Patrones oscuros: lo que siempre quisiste saber pero tenías miedo de preguntar...

Legal Watch No. 45 – Marzo 2022.

Este término inglés difícil de traducir se encuentra en muchas publicaciones relacionadas con la tecnología de la información. 

En relación con el "nudging", que tiene como objetivo alentar sutilmente a los usuarios de Internet a adoptar el comportamiento deseado, los "patrones oscuros" apuntan al mismo objetivo a través del diseño de interfaces web.

El 14 de marzo, el Comité Europeo de Protección de Datos adoptó directrices sobre los “patrones oscuros” en las interfaces de las plataformas de redes sociales. 

El documento, que está sujeto a consulta pública, está dirigido a los usuarios, para ayudarles a identificar estas técnicas, y a los diseñadores, a quienes ofrece buenas prácticas para facilitar el cumplimiento del RGPD. 

El documento enumera, en lo que parece un inventario al estilo Prévert, diferentes prácticas: 

• Sobrecarga de información confronta al usuario a una avalancha de datos u opciones (por ejemplo, una lista interminable de destinatarios de cookies), llevándolo a compartir más información de la que desea. 

• Salto a la comba lleva al usuario a olvidar comprobar determinadas condiciones de uso de sus datos, por ejemplo llamando su atención en otro lugar.

• Emocionante Influye en las decisiones de los usuarios jugando con sus emociones (por ejemplo, para animarles a no darse de baja de una red social)

• Obstrucción (dificultad) impide a los usuarios de Internet realizar sus elecciones mediante enlaces no funcionales, información más larga de lo necesario o engañosa.

• Inconsistencia en el diseño (voluble) dificultará la navegación a través de las herramientas de control, mediante una presentación descontextualizada o no jerárquica de la información.

• Finalmente, el diseño puede dejar al usuario de Internet en la oscuridad, utilizando información contradictoria, ambigua (botones de diferentes colores habilitados o deshabilitados por defecto), o una discontinuidad en los idiomas utilizados (cambio del francés al inglés).

Uno casi quedaría asombrado ante tales técnicas e imaginación, si estas prácticas no fueran ilegales porque son contrarias al principio de lealtad establecido en el artículo 5(1)(a) del RGPD, así como a los principios de transparencia, minimización de datos, rendición de cuentas, finalidad y validez del consentimiento.

Las directrices del CEPD ofrecen ejemplos para cada tipo de técnica y consejos para simplificar las elecciones de los usuarios. 

Las buenas prácticas incluyen: 

• Usar atajos para habilitar acciones rápidas (darse de baja de una cuenta).

• El uso de banners o pop-ups en caso de cambio o riesgo particular (brecha de seguridad por ejemplo).

• El uso de un lenguaje sencillo y coherente.

• Una lista de definiciones.

• El uso de ejemplos.

• Explicación de las consecuencias de las diferentes opciones propuestas.

• La visualización sistemática del mapa del sitio y un botón “atrás” que permite al usuario reanudar su navegación.

Cabe señalar que las decisiones de la CNIL del pasado mes de enero contra Google y Facebook, que multaron a estas empresas con 150 y 60 millones de euros respectivamente, castigan el uso de patrones oscuros en el uso de cookies: las interfaces ofrecían una opción sencilla para activar las cookies, con un clic, mientras que eran necesarias varias acciones para rechazar todas las cookies. 

Si bien la atención de las autoridades supervisoras se ha centrado hasta ahora en las cookies, ahora está en juego un conjunto más amplio de prácticas. El papel de los diseñadores de interfaces es cada vez más crucial.

Y también

Francia:

La sección de delitos informáticos de la fiscalía de París ha abierto una investigación judicial sobre una filtración masiva de datos médicos. 

Se cree que la fuga de datos afectó a aproximadamente 500.000 personas y se originó en una treintena de laboratorios de biología médica. La ANSSI y la CNIL también están llevando a cabo investigaciones, en colaboración con el editor del software de gestión utilizado por los laboratorios.

Otra filtración masiva de datos llevó al Fondo Nacional de Seguro de Salud a emitir un comunicado el 17 de marzo indicando que las cuentas de al menos 19 profesionales de la salud en el portal Amelipro habían sido comprometidas por piratas informáticos.  

Los datos de identificación y números de seguridad social de aproximadamente 500.000 asegurados se ven afectados por este ciberataque.

También en el sector salud, la historia clínica compartida (HCM) se integró en el espacio de salud digital (ENS o “Mi espacio de salud”) en enero de 2022.  

La CNIL recuerda en su sitio web el funcionamiento de estos dos sistemas y los derechos de las personas afectadas.

El 28 de junio de 2022, la CNIL organizará la primera edición de la Jornada de Investigación sobre la Privacidad en París., una conferencia internacional dedicada a la investigación en el campo de la privacidad y la protección de datos personales.

