Boletín Legal Nº 67 – Enero de 2024.

Función y recursos de los DPO: resultados de un año de auditorías

El 17 de enero, la CNIL y sus homólogos europeos publicaron los resultados de sus investigaciones sobre el papel y los recursos de los responsables de protección de datos (RPD) en el contexto de la aplicación del RGPD.

Este tema fue objeto de una acción europea coordinada por el Comité Europeo de Protección de Datos (CEPD) en 2023.

Las funciones principales del DPO, tal como se establecen en los artículos 37 a 39 del RGPD, incluyen informar y asesorar al responsable del tratamiento sobre cuestiones de protección de datos (incluida la realización de evaluaciones de impacto), sensibilizar y capacitar al personal, y supervisar las violaciones de datos.

El responsable de protección de datos (DPO) coopera con la autoridad de control y es el punto de contacto para las personas cuyos datos se están procesando.

Las investigaciones realizadas por las autoridades de protección de datos se basaron en un cuestionario elaborado conjuntamente por todas las autoridades que lo integran.

En Francia, la CNIL auditó a 14 responsables del tratamiento de datos y complementó el envío del cuestionario con varias inspecciones in situ.

Los controles abarcaron a agentes públicos como hospitales, universidades, municipios y centros de gestión, así como a agentes privados de los sectores del lujo y el transporte.

Es destacable el número particularmente bajo de funcionarios auditados.

Al igual que varias autoridades europeas, la CNIL ha optado por llevar a cabo un número limitado de investigaciones exhaustivas, mientras que otras autoridades se han puesto en contacto con decenas de miles de directivos sin realizar controles tan minuciosos.

El informe del CEPD tiene en cuenta estas diferencias de enfoque en su análisis.

La CNIL realiza una valoración general positiva del papel y los recursos asignados al DPO.

Ella señala que, por lo general, cuentan con recursos suficientes.

Sin embargo, destaca las grandes disparidades entre los recursos asignados a las organizaciones de personas con discapacidad (OPD) en las estructuras públicas, que a menudo trabajan solas, especialmente en comunidades pequeñas, mientras que las OPD del sector privado generalmente cuentan con un equipo.

Esta observación se confirma a nivel europeo.

Entre las deficiencias señaladas, se encuentra el riesgo de conflictos de intereses entre las funciones del DPO y otras tareas que se le asignan, así como la falta de participación del DPO en las decisiones relativas a la protección de datos.

La CNIL indica a este respecto que ha sancionado (al margen de esta investigación) a una organización del sector social con una multa de 10.000 euros porque el delegado no pudo desempeñar adecuadamente sus funciones: no se involucró suficientemente en asuntos relacionados con la protección de datos personales y sus funciones carecían de visibilidad para los empleados de la organización.

El informe europeo concluye este análisis señalando que los DPO están asumiendo cada vez más, además de su función en relación con el RGPD, funciones clave en el contexto de las nuevas normativas europeas, como las relativas a la IA, los servicios digitales, el mercado digital o los datos. 

También se les están asignando nuevas funciones relacionadas con la ética, la gobernanza de datos y los espacios de datos.

Ante esta tendencia, el Comité advierte del mayor riesgo de conflictos de intereses o de la insuficiencia de recursos disponibles para los responsables de la protección de datos.

Subraya que las autoridades de protección de datos, así como los responsables del tratamiento de datos, desempeñan un papel esencial para que el DPO pueda cumplir plenamente con su función.

 

     

