Herramientas analíticas: el impacto de una decisión judicial –y de los servicios de inteligencia– en nuestros sitios web.

Vigilancia Legal No. 44 – Febrero de 2022

Herramientas analíticas: el impacto de una decisión judicial –y de los servicios de inteligencia– en nuestros sitios webLa sentencia "Schrems II" del Tribunal de Justicia de la Unión Europea ya se consideraba, en el momento de su publicación en julio de 2020, una sentencia importante en el contexto de la protección de datos personales, y más concretamente de las transferencias a Estados Unidos.

Hoy en día, tiene consecuencias cada vez más amplias, una consecuencia lógica de las conclusiones del Tribunal respecto de los riesgos de que la inteligencia estadounidense acceda a datos europeos.

Estas consecuencias ahora afectan a herramientas de uso común, como las soluciones de medición de audiencia y las fuentes de Google.

El mes pasado ya mencionamos las decisiones en cascada adoptadas por las autoridades de protección de datos de Austria, Países Bajos, Noruega y Alemania, a las que se suman las de la CNIL y el Liechtenstein.

Estas decisiones son consecuencia de las quejas (101 en total) presentadas ante las autoridades por Max Schrems y su asociación NOYB (Centro Europeo de Derechos Digitales) con el fin de garantizar que GAFAM respete la sentencia del Tribunal de Justicia.

Las conclusiones de las autoridades son las siguientes:

• Los datos de identificación de las cookies y las direcciones IP no anonimizadas, como las que utiliza Google Analytics, son datos personales.

También podrán combinarse con otros datos identificables en poder de terceros (servicios de inteligencia).

• El hecho que los datos se recopilen a través de un sitio web europeo no es relevante para evaluar el riesgo de acceso por parte de terceros :¿Qué es la transferencia de datos a Estados Unidos?

• Las transferencias a los Estados Unidos sólo se permiten si se cumplen las garantías adecuadas. Además de las cláusulas contractuales estándar, se pueden adoptar, por ejemplo, medidas para eliminar el riesgo de que terceros gobiernos accedan a los datos.

• Las autoridades de protección de datos consideraron que Las garantías adicionales tomadas por Google no fueron suficientes para excluir la posibilidad de acceso a los datos por parte de los servicios de inteligencia estadounidenses.

Las sanciones actualmente consisten principalmente en advertencias y órdenes de bloquear el uso de las herramientas incriminadas por los administradores de sitios web. La CNIL informa que ha iniciado varios procedimientos de requerimiento al respecto.

Si bien Google Analytics se utiliza ampliamente, el impacto de estas decisiones no se limitará a eso: las autoridades de protección de datos están ampliando su análisis "a otras herramientas utilizadas por sitios que dan lugar a transferencias de datos de usuarios de Internet europeos a Estados Unidos ".

Por ello, numerosos operadores europeos, gestores de obras del sector público o privado, se muestran preocupados.

Sabemos que más vale prevenir que curar, y en este caso deberíamos recurrir –si existen– a herramientas que no recopilen datos personales ni los almacenen en servidores locales.

Por lo tanto, la CNIL recomienda que las herramientas solo se utilicen para producir datos estadísticos anónimos, lo que también permite una exención del consentimiento del usuario.

Ha iniciado un procedimiento para evaluar las soluciones existentes y está publicando en su sitio web soluciones que satisfacen estos requisitos, entre las que se incluyen, por ejemplo, Matomo, Wysistat, Beyable o Compass.

Señalemos que incluso las herramientas más virtuosas a veces pueden configurarse de diferentes maneras: Es responsabilidad del administrador del sitio verificar que la configuración predeterminada cumpla con los requisitos de la ley..

En el contexto actual, limitar el acceso de terceros a los datos es en cualquier caso una práctica que debe fomentarse, independientemente de que los riesgos de acceso provengan del otro lado del Atlántico o de otro lugar.

Y también

Francia:

La CNIL somete a consulta pública, hasta el 11 de marzo de 2022, un proyecto de posición sobre las cámaras «inteligentes». o “aumentados” en espacios públicos.

También publica su nuevo plan estratégico 2022-2024, en torno a tres ejes prioritarios para una sociedad digital de confianza: “promover el respeto de los derechos, promover el RGPD como un activo y orientar la regulación hacia temas de alto riesgo”.

Sus temas prioritarios de control para el año 2022 son la prospección comercial, la nube y el seguimiento del teletrabajo.

