Boletín Legal Nº 61 – Julio de 2023.

Las API son la base del intercambio de datos personales.

Las interfaces de programación de aplicaciones, comúnmente llamadas "API" en referencia a su nombre en inglés "application programming interface" (interfaz de programación de aplicaciones), se utilizan con frecuencia para facilitar el intercambio de información entre organizaciones públicas o privadas.

Este intercambio de datos cuenta con el respaldo del legislador, tal como lo confirma la estrategia europea de soberanía digital: esta tiene como objetivo desarrollar un mercado único de datos "fomentando el acceso, el intercambio y la reutilización responsables, en cumplimiento de los valores de la Unión Europea y, en particular, de la protección de los datos personales".

Complementa la estrategia europea sobre inteligencia artificial.

Las API, si integran la protección de datos desde la fase de diseño del sistema de intercambio, pueden proporcionar un marco técnico favorable, en cumplimiento del RGPD.

Por consiguiente, la CNIL fomenta su uso en una recomendación adoptada el 7 de julio.

Hace especial hincapié en la importancia de un nivel de seguridad acorde con los riesgos de la reutilización, y de limitar el intercambio de datos al mínimo necesario.

La recomendación va dirigida a tres tipos de actores: los titulares de datos, los gestores de API y los usuarios que reutilizan los datos.

El titular de los datos Se caracteriza por el hecho de que controla los datos de forma técnica u organizativa.

Un gestor de API Es la organización encargada de algunos o de todos los componentes técnicos en los que se basa el intercambio de datos.

Finalmente, el reutilizador de datos Se trata de cualquier organización que planee acceder o recibir datos a través de API para su propio uso.

La CNIL (Autoridad Francesa de Protección de Datos) subraya que una misma organización puede desempeñar varias funciones, como cuando el responsable del tratamiento desarrolla una API: en ese caso, también actúa como administrador de la API y debe seguir las recomendaciones correspondientes a ambas funciones. Por lo tanto, es fundamental identificar la función específica que se desempeña en el uso de una API.

Cada categoría está orientada a medidas que le permitan alcanzar el nivel de seguridad deseado y cumplir con los principios de protección de datos.

Se anima a las partes interesadas a cooperar para poner en práctica estas recomendaciones.                              

• Los responsables del tratamiento de datos deberán prestar especial atención a la hora de informar a los usuarios que reutilicen los datos, a la exactitud e integridad de los mismos y a la seguridad de los mismos (separación y disponibilidad, autenticación, registro).
• Los administradores de API se centrarán en la documentación, la minimización de datos, el ejercicio de los derechos relacionados con el intercambio de datos y la seguridad (comunicaciones, seguridad de los sistemas de información, registro de actividad).
• Los usuarios que reutilizan sus datos tienen obligaciones específicas en cuanto a informar a las personas afectadas, minimizar los datos y garantizar la seguridad (gestión de riesgos, protección de claves, registro de actividad).

La recomendación aborda casos específicos de intercambio de datos, por ejemplo, entre redes sociales e investigadores, o la apertura de datos gubernamentales.

La calificación de los diferentes actores no prejuzga su condición de responsable o encargado del tratamiento de datos en el sentido del RGPD.

Sin embargo, se pueden establecer algunas directrices: el titular de los datos será, por lo general, responsable del tratamiento compartido, siempre que haya decidido libremente sobre los fines y los medios del tratamiento o cuando se haya visto obligado legalmente a llevarlo a cabo.

El usuario que vuelva a utilizar el contenido será, con frecuencia, un "destinatario" en el sentido del RGPD.

Por su parte, el gestor de la API actuará como subcontratista, es decir, en nombre y bajo las instrucciones del titular de los datos y/o del usuario que los reutiliza.

Las recomendaciones de la CNIL deberían complementarse próximamente con la publicación, muy positiva, de casos prácticos en la página web de la Comisión.

 

Y también

• El 27 de julio, la CNIL publicó una convocatoria para la presentación de contribuciones relacionadas con su trabajo en materia de inteligencia artificial.

En esta ocasión, ofrece una primera actualización sobre el progreso de su trabajo tras la publicación de su plan de acción sobre inteligencia artificial el 16 de mayo, y hace un llamamiento a la presentación de contribuciones para enriquecer su pensamiento, antes de las primeras publicaciones previstas para el otoño.

