Acción legal: ¿una nueva dinámica para las acciones colectivas?

Vigilancia Legal No. 53 – Noviembre de 2022

Acción legal: ¿una nueva dinámica para las acciones colectivas? Los recursos jurídicos relativos a la protección de datos personales siguen siendo escasos en Francia y en Europa.

Aunque la prensa informa periódicamente sobre sanciones contra gigantes tecnológicos, estas sanciones son principalmente obra de las autoridades supervisoras.

En particular, los daños suelen ser difíciles de evaluar en materia de violación de la privacidad, dados los costos de las acciones legales.

La situación podría cambiar pronto, con la transposición a nivel nacional de la Directiva (UE) 2020/1828 sobre acciones de representación.

Los Estados miembros tienen hasta el 25 de diciembre de este año para cumplir con esta directiva, que tiene como objetivo proteger los intereses colectivos de los consumidores.

Las demandas colectivas ya existen en Francia y su alcance se ha ampliado gradualmente. Existen desde la Ley de Consumo del 17 de marzo de 2014.

Se amplió progresivamente a diferentes ámbitos, incluidos los datos personales, mediante la ley del 18 de noviembre de 2016, que creó un nuevo artículo 43ter en la Ley de Protección de Datos.

El texto, sin embargo, limita el derecho a interponer una acción colectiva a las asociaciones de protección de los consumidores autorizadas, a las asociaciones con más de cinco años de antigüedad cuyo objeto estatutario sea la protección de la vida privada y a las organizaciones sindicales que representen a empleados o funcionarios.

Este marco jurídico no permitía indemnizar los daños sufridos por las personas afectadas.

Esto ahora es posible, desde la ley del 20 de junio de 2018 que adapta la Ley de Protección de Datos al RGPD.

La acción colectiva ahora permite la compensación de daños materiales y morales ante los tribunales.

El RGPD también permite obtener dicha reparación obligando a organismos, organizaciones o asociaciones a presentar una reclamación en su nombre ante la autoridad supervisora.

Francia no es, pues, la que menos ha avanzado en materia de acciones representativas, como lo demuestra, por ejemplo, la actuación de organizaciones como La Quadrature du Net, muy activa en el ámbito de la protección de datos.

Otros países, sin embargo, van más allá.

La demanda colectiva en Francia se basa en un “opt-in” y solo involucra a quienes se unen explícitamente al procedimiento, a diferencia de la "acción colectiva", que a priori incluye a todas las personas que se ajustan al perfil de las partes perjudicadas y les da la posibilidad de retirarse del procedimiento. En tal caso, hablamos de "opt-out".

Si bien estos dos tipos de procedimientos aún son relativamente raros en Europa, la demanda colectiva en el sentido de un procedimiento de “exclusión voluntaria” es aún más rara.

En los Países Bajos se admiten ambos tipos de recurso.

En los últimos dos años se han creado allí varias fundaciones con el objetivo de interponer demandas colectivas.

Estas fundaciones han atacado, por ejemplo, el comportamiento anticompetitivo de Apple y Google, las prácticas de recopilación de datos de TikTok, Salesforce y Oracle, y Airbus y Airbnb.

El hecho de que la organización representativa pueda reclamar daños y perjuicios para una clase entera de demandantes a menos que estos "opten por no participar" es un cambio significativo en las reglas del juego para las demandas colectivas de protección de datos, donde las indemnizaciones por daños individuales son generalmente bajas.

La naturaleza económicamente viable de tales acciones ha convertido a los Países Bajos en la jurisdicción europea líder en materia de acciones colectivas., y hay un aumento en la financiación de terceros a este tipo de organizaciones.

Hoy Twitter está siendo demandado en los Países Bajos por rastrear a sus usuarios.

Lo mismo ocurre con otras aplicaciones populares, como Shazam y Vinted, pero también con aplicaciones más sensibles como Grindr y aplicaciones de seguimiento del ciclo menstrual.

La Directiva Europea permite a los países de la UE elegir entre el modelo opt-in o el opt-out, excepto en el caso de la acción de cesación que -lógicamente- prevé un opt-out.

Cabe señalar que el texto otorga a las organizaciones la posibilidad de presentar acciones transfronterizas y les da la posibilidad de elegir entre varias jurisdicciones. :la acción podrá interponerse en el Estado miembro en el que la sociedad demandada tenga su domicilio social, pero también en cualquier Estado miembro en el que tenga una sucursal y en el Estado del domicilio del perjudicado.