• La CNIL ha impuesto varias sanciones importantes en las últimas semanas.
• El 29 de diciembre de 2023, multó a Yahoo con 10 millones de euros por no respetar la elección de los usuarios de internet que rechazaban las cookies en su sitio web, y por no permitir que los usuarios de su servicio de mensajería retiraran libremente su consentimiento para el uso de cookies.
• Tras realizar inspecciones in situ en los almacenes de Amazon France Logistique, la autoridad francesa de protección de datos (CNIL) detectó el 27 de diciembre varias infracciones del RGPD relacionadas con la vigilancia exhaustiva de los centros de trabajo y multó a la multinacional con 32 millones de euros. Según la CNIL, Amazon ha implementado un sistema de vigilancia «excesivamente intrusivo», que opera sin proporcionar información y carece de las medidas de seguridad necesarias.
• El 29 de diciembre, la CNIL también impuso una multa de 105.000 euros a NS Cards France, distribuidora de dinero electrónico, por retención excesiva de datos personales, políticas de privacidad incompletas, medidas de seguridad insuficientes y falta de consentimiento del usuario con respecto a las cookies no esenciales.
• Finalmente, se abre una consulta pública sobre un borrador de guía relativo a la evaluación del impacto de las transferencias de datos fuera del Espacio Económico Europeo: antes de cualquier transferencia a un país que no cuente con una decisión de adecuación, deberá realizarse una evaluación del nivel de protección de datos en el país receptor, así como una evaluación de las garantías que se deben proporcionar para dicha transferencia. Las contribuciones pueden presentarse hasta el 12 de febrero de 2024.
• La Agencia Nacional Francesa de Ciberseguridad (ANSSI) ha anunciado el lanzamiento de Hackropole, una nueva plataforma diseñada para dar a conocer las oportunidades profesionales en ciberseguridad. La plataforma ofrece más de 300 desafíos abiertos a todo el mundo, que abarcan todas las áreas de la ciberseguridad, desde la criptografía hasta el hacking.

 

instituciones y organismos europeos 

• Bélgica asumió la presidencia del Consejo de la Unión Europea a principios de enero por un período de seis meses con el lema "Proteger, fortalecer y preparar".

Entre los temas que se abordarán en 2024 se incluyen la ciberresiliencia de los productos conectados, la identidad digital, los espacios de datos, la aplicación transfronteriza del RGPD y la inteligencia artificial.

 2024 también será un año de implementación para muchas leyes finalizadas el año pasado, incluyendo la ley de servicios digitales, allá ley de mercados digitales y el ley de gobernanza de datos.

• El 2 de febrero, los embajadores de los 27 países de la Unión Europea aprobaron por unanimidad, aunque no sin dificultad, la regulaciones sobre inteligencia artificialCon ello, se respalda, a nivel gubernamental, el acuerdo político alcanzado en diciembre.

Tras la votación de las comisiones del Parlamento Europeo a mediados de febrero, la aprobación en sesión plenaria está prevista provisionalmente para los días 10 y 11 de abril.

El reglamento entrará en vigor 20 días después de su publicación en el diario oficial.

Las prohibiciones de las prácticas prohibidas comenzarán a aplicarse seis meses después, y las obligaciones relativas a los modelos de IA en el plazo de un año.

• Paralelamente, la Comisión Europea anunció el 24 de enero la creación de una oficina europea de IA para contribuir a la implementación y aplicación del futuro reglamento.

Esta oficina tendrá como objetivo publicar directrices para establecer normas armonizadas en toda la UE, así como fomentar y facilitar el desarrollo de códigos de buenas prácticas y códigos de conducta a nivel de la Unión.

• El proceso legislativo relativo a Reglamento CSAR Dado que el control del chat está lejos de estar completo, la Unión Europea ha propuesto prorrogar una solución temporal que permite a los gigantes tecnológicos escanear los dispositivos de sus clientes en busca de pornografía infantil de forma voluntaria.

Esta medida ha suscitado críticas, en particular del Supervisor Europeo de Protección de Datos (SEPD). En un dictamen publicado el 29 de enero, el SEPD expresó su preocupación por los objetivos de este reglamento, que restringiría el derecho de las personas a la confidencialidad de sus comunicaciones.

• El 31 de enero, la Comisión Europea publicó el Cuadro de Indicadores de Transparencia de la Ley de Servicios Digitales (DSA, por sus siglas en inglés). Este cuadro ofrece una visión general de las decisiones de moderación de contenido tomadas por las principales plataformas en línea.
• El reglamento europeo de protección de datos entró en vigor en enero de 2024.

Entre sus objetivos se incluyen promover el intercambio equitativo de datos, permitir que los organismos del sector público utilicen los datos en poder del sector privado para fines específicos de interés público y facilitar a los clientes el cambio de proveedores de servicios de procesamiento de datos para impulsar el mercado europeo de la nube.

• La Comisión Europea investigará la Asociación entre Microsoft y OpenAI, dentro del cual Microsoft planea integrar un conjunto de herramientas de IA en sus propios productos.