• La CNIL también propone un nuevo "entorno de pruebas" para apoyar tres proyectos que utilizan inteligencia artificial (IA) en beneficio de los servicios públicos.

El plazo de presentación de proyectos está abierto hasta el 30 de septiembre de 2023.

• En el marco de su plan de acción sobre aplicaciones móviles, la CNIL publica y somete a consulta pública un proyecto de recomendación destinado a aclarar las obligaciones de los distintos agentes de este ecosistema, facilitar su cumplimiento y promover la aplicación de buenas prácticas.
• Más de sesenta ONG europeas escribieron al comisario europeo Thierry Breton el 26 de julio para pedirle aclaraciones sobre sus recientes comentarios en los que sugería que bloquear las plataformas en línea podría ser una medida aplicable y justificada en virtud de la Ley de Servicios Digitales (DSA).

Estos comentarios se produjeron tras las declaraciones del Presidente de la República, en las que planteaba la posibilidad de bloquear el acceso a las plataformas de redes sociales en el contexto de disturbios del orden público.

Las ONG creen que estos comentarios podrían alentar el bloqueo arbitrario de plataformas en línea por parte de gobiernos de todo el mundo.

Piden a la Comisión Europea que garantice que la transposición y aplicación de la Ley de Servicios Digitales por parte de los Estados miembros no dé lugar a una interpretación excesivamente amplia de estas medidas, lo que iría en contra de sus objetivos regulatorios y violaría la Carta de los Derechos Fundamentales de la Unión Europea.

• El 26 de junio, el Consejo de Estado dictaminó que el derecho de rectificación puede utilizarse para corregir datos después de un cambio de identidad, pero no retroactivamente para corregir documentos anteriores al cambio de identidad: estos datos anteriores no pueden considerarse inexactos.
• La Asamblea Nacional aprobó por unanimidad el 28 de junio el proyecto de ley para establecer una mayoría digital y luchar contra el odio en línea.

El proyecto también fue aprobado por unanimidad por el Senado el 29 de junio de 2023.

El texto establece la mayoría de edad digital a los 15 años, edad a partir de la cual un menor ya no necesitará el consentimiento de sus padres para registrarse en una red social.

 

instituciones y organismos europeos

• El 10 de julio, la Comisión Europea adoptó su decisión de adecuación para el "marco de protección de datos UE-EE. UU.", concluyendo que la protección garantizada por Estados Unidos para los datos transferidos es comparable a la ofrecida en la UE.

El nuevo marco normativo entró en vigor el 11 de julio.

Según la Comisión, los compromisos estadounidenses introducen "nuevas garantías vinculantes para abordar todas las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea, en particular limitando el acceso de los servicios de inteligencia estadounidenses a los datos de la UE a lo estrictamente necesario y proporcionado, y estableciendo un Tribunal de Protección de Datos".

Como era de esperar, Max Schrems consideró que el nuevo marco transatlántico para la protección de datos personales es en gran medida una copia del "Escudo de Privacidad" y que impugnará la decisión ante los tribunales.

Por su parte, el Comité Europeo de Protección de Datos (CEPD) ha publicado una nota informativa para orientar a las empresas y personas interesadas.

• El 4 de julio, la Comisión Europea publicó su "Propuesta de reglamento por el que se establecen normas de procedimiento adicionales para la aplicación del RGPD", destinada a garantizar una aplicación coherente del reglamento en los casos transfronterizos.

En un mensaje publicado en Twitter, el CEPD acogió con satisfacción la rápida respuesta de la Comisión a sus solicitudes de aclaración.

Sin embargo, algunas ONG critican la normativa propuesta, señalando que corre el riesgo de limitar la participación ciudadana en las denuncias que presenten ante las autoridades de protección de datos en casos de uso indebido de sus datos.

• Los dispositivos conectados, como las cámaras de vigilancia, los frigoríficos y los televisores inteligentes, pronto podrían ofrecer una mejor protección contra los ciberataques.

Los Estados miembros de la UE han acordado recientemente una posición común con respecto a los requisitos de seguridad para los productos digitales mencionados.

La ley de ciberresiliencia propuesta introduciría requisitos obligatorios para el diseño, desarrollo y producción de dispositivos.

