Datos sensibles: un ámbito de aplicación especialmente amplio

Legal Watch No. 50 – Agosto 2022.

Puede resultar difícil evaluar si los datos que se recopilan son sensibles o no y decidir si estos datos requieren protección específica según el RGPD.

Nos hicimos eco de estas dificultades de interpretación en nuestro editorial del pasado febrero.

El Tribunal de Justicia de la Unión Europea acaba de aclarar el alcance de la sentencia de 1 de agosto de 2022 de la noción de datos sensibles, o para ser más exactos, de categorías particulares de datos.

Y según el Tribunal, este ámbito es particularmente amplio.

Cabe recordar que el artículo 9 del RGPD se aplica a los datos que revelen el presunto origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como al tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

La sentencia en cuestión se refiere a las disposiciones de una ley lituana destinada a combatir la corrupción, que exige a determinados trabajadores del sector público declarar sus intereses privados, así como información sobre sus cónyuges y familias, que casi en su totalidad se harán públicos en Internet.

Tras la oposición de una persona afectada por esta obligación, el Tribunal deberá resolver

• Sobre la necesidad de la divulgación en línea de datos relativos al cónyuge
• Sobre si estos datos relativos al cónyuge deben considerarse datos sensibles en el sentido del artículo 9 del RGPD, ya que permiten deducir información sobre la orientación sexual de las personas afectadas. El Tribunal considera, en primer lugar, que la difusión en línea de estos datos no parece necesaria para el objetivo perseguido de combatir la corrupción y, a continuación, especifica que el concepto de datos sensibles debe interpretarse de forma amplia.

Hasta ahora han persistido algunas preguntas sobre la diferencia de términos utilizados en la redacción del artículo 9, para regular datos que por una parte "revelan" opiniones políticas, afiliación sindical, etc. o que por otra parte "conciernen" a la salud o a la orientación sexual.

El Tribunal considera que todas las categorías especiales de datos deben interpretarse de manera amplia, respetando el contexto y otras disposiciones del RGPD.

Se incluyen, en este caso, los datos que puedan revelar, mediante una operación intelectual de comparación o deducción, la orientación sexual de una persona física.

Esta sentencia podría tener un impacto significativo en el alcance de las obligaciones de los responsables del tratamiento de datos “potencialmente” sensibles.

La CNIL parece haber tenido, hasta ahora, una interpretación más restrictiva de estas obligaciones: indicó el pasado mes de enero que "el mero acto de fotografiar o filmar una imagen de la que sea posible que determinados elementos permitan deducir datos personales que constituyan datos sensibles no constituye en sí mismo un tratamiento de datos sensibles (…). Este Sólo si dichas imágenes son procesadas con el fin de extraer, interpretar o utilizar dichos datos sensibles, el tratamiento se considerará incluido en el régimen de tratamiento de datos sensibles.

Un elemento determinante en el razonamiento del Tribunal parece ser el hecho de que los datos sean de acceso público: a partir de ese momento, cualquiera puede recogerlos, deducir de ellos información sensible y tratarlos con una finalidad completamente ajena a la original, con las consecuencias que se podrían temer para las personas afectadas.

También hay que recordar que las deducciones realizadas a partir de los datos disponibles no necesitan ser correctas para cumplir los requisitos del RGPD: de hecho, lo que importa no es si las conclusiones son válidas o no: las deducciones erróneas pueden tener consecuencias aún más perjudiciales para los interesados.

Se espera que esta decisión afecte a los responsables del tratamiento de datos que procesan datos a gran escala y perfilan a los usuarios de Internet, en particular en el contexto de las redes sociales, al hacer necesario el consentimiento explícito.

Por último, añadiremos que la futura normativa sobre servicios y mercados digitales prevé la prohibición del uso de datos sensibles para la segmentación publicitaria.

Combinado con la interpretación amplia que hace el TJUE de los datos sensibles, podemos prever una restricción de la publicidad comportamental a nivel europeo más severa de lo esperado.

Y también

Francia:

ACCOR acaba de ser multada con 600.000 euros por haber realizado prospección comercial sin el consentimiento de los interesados y por no haber respetado los derechos de los clientes y prospectos.

