Boletín Legal Nº 66 – Diciembre de 2023.

Jurisprudencia del RGPD: Tendencias clave para 2023

Tanto en Francia como a nivel europeo, las autoridades de protección de datos y los órganos judiciales adoptaron numerosas decisiones en 2023 que aclaraban las condiciones para la aplicación del RGPD.

A nivel europeo, las sanciones más significativas impuestas por las autoridades de protección de datos afectan tanto a gigantes tecnológicos internacionales como a algunas empresas nacionales.

Se centran específicamente en la publicidad sin el consentimiento del usuario y en la falta de información a los usuarios.

• El 4 de enero de 2023, la Comisión Irlandesa de Protección de Datos multó a Meta Platforms Ireland Ltd. con 390 millones de euros por el uso ilícito de datos personales con fines publicitarios en Facebook e Instagram.

Además, en mayo de 2023 impuso a Meta una multa histórica de 1.200 millones de euros por transferir datos ilegalmente a Estados Unidos.

• La Autoridad Irlandesa de Protección de Datos (DPA, por sus siglas en inglés) también multó a WhatsApp con 5,5 millones de euros en enero de 2023 por obligar a los usuarios a dar su consentimiento para el uso de datos personales con el fin de "mejorar los servicios y la seguridad".
• El 15 de junio de 2023, la CNIL impuso una multa de 40 millones de euros a CRITEO, una empresa especializada en publicidad online, principalmente por no verificar que las personas cuyos datos procesaba hubieran dado su consentimiento.
• La autoridad italiana de protección de datos multó el pasado mes de junio a la empresa de telemarketing TIM SpA con 7,6 millones de euros por una supervisión insuficiente de los centros de llamadas con prácticas abusivas.

En Francia, la CNIL ha adoptado otras sanciones que merecen ser mencionadas. La Comisión se ha centrado en particular en:

• Debido a la falta de una base legal en el contexto de la recopilación de datos biométricos por parte de la empresa Clearview;
• En cuanto a la cuestión del respeto al principio de minimización de los datos recopilados, en este caso los datos de geolocalización en el caso Cityscoot del 16 de marzo de 2023;
• En relación con los períodos de retención de datos en el caso KG COM del 8 de junio de 2023 y en el caso Doctissimo del 11 de mayo de 2023;
• En lo que respecta al respeto de los derechos de las personas en los casos Canal + (12 de octubre), Free (20 de marzo) y Criteo (15 de junio).

Respecto a este último punto, la CNIL subraya que los datos deben comunicarse al solicitante de forma inteligible.

También señala que el incumplimiento del plazo de un mes para responder a la solicitud de acceso es una infracción frecuente.

Cabe recordar que el ejercicio de los derechos individuales es el tema central de las investigaciones coordinadas por las autoridades de protección de datos en Europa para 2024.

Conviene mencionar también, en lo que respecta a la jurisprudencia de los tribunales franceses, varias decisiones recientes relativas a la videovigilancia.

• Los tribunales administrativos de Niza y Lille fallaron el 23 y el 29 de noviembre, respectivamente, a favor de los municipios que habían instalado sistemas de videovigilancia con reconocimiento facial algorítmico, argumentando que estos sistemas aún no habían sido activados o desplegados por completo con fines de videovigilancia aumentada.
• Por otro lado, el tribunal administrativo de Caen consideró de forma más contundente, en una orden provisional de fecha 22 de noviembre, que el sistema de videovigilancia algorítmica Briefcam constituía una infracción grave y manifiestamente ilegal del derecho a la privacidad.

El juez, en su despacho, señaló que el uso se encontraba fuera de cualquier marco legal o reglamentario y consideró que "no se ha demostrado, ni siquiera alegado, que no se pudieran haber implementado otros medios menos intrusivos en lo que respecta a la privacidad para preservar el orden público".

La cuestión de la base jurídica para el uso de la videovigilancia algorítmica debería volverse aún más acuciante con la adopción del reglamento europeo sobre inteligencia artificial, que regulará el reconocimiento facial en espacios públicos de una manera particularmente estricta (véanse los informes a continuación).

