Informe jurídico n.º 69 – Marzo de 2024.

Seguridad de los datos, amenazas cibernéticas: situación actual y directrices.

Varias organizaciones publicarán a principios de este año sus informes sobre el estado de la amenaza a la ciberseguridad: una oportunidad para evaluar los riesgos y obtener consejos para proteger los datos personales.

La Agencia Europea de Ciberseguridad (ENISA) ha publicado su informe sobre las amenazas a la ciberseguridad hasta 2030.

El informe identifica como especialmente preocupantes las amenazas relacionadas con las dependencias de software y las campañas de desinformación, así como las relacionadas con el error humano.

Entre las amenazas a largo plazo, la agencia señala la escasez de personal cualificado y los fallos de los proveedores de servicios, así como el aumento de las amenazas relacionadas con la inteligencia artificial.

La iniciativa "Acción contra la ciberdelincuencia" también comparte su análisis sobre el estado de la amenaza en Francia con motivo de la publicación de su informe anual de actividades. 

El phishing sigue siendo la principal amenaza: se está diversificando y volviendo más sofisticado. Las principales formas de phishing incluyen infracciones de tráfico, pornografía infantil o falsos servicios de soporte técnico.

Además, las estafas que involucran a falsos asesores bancarios se mantienen en un nivel alto y constante.

El pirateo de cuentas es otra amenaza importante, con consecuencias que pueden derivar en robo de identidad y perjuicios económicos.

Por último, los ataques de ransomware y el malware (virus) son causas importantes y cada vez más frecuentes de solicitudes de asistencia a las víctimas.

El 27 de marzo, la CNIL publicó un informe sobre las violaciones de seguridad ocurridas en los últimos cinco años.

Señala que el sector privado es responsable de aproximadamente dos tercios de las declaraciones de infracciones presentadas ante la CNIL, incluidas 39 denuncias de PYME (%).

El sector público, por su parte, representa el 22% de las notificaciones.

En cuanto a la distribución por actividad, las administraciones públicas representan 18 % de las notificaciones.

Las actividades especializadas, científicas y técnicas son las más representadas en el sector privado, seguidas de las actividades financieras y de seguros.

Las actividades relacionadas con la salud humana también representan 12 % de las notificaciones.

En este contexto, y para tener en cuenta los nuevos riesgos para los datos, la CNIL actualizó su guía de seguridad de datos a finales de marzo.

Esta nueva versión reestructura la guía en cinco partes: usuarios, equipos, control de datos, preparación ante incidentes y, por último, un enfoque en temas de especial actualidad.

La CNIL presenta nuevas fichas informativas, en particular sobre inteligencia artificial (IA), aplicaciones móviles, computación en la nube e interfaces de programación de aplicaciones (API).

La guía también incluye fichas informativas sobre análisis de riesgos y cifrado.

Al final del documento, una lista de verificación le permite revisar las medidas adoptadas por la persona a cargo y evaluar su nivel de seguridad.

Entre las medidas de protección recomendadas, la autenticación multifactor (MFA) se cita con frecuencia y se recomienda cada vez más para proteger las bases de datos de los intentos de acceso fraudulentos.

La CNIL acaba de abrir una consulta pública sobre la conformidad de las soluciones que utilizan la AMF con el RGPD.

Un ejemplo reciente confirma la necesidad de aclarar el contexto del uso de la AMF: en España, una empresa fue condenada por imponer la AMF a sus empleados en sus teléfonos privados cuando la ley le exigía proporcionarles teléfonos móviles de empresa para este fin.

En su recomendación, la CNIL aborda la determinación de una base jurídica, la minimización de los datos recogidos, los períodos de conservación y el respeto al ejercicio de los derechos de las personas interesadas.

Proporciona ejemplos prácticos de cómo implementar la autenticación multifactor respetando la privacidad.

 

      

La Autoridad Francesa de la Competencia impuso una multa de 250 millones de euros a Google el 20 de marzo por incumplir sus compromisos y por utilizar artículos de prensa para entrenar su sistema de inteligencia artificial (Bard/Gemini). 

Esta decisión, la cuarta que se toma sobre este caso en cuatro años, se enmarca en el contexto de la aprobación de la ley del 24 de julio de 2019 sobre derechos conexos, cuyo objetivo es establecer las condiciones para una negociación equilibrada entre editores, agencias de prensa y plataformas digitales.

El 8 de abril, la CNIL publicó recomendaciones para el uso de la IA de manera que se respeten los datos personales.