Los formularios de reserva incluyen por defecto una opción preseleccionada que prevé el envío automático de una newsletter a los clientes con ofertas comerciales de los socios.

La CNIL también detectó repetidas anomalías técnicas que impidieron a muchas personas rechazar recibir mensajes.

La decisión de la CNIL fue objeto de un procedimiento de cooperación con las autoridades de otros países de la UE en los que el grupo ACCOR trata datos, al final del cual el Comité Europeo de Protección de Datos ordenó a la CNIL aumentar el importe de la multa para que la medida adoptada fuera más disuasoria.

Entre los elementos tomados en consideración están el número de infracciones, el hecho de que dichas infracciones se refieren a varios principios fundamentales de la protección de datos personales y constituyen una infracción sustancial de los derechos de las personas, así como el número de personas afectadas y la situación financiera de la empresa.

En agosto, se volvió imposible conectarse a France Connect con sus credenciales de Ameli., habiendo sido desactivado el botón de conexión por Bercy.

La causa es el resurgimiento de los ataques de phishing que utilizan estas credenciales. Según se informa, la Dirección General de Finanzas Públicas está trabajando para proteger France Connect y planea migrar gradualmente los procedimientos más sensibles, en particular los que permiten el acceso a pagos financieros, a servicios de identificación más seguros.

El 25 de agosto, la ONG noyb.eu ha presentado una denuncia contra Google ante la CNIL.

Se acusa a Google de ignorar la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre correos electrónicos de marketing directo y de utilizar su plataforma de correo electrónico Gmail para enviar correos electrónicos publicitarios no solicitados sin el consentimiento válido de los usuarios.

El gigante francés de tecnología publicitaria Criteo podría recibir una multa de 60 millones de euros

en el marco de una investigación abierta por la CNIL.

Se trata de una decisión preliminar en esta etapa, hecha pública el 5 de agosto por la organización que presentó la denuncia, Privacy International.

Europa:

Critican los poderes de la UE para investigar software espía durante una audiencia parlamentaria el martes 30 de agosto, durante la cual un representante de Europol dijo que el mandato de la agencia se limitaba a apoyar a los Estados miembros que decidieran iniciar una investigación.

Hasta la fecha, se sabe que al menos 14 gobiernos europeos han comprado software espía del Grupo NSO, creador del software espía Pegasus, y los expertos creen que muchos otros proveedores operan en la UE.

El ex jefe de seguridad de Twitter, Peiter "Mudge" Zatko, presentó una demanda contra la empresa, que se hizo pública recientemente.

El documento detalla una serie de acusaciones condenatorias sobre seguridad, privacidad y protección de datos (entre otros), así como afirmaciones de que Twitter había engañado o tenía la intención de engañar a los organismos de control regionales sobre su cumplimiento de las leyes locales.

Las autoridades de supervisión irlandesas y francesas se han hecho cargo del caso.

La Comisión de Protección de Datos de Irlanda ha multado a la plataforma de redes sociales Instagram con 405 millones de euros., propiedad de Meta, por violación del RGPD.

Se trata de la segunda multa más cuantiosa que establece el RGPD, tras la sanción de 746 millones de euros contra Amazon, y la tercera impuesta por el regulador irlandés a una empresa propiedad de Meta.

El fallo se centra en la violación de la privacidad de los niños por parte de Instagram, incluida la publicación de direcciones de correo electrónico y números de teléfono de niños.

El Tribunal Superior Regional de Colonia (OLG Köln) concedió 500 euros a una persona por de la demora que tarda un responsable del tratamiento en proporcionarle la información solicitada de conformidad con el artículo 15, apartado 1, del RGPD (a través de GDPRhub).

En un caso similar, la autoridad de protección de datos italiana multó a Deutsche Bank con 20.000 euros por no responder de manera oportuna a la solicitud de acceso de un interesado (a través de GDPRhub).