Finalmente, a nivel europeo, el Tribunal de Justicia de la Unión Europea (TJUE) ha adoptado varias decisiones que aclaran, en particular, los principios aplicables al tratamiento automatizado y la consideración de los daños en las infracciones del RGPD:

• El Tribunal de Justicia de la Unión Europea (TJUE) adoptó, por tanto, el 7 de diciembre dos sentencias importantes relativas al principal proveedor de servicios de información crediticia en Alemania («Schufa»).

El Tribunal señaló, en particular, que el procesamiento automatizado de la solvencia crediticia ("calificación") está sujeto a una prohibición general en virtud del artículo 22 del RGPD.

Añade que la empresa que establece una calificación crediticia por medios automatizados sigue sujeta al artículo 22, incluso si se trata de otra empresa que se basa en dicha calificación para tomar decisiones que tengan un impacto (negativo) en la persona interesada, argumentando que esto podría tener un impacto en los sistemas asistidos por IA.

• En lo que respecta a la indemnización por daños y perjuicios, en la sentencia del caso Österreichische Post AG del 4 de mayo de 2023, el Tribunal dictaminó que la mera infracción del RGPD no basta para otorgar derecho a indemnización al interesado afectado por el tratamiento ilícito de sus datos: es necesario demostrar el perjuicio sufrido. Este perjuicio, no obstante, debe ser indemnizado aunque no alcance un determinado grado de gravedad.
• En su sentencia de 14 de diciembre de 2023, el TJUE ofrece una interpretación amplia del daño moral.

El tribunal especifica en particular que el temor que experimenta una persona ante un posible uso indebido de sus datos personales por parte de terceros tras una infracción del RGPD probablemente constituya, en sí mismo, un daño moral.

En combinación con la sentencia del Tribunal Federal de Correos de Austria, que establece que no existe un umbral mínimo para los daños no materiales, esta sentencia podría fomentar el desarrollo de las demandas colectivas en Europa.

Cabe recordar que Francia, al igual que sus socios europeos, está en proceso de transponer a su legislación nacional la directiva de 25 de noviembre de 2020 sobre acciones representativas en defensa de los intereses colectivos de los consumidores.

 

   

• A mediados de diciembre, la CNIL publicó las "Tablas sobre procesamiento de datos y libertades" para profesionales de la protección de datos.

Estas tablas agrupan y clasifican resúmenes de numerosas decisiones de tribunales franceses y europeos, incluidos el Tribunal Europeo de Derechos Humanos, el Tribunal de Justicia de la Unión Europea, el Consejo Constitucional, el Consejo de Estado y el Tribunal de Casación.

Las tablas también incluyen ciertas decisiones del CEPD y de la CNIL, centrándose en aquellas que establecen una nueva doctrina o fijan principios.

• A mediados de diciembre, la CNIL también publicó una guía para sensibilizar sobre el RGPD con el fin de ayudar a los servicios de salud y seguridad en el trabajo (SPST) a cumplir con la normativa.
• Tras el Comité Europeo de Protección de Datos (CEPD), ahora le toca el turno a la Dirección General de Competencia, Consumo y Lucha contra el Fraude de publicar una página destinada a alertar a los consumidores sobre las "prácticas engañosas", técnicas o procesos diseñados para influir en las decisiones de los usuarios de internet con el fin de inducirles a comprar productos o suscribirse a servicios que no habrían elegido por sí mismos.
• El Ministerio del Interior acaba de finalizar la reorganización de sus servicios de lucha contra la ciberdelincuencia.
• El nuevo "Comando del Ministerio del Interior en el Ciberespacio" (Comcyber-MI) fue creado por decreto el 23 de noviembre de 2023 y coordinará todos los recursos del ministerio.
• Otro decreto formaliza la creación de una nueva "Oficina contra el Cibercrimen" (OFAC, por sus siglas en inglés) que fusiona, dentro de la Policía, la subdirección de lucha contra la ciberseguridad y la antigua oficina, la Oficina Central de Lucha contra los Delitos Relacionados con las Tecnologías de la Información y la Comunicación (OCLCTIC).
• Finalmente, un tercer decreto formaliza la creación de una unidad cibernética nacional, adscrita a la dirección general de la gendarmería nacional.

Los grupos Iliad, CMA CGM y Schmidt Futures han creado "Kyutai": un laboratorio de investigación de inteligencia artificial sin ánimo de lucro cuya ambición es abordar los principales retos de la IA, como el desarrollo de grandes modelos multimodales y la invención de nuevos algoritmos.