Su objetivo es proporcionar respuestas concretas, ilustradas con ejemplos, a los retos legales y técnicos relacionados con la aplicación del RGPD a la IA.

Los puntos abordados en estas recomendaciones iniciales permiten, en particular, determinar el régimen jurídico aplicable, la cualificación jurídica de los agentes, realizar un análisis de impacto cuando proceda e integrar la protección de datos desde la fase de diseño del sistema (privacidad desde el diseño).

 

instituciones y organismos europeos

El 11 de marzo, el Supervisor Europeo de Protección de Datos (SEPD) determinó que la Comisión Europea había infringido varias normas clave de protección de datos en su uso de Microsoft 365.

En concreto, «la Comisión no ha proporcionado las garantías adecuadas para asegurar que los datos personales transferidos fuera de la UE/EEE gocen de un nivel de protección esencialmente equivalente al garantizado en la UE/EEE.

Además, en su contrato con Microsoft, la Comisión no especificó suficientemente qué tipos de datos personales debían recopilarse y para qué fines explícitos y precisos al utilizar Microsoft 365 (...).

El CEPD impuso medidas correctivas a la Comisión, incluida la suspensión, a partir del 9 de diciembre de 2024, de todos los flujos de datos derivados del uso de Microsoft 365 hacia Microsoft y sus filiales y subcontratistas ubicados en países fuera de la UE/EEE que no estén cubiertos por una decisión de adecuación.

Si bien esta decisión concierne a las instituciones europeas, el razonamiento del SEPD tiene un alcance mucho más amplio y podría tener repercusiones en el uso de Microsoft 365 en los Estados miembros de la UE.

El 15 de marzo, el Defensor del Pueblo Europeo escribió a la Comisión Europea para preguntar cómo utiliza la IA en su proceso de toma de decisiones.

El Defensor del Pueblo señaló que, si bien los rápidos avances en inteligencia artificial pueden mejorar la calidad y la eficiencia del trabajo, plantean importantes desafíos en términos de precisión, posibles sesgos, explicabilidad y control humano.

También hizo hincapié en que las administraciones públicas deben garantizar que la IA solo sirva de apoyo a la toma de decisiones humanas y no la sustituya.

Las preguntas se centran en el uso de la IA en tres áreas específicas: el análisis de las opiniones del público, la detección de posibles infracciones de las normas de competencia de la UE y la gestión de reclamaciones.

Si bien el Parlamento Europeo acaba de votar el reglamento sobre inteligencia artificial, los reglamentos relativos a los mercados digitales (DMA) y a los servicios digitales (DSA) ya han entrado en vigor y la Comisión ya ha iniciado varios procedimientos en virtud de estos dos textos.

El 25 de marzo, inició un procedimiento basado en el acceso descentralizado al mercado (DMA) contra Alphabet, Apple y Meta.

En lo que respecta a Apple y Alphabet, la Comisión tiene previsto determinar si las medidas implementadas en relación con sus obligaciones relativas a las tiendas de aplicaciones son contrarias a la Ley de Contratación Pública, que exige a los intermediarios que permitan a los desarrolladores de aplicaciones "dirigir" a los consumidores de forma gratuita a ofertas que no figuran en sus tiendas de aplicaciones.

En lo que respecta a Meta, la Comisión ha abierto un procedimiento para determinar si el modelo de "pago o consentimiento" introducido recientemente para los usuarios en la UE cumple con la legislación de protección de datos, que exige a los responsables del tratamiento obtener el consentimiento de los usuarios cuando pretenden combinar o utilizar de forma cruzada sus datos personales.

Este último procedimiento se suma al iniciado por el Comité Europeo de Protección de Datos sobre el mismo tema.

La Comisión también abrió un procedimiento formal en virtud de la Ley de Servicios Digitales el 14 de marzo para determinar si AliExpress había infringido dicha ley en áreas relacionadas con la gestión y mitigación de riesgos, la moderación de contenidos y el mecanismo interno de gestión de quejas, la transparencia de los sistemas de publicidad y recomendación, la trazabilidad de los comerciantes y el acceso a los datos para los investigadores.

Ese mismo día, también envió una solicitud de información a LinkedIn en relación con la posible publicidad dirigida basada en datos confidenciales.

El 4 de marzo, la Comisión Europea acogió la primera reunión de "alto nivel" sobre flujos transfronterizos de datos.

La reunión congregó al Comisario de Justicia, al Presidente del CEPD, así como a ministros y responsables de las autoridades de protección de datos de 15 países y territorios para los que la UE ha adoptado una decisión de adecuación.