Francia tendrá pues que prepararse para hacer frente a los llamamientos paneuropeos.

También tendrá que adaptar su marco jurídico a las principio de “el perdedor paga” en lo referente a honorarios de abogados y costas procesales, y prever una procedimiento de descubrimiento, tal como existe en los países de Common Law, y que permite, mediante decisión razonada del juez, la producción de documentos útiles para la disputa (como la identidad de las partes lesionadas).

Aunque los próximos meses aclararán las condiciones de aplicación de la Directiva, ya parece seguro que tendrá un impacto en el número de acciones representativas en Europa.

Sería bueno prepararnos para ello y seguir de cerca su transposición en Francia.

Y también

Francia:

La CNIL ha multado a DISCORD INC. con 800.000 euros. por no cumplir con varias obligaciones del RGPD, en particular en lo que respecta a los períodos de retención de datos y la seguridad de los datos personales.

La CNIL también destaca una falta de protección de datos por defecto: los usuarios no fueron informados de que sus conversaciones aún podían ser escuchadas cuando creían haber abandonado una sala de chat de voz.

Finalmente, la empresa fue criticada por no haber realizado un análisis de impacto antes de implementar los tratamientos.

La Comisión también publicó el 24 de noviembre un plan de acción destinado a apoyar el cumplimiento de las aplicaciones móviles y proteger la privacidad de los usuarios.

Su objetivo es profundizar sus conocimientos, apoyar a los profesionales e informar a los ciudadanos, por ejemplo en forma de guías y recomendaciones.

Por último, realizará controles específicos y, si es necesario, adoptará medidas represivas contra las organizaciones que no respeten sus obligaciones.

A raíz de un gran número de quejas, la CNIL ha precisado las condiciones en las que los organismos de seguro complementario de salud pueden recopilar datos sanitarios.

Observa que los textos aplicables no son suficientemente precisos y recomienda la adopción de una ley.

El 1 de enero de 2023 marcará el fin de los recibos en papel.

Esta medida "antidesperdicio" plantea interrogantes sobre la protección de la privacidad porque los minoristas podrán identificar a toda su base de clientes, incluidos aquellos que no tienen una tarjeta de fidelización.

La CNIL subraya en su libro blanco que una dirección de correo electrónico recogida con el fin de enviar un recibo o un pago electrónico no puede utilizarse con fines de prospección comercial, siendo estos dos fines bastante distintos.

Será importante obtener el consentimiento del interesado o, en el caso de prospección sobre productos o servicios similares a los que ya presta la empresa, informarle previamente en el momento de la recogida de las finalidades y de la posibilidad de oponerse.

El Tribunal de Casación consideró en su sentencia del 7 de noviembre que el código de desbloqueo de la pantalla de inicio de un teléfono puede constituir una "clave de descifrado".

Si es probable que se haya utilizado en la preparación o comisión de un delito o crimen, su titular está obligado a proporcionar a los investigadores el código de desbloqueo de la pantalla de inicio.

Si se niega a comunicar este código, comete el delito de "negativa a entregar un acuerdo de descifrado secreto", castigado con multa y prisión.

Europa:

El 16 de noviembre de 2022 entró en vigor el Reglamento de Servicios Digitales (DSA).

Este reglamento establece nuevas responsabilidades para las plataformas digitales, con el fin de limitar la difusión de contenidos y productos ilegales, aumentar la protección de los menores y ofrecer a los usuarios más opciones y mejor información.

El Comité Europeo de Protección de Datos (CEPD) ha publicado sus recomendaciones sobre el procedimiento de aprobación y los elementos que deben incluirse en las Normas Corporativas Vinculantes (NCV) para los responsables del tratamiento de datos.

El documento está abierto a consulta pública hasta el 10 de enero de 2023.

El Supervisor Europeo de Protección de Datos (SEPD) ha publicado su dictamen sobre la propuesta de reglamento sobre ciberseguridad.

El texto pretende definir requisitos de ciberseguridad a nivel de la UE para una amplia gama de productos de hardware y software, como navegadores, sistemas operativos, cortafuegos, sistemas de gestión de red, medidores inteligentes o enrutadores.

El SEPD recomienda integrar los principios de protección de datos en este texto desde el diseño y por defecto.

También destacó que un certificado europeo de ciberseguridad no podría reemplazar la certificación GDPR.

El SEPD también comentó la propuesta de reglamento que establece un marco común para los servicios de medios de comunicación: En su dictamen del 14 de noviembre, destaca la insuficiencia de las medidas previstas para proteger a los periodistas, sus fuentes y los proveedores de servicios de comunicación.