 

instituciones y organismos europeos

• La UE alcanzó un acuerdo político el 9 de diciembre sobre la regulación de la IA, que se espera que se adopte oficialmente a principios de 2024.

El acuerdo provisional prohibiría, por ejemplo, la manipulación cognitiva del comportamiento, la recopilación no selectiva de imágenes faciales de Internet o de grabaciones de cámaras de videovigilancia, el reconocimiento de emociones en el lugar de trabajo y en las instituciones educativas, la puntuación social, la categorización biométrica para inferir datos sensibles, como la orientación sexual o las creencias religiosas, y ciertos casos de vigilancia predictiva para individuos.

El acuerdo prevé varias excepciones para los servicios policiales y la migración.

• En su última reunión plenaria, el Comité Europeo de Protección de Datos adoptó una carta en respuesta a la iniciativa de la Comisión Europea sobre el compromiso voluntario en materia de cookies ("compromiso con las cookies").

El Comité apoya en general el documento y recomienda que las empresas, cuando un usuario se haya negado a que se recopilen sus datos, esperen un año antes de volver a solicitar su consentimiento para reducir la fatiga del usuario ("fatiga de cookies"), que, debido a las repetidas solicitudes, lleva a los usuarios a hacer clic al azar en lugar de ejercer realmente sus derechos.

• En una sentencia de fecha 7 de diciembre de 2023, el TJUE aclaró que la imposición de una multa por una infracción del RGPD presupone que dicha infracción se haya cometido de forma deliberada o negligente.

Además, amplía el alcance de la responsabilidad y la cualificación del responsable del tratamiento de datos: esta definición puede aplicarse a una entidad que haya encargado a una empresa el desarrollo de una aplicación móvil y que, en este contexto, haya participado en la determinación de los fines y los medios del tratamiento, incluso si dicha entidad no ha llevado a cabo las operaciones de tratamiento, no ha dado su consentimiento explícito para la realización de dichas operaciones o para que la aplicación esté disponible para el público.

Se señala que la calificación de dos entidades como responsables conjuntos del tratamiento no presupone ni la existencia de un acuerdo entre dichas entidades sobre la determinación de los fines y los medios del tratamiento ni la existencia de un acuerdo que establezca las condiciones relativas a su responsabilidad.

• El 21 de diciembre, el Tribunal de Justicia de la Unión Europea dictaminó que el derecho a indemnización previsto en el artículo 82 del RGPD cumple una función compensatoria, «en el sentido de que la indemnización monetaria basada en dicha disposición debe permitir compensar íntegramente el daño real sufrido como consecuencia de la violación de dicha normativa», y no una función disuasoria o punitiva.

Por lo tanto, la gravedad de la infracción que causó el daño en cuestión no debería afectar la cuantía de la indemnización.

• Microsoft ha presentado una nueva versión de Outlook destinada a reemplazar el programa de correo electrónico y calendario integrado en Windows en 2024, lo que está generando preocupación entre las autoridades europeas de protección de datos.

Microsoft podría acceder a los correos electrónicos y archivos adjuntos cuando un usuario agrega una cuenta de correo electrónico que no es de Microsoft a la aplicación, a través de las credenciales IMAP y SMTP de esa cuenta.

 

Noticias procedentes de los países miembros de Europa.

• Si bien se espera que Marie-Laure Denis sea reelegida presidenta de la CNIL, según un comunicado del Elíseo publicado a finales de noviembre, Helen Dixon, presidenta de la Comisión Irlandesa de Protección de Datos, anunció en LinkedIn el 15 de noviembre de 2023 su dimisión en febrero de 2024, tras 10 años en el cargo.
• La Autoridad Italiana de Protección de Datos (APD) ha multado a un responsable del tratamiento de datos con 40.000 euros por acceder a las cuentas de correo electrónico de tres de sus antiguos empleados, en violación del artículo 5, apartado 1, y del artículo 13 del RGPD.

La autoridad también consideró que un administrador de condominio había infringido el artículo 5(1)(a) y el artículo 6 del RGPD al instalar ilegalmente un sistema de videovigilancia sin la aprobación previa de una resolución del condominio.

La APD le impuso una multa de 1.000 euros y la prohibición de tramitar sus solicitudes.