En un comunicado de prensa de fecha 9 de enero, la Comisión invita a todas las partes interesadas a compartir su experiencia y comentarios sobre el nivel de competencia en el contexto de los mundos virtuales y la IA generativa, así como sus ideas sobre cómo el derecho de la competencia puede ayudar a garantizar que estos nuevos mercados sigan siendo competitivos.

• La Comisión Europea publicó su informe el 15 de enero. la evaluación de las 11 decisiones de idoneidad Adoptada en virtud de la Directiva de Protección de Datos de 1995.

Se señala que los datos personales transferidos desde la Unión Europea a Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, la Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay siguen beneficiándose de una decisión de adecuación en virtud del RGPD.

• El Comité Europeo de Protección de Datos (CEPD) ha publicado una herramienta de auditoría de sitios web para el cumplimiento del Reglamento General de Protección de Datos de la UE.

Esta herramienta, desarrollada por el grupo de expertos del CEPD, puede ser utilizada por las autoridades de protección de datos, así como por los responsables y encargados del tratamiento de datos, para agilizar la preparación, ejecución y evaluación de las auditorías. Se trata de software libre y de código abierto, con licencia EUPL 1.2, y puede descargarse desde code.europa.eu.

• El CEPD también publicó el 18 de enero un Archivo sobre seguridad del procesamiento de datos y notificación de violaciones de datos.

El documento analiza las decisiones adoptadas por las autoridades de control de conformidad con el artículo 60 del RGPD en el marco del mecanismo de ventanilla única en materia de seguridad del tratamiento de datos y violaciones de datos personales.

• El Tribunal de Justicia de la UE dictaminó en una sentencia de 30 de enero que la retención general e indiscriminada de datos biométricos y genéticos de personas condenadas por delitos penales, hasta su muerte, es contraria al Derecho de la UE y, en particular, al derecho al olvido.
• El TJUE también decidió el 16 de enero que El RGPD se aplica a las comisiones parlamentarias nacionales..

El Tribunal aclaró el concepto de seguridad nacional y declaró que, a falta de pruebas de un objetivo de seguridad nacional, los tribunales nacionales deben determinar si se aplica el artículo 2(2)(a) relativo al ámbito de aplicación del RGPD.

• Los gigantes tecnológicos tienen hasta el 6 de marzo para cumplir con las disposiciones del reglamento europeo sobre mercados digitales y, en particular, deben permitir que sus usuarios se registren en un único servicio sin que este quede vinculado automáticamente a otro.

En este contexto, Meta anunció el 22 de enero que los usuarios de Instagram y Facebook podrán gestionar sus cuentas por separado, de modo que su información ya no se comparta entre ambas.

Google también mencionó en su página del centro de ayuda la posibilidad de que los usuarios europeos seleccionen los servicios que desean mantener vinculados en términos de intercambio de datos.

 

Noticias de los Estados miembros europeos

• El 11 de diciembre de 2023, en cooperación con la CNIL, la Autoridad de Protección de Datos de los Países Bajos (APD) emitió una resolución contra las empresas. Uber BV y Uber Technologies

La empresa fue multada con diez millones de euros por varios fallos en el suministro de información a los conductores. 

Estas deficiencias se refieren en particular a los procedimientos relativos al derecho de acceso a los datos, las transferencias fuera de la UE, los períodos de conservación y el derecho a la portabilidad de los datos.

• La Autoridad de Protección de Datos de los Países Bajos también multó a ICS, una empresa de tarjetas de crédito, con 150.000 euros por no haber realizado una evaluación de impacto relativa a la protección de datos (EIPD).

En sus consideraciones, la APD subrayó que la ausencia de una DPIA constituye en sí misma una violación del RGPD, pero que también aumenta la probabilidad de otras violaciones del reglamento, ya que no se tienen en cuenta los riesgos antes de la implementación del tratamiento de datos.

• La Autoridad Belga de Protección de Datos (APD) ha multado a un intermediario de datos con 174.640 euros.

Entre otras infracciones, el responsable del tratamiento de datos no podía ampararse en un interés legítimo para recopilar datos de terceros.

Tampoco informó al solicitante sobre las fuentes y los destinatarios de los datos en el contexto de una solicitud de acceso. 

• La autoridad belga también investigó las prácticas de un responsable del tratamiento de datos tras una filtración de datos que afectó a casi 90.000 personas.

