Semana de la Moda Metaverso en Decentraland, uno de los mundos virtuales más populares.

Vigilancia Legal No. 48 – Junio de 2022

Un mundo felizEn marzo de 2022, el evento Metaverse Fashion Week tuvo lugar en Decentraland, uno de los mundos virtuales más populares.

Un concierto en línea transmitido en la plataforma de juegos Fortnite atrajo recientemente a 12 millones de espectadores.

Hoy en día se está desarrollando un mundo virtual cuyas implicaciones humanas, económicas y sociales aún no se han comprendido plenamente.

El informe publicado recientemente por el Parlamento Europeo sobre este tema afirma que para 2026, el 25% de las personas pasarán al menos una hora al día en el metaverso para trabajar, comprar, educarse, realizar actividades sociales y/o entretenimiento.

Muchas empresas comerciales han comenzado a desarrollar allí sus propias plataformas, incluso cuando sus actividades tienen solo una conexión muy remota con la tecnología digital.

El Metaverso puede describirse como un mundo virtual 3D inmersivo y constante en el que las personas interactúan a través de un avatar para disfrutar del entretenimiento, realizar compras y transacciones o trabajar sin salir de sus hogares.

El ecosistema del metaverso económico aprovecha las tecnologías blockchain y de criptomonedas, como los tokens no fungibles (NFT), para monetizar las transacciones en el entorno digital.

Esta evolución de la web plantea muchos interrogantes, sobre todo en lo que respecta a la aplicación de la ley.

¿Cómo podemos regular en la práctica las fusiones y adquisiciones en línea, el acoso, las transacciones más o menos legales realizadas en criptomonedas, la recopilación masiva de datos sobre el comportamiento de las personas a través de sus avatares o incluso la vigilancia de personas en línea por parte de las fuerzas del orden?

Hay mucho en juego en lo que respecta al RGPD, como lo destaca un artículo reciente publicado el 20 de mayo en el periódico Le Monde, y como señala el Parlamento Europeo, dada la calidad y cantidad sin precedentes de datos recopilados.

Estos pueden incluir expresiones faciales, gestos u otros tipos de reacciones físicas o emocionales que un avatar puede producir durante las interacciones, en tiempo real y sin ser consciente de ello.

De esta forma se pueden recopilar datos sensibles como, por ejemplo, datos biométricos.

Esta información permitirá, por ejemplo, a las empresas comprender mejor el comportamiento de los usuarios y adaptar las campañas publicitarias de forma muy específica.

¿Las reglas existentes se adaptan a este nuevo universo?

¿Cómo podemos obtener el consentimiento de las personas para dicha recopilación de datos y quién es responsable de dicha recopilación en un entorno en el que los roles son múltiples y en el que es cada vez más difícil identificar al responsable del tratamiento de datos?

¿Cómo gestionar las interacciones con la inteligencia artificial, inherentes al funcionamiento del Metaverso, y las decisiones automatizadas que de ello resultan?

Se están explorando varias vías, basadas no sólo en el RGPD, sino también en las regulaciones europeas propuestas sobre inteligencia artificial y gobernanza de datos.

Mencionemos el papel de los intermediarios de datos, que podrían centralizar las autorizaciones de los usuarios respecto del uso de sus datos.

El reglamento propuesto sobre gobernanza de datos prevé la protección de los espacios de datos personales, o carteras de datos, regulando el intercambio de datos y controlando el consentimiento de las personas.

Sin embargo, en la medida en que los intermediarios utilizan inteligencia artificial en la gestión de datos, son necesarias salvaguardas para evitar la apropiación indebida y el abuso.

Cabe recordar que estas dos propuestas de reglamento han sido objeto de comentarios del Supervisor Europeo y del Comité Europeo de Protección de Datos, que insisten en el respeto al principio de finalidad en el uso de los datos, y piden medidas que prevean más controles y garantías para el interesado, por ejemplo códigos de conducta o mecanismos de certificación.

Las autoridades también tienen reservas sobre la puntuación social en el contexto de las redes sociales en general, y más aún en el Metaverso.

También se debe prestar especial atención a la protección de los grupos vulnerables, en particular los niños, con el fin de verificar su edad y disuadirlos de facilitar sus datos personales.

