Boletín Legal Nº 65 – Noviembre de 2023.

Quejas y sanciones: ¿cuál es la agenda de las autoridades de protección de datos para 2024?

La entrada en vigor del RGPD ha conllevado una mayor concienciación sobre la protección de datos, tanto entre los responsables del tratamiento de datos como entre los particulares.

Esto ha dado lugar a un aumento de las quejas presentadas ante las ODA, a las que en ocasiones se acusa de no dar seguimiento a dichas quejas debido a la falta de recursos suficientes.

Mientras que en el Reino Unido el "Comisionado de Información" ha decidido dejar de tramitar ciertos tipos de quejas consideradas no prioritarias, en la Unión Europea las autoridades están obligadas, en principio, a tramitar cualquier queja, siempre que sea admisible, por supuesto.

De este modo, la Comisión Noruega de Apelaciones de Privacidad revocó una decisión de la Autoridad de Protección de Datos (APD) de archivar una reclamación mediante una simple carta informativa al responsable del tratamiento de datos, obligando a este último a evaluar la legalidad del tratamiento y subrayando que la autoridad de protección de datos no puede elegir libremente qué casos investigar o no.

En Francia, la CNIL introdujo en 2022 un procedimiento de sanción simplificado que le permite tramitar ciertos tipos de denuncias con mayor rapidez.

Se trata de casos para los que existe jurisprudencia establecida, decisiones dictadas previamente por el panel restringido, o cuestiones de hecho o de derecho que resultan sencillas de resolver.

El procedimiento está escrito, pero permite que la organización interesada sea escuchada y presente observaciones orales.

En esta configuración, las sanciones son más limitadas y pueden consistir en una advertencia, una orden para que el procesamiento cumpla con la normativa (incluida una multa de hasta 100 € por día de retraso) o una multa administrativa de hasta 20 000 €.

La CNIL acaba de sancionar a diez agentes privados y públicos con multas por un total de 97.000 euros por infracciones:

• A la obligación de responder a las solicitudes de la CNIL;
• Para minimizar los datos;
• Información sobre el tratamiento de datos aplicado y sus finalidades;
• La obligación de respetar los derechos de las personas, y en particular de responder a una solicitud de objeción.

La CNIL destaca dos cuestiones en particular entre las denuncias que ha tenido que tramitar: la geolocalización y la videovigilancia permanente de los empleados.

El tratamiento de datos que se lleva a cabo a menudo infringe el principio de minimización de datos previsto en el RGPD.

La Comisión señala en particular que "el registro continuo de datos de geolocalización, sin la posibilidad de que los empleados detengan o suspendan el dispositivo durante los descansos, constituye, salvo justificación específica, una infracción excesiva de la libertad de circulación y del derecho a la privacidad de los empleados".

Lo mismo se aplica a los sistemas de videovigilancia que graban constantemente a los empleados en sus puestos de trabajo.

"La prevención de accidentes laborales y la recopilación de pruebas no justifican la implementación de la videovigilancia continua de los puestos de trabajo", y los datos personales recogidos no parecen ser adecuados ni pertinentes.

La supervisión constante de los empleados, salvo contadas excepciones, resulta desproporcionada con respecto a los objetivos perseguidos.

La CNIL anuncia su intención de intensificar su política represiva en 2024 y de tomar decisiones en plazos más cortos.

Cabe señalar que, en el marco de su colaboración a nivel europeo, las autoridades de protección de datos que son miembros del Comité Europeo de Protección de Datos han decidido dar prioridad a los derechos de las personas físicas el próximo año. Su acción coordinada se centrará en cómo responden los responsables del tratamiento de datos a las solicitudes de acceso a los datos personales, un tema que debería incluirse en los próximos procedimientos simplificados de sanciones de la CNIL.

 

  

• La CNIL publicó el 15 de noviembre un Guía de referencia sobre los periodos de retención de los tratamientos más comunes en los sectores social y médico-social. y una guía práctica que ofrece una metodología a los profesionales interesados.
• En colaboración con la Autoridad Francesa de Competencia (AdlC) y la Escuela de Economía de Toulouse, la CNIL organiza un evento el 12 de diciembre titulado "Protección de datos y competencia: una ambición compartida". Durante este evento de medio día dirigido a reguladores, investigadores y profesionales, la AdlC y la CNIL adoptarán y presentarán una declaración conjunta.
• El 9 de noviembre de 2023, la CNIL (Autoridad Francesa de Protección de Datos) emitió una advertencia al Ministerio de Transformación y Servicio Público y al Ministerio de Economía, Finanzas y Soberanía Industrial y Digital por el uso de la Datos de contacto de más de dos millones de funcionarios públicos con el fin de comunicar y justificar el proyecto de reforma de las pensiones que se estaba adoptando en ese momento.