• En una sentencia de fecha 4 de julio de 2023, el Tribunal de Justicia de la Unión Europea se pronunció en una disputa entre Meta y una autoridad alemana de competencia.

El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que una autoridad de competencia puede constatar una infracción del RGPD y, sin sustituir a la autoridad de protección de datos, conserva la libertad de extraer sus propias conclusiones desde la perspectiva de la aplicación del derecho de la competencia.

El Tribunal de Justicia de la Unión Europea (TJUE) también señala que es probable que Facebook procese datos "sensibles" procedentes de la actividad de los usuarios sin que estos necesariamente hayan querido hacerlos públicos, lo que excluye la exención del consentimiento.

El Tribunal también desestimó el recurso de Meta a la necesidad de ejecutar un contrato y al interés legítimo para justificar la personalización del contenido.

Finalmente, se observa que la posición dominante de Facebook en el mercado de las redes sociales suscita inquietudes sobre la validez del consentimiento, y que corresponde al operador demostrar que dicho consentimiento se otorga libremente.

Meta anunció el 1 de agosto su intención de cambiar la base legal utilizada para su publicidad segmentada en Europa: la compañía solicitará el consentimiento de los usuarios.

Este cambio es consecuencia directa de las decisiones del Comité Europeo de Protección de Datos (CEPD) y de las autoridades judiciales nacionales y europeas.

• En el marco de los debates sobre el proyecto de reglamento europeo sobre la libertad de prensa, 80 organizaciones de la sociedad civil, medios de comunicación, editores y emisoras, así como sindicatos, instan al Parlamento Europeo a prohibir, sin excepción, el uso de software espía contra los periodistas.
• El 3 de julio, grupos de la sociedad civil y expertos en Internet también escribieron a los comisarios Jourova y Reynders para expresar su profunda preocupación por el proyecto de ley de Protección de Datos e Información Digital (DPDI, por sus siglas en inglés) propuesto por el gobierno del Reino Unido, que convertiría al Reino Unido en una "válvula con fugas" y socavaría los derechos de protección de datos de los ciudadanos europeos.

 

Noticias procedentes de los países miembros de Europa.

• La Autoridad Belga de Protección de Datos (APD) consideró que una asociación de farmacéuticos, al conservar indefinidamente datos relativos a sanciones disciplinarias impuestas en virtud de una normativa antigua, infringe, entre otros, los principios de legalidad, limitación de la finalidad, minimización de datos, exactitud y limitación de la conservación.

La asociación fue multada con 30.000 euros.

• Según la Autoridad Belga de Protección de Datos, un responsable del tratamiento de datos con sede en Estados Unidos cuya actividad incluya la organización de conferencias en Europa está sujeto al RGPD y debe, entre otras obligaciones, designar un representante en Bélgica.
• La Autoridad Letona de Protección de Datos (APD) consideró que el uso de un identificador personal único era insuficiente para identificar claramente a un interesado y evitar la divulgación ilícita de categorías especiales de datos por parte del proveedor nacional de servicios de salud.

Fue necesario utilizar criterios adicionales, como el nombre de la persona en cuestión.

• La Agencia Española de Protección de Datos (APD) ha multado con 10.000 euros a un guardia de seguridad por capturar imágenes del sistema de videovigilancia de una prisión y difundirlas a través de WhatsApp, en violación del artículo 6 del RGPD.
• En una decisión fechada el 22 de junio, la Autoridad Italiana de Protección de Datos (APD) multó a la empresa italiana de autopistas con un millón de euros por no identificar su papel como responsable del tratamiento de datos en el contexto del uso de servicios de reembolso.
• La Autoridad Islandesa de Protección de Datos (APD) ha multado a la Oficina del Médico Forense Nacional con aproximadamente 82.000 euros por múltiples infracciones del RGPD tras una brecha de seguridad en su sitio web Heilsuvera, que ofrece un sistema de atención médica en línea y un portal de recetas.
• Tras auditar a cuatro empresas que utilizaban Google Analytics en sus sitios web, la Agencia Sueca de Protección de Datos ordenó a estas empresas que dejaran de usar la herramienta.

Dos de las empresas fueron multadas administrativamente, mientras que otra dejó de utilizar la herramienta voluntariamente.