Algunos además abogan por un Metaverso abierto y descentralizado, controlado por los propios usuarios en forma de organizaciones autónomas descentralizadas (DAO).

En este tipo de modelo, diferente de un modelo de negocio centralizado, los usuarios tendrían más control sobre sus datos y su compartición.

También en este caso, además de las directrices regulatorias, los códigos de conducta y los mecanismos de certificación contribuirían a una mayor seguridad jurídica.

Algunas respuestas a muchas preguntas...

En cualquier caso, la aplicación de la ley no se logrará sin una mayor rendición de cuentas por parte de los actores involucrados.

Y también

Francia:

El 7 de junio, la CNIL publicó preguntas y respuestas sobre el uso de Google Analytics.

La Comisión ha ordenado a varias organizaciones que cumplan con el RGPD, ya que ninguna de las garantías adicionales que se le han presentado ha sido suficiente para evitar que los servicios de inteligencia estadounidenses accedan a los datos personales de los usuarios europeos.

Una solución que permita utilizar un proxy para evitar cualquier contacto directo entre el terminal del internauta y los servidores de la herramienta de medición podría, según ella, ser posible, si este servidor cumple un conjunto de criterios que respetan las recomendaciones del Comité Europeo de Protección de Datos (CEPD), publicadas el 18 de junio de 2021.

El Consejo de Estado confirmó que la CNIL era competente para imponer sanciones fuera del mecanismo de ventanilla única europea.

El caso que nos ocupa se refiere a la empresa Amazon online France, que tiene un establecimiento en territorio francés y trata datos de personas residentes en Francia.

Se confirma así la multa de 35 millones de euros impuesta en 2020, que penaliza el uso de cookies sin el consentimiento del usuario.

El 30 de junio, la CNIL impuso una multa de 1 millón de euros a la empresa Total Energies Electricité et Gaz de France. en particular por no haber respetado las obligaciones en materia de prospección comercial y los derechos de las personas.

El 13 de junio, la CNIL lanzó un estudio sobre los datos de geolocalización recopilados por aplicaciones móviles.

Tal como se anunció en su plan estratégico 2022-2024, la CNIL desea sensibilizar al público y a los profesionales sobre los problemas relacionados con la recopilación de datos de geolocalización mediante aplicaciones móviles.

También se trata de verificar el cumplimiento del RGPD por parte de los profesionales del sector de la prospección comercial.

Europa:

El Supervisor Europeo de Protección de Datos (SEPD) expresa su preocupación por las modificaciones del Reglamento Europol, que entraron en vigor el 28 de junio de 2022.

El SEPD subraya que debilitan el derecho fundamental a la protección de datos, no garantizan una supervisión adecuada de la agencia y amplían significativamente el mandato de Europol con respecto al intercambio de datos personales con partes privadas, el uso de inteligencia artificial y el procesamiento de grandes conjuntos de datos.

El 14 de junio, el Comité Europeo de Protección de Datos (CEPD) publicó su respuesta a la Consulta de la Comisión Europea sobre la creación de un euro digital.

El 16 de junio, elCEPD directrices adoptadas sobre la La certificación como herramienta para las transferencias de datos personales a terceros países que no ofrecen un nivel de protección adecuado.

La conferencia organizada en junio por laSEPD, seguido en línea y en persona por más de 2.000 personas, concluyó con observaciones críticas sobre la Cooperación europea en materia de investigaciones.

Para el SEPD, todo buen modelo debería incluir fuertes mecanismos de colegialidad, y podrían realizarse investigaciones estratégicas a nivel central, lo que permitiría superar "los problemas derivados de una legislación nacional incompatible o de intentos dispares de armonización".

EL Consejo de Europa publica un estudio sobre la Software espía Pegasus y su impacto en los derechos fundamentales. Cabe recordar que este software espía también es objeto de una investigación por parte del Parlamento Europeo.

EL Red de Cooperación para la Protección del Consumidor (CPC), en cooperación con las autoridades de protección de datos, ha aprobado cinco principios clave para una publicidad justa dirigida a niñoss.