El ministro había utilizado ENSAP, una plataforma digital en la que se encuentran disponibles documentos confidenciales de funcionarios públicos, como su nómina mensual. 

El panel restringido de la CNIL recordó en particular que la plataforma ENSAP no puede utilizarse para comunicaciones de carácter político.

• En una decisión fechada el 16 de noviembre, el Consejo Constitucional censura activación remota de teléfonos móviles para capturar sonido e imágenes previsto en la ley sobre la orientación y programación de la justicia en lo que respecta a la ley orgánica relativa a la apertura, modernización y responsabilidad del órgano judicial.

El Consejo considera que esta activación remota, sin necesidad de que los investigadores accedan físicamente a locales privados para instalar dispositivos de vigilancia, puede provocar una infracción particularmente significativa y desproporcionada del derecho al respeto de la vida privada.

También subraya que esta medida permite vigilar tanto a los investigados como a terceros. 

Sin embargo, el Consejo Constitucional no censura la activación remota de dispositivos electrónicos con fines de geolocalización.

• Mediante una orden provisional de fecha 22 de noviembre de 2023, el tribunal administrativo de Caen dictaminó que el Sistema de videovigilancia algorítmico Briefcam El uso del software por parte de la autoridad intercomunitaria Cœur Côte Fleurie (que incluye Deauville-Trouville) constituye una infracción grave y manifiestamente ilegal del derecho a la privacidad, y se ha ordenado a los responsables que borren los datos personales resultantes del uso del software.

El juez, en su despacho, señaló que el uso se encontraba fuera de cualquier marco legal o reglamentario y consideró que "no se ha demostrado, ni siquiera alegado, que no se pudieran haber implementado otros medios menos intrusivos en lo que respecta a la privacidad para preservar el orden público".

• El 8 de noviembre de 2023, una coalición de seis organizaciones, entre ellas La Quadrature du Net y EDRi, presentó un recurso ante el Consejo de Estado contra el decreto francés que implementa la normativa relativa a la lucha contra la difusión de contenido terrorista en línea.

Piden al Consejo de Estado que remita una cuestión prejudicial al Tribunal de Justicia de la Unión Europea (TJUE) sobre la validez del Reglamento TERREG en lo que respecta a los derechos fundamentales protegidos por el Derecho de la Unión Europea, y señalan las infracciones a la libertad de expresión y al derecho a la información en línea.

 

 

instituciones y organismos europeos

• Las comisiones de Medio Ambiente y Libertades Civiles del Parlamento Europeo adoptaron su posición el 28 de noviembre. creación de un espacio europeo de datos sanitarios con el fin de promover la portabilidad de los datos personales de salud y un intercambio más seguro de los mismos.

Los miembros del Parlamento desean, en particular, que sea obligatorio obtener la autorización explícita de los pacientes para el uso secundario de sus datos de salud.

• La Unión Europea ha adoptado una revisión del reglamento eIDAS, allanando el camino para la introducción de una identidad digital en toda la UE.

Algunos aspectos siguen siendo objeto de controversia, en particular, los "Certificados de Autenticación Web Cualificados" (QWAC, por sus siglas en inglés), que obligarán a los navegadores a aceptar certificados raíz emitidos por el gobierno, diseñados para prevenir el fraude y el robo de identidad. Algunos expertos en ciberseguridad consideran que esto supone un riesgo de intrusión en la autenticación web: los proveedores de navegadores no podrían rechazar un QWAC, incluso si representara una amenaza para la seguridad.

• Mientras Las negociaciones sobre la futura regulación de la IA están en curso. En el momento de redactar este informe, quedan varias preguntas sin respuesta, entre ellas la consideración de modelos de fundación como ChatGPT en la normativa.

Un comunicado de la sociedad civil, comunicado a los negociadores europeos el 16 de noviembre, también subraya la cuestión del alcance de la protección contra los daños relacionados con el uso de la IA para fines policiales, migratorios y de seguridad nacional.

• El Comité Europeo de Protección de Datos (CEPD) adoptó el 14 de noviembre unas directrices relativas al ámbito técnico del artículo 5, apartado 3, de la Directiva sobre privacidad electrónica.