El objetivo es promover una mayor cooperación entre estos participantes en el ámbito de la protección de datos.

En una sentencia de fecha 7 de marzo, el Tribunal de Justicia de la Unión Europea (TJUE) confirmó que la cadena TC ("cadena TC") utilizada por los anunciantes para codificar las preferencias del usuario "contiene información sobre un usuario identificable y, por lo tanto, constituye datos personales en el sentido del RGPD.

Cuando la información contenida en una cadena TC se asocia con un identificador, como, entre otras cosas, la dirección IP del dispositivo del usuario, esta información se puede utilizar para crear un perfil de ese usuario e identificarlo. 

Además, IAB Europe debe ser considerada un "corresponsable del tratamiento" en el sentido del RGPD. (...)

La asociación parece ejercer influencia sobre las operaciones de procesamiento de datos cuando las preferencias de consentimiento del usuario se registran en una cadena TC, y determinar, conjuntamente con sus miembros, tanto los propósitos de estas operaciones como los medios que las sustentan. 

El Tribunal de Justicia de la Unión Europea (TJUE) se pronunció el 7 de marzo en apelación sobre una decisión del Tribunal de Justicia de la Unión Europea relativa al concepto de datos personales.

 Consideró que la naturaleza identificable no está vinculada al hecho de que un "lector medio" pueda identificar a una persona, sino que depende de la posesión o no de "factores adicionales... necesarios para la identificación... [estos factores] pueden ser accesibles a una persona distinta del responsable del tratamiento (véase C-582/14, apartados 39 y 41)".

El Tribunal también erró al argumentar que los "medios razonablemente probables" que se utilizarían para identificar a una persona en cuestión eran limitados.

El tribunal debería haber considerado los costos y el tiempo necesarios para identificar al demandante y determinar si este podía ser identificado por "medios razonables".

Esta decisión se refería a la aplicación del reglamento de protección de datos aplicable a las instituciones europeas, cuyas definiciones son idénticas a las del RGPD.

En la página web de Kaizener encontrará una serie de tablas que enumeran las numerosas iniciativas regulatorias europeas en el sector digital, así como su estado de implementación. 

 

Noticias procedentes de los países miembros de Europa.

La Autoridad Belga de Protección de Datos publicó el 15 de marzo una decisión relativa a la base jurídica para el tratamiento de los datos utilizados para el entrenamiento de modelos de IA y el posterior uso independiente de estos modelos con fines comerciales. 

La APD consideró que el responsable del tratamiento no podía alegar un uso compatible (artículo 6(4) del RGPD), porque el objetivo de la formación no se había establecido claramente desde el principio.

Su uso posterior también requería su propia base legal.

El responsable del tratamiento de datos también debe otorgar a sus clientes el derecho a oponerse al uso de los datos para el entrenamiento de modelos.

La Autoridad Belga de Protección de Datos también consideró que un responsable del tratamiento de datos había infringido el artículo 5(1) del RGPD al no eliminar la cuenta de correo electrónico de un antiguo empleado de manera oportuna.

La APD declaró que el buzón de correo debe desactivarse el último día hábil y que la respuesta automática debe desactivarse en un plazo de un mes o, en ciertas excepciones, en un plazo de tres meses.

En un contexto similar, la Autoridad Italiana de Protección de Datos (APD) consideró que el responsable del tratamiento de datos había infringido el principio de minimización de datos al no desactivar la cuenta de correo electrónico de un antiguo empleado, alegando la necesidad de redirigir a los clientes a otra cuenta.

El responsable del tratamiento de datos fue multado con 15.000 euros.

La Autoridad Italiana de Protección de Datos (APD) multó a un subcontratista con 800.000 euros por contratar a un subcontratista secundario sin la autorización previa del responsable del tratamiento de datos y por notificar tardíamente una violación de datos al responsable del tratamiento de datos.

También multó a cinco empresas que utilizaban el reconocimiento facial para controlar la asistencia en el lugar de trabajo.

La autoridad determinó que las medidas de protección de datos eran inadecuadas, que las personas no habían recibido la información requerida y que se podría haber utilizado un sistema menos intrusivo.

La Autoridad Italiana de Protección de Datos (APD) también abrió una investigación el 8 de marzo contra OpenAI, que anunció el lanzamiento de un nuevo modelo de IA llamado "Sora".

Este modelo sería capaz de crear escenas dinámicas, realistas e imaginativas a partir de unas pocas instrucciones de texto.