La autoridad griega de protección de datos (DPA) ha multado con 30.000 euros a un centro de diagnóstico médico por... violó el principio de integridad y confidencialidad de los datos :El gerente había perdido imágenes de mamografías debido a medidas técnicas y organizativas insuficientes.

Además de la multa, la DPA ordenó al centro comunicar la infracción a los interesados (a través de GDPRhub).

El Tribunal Supremo español ha dictaminado que el ejercicio de los derechos de un individuo ante el responsable del tratamiento (artículos 15 a 22 del RGPD) no es un requisito previo para presentar una reclamación. con una autoridad de protección de datos: esta última puede actuar incluso si el interesado no se ha puesto en contacto previamente con el responsable (a través de GDPRhub).

En Suiza, una nueva ley de protección de datos entrará en vigor el 1 de septiembre de 2023.

Algunos comentaristas señalan que varios principios serían menos restrictivos que los del RGPD, en particular los relacionados con el consentimiento y el DPD.

Los requisitos de seguridad, por otra parte, son particularmente detallados.

Internacional :

Las entidades europeas pueden estar dentro del ámbito de aplicación de la Ley de la Nube, incluso si están ubicadas fuera de los Estados Unidos, decide un estudio realizado por un bufete de abogados por encargo de la Ministerio de Justicia y Seguridad de los Países Bajos, y hecho público el 26 de julio.

Las empresas europeas pueden minimizar este riesgo estableciendo una "muralla china" con Estados Unidos, en particular no empleando a ningún estadounidense ni teniendo clientes estadounidenses, lo que podría justificar la intervención estadounidense en virtud de la Ley de la Nube.

Sin embargo, incluso este escudo sería insuficiente si la entidad utiliza tecnologías estadounidenses, ya que la Ley de Nube permite el acceso a los datos a través de subcontratistas/proveedores de hardware y software, hacia/desde los proveedores de la nube.

Estos hallazgos han suscitado un debate sobre ofertas como Bleu "Trusted Cloud" (las tecnologías de Microsoft ofrecidas por Orange y Capgemini) y S3ns (de Google con Thales).

En Estados Unidos, Facebook ha llegado a un acuerdo en el escándalo de Cambridge Analytica, relacionado con su acceso a los datos privados de decenas de millones de usuarios de Facebook durante una campaña electoral. El escándalo estalló tras las revelaciones de un denunciante de Cambridge Analytica a The Observer en 2018, que ya habían supuesto el pago de una multa de miles de millones de euros para Facebook.

En Cuba, la ley de protección de datos personales Fue publicada en el Diario Oficial el 25 de agosto. Entrará en vigor 180 días después de su publicación.

Rusia ha modificado su ley de protección de datos tras la firma del Convenio 108+ del Consejo de Europa.

La nueva Ley Federal No. 266 del 14 de julio de 2022 modifica sustancialmente algunos de los actos legislativos que rigen el procesamiento de datos personales en Rusia y ahora incluye la obligación de notificar las violaciones de datos.

Las crecientes tensiones políticas y de seguridad entre Pekín y Occidente han provocado peticiones en el Reino Unido de una Revisión de la transferencia de datos genéticos a China de una base de datos biomédica que contiene el ADN de medio millón de ciudadanos británicos.

Las mejores medidas de seguridad no protegen contra las vulnerabilidades de los subcontratistas.

El 24 de agosto, Twilio informó que piratas informáticos habían irrumpido en sus sistemas.

Twilio ofrece servicios de verificación a sus clientes, incluida la empresa de mensajería cifrada Signal.

Cuando un usuario registra su número de teléfono, Twilio le envía un SMS con un código de verificación, que luego ingresa en Signal.

Si bien el impacto en Signal y sus usuarios es limitado debido a la forma en que está diseñado el servicio, esta es una advertencia para cualquier plataforma o servicio que pueda ser manipulado para transmitir credenciales a un atacante.

Google LLC multada con 60 millones de dólares en Australia dólares por engañar a los consumidores sobre la recopilación y el uso de sus datos de ubicación personal en teléfonos Android.

Anne Christine Lacoste

Socia del despacho Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos; fue Responsable de Relaciones Internacionales del Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.