El Comité explica que La aparición de nuevos métodos de seguimiento destinados a sustituir las herramientas de seguimiento existentes, como las cookies, y a crear nuevos modelos de negocio, se ha convertido en una gran preocupación. en términos de protección de datos.

Las directrices abordan específicamente la "identificación de dispositivos" y las técnicas más comunes, como el seguimiento de URL y píxeles, el seguimiento solo de IP, la generación de informes de Internet de las cosas (IoT) y los identificadores únicos.

• El Supervisor Europeo de Protección de Datos (SEPD) publicó a mediados de noviembre un "TechDispatch" dedicado a inteligencia artificial explicable ("IA explicable"), con el fin de abordar el efecto de "caja negra" de la IA.

Aborda el problema de los riesgos de los sistemas de IA opacos y describe cómo la IA puede incorporar transparencia, interpretabilidad y explicabilidad.

El Supervisor Europeo de Protección de Datos (SEPD) también publicó el 8 de noviembre un estudio sobre la esencia de los derechos fundamentales al respeto de la vida privada y a la protección de datos personales.

Este documento examina la obligación de respetar la "esencia" de estos derechos cuando están limitados por el Derecho de la Unión Europea (UE).

• En una decisión fechada el 9 de noviembre, el Tribunal de Justicia de la Unión Europea (TJUE) aclaró su interpretación de los datos personales.

Ella sintió que Los números de identificación de los vehículos no son, como tales, datos personales..

Sin embargo, se convierten en datos personales cuando una persona (física) que tiene acceso a ellos tiene los medios para identificar al propietario del vehículo.

• El Tribunal de Justicia de la Unión Europea (TJUE) adoptó el 7 de diciembre dos sentencias importantes relativas al principal proveedor de servicios de información crediticia ("Schufa") en Alemania.

El Tribunal declaró, en particular, que La evaluación automatizada de la solvencia crediticia ("puntuación") está sujeta a una prohibición general. de conformidad con el artículo 22 del RGPD.

Añade que una empresa que establece una calificación crediticia por medios automatizados sigue estando sujeta al artículo 22, incluso si otra empresa se basa en esa calificación para tomar decisiones que tienen un impacto (negativo) en la persona en cuestión. – razonamientos que podrían tener un impacto en los sistemas asistidos por IA.

El Tribunal también confirmó que los tribunales nacionales tienen amplias facultades para supervisar a las autoridades de protección de datos.

• El Tribunal Europeo de Derechos Humanos publicó en noviembre un documento que recoge su jurisprudencia sobre la protección de datos personales.
• ENISA, la Agencia de la Unión Europea para la Ciberseguridad, ha publicado el Panorama general de las ciberamenazas por sector de actividad en 2023.

Según el informe "Panorama de Amenazas 2023", la administración pública y los gobiernos siguen siendo los principales objetivos, seguidos de los sectores de la salud, la industria manufacturera, el transporte y las finanzas.

• El 28 de noviembre, la ONG noyb presentó una denuncia contra Meta ante la autoridad austriaca de protección de datos.

LARGO cuestiona la "opción" que se les da a los usuarios europeos entre consentir ser rastreados con fines de publicidad personalizada o pagar hasta 251,88 euros al año. "para preservar su derecho fundamental a la protección de datos en Instagram y Facebook." 

En este mismo contexto, la Organización Europea de Consumidores (BEUC) presentó una queja el 30 de noviembre ante la red de autoridades de protección del consumidor (CPC) alegando que Meta está incurriendo en prácticas comerciales desleales.

También evalúa si Meta infringe el RGPD.

• 110 organizaciones de la sociedad civil instan a los responsables políticos de la UE a rechazar la reforma en curso del EURODAC.

La base de datos, diseñada para recopilar y almacenar datos sobre solicitantes de asilo, "se transformaría en una herramienta de vigilancia que trataría a las personas que buscan protección como sospechosos de delitos, incluidos niños de tan solo 6 años cuyas huellas dactilares e imágenes faciales se integrarían en la base de datos".

 

Noticias procedentes de los países miembros de Europa.

• En Bélgica, la APD consideró el 23 de noviembre, en un caso de vigilancia en el lugar de trabajo, que la monitorización continua del trabajo mediante cámaras no cumple con el principio de tratamiento mínimo de datos.