EL Comisionado Federal de Protección de Datos e Información de Suiza (FDPIC) asesoró a Suva (Caja Nacional de Seguros de Accidentes de Suiza, que brinda cobertura de atención médica a sus empleados) reconsiderar su decisión de externalizar el procesamiento de sus datos personales a Estados Unidoss, más precisamente en el servicio en la nube de Microsoft, aunque los datos están alojados en un servidor de MS en Suiza.

Las transferencias fuera de Europa también están en el centro de la reciente decisión de la Consejo de Estado de Bélgica, que suspendió la decisión de elegir a un contratista estadounidense en el contexto de un procedimiento de contratación pública por considerar que esta autoridad no examinó suficientemente si el contratista cumplía los requisitos del RGPD, en particular las disposiciones relativas a las transferencias.

La decisión también pone en duda el procesamiento posterior por parte de otra empresa, Smart Analytics, con sede en Rusia (a través de GDPRhub).

Diez asociaciones de consumidores, bajo la coordinación de la Organización Europea de Consumidores (BEUC), anunció el 30 de junio que están tomando medidas para garantizar que Google cumpla con la ley: el gigante tecnológico dirigiría a los consumidores a su sistema de seguimiento cuando se registren para obtener una cuenta de Google, en lugar de brindar protección de sus datos de manera predeterminada y por diseño, como lo exige el GDPR.

La reforma de la legislación de protección de datos del Reino Unido posterior al Brexit alcanzó un nuevo hito el 17 de junio con la respuesta final del gobierno a su consulta pública.

El documento incluye varias reformas, como la eliminación del requisito de nombrar un responsable de protección de datos, la sustitución del requisito de consentimiento por un derecho a oponerse al seguimiento de los usuarios de Internet y cambios en el funcionamiento de la Oficina del Comisionado de Información.

AOD finlandesa ordenó a un hospital eliminar los historiales de los empleados, los registros de ubicación y otros datos personales generados por la función de registro de ubicación predeterminada en Windows 10.

Esta configuración violó el principio de “protección de datos por defecto” del Artículo 25(2) del RGPD (a través de GDPRhub). 

La autoridad italiana de protección de datos ha multado a un hospital con 70.000 euros por copiar a los destinatarios de dos boletines médicos. En lugar de CCI, revelar sus datos personales (incluidos los datos de salud) a todos los destinatarios sin una base legal (a través de GDPRhub).

Sobre el mismo tema, la AOD de Rumania También multó con 1.000 euros a un subcontratista encargado de implementar una campaña de marketing por enviar un correo electrónico de marketing a 27 personas sin ocultar sus direcciones de correo electrónico.

Recordemos que El 29 de abril, Bélgica dictaminó en un caso similar que el envío de un correo electrónico de ese tipo no constituía una violación de seguridad cuando estaban involucradas menos de 16 personas.

Internacional :

Rusia: Un tribunal de Moscú ha multado a Google con 15 millones de rublos por incumplimiento reiterado de la normativa de localización de datos.

Google ya había sido objeto de una sanción administrativa en 2021 por violar este mismo principio de la ley rusa sobre datos personales, que obliga a las empresas a almacenar los datos personales de los ciudadanos rusos en el territorio de la Federación Rusa..

ESTADOS UNIDOS : Las implicaciones de la decisión Roe vs. Wade de la Corte Suprema se extienden a las cuestiones de privacidad de datos. 

La pregunta se refiere a la actitud de los gigantes tecnológicos respecto al acceso de las autoridades a los datos de fertilidad.

Estos datos pueden revelarse a través de fuentes como el historial del navegador, búsquedas, registros de correo electrónico y mensajes de texto, uso de aplicaciones de fertilidad y otros productos comerciales con los que muchos usuarios interactúan a diario.

Este tipo de información ya ha sido utilizada por las autoridades como prueba en casos relacionados con el aborto, como informa The Register.

Porcelana: El New York Times publica una investigación que cita cientos de documentos que detallan software comprado por China para examinar sus vastas bases de datos de vigilancia y predecir quién se convertirá en sospechoso o potencial alborotador.

En Canadá, Desde el 16 de junio, una Carta de Derechos Digitales protege los derechos de los consumidores y los datos personales y regula la inteligencia artificial..

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.