Comisión publicó su primer proyecto de reglamento en enero de 2017, el proceso está a la espera de la posición del Parlamento Europeo en primera lectura.

Este texto está generando animados debates sobre la aplicación del principio de consentimiento a las cookies y la confidencialidad de las comunicaciones.

También cabe mencionar el impacto potencial de la presidencia de Trump en el "Marco de Privacidad de Datos" y, en términos más generales, en los intercambios de datos entre la Unión Europea y Estados Unidos.

Por último, el RGPD podría sufrir algunas actualizaciones, en particular en lo que respecta a las transferencias de datos, las investigaciones coordinadas por las autoridades de protección de datos (APD) y su armonización con el (futuro) Reglamento sobre la privacidad electrónica.

Por último, pero no por ello menos importante, estamos presenciando el desarrollo de la acción colectiva en la UE: Como informamos el mes pasado, la ONG noyb ahora puede llevar a cabo acciones colectivas en cualquier Estado miembro.

Actualmente existen otras 43 entidades cualificadas en la UE, entre ellas el Consejo Irlandés de Libertades Civiles y el Defensor del Pueblo Finlandés para la Protección de Datos, que actualmente preside el CEPD.

Noyb indicó que planeaba interponer las primeras acciones legales en 2025.

Un riesgo de litigio que las empresas deberían tomarse en serio.

 

      

En una decisión publicada el 1 de enero en el Diario Oficial, La CNIL está preocupada por las actualizaciones previstas de los sistemas de información de France Travail.

La ley de pleno empleo de diciembre de 2023 prevé un nuevo mecanismo de apoyo para quienes buscan empleo, basado en particular en el análisis de datos y su intercambio con numerosas organizaciones regionales y locales.

La CNIL recomienda medidas de seguridad adaptadas a los riesgos.

La CNIL está preparando una certificación GDPR para subcontratistas. Para elaborar un marco adecuado, se abre una consulta pública hasta el 28 de febrero.

La certificación debería ayudar a orientar a los responsables del tratamiento de datos a la hora de elegir a sus subcontratistas, "garantizando que el tratamiento realizado por el subcontratista haya sido evaluado y cumpla con los criterios de una norma reconocida por la CNIL".

En un comunicado de prensa con fecha del 12 de diciembre de 2024, La CNIL anunció que enviaría notificaciones formales a los editores de sitios web para que modificaran sus banners de cookies, que considera engañosos.

La autoridad recuerda a los usuarios que las cookies solo se pueden instalar después de que hayan dado su consentimiento.

Además, rechazar las cookies debería ser tan sencillo como aceptarlas.

Cabe recordar que varias autoridades de protección de datos, incluida la autoridad belga, ya han adoptado una postura estricta al exigir que las dos propuestas, tanto de aceptación como de rechazo, estén al mismo nivel y tengan el mismo grado de visibilidad.

El 5 de diciembre de 2024, la CNIL (Autoridad Francesa de Protección de Datos) impuso una multa de 240.000 euros a la empresa Kaspr. En particular, por haber recopilado en LinkedIn los datos de contacto de usuarios que, no obstante, habían optado por limitar su visibilidad.

La Comisión ordena a la empresa que elimine estos datos o, en su defecto, si resulta imposible distinguir estos datos, cuya visibilidad ha sido limitada, de otros datos, que informe a los usuarios "en un plazo de 3 meses, del tratamiento de sus datos y de la posibilidad de oponerse al mismo".

Además de la recopilación ilegal de datos de contacto y la falta de transparencia en el tratamiento de los mismos, la CNIL también critica a Kaspr por conservar los datos durante cinco años, un periodo considerado excesivo para los profesionales que cambian de trabajo con frecuencia.

El 14 de noviembre, la CNIL multó a la empresa de telecomunicaciones Orange con 50.000.000 € por insertar publicidad en las bandejas de entrada de correo electrónico. e instaló cookies en los dispositivos de los usuarios sin su consentimiento.

Se ordenó a la empresa que adaptara sus prácticas a la normativa o se enfrentaría a multas adicionales.

Los días 10 y 11 de febrero, Francia acogerá la Cumbre para la Acción sobre Inteligencia Artificial (IA).

En este contexto, la CNIL, la Universidad de París-Saclay y la Universidad de Caen-Normandie reunirán a expertos e investigadores el 23 de enero para debatir formas de prevenir la desinformación, el fraude y las violaciones de la privacidad, aprovechando al mismo tiempo la inteligencia artificial.

El 11 de diciembre, el Observatorio Francés de IA organizó también, como preparación para la cumbre sobre IA, un seminario sobre los efectos del desarrollo de la IA en el trabajo y el empleo.

Los debates se centraron en particular en los retos relacionados con la explicabilidad de las decisiones tomadas por la IA.

El 3 de enero, el Tribunal de Cuentas publicó un informe sobre la seguridad informática de los centros sanitarios.

Según señala, «en 2023, el 10 % de las víctimas de ciberataques en Francia eran centros sanitarios. Su vulnerabilidad está vinculada, en particular, a la creciente interconexión de sus sistemas de información con el mundo exterior y a la crónica falta de inversión en tecnología digital».