La Sala de Litigios de la APD declaró que se trataba de una infracción grave, pero, dado que afectaba a una pequeña empresa, le notificó la infracción y le pidió que subsanara la irregularidad en el tratamiento de datos sin imponerle una multa.

• La Autoridad Danesa de Protección de Datos rechazó el plan de la ciudad de Copenhague para desarrollar herramientas de IA para identificar a los ciudadanos que necesitan rehabilitación, porque la legislación nacional invocada a los efectos del artículo 6(1)(e) y el artículo 6(3) del RGPD no era suficientemente específica en cuanto al alcance del uso de la IA.
• El Tribunal Federal de Trabajo alemán Se aplicó la Decisión C-453/21 del TJUE, considerando que El presidente del comité de empresa de una filial había sido destituido, con razón, de su cargo como responsable de protección de datos del grupo de empresas debido a un conflicto de intereses entre ambos cargos.
• En los Países Bajos, la ODA El 24 de noviembre impuso medidas correctivas a la agencia de seguros de empleados (Uitvoeringsinstituut Werknemersverzekeringen – UWV) con respecto a 703 personas que reciben prestaciones.

Hasta principios de este año, La UWV estaba rastreando ilegalmente el comportamiento en línea de estas personas que recibían prestaciones por desempleo mediante un algoritmo.

• En el contexto de un procedimiento con arreglo al artículo 60 del RGPD, La Agencia Irlandesa de Protección de Datos (DPA, por sus siglas en inglés) ha reprendido a Airbnb Irlanda por infringir los principios de minimización de datos y limitación del almacenamiento. y por haber invocado inválidamente el artículo 6(1)(f) del RGPD como fundamento para el tratamiento de datos al conservar los documentos de identidad de un interesado.
• La APD italiana inició una investigación a finales de noviembre en sitios web públicos y privados para verificar la adopción de Medidas de seguridad adecuadas para prevenir la recopilación masiva (web scraping) de datos personales.por terceros con el fin de entrenar algoritmos de inteligencia artificial.
• Tribunal Regional de Berlín se estimó que LinkedIn había incurrido en prácticas comerciales desleales y en violación del RGPD, al no considerar el uso de Parámetros de "No rastrear" (DNT) como objeción al procesamiento y mediante la comprobación previa de la configuración de "visibilidad fuera de LinkedIn" cuando los usuarios crean una cuenta por primera vez.

Según el tribunal, las reglas de no notificación (DNT, por sus siglas en inglés) representan una objeción efectiva al tratamiento de datos: en otras palabras, el derecho de oposición previsto por el RGPD también puede ejercerse por medios automatizados, como la configuración del navegador.

• Los ministros de tecnología digital del G7 y la OCDE se reunieron. El 1 de diciembre de 2023 se reunirán virtualmente para continuar sus conversaciones con el objetivo de poner en práctica el "Flujo Libre de Datos con Confianza" (DFFT, por sus siglas en inglés) para facilitar los flujos de datos transfronterizos.

Los avances y los próximos pasos se detallan en un comunicado de prensa disponible en línea.

• Los directores ejecutivos de las mayores plataformas de redes sociales comparecen ante el Comité Judicial del Senado de Estados Unidos. El 6 de diciembre compareció para testificar sobre la explotación sexual infantil y la supuesta negligencia de las empresas al no proteger a los menores en sus plataformas.
• El gobierno australiano ha respondido públicamente. en referencia al Informe de Revisión de la Ley de Privacidad publicado el 28 de septiembre de 2023, y reafirma su compromiso de fortalecer los estándares de privacidad australianos para alinearlos más estrechamente con los estándares globales.

 

Una serie de propuestas tendrían como objetivo introducir protecciones adicionales en lo que respecta a la privacidad de los niños.

• Elon Musk anunció que Grok, su chatbot de inteligencia artificial, estaría operativo a principios de diciembre.

Desarrollado por xAI, la empresa de inteligencia artificial de Musk, el chatbot será una función integrada en la aplicación para los suscriptores de X Premium+.

• YouTube ha publicado una entrada en su blog anunciando diversas medidas destinadas a etiquetar el contenido generado por IA y a combatir los "deepfakes".

La empresa tiene previsto introducir actualizaciones que informarán a los usuarios cuando el contenido que vean sea sintético.

Por lo tanto, YouTube pedirá a los creadores que indiquen si han creado contenido realista, modificado o sintético, incluyendo el uso de herramientas de IA.