Europa: 

Se vislumbra un acuerdo entre Europa y Estados Unidos sobre la transferencia de datos personales. 

Ursula von der Leyen y Joe Biden anunciaron el 25 de marzo un acuerdo político sobre el tema, un anuncio aclarado por el comisario europeo de Justicia, Didier Reynders, quien indicó que se trataba de un acuerdo sobre los "principios" de un futuro acuerdo transatlántico. 

El nuevo marco legal sucedería a los “Principios de Puerto Seguro” y al “Escudo de Privacidad”, ambos declarados obsoletos por el Tribunal de Justicia Europeo por incumplimiento de los principios europeos de protección de datos. 

La propuesta de la Comisión Europea de ampliar la normativa sobre certificados Covid (EUDCC) está en la mira de las autoridades de protección de datos. 

El SEPD y el CEPD expresaron reservas sobre la falta de una evaluación de impacto antes de las propuestas de la Comisión de renovar estos certificados por un año.  

Sin embargo, el Comité y el Supervisor Europeo de Protección de Datos reconocieron que la ampliación de los tipos de pruebas aceptadas y la inclusión en el certificado del número de dosis administradas no modificaban sustancialmente las disposiciones actuales.

A mediados de marzo, los empleados de Amazon presentaron una solicitud masiva de acceso a los datos que la empresa tiene sobre ellos, con el fin de verificar las condiciones de vigilancia en sus lugares de trabajo.  

Los solicitantes, de Alemania, Reino Unido, Italia, Polonia y Eslovaquia, presentaron su solicitud de conformidad con el artículo 15 del RGPD en cooperación con el Sindicato Mundial de Trabajadores (UNI) y la ONG NOYB.  

Además de sus directrices sobre “patrones oscuros” en las redes sociales, El Comité Europeo de Protección de Datos adoptó en su reunión plenaria del 14 de marzo unas directrices sobre la aplicación del artículo 60 del RGPD en relación con la cooperación entre las autoridades de protección de datos. 

El presente documento tiene como objetivo mejorar la aplicación de las disposiciones de la ventanilla única. 

El sistema prevé una autoridad de contacto para las empresas establecidas en la Unión Europea en función de su lugar de establecimiento principal, y un procedimiento de cooperación con todas las demás autoridades implicadas debido a reclamaciones o establecimientos anexos en su país. 

El 10 de febrero la Autoridad de Protección de Datos italiana multó a Clearview IA con 20.000.000 euros. Por utilizar sistemas de reconocimiento biométrico en fuentes públicas de internet, en violación del RGPD, se ordenó la eliminación de los datos. La Autoridad de Protección de Datos del Reino Unido multó a un bufete de abogados con 117.000 euros el 28 de febrero. por infracción de los artículos 5(1)(f) y 32 del RGPD y, en particular, por no aplicar medidas de seguridad adecuadas. 

España aprobó un código de conducta el 17 de febrero relativa a la protección de datos en el contexto de los ensayos clínicos y la farmacovigilancia.

El 15 de marzo, la Autoridad de Protección de Datos de Irlanda multó a Meta (antes Facebook) con 17 millones de euros tras varias violaciones de seguridad. :la autoridad de control consideró que la empresa no había adoptado las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos. 

La decisión se adopta tras un procedimiento de cooperación con las demás autoridades de control europeas interesadas en el caso (art. 60 RGPD).

El 3 de marzo, la Autoridad de Protección de Datos de Bremen multó en Alemania con 1.900.000 euros a una empresa de gestión inmobiliaria (Brebau GmbH) por procesar ilegalmente datos sensibles. en relación con más de 9.500 inquilinos candidatos. 

Entre los datos procesados se encontraban el color de la piel, la religión, la orientación sexual, el estado de salud, el peinado y el olor corporal.

Internacional : 

En una orden de conciliación fechada el 4 de marzo, La Comisión Federal de Comercio de Estados Unidos exige a WW International (Weight Watchers) destruir algoritmos o modelos de inteligencia artificial diseñados utilizando datos personales de menores. sin el consentimiento previo de los padres. 

La empresa también fue multada con 1,5 millones de dólares y se le ordenó destruir los datos recopilados ilegalmente. 

Esta es la tercera vez que la FTC exige la destrucción de un algoritmo de inteligencia artificial en una orden de acuerdo.  

EL Sri Lanka El 19 de marzo de 2022 se aprobó una ley sobre protección de datos personales.

Nokia, que anunció el cese de sus operaciones en Rusia debido a la guerra en Ucrania, está acusada de dejar abandonado un sistema de telecomunicaciones que permitía vigilar a la población rusa. 

Según documentos internos revelados por el New York Times, Nokia lleva más de cinco años suministrando a Rusia equipos y servicios para conectar el sistema de vigilancia ruso SORM (Sistema de Actividades de Investigación Operativa) al mayor servicio de telecomunicaciones de Rusia, MTS.

Anne Christine Lacoste  Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.