Estos ataques pueden tener graves consecuencias para el funcionamiento de las instituciones y para la atención a los pacientes.

Las autoridades públicas reaccionaron tardíamente financiando un programa quinquenal de prevención y protección. Es fundamental mantener este impulso.

El Ministerio de Sanidad ha expresado su preocupación por el desarrollo del servicio "Salud", una nueva función de la aplicación Doctolib. que propone centralizar la información médica de las personas aseguradas.

Esta función parece ser una copia de "Mi Espacio de Salud", el registro digital de salud creado por el Estado en la ley del 24 de julio de 2019 relativa a la organización y transformación del sistema de salud.

El 12 de diciembre, la ONG noyb presentó una denuncia contra la plataforma francesa de redes sociales BeReal. debido a las "prácticas engañosas" utilizadas por la empresa para obtener el consentimiento del usuario.

Cuando los usuarios abren la aplicación, les aparece una ventana emergente que les pide que digan "sí" o "no" al uso de sus datos personales con fines publicitarios: si los usuarios hacen clic en "aceptar", no volverán a ver el banner de consentimiento.

Sin embargo, si rechazan la segmentación, el banner aparecerá todos los días hasta que la acepten.

 

instituciones y organismos europeos

El CEPD adoptó un dictamen sobre los modelos de IA el 18 de diciembre. Este dictamen analiza:

• Cómo evaluar y demostrar que un modelo de IA es anónimo;
• Si el interés legítimo puede constituir una base legal para el entrenamiento o el uso de modelos de IA;
• Las consecuencias de entrenar un modelo de IA utilizando datos personales procesados ilegalmente.

Según el Comité, la cuestión de si un modelo de IA es anónimo debe evaluarse caso por caso: debe ser prácticamente imposible ("muy improbable") (1) identificar directa o indirectamente a las personas cuyos datos se utilizaron para crear el modelo, y (2) extraer estos datos personales del modelo a través de consultas.

El aviso proporciona una lista de métodos para demostrar el anonimato.

En lo que respecta al interés legítimo, el dictamen ofrece orientación a las autoridades de protección de datos a la hora de evaluar si esta base jurídica es apropiada.

Por último, cuando un modelo de IA se ha desarrollado a partir de datos personales procesados ilegalmente, esto podría afectar a la legalidad de su implementación, a menos que el modelo haya sido debidamente anonimizado.

El Supervisor Europeo de Protección de Datos (SEPD) ha adoptado una decisión en la que concluye que la Comisión Europea se dirigió ilegalmente a ciudadanos europeos mostrándoles anuncios basados en datos personales "sensibles" relativos a sus opiniones políticas.

La ONG noyb, que presentó la denuncia, indica que, en el contexto de los debates en torno al proyecto de reglamento sobre el control de los debates en línea ("Control de chats"), la Comisión Europea identificó a los Países Bajos como un Estado miembro sobre el que deseaba ejercer influencia política.

Con este fin, publicó mensajes en Twitter/X promoviendo indirectamente esta regulación entre los usuarios liberales o de izquierda.

 

Noticias procedentes de los países miembros de la Unión Europea.

El fabricante de automóviles alemán Volkswagen se vio bajo investigación en vísperas de Año Nuevo tras una revelación del medio de comunicación Spiegel, que lo acusaba de haber expuesto al público los datos de geolocalización de más de 800.000 vehículos en Europa.

Esta información permitió conocer la posición de casi 500.000 vehículos con una precisión de 10 centímetros.

En Francia, se estima que más de 50.000 vehículos de las marcas Volkswagen, Audi, Skoda y Seat se ven afectados.

También en Alemania, un proveedor de servicios con sede en Hamburgo fue multado con 900.000 euros por la autoridad local de protección de datos por conservar datos personales hasta cinco años después de la fecha de vencimiento.

Para la APD, "es inaceptable que los agentes que trabajan en los sectores digitales no hayan desarrollado un procedimiento de eliminación coherente" (a través de la AFCDP).

En España, la APD sancionó a un taller mecánico que había añadido su archivo de clientes a un grupo de WhatsApp, haciendo que los datos de 150 clientes (números de teléfono, nombres y fotos) fueran visibles para todos los miembros del grupo.

La APD constató una infracción del artículo 6, apartado 1, del RGPD, que exige una base jurídica válida para cualquier tratamiento de datos personales, e impuso una multa de 3.000 euros a la empresa.

España ha decidido prohibir el uso de "Google Workspace for Education" en los centros educativos.

Esta decisión se tomó sobre la base de un informe de la Agencia Española de Protección de Datos (APD), que considera que existe "una recopilación invasiva de información personal".

Este informe fue elaborado a petición del Ministerio de Educación.

La Comisión Irlandesa de Protección de Datos (DPC, por sus siglas en inglés) anunció el 17 de diciembre que había multado a Meta con 251.000.000 de euros por no haber evitado una filtración de datos que comprometió la información de millones de usuarios de Facebook y por no haber documentado adecuadamente dicha filtración.