Las auditorías se llevaron a cabo a raíz de las denuncias de la organización noyb, que acusaba a las empresas de transferir ilegalmente datos personales a Estados Unidos, en violación de la legislación europea.

• Tras la sentencia del Tribunal de Justicia de la Unión Europea mencionada anteriormente, la Autoridad Noruega de Protección de Datos declaró ilegal la publicidad conductual en Facebook e Instagram.

Durante los próximos tres meses o hasta que pueda demostrar que cumple con la legislación noruega, la empresa de redes sociales ya no podrá utilizar este método.

 

• A mediados de julio, la Casa Blanca presentó medidas provisionales en forma de compromisos voluntarios para el "desarrollo y uso seguro, protegido y transparente de la IA".

Amazon, Anthropic, Google, Inflection, Meta, Microsoft y OpenAI han acordado priorizar la investigación sobre los riesgos sociales que plantean los sistemas de IA y fomentar el descubrimiento y la notificación de problemas y vulnerabilidades.

Sin embargo, según algunos expertos académicos, estos acuerdos distan mucho de ser suficientes.

"Estados Unidos sigue ofreciendo medidas voluntarias, mientras que la Unión Europea está a punto de adoptar la legislación sobre IA más completa que hemos visto hasta la fecha", dijo Brandie Nonnecke, directora fundadora del Citris Policy Lab en la Universidad de Berkeley.

• Mientras tanto, la Comisión Federal de Comercio (FTC) está investigando a OpenAI sobre el funcionamiento de ChatGPT, con preguntas detalladas sobre sus ingresos financieros, cómo se entrenan los modelos y se procesan los datos, los riesgos y procedimientos de seguridad, la generación de contenido sobre personas, los ataques externos para manipular el LLM ("inyecciones rápidas") y la protección de datos personales.
• OpenAI ha discontinuado su herramienta para distinguir entre texto generado por humanos y texto generado por IA: "A partir del 20 de julio de 2023, el clasificador de IA ya no está disponible debido a su baja tasa de precisión". La compañía continúa investigando para desarrollar una herramienta más eficaz.
• Amazon ha acordado pagar más de 30 millones de dólares para resolver dos demandas presentadas por la FTC por violar la privacidad de los usuarios, incluidos los niños, a través de su asistente de voz Alexa y las cámaras de timbre Ring.

Amazon fue acusada de conservar durante varios años grabaciones de vídeo de Ring y grabaciones de voz de Alexa, junto con los datos de geolocalización asociados, sin consentimiento y a pesar de las solicitudes de los consumidores para que se eliminaran estos datos.

• La Autoridad de Desarrollo de Medios de Información y Comunicación de Singapur ha anunciado una asociación con Google para apoyar una iniciativa de "entorno de pruebas tecnológico".

Esta iniciativa ayudará a las empresas a "proteger la privacidad de los usuarios y proporcionarles herramientas que les permitan seguir accediendo a los datos sin cookies de terceros".

La alianza entre IMDA y Google está abierta a todas las empresas con sede en Singapur.

• El organismo regulador de la información de Sudáfrica emitió una notificación de infracción y una multa administrativa de 5 millones de rands (aproximadamente 240.000 euros) al Departamento de Justicia y Desarrollo Constitucional el 3 de julio por incumplimiento de la Ley de Protección de Información Personal (POPIA).

El organismo regulador emitió una orden judicial en mayo, solicitando al ministerio que renovara ciertas licencias de seguridad informática (antivirus, antiintrusión, SIEM) y que iniciara procedimientos disciplinarios contra los funcionarios implicados.

• En Vietnam, el 1 de julio entró en vigor un decreto sobre la protección de datos personales.

En particular, prevé la realización de evaluaciones de impacto de las transferencias de datos y el nombramiento de un responsable de protección de datos para el tratamiento de datos sensibles.

• Las filiales de Meta, Onavo y Facebook Israel, fueron multadas con 20 millones de dólares australianos el 26 de julio en Australia por no advertir adecuadamente a los usuarios de VPN de que sus datos serían recopilados con fines comerciales.

La sanción impuesta por la ACCC (Autoridad Australiana de Competencia y Protección del Consumidor) es la mayor jamás impuesta en Australia en materia de protección de la privacidad.