Francia lanza una campaña nacional de concienciación sobre el ciberdelito, en colaboración con los medios de comunicación, tiene como objetivo orientar al público hacia soluciones de ciberseguridad. 

Europa:

En su sesión plenaria del 22 de febrero, la El Comité Europeo de Protección de Datos (CEPD) ha adoptado una carta relativa al Convenio del Consejo de Europa sobre la Ciberdelincuencia y su Segundo Protocolo Adicional, carta en el que expresa su preocupación por las posibilidades de que gobiernos terceros soliciten directamente datos a proveedores de servicios europeos.

También publicó directrices sobre códigos de conducta como instrumentos para las transferencias internacionales de datos y una carta sobre cuestiones de responsabilidad en el contexto de la inteligencia artificial.

El 15 de febrero, el Comité Europeo de Protección de Datos también lanzó su primera acción coordinada de cumplimiento sobre el uso de la nube por parte del sector público.

El uso de la nube, que se ha duplicado en seis años en la UE, ha experimentado un mayor crecimiento durante la pandemia, lo que ha afectado al cumplimiento de la normativa europea. Veintidós autoridades de protección de datos, incluida la CNIL, enviarán cuestionarios a 75 autoridades públicas para verificar el cumplimiento del RGPD y, de ser necesario, iniciar inspecciones formales.

CISPE, la organización de proveedores de servicios de infraestructura en la nube, ha anunciado la aprobación de su código de conducta de protección de datos por parte del CEPD..

Varias empresas ya lo han firmado, entre ellas Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale y OVHCloud.

El código prevé, en particular, la posibilidad de que los usuarios elijan almacenar datos en el Espacio Económico Europeo.

Las ONG también pueden estar sujetas a controles: La Autoridad Belga de Protección de Datos ha emitido dos sanciones contra la ONG EU DisinfoLab y uno de sus investigadores, tras una remisión a la CNIL. Las infracciones del RGPD identificadas se relacionan con la recopilación masiva de datos en el marco de un estudio destinado a identificar las inclinaciones políticas de quienes publicaron tuits sobre el caso Benalla.

En una decisión importante, la autoridad belga de protección de datos también multó al European Interactive Advertising Bureau (IAB Europe) con 250.000 euros. Por violación de los principios de legalidad, lealtad y transparencia, falta de medidas técnicas y organizativas de protección de datos, falta de registro, análisis de impacto y nombramiento de un DPD. Detrás de esta lista de infracciones se encuentra el principio de «puja en tiempo real» (la subasta de datos de usuarios de internet a través de plataformas de gestión del consentimiento [PGC]), el cual se sanciona debido a su total opacidad para los afectados.

La autoridad italiana de protección de datos ha sancionado a un club privado hasta 2.000 euros por haber orientado sus cámaras de vigilancia hacia la vía pública, sin señalización clara, en infracción de los artículos 5(1)(a), 5(1)(c) y 13 del RGPD. 

En los Países Bajos, el Tribunal de Distrito de La Haya ha sancionado a un empresario que grabó en secreto la conversación telefónica de su empleado.Para el tribunal, sospechar que un empleado contacta a sus clientes para montar su propio negocio no es suficiente para legitimar la grabación secreta de llamadas.

También en los Países Bajos, la Autoridad de Protección de Datos multó a una empresa de medios de comunicación con 525.000,00 €: Este último solicitó a las personas que ejercían su derecho de acceso a sus datos una copia de su documento de identidad, solicitud considerada injustificada y violatoria del artículo 12(2) del RGPD.

La Agencia Española de Protección de Datos ha impuesto una sanción de 200.000 euros contra la Federación Española de Fútbol por compartir la grabación de una videoconferencia en Zoom, sin información previa ni consentimiento de los participantes. 

También en España, el transporte por carretera de Amazon fue multado con 2.000.000,00 € por la recopilación ilegal de información de antecedentes penales como parte de su proceso de reclutamiento.

Internacional :

El Comité Internacional de la Cruz Roja acaba de ser víctima de un ciberataque altamente sofisticado con consecuencias potencialmente importantes. Dada la sensibilidad de los datos procesados por la organización, el sitio web ofrece información ejemplar al público a partir del 16 de febrero, explicando las circunstancias del ataque, los riesgos potenciales y las medidas adoptadas para mitigarlos.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.