Dos días después de que el Comité Europeo de Protección de Datos (CEPD) publicara su dictamen sobre la IA, la autoridad italiana de protección de datos impuso una multa de 15.000.000 de euros a OpenAI el 20 de diciembre.

Ella cree que la empresa utilizó datos personales de usuarios de internet para entrenar a ChatGPT "sin tener una base legal adecuada y violó el principio de transparencia y las obligaciones de información relacionadas con los usuarios".

La investigación iniciada a finales de 2023 por la APD revela además que la empresa no proporcionó un sistema adecuado de verificación de edad para evitar que los usuarios menores de 13 años estuvieran expuestos a contenido inapropiado generado por IA.

Open AI también deberá lanzar una campaña de comunicación en el país a través de diversos medios para concienciar al público sobre el funcionamiento de ChatGPT y recordarles sus derechos.

¿Podemos seguir utilizando el modelo de OpenAI y la API de ChatGPT para ofrecer nuestros propios servicios de IA generativa?

La decisión italiana deja la cuestión abierta al especificar que deberá ser decidida por la autoridad irlandesa, de conformidad con el mecanismo del artículo 56 del RGPD.

La Autoridad Italiana de Protección de Datos (APD) también se pronunció el 13 de noviembre sobre la publicación de fotos de menores en Facebook, recordando que era necesario el consentimiento de ambos padres.

En este caso concreto, el padre de un niño menor de 14 años había compartido su foto en Facebook para mostrar su parecido con su hermanastro, que también aparecía en la foto.

La madre del niño, divorciada del padre, le pidió sin éxito que eliminara la foto de Facebook y presentó una denuncia ante el Departamento de Policía de Austin (APD).

Las autoridades holandesas también advirtieron el 6 de diciembre a los Archivos Nacionales que no publicaran en línea los archivos de guerra de los Países Bajos.

Estos documentos contienen archivos sobre personas sospechosas de colaborar con el ocupante durante la Segunda Guerra Mundial, incluyendo datos sensibles como la religión, la afiliación política, la salud o el origen étnico de personas que, en algunos casos, aún viven.

Aunque tienen un valor innegable, la forma en que los Archivos Nacionales quieren hacer públicos los datos en línea viola la Ley de Archivos y el RGPD, según la APD.

Por lo tanto, aboga por un mejor control de las condiciones de acceso a los datos.

El 18 de diciembre, la APD multó a Netflix por no informar adecuadamente a sus clientes sobre el tratamiento de sus datos entre 2018 y 2020.

Además, la información proporcionada por Netflix no era clara en ciertos puntos.

Por este motivo, la APD impuso una multa de 4.750.000 euros al servicio de streaming.

Desde entonces, Netflix ha actualizado su declaración de privacidad y ha mejorado su información.

En Suecia, la APD multó a un propietario con 200.000 SEK (17.366 €) por instalar dieciocho cámaras en las zonas comunes de un edificio residencial y por no responder a una solicitud de información.

 

Un estudio titulado "Seguimiento de la ubicación, el movimiento y la ocupación de escritorios en interiores en el lugar de trabajo", publicado en noviembre, analiza las tecnologías de monitorización y elaboración de perfiles del comportamiento de los empleados mediante sensores de movimiento e infraestructura WIFI dentro de las instalaciones de la empresa.

Este estudio se centra en las posibles implicaciones para los empleados en Europa y examina las soluciones más extendidas que ofrecen Cisco, Juniper, Spacewell, Locatee y otros proveedores de tecnología similares.

Cisco afirma haber procesado hasta la fecha 17.200 billones de "puntos de datos de ubicación" recopilados a través de más de tres millones de puntos de acceso wifi instalados en 250.000 edificios en todo el mundo.

El estudio aborda brevemente cómo los trabajadores se resistieron a la instalación de detectores de movimiento por parte de sus empleadores (a través del AFCDP).

Tras un proceso judicial iniciado por WhatsApp en 2019, un juez de California declaró culpable de piratería informática a la empresa israelí NSO Group, creadora del software espía Pegasus, a finales de diciembre.

Este fallo es considerado “histórico” por los opositores a esta industria.

Según Will Cathcart, director de WhatsApp, “NSO Group afirma prestar servicios a los gobiernos de forma responsable, pero hemos descubierto que más de cien defensores de los derechos humanos y periodistas fueron blanco de un ataque el pasado mes de mayo; estos abusos deben cesar”.

A principios de diciembre, el gobierno estadounidense reveló que China había pirateado ocho operadores estadounidenses (entre ellos AT&T, Verizon y Lumen Technologies).

El espionaje se refiere al nuevo formato RCS para el envío de mensajes SMS entre un iPhone y un teléfono inteligente Android.

El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han declarado que la campaña de piratería informática, denominada Salt Typhoon por Microsoft, es una de las mayores brechas de seguridad de la historia.

Los piratas informáticos obtuvieron acceso a grabaciones de llamadas, llamadas telefónicas en directo de personas específicas e incluso órdenes judiciales clasificadas.

Las autoridades recomiendan utilizar aplicaciones de mensajería seguras y cifradas para evitar que las comunicaciones privadas queden expuestas.