• La Autoridad Noruega de Protección de Datos (APD) ha multado a la Administración Noruega de Trabajo y Bienestar Social (NAV) con 1.754.678 euros (20 millones de coronas noruegas) y ha emitido varias órdenes por 12 infracciones, atribuidas a una "negligencia grave durante un largo período" en la seguridad de la información y los sistemas informáticos de la administración.
• La Agencia Danesa de Protección de Datos (DPA, por sus siglas en inglés) ha reprendido a la Agencia de Gobierno Digital por utilizar JavaScript en relación con MitID, el identificador digital danés.

Aunque se conocen los riesgos asociados al uso de este lenguaje de programación, la Agencia lo utilizó sin realizar una evaluación de riesgos previa, infringiendo así, entre otras cosas, el artículo 32(1) del RGPD.

• Un artículo publicado en New Scientist el 18 de diciembre menciona que una inteligencia artificial entrenada con datos personales (registros médicos, profesionales y financieros) de seis millones de daneses fue capaz de predecir los riesgos de muerte con mayor precisión que los modelos existentes, incluidos los utilizados en el sector de los seguros.

Los investigadores responsables de esta tecnología afirman que podría tener un impacto positivo en la predicción temprana de problemas sociales y de salud, pero que debe mantenerse fuera del alcance de las grandes corporaciones.

• Tras la aprobación el pasado octubre del proyecto de ley de seguridad en línea, que fue criticado por la sociedad civil por comprometer el cifrado de extremo a extremo de las comunicaciones, el Reino Unido está preparando una nueva ley controvertida sobre poderes de investigación.

Según un informe de Politico, la principal preocupación respecto a este proyecto se relaciona con el denominado régimen de "notificaciones": este permitiría al Ministerio del Interior exigir a las empresas que le informen de cualquier plan para modificar los productos o sistemas de sus servicios, lo que implicaría una posible pérdida de control por parte de las empresas sobre sus propios productos e impediría, por ejemplo, que corrijan las vulnerabilidades en el código que el gobierno o sus socios quisieran explotar.

El proyecto de ley se encuentra actualmente en fase de informe, y la próxima sesión está programada para el 23 de enero.

 

• Las agencias de ciberseguridad de 18 países acordaron en un documento publicado el 26 de noviembre de 2023 la creación de modelos de "seguridad desde el diseño" para la inteligencia artificial: las empresas que diseñan y utilizan IA deben desarrollarla e implementarla de manera que proteja a sus clientes y al público en general del uso indebido.

Este acuerdo no vinculante fue adoptado por Estados Unidos, Canadá, Japón y 7 estados de la UE (Alemania, Estonia, Francia, Italia, Polonia y la República Checa), así como por Noruega y el Reino Unido.

• En Estados Unidos, poco antes de finalizar el año, Google llegó a un acuerdo para resolver una demanda colectiva de 5 mil millones de dólares relacionada con el modo incógnito de su navegador Chrome. Google fue acusado de seguir rastreando, recopilando e identificando los datos de navegación de los usuarios en tiempo real, incluso después de que se abriera una nueva ventana de incógnito.

Según Euractiv, los términos específicos del acuerdo aún no se han hecho públicos, pero se espera que el acuerdo formal se presente ante el tribunal antes del 24 de febrero.

• La Agencia de Privacidad de California (CCPA) se ha pronunciado a favor de una propuesta legislativa que exigiría a los proveedores de navegadores web incluir una función que permita a las personas ejercer sus derechos mediante señales de preferencia de "exclusión voluntaria".

La CCPA señala que muchos navegadores actualmente exigen a los usuarios que instalen un complemento de terceros capaz de transmitir la señal. 

Actualmente, los navegadores que admiten de forma nativa las señales de preferencia de exclusión voluntaria representan menos del 10% del mercado mundial de navegadores web.

• A finales de diciembre, la Comisión Federal de Comercio (FTC) propuso nuevos límites para las empresas que recopilan datos de niños menores de 13 años y normas más estrictas para la conservación de esta información, como parte de una actualización de su Ley de Protección de la Privacidad Infantil (COPPA).
• También en Estados Unidos, una demanda colectiva acusa a la aseguradora de salud estadounidense Humana de haber utilizado indebidamente un modelo de inteligencia artificial para negar a las personas mayores atención de rehabilitación esencial.