La protección de datos en pleno apogeo

Legal Watch No. 20 – 10 de febrero de 2020

Esto es lo que recordamos de las primeras semanas de este nuevo año, con numerosos debates con motivo de acontecimientos significativos:

• Día Internacional de la Protección de Datos este 28 de enero,
• La conferencia internacional sobre protección de datos organizada la semana pasada en Bruselas por el sector académico, y
• Foro Internacional de Ciberseguridad en Lille a últimos días de enero.

Febrero no se quedará atrás, con la conferencia “protección intensiva de datos” organizada en París por la Asociación Internacional de OPD (IAPP).

Entre los muchos temas tratados, destacan dos: la intensificación de los debates en torno al reconocimiento facial y la situación específica de las VSE y las PYMES con respecto al RGPD.

El reconocimiento facial en cuestión

Lo que encendió la mecha a finales de enero fue la hipótesis, planteada en un libro blanco de la Comisión Europea, de una moratoria sobre el reconocimiento facial en lugares públicos.

Este documento, en su fase de borrador, no estaba destinado a ser distribuido, y desde entonces la Comisión ha anunciado que está abandonando la posibilidad de una moratoria y está priorizando otras vías de regulación.

Presentará su trabajo sobre inteligencia artificial el 19 de febrero.

La idea de regular más estrictamente, o incluso prohibir, el reconocimiento automático de personas en determinados lugares, se está abriendo camino entre los reguladores, así como en los sectores privado y público e incluso más allá de Europa.

Sobre este tema se han pronunciado, entre otros, el Supervisor Europeo de Protección de Datos (SEPD) y el Comisario de Protección de Datos del Consejo de Europa.

El Comité Europeo de Protección de Datos (CEPD) también aborda esta cuestión en sus últimas directrices adoptadas a finales de enero.

Cada vez más ciudades, como San Francisco y Cambridge, han prohibido esta tecnología en sus espacios públicos.

Los usos potenciales de los datos crean tal incertidumbre que gigantes tecnológicos como Microsoft también piden mayor claridad.

Entre los argumentos esgrimidos, destacamos en particular el riesgos de discriminación basada en el origen étnico y otros prejuicios que conducen a demasiados “falsos positivos”.

La perspectiva de un espacio público bajo vigilancia total también plantea interrogantes a la luz de las posibilidades actuales de recopilación de datos: pensamos en la base de datos Clearview, la empresa que almacena rostros accesibles en todas las redes sociales para venderlos a las fuerzas del orden en Estados Unidos, y que fue noticia a principios de este año.

También merece la pena destacar la dimensión internacional del problema.

Prueba de ello es la reciente pregunta parlamentaria a nivel europeo sobre el proyecto “Safe City” desarrollado en Serbia, basado en tecnología china de reconocimiento facial. 

La situación de las micro, pequeñas y medianas empresas (VPE) y las pymes

Los debates que tuvieron lugar durante los distintos eventos de enero pusieron de relieve los principales desafíos que afrontan las (muy) pequeñas y medianas empresas.

Si representan la mayor parte de la economía europea, Son los más desfavorecidos al abordar cuestiones de seguridad de su plataforma TI, uso de la nube, outsourcing y uso de herramientas de autoevaluación (auditorías).

Ante estas preguntas, varias iniciativas han visto la luz del día. 

ENISA (la Agencia de Ciberseguridad de la Unión Europea) lanzó el 28 de enero una plataforma en línea para ayudar a las empresas, especialmente a las PYME, a proteger sus datos.

También existen dos iniciativas destinadas a ayudar a los desarrolladores de sitios web: la guía de la CNIL y la de la organización EDRI, que tienen como objetivo apoyar el desarrollo de sitios que cumplan con el RGPD.

Si bien elegir una nube segura (e idealmente europea) sigue siendo complejo, cabe destacar los esfuerzos de los reguladores europeos al respecto. Microsoft, por ejemplo, acaba de modificar las condiciones contractuales de Office 365 bajo presión del SEPD y los Países Bajos para que cumplan con el RGPD.

Y además:

En Francia:

Como se anunció, la CNIL publicó el 14 de enero de 2020 un proyecto de recomendación relativa a lauso de cookies y otros rastreadores.

Su objetivo es aclarar las condiciones para obtener el consentimiento e incluye ejemplos concretos de avisos a los usuarios de internet. El texto está abierto a consulta hasta el 25 de febrero.

En Europa:

Allá La salida del Reino Unido de la Unión Europea tendrá consecuencias en las transferencias de datos.

Sin embargo, habrá Sin cambios durante el año 2020, un año de transición durante el cual la Comisión Europea evaluará el nivel de protección ofrecido por el Reino Unido para adoptar una posible decisión de adecuación. 

Los comunicados de prensa de la ICO (autoridad de supervisión británica) y de la CNIL precisan estos elementos.

Internacional :

• ESTADOS UNIDOS :Tras la entrada en vigor a principios de 2020 de la Ley de Privacidad del Consumidor de CaliforniaEs el turno del estado de Washington de preparar un proyecto de ley sobre privacidad.

• Indonesia : a ley de protección de datos Se presentó en el Parlamento el 28 de enero. Su última versión, del 6 de diciembre de 2019, está fuertemente inspirada en el RGPD y se aplica a los sectores público y privado.

A modo de recordatorio, la lista de países cuyas leyes son consideradas adecuadas por la Unión Europea, facilitando así las transferencias de datos a estos países, está disponible aquí.

• Andorra,
• Argentina,
• Canadá (organizaciones comerciales),
• Islas Feroe,
• Guernsey,
• Israel,
• Isla de Man,
• Japón,
• Jersey,
• Nueva Zelanda,
• Suiza,
• Uruguay y el
• Estados Unidos de América (limitado al marco del Escudo de Privacidad)

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.