Recomienda aclarar que cualquier periodista se beneficiaría de esta protección e insta a limitar aún más las excepciones que permiten la interceptación de comunicaciones mediante programas espía u otras formas de vigilancia.

Después de dos años de negociaciones con Microsoft, el comité conjunto de la Autoridad Federal de Protección de Datos de Alemania y 16 reguladores estatales ha emitido una declaración que probablemente tendrá implicaciones de gran alcance: los controladores de datos actualmente no pueden usar legalmente MS365 según el RGPD.

El 14 de noviembre la autoridad holandesa de protección de datos lanzó una advertencia a su gobierno disuadiéndolo de utilizar los servicios de nube estadounidenses. Insta al Gobierno a utilizar alternativas europeas.

La agencia de noticias húngara DPA ha ordenado al operador de un sitio web de previsión meteorológica que deje de transferir datos a Estados Unidos a través de Google.

La DPA descubrió que el operador del sitio web utilizó Google Analytics sin implementar garantías adecuadas para las transferencias de datos a Estados Unidos.

El 17 de noviembre, el Consejo Irlandés para las Libertades Civiles señaló en una carta a la Comisión Europea que Meta infringía el RGPD y no podía cumplir con el Reglamento de Mercados Digitales (DMA).

La ICCL cita documentos judiciales recientemente revelados en California que dicen que Meta no respondió a una solicitud de información sobre lo que hacen 149 de sus sistemas de procesamiento de datos, lo que indica que el funcionamiento de esos sistemas no era comprensible para los humanos.

La Comisión de Protección de Datos de Irlanda emitió su decisión el 25 de noviembre en su investigación sobre el rastreo de datos de Facebook, que afecta a la disponibilidad en línea de datos personales de más de 530 millones de usuarios.

Los principios en juego se refieren a la protección de datos desde el diseño y por defecto, tal como prevé el RGPD.

La decisión impone multas administrativas por un total de 265 millones de euros y medidas correctoras.

Meta se enfrenta a otros tres procedimientos por infracción del RGPD en Europa.

Se tratan de las condiciones generales de Facebook pero también de Instagram y WhatsApp.

Se espera que las conclusiones del CEPD sobre este último asunto se publiquen el 5 de diciembre y se esperan con gran interés. 

Se refieren a la base legal para la recopilación de datos de los usuarios de las redes sociales.

Meta ha cambiado esta base legal del consentimiento a la necesidad de tratamiento en virtud de un contrato, con repercusiones legales que, de ser aprobadas por las autoridades de protección de datos, irían mucho más allá del contexto de este caso.

La Oficina del Comisionado de Información publicó una actualización de sus directrices sobre transferencias internacionales el 17 de noviembre.

Esta actualización incluye una nueva sección sobre Evaluaciones de Riesgo de Transferencia (TRA) y una herramienta para controladores.

El Reino Unido ha firmado un acuerdo sobre la transferencia de datos personales con Corea, que entrará en vigor el 19 de diciembre.

Dice que su acuerdo es "más amplio" que el de la UE y permite a las empresas transferir datos relacionados con la información crediticia.

Internacional :

Google acordó pagar una cifra récord de 391,5 millones de dólares en un acuerdo por violaciones de privacidad en 40 estados de EE.UU.

El caso se refiere a las prácticas de geolocalización de la empresa: según los fiscales generales, los usuarios fueron engañados sobre las condiciones para desactivar su geolocalización en la configuración de su cuenta.

Las autoridades europeas de protección de datos han advertido que las dos aplicaciones Ehteraz y Hayya impuestas por las autoridades qataríes para entrar al país generan violaciones masivas de la privacidad. al permitir un amplio acceso a los datos del usuario, incluidos datos de ubicación y datos de llamadas.

La CNIL recomienda que las personas que viajen a Qatar utilicen un teléfono en blanco o reiniciado.

El Control Global de Privacidad, creado en octubre de 2020, está viendo crecer su uso gracias a su adopción por parte de los principales editores y plataformas de gestión del consentimiento en línea.

Las GPC permiten a los usuarios optar por no participar en la venta de información personal a nivel del navegador con un solo clic, para todos o algunos sitios web.

A diferencia de los controladores de exclusión voluntaria, que a menudo cargan contenido y comienzan a recopilar datos antes de que el usuario tenga la oportunidad de optar por no participar, GPC respeta la elección del usuario antes de que se cargue el sitio.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.