No adoptó ninguna sanción, considerando que la filtración de datos fue un incidente aislado y que el responsable del tratamiento de datos había cumplido con el artículo 33 del RGPD.

• La Autoridad Austriaca de Protección de Datos (APD) ha multado a un responsable del tratamiento de datos con 10.000 euros por no cooperar con ella en un procedimiento de reclamación, infringiendo así el artículo 31 del RGPD.
• En Alemania, un investigador de seguridad fue multado con 3.000 euros el 17 de enero por descubrir y denunciar una vulnerabilidad de seguridad en una base de datos de comercio electrónico que expuso casi 700.000 registros de clientes.

Descubrir una contraseña en texto plano y utilizarla sin autorización en una búsqueda se considera un delito.

Esta decisión, que será apelada, es criticada por un experto en seguridad por su efecto disuasorio sobre la investigación legítima de las vulnerabilidades de los sistemas.

• A finales de enero, la Autoridad Danesa de Protección de Datos (APD) descubrió que un municipio había infringido las normas de seguridad del RGPD al no cifrar los discos duros de sus ordenadores.

Un ordenador de trabajo había sido robado del domicilio de un empleado y contenía datos personales confidenciales, datos de la seguridad social y datos relativos a menores.

El disco duro no estaba cifrado.

La investigación reveló que casi 1.200 de los ordenadores portátiles del municipio tampoco estaban cifrados.

• El 24 de enero, el Centro Nacional de Ciberseguridad del Reino Unido publicó un informe preocupante sobre el impacto a corto plazo de la IA en la ciberamenaza.

El informe señala en particular que Es casi seguro que la IA aumentará el volumen y el impacto de los ciberataques en los próximos dos años gracias a las mejoras en las tácticas, técnicas y procedimientos existentes.

También señala que la IA limita las dificultades para los ciberdelincuentes aficionados, quienes pronto podrán lanzar sofisticados ataques de phishing que serán difíciles de identificar para los destinatarios.

 

• A finales de enero, Thierry Breton, Comisionado para el Mercado Interior, y Alejandro N. Mayorkas, Secretario de Seguridad Nacional de Estados Unidos, discutieron el tema. Plan de acción conjunto UE-EE. UU. para productos ciberseguros, tras la cumbre UE-EE. UU. de octubre de 2023.

Esta colaboración entre la Comisión y los organismos reguladores estadounidenses pertinentes tiene como objetivo explorar un posible reconocimiento mutuo de los requisitos de ciberseguridad para los productos de hardware y software de consumo del Internet de las Cosas.

El plan de acción se basa en el marco de la legislación de la UE sobre ciberresiliencia y en el programa de etiquetado de ciberseguridad propuesto por Estados Unidos (Ley de Marca de Confianza Cibernética).

• La administración Biden-Harris anunció medidas clave de inteligencia artificial el 29 de enero, tras la orden ejecutiva adoptada por el presidente Biden tres meses antes.

El decreto prevé, en particular, el establecimiento de requisitos esenciales de divulgación para los desarrolladores de los sistemas más potentes, la evaluación de los riesgos de la IA para las infraestructuras críticas y la "impedimento de los esfuerzos de agentes extranjeros para desarrollar la IA con fines perjudiciales".

Los organismos y departamentos federales pertinentes indicaron que habían completado todas las acciones estipuladas en el decreto en un plazo de 90 días e informaron sobre el progreso de las medidas previstas a largo plazo.

• El Gobierno de Canadá ha creado un "glosario de información personal y privacidad" que contiene los términos en inglés y francés para más de 300 conceptos.

También incluye otra información terminológica (que puede variar de una entrada a otra), que comprende otras designaciones, definiciones, notas y ejemplos de uso.

• Dos investigadores de la Fundación Carnegie para la Paz Internacional han instado al gobierno sudafricano a que dé la máxima prioridad a la ciberseguridad y a que adopte un liderazgo más firme en este ámbito a nivel internacional.

A pesar de su dependencia digital, los investigadores indican que la estrategia cibernética del país carece gravemente de financiación y que el gobierno no tiene una postura clara en los debates sobre la gobernanza cibernética.

Según el Consejo Sudafricano de Investigación Científica e Industrial, Sudáfrica es el país africano más afectado por estos ciberataques y ocupa el octavo lugar en el mundo.