La APD ha solicitado a OpenAi que proporcione una serie de aclaraciones en vista de las implicaciones que "Sora" podría tener en el tratamiento de los datos personales de los usuarios en la Unión Europea y, en particular, en Italia.

El 25 de marzo, la Autoridad Portuguesa de Protección de Datos (APD) decidió ordenar a la Fundación Worldcoin que limitara temporalmente la recopilación de datos biométricos por parte de "Orb" en territorio nacional con el fin de salvaguardar los derechos de los ciudadanos, especialmente de los menores.

La decisión impone una medida cautelar urgente a la Fundación Worldcoin, en su calidad de responsable del tratamiento de datos, hasta la conclusión de su proceso de investigación.

España ha tomado una decisión similar.

La Autoridad Finlandesa de Protección de Datos (APD) ha multado a un minorista de informática con 856.000 euros por no determinar el período de retención de los datos de sus clientes.

El APD también consideró que El tratamiento de los datos personales relacionados con una única compra online no requiere la creación de una cuenta de cliente.

En Alemania, un tribunal de Berlín dictaminó que el responsable del tratamiento de datos no puede limitarse, al responder a una solicitud de acceso, a proporcionar una descripción abstracta del tratamiento.

El funcionario había citado esfuerzos desproporcionados.

Según el tribunal, estas medidas solo pueden invocarse en casos muy excepcionales.

La Autoridad Islandesa de Protección de Datos (APD) ha multado a Stjörnuna con 10.059,92 euros (1.500.000 ISK). La empresa operadora de Subway en Islandia, por vigilar ilegalmente a sus empleados sin informarles adecuadamente.

En Austria, el Tribunal Administrativo Supremo dictaminó que un algoritmo Determinar la probabilidad de contratar a los solicitantes de empleo constituye una toma de decisiones automatizada en el sentido del artículo 22 del RGPD, incluso si el resultado es utilizado exclusivamente por un organismo público para proporcionar a los solicitantes de empleo asesoramiento laboral específico.

 

El gobierno británico En marzo se publicó una guía para la adquisición y el despliegue responsables de la IA en el sector de los recursos humanos y la selección de personal.

El 21 de marzo, la ONU adoptó una resolución integral sobre la IA.

La organización reconoce que la IA puede ayudar a acelerar el logro de los 17 Objetivos de Desarrollo Sostenible y subraya la urgencia de "alcanzar un consenso mundial sobre sistemas de inteligencia artificial seguros, fiables y dignos de confianza".

La resolución anima a los Estados miembros a adoptar reglamentos y políticas sobre inteligencia artificial en diversos temas, incluida la protección de la privacidad.

La Asamblea hizo un llamamiento a todos los Estados miembros y a las partes interesadas para que "se abstengan de utilizar o dejen de utilizar sistemas de IA que no puedan funcionar de conformidad con el derecho internacional de los derechos humanos o que presenten riesgos excesivos para el disfrute de los derechos humanos".

Según un artículo de Techcrunch del 26 de marzo, un tribunal federal de California ha publicado varios documentos como parte de una demanda colectiva presentada por consumidores contra Meta.

Según se informa, en 2016 Facebook lanzó un proyecto secreto destinado a interceptar y descifrar el tráfico de red entre las personas que utilizan la aplicación Snapchat y sus servidores.

El objetivo era comprender el comportamiento de los usuarios y ayudar a Facebook a competir con Snapchat.

El Departamento de Justicia y el FBI anunciaron el 25 de marzo que millones de cuentas en línea de estadounidenses fueron víctimas de un complot de piratería informática chino.

Siete ciudadanos chinos han sido acusados de llevar a cabo una campaña de ciberataques a gran escala.

El Departamento de Justicia afirmó que los piratas informáticos atacaron a críticos estadounidenses y extranjeros de China, empresas y políticos.

El 25 de marzo, el gobernador republicano de Florida firmó un proyecto de ley que prohíbe el acceso a las redes sociales a los niños menores de 14 años.

Los menores de 14 o 15 años deberán obtener el consentimiento explícito de sus padres para crear una cuenta.

Cuando las normas entren en vigor el 1 de julio de 2024, empresas como Facebook, Instagram y TikTok estarán obligadas, en principio, a cerrar las cuentas existentes que no cumplan con estos requisitos y a eliminar todos los datos personales correspondientes.

Esta medida ha sido criticada y se prevé que sea impugnada ante los tribunales sobre la base del derecho constitucional a la libertad de expresión.

Mientras tanto, Estados Unidos está considerando prohibir TikTok en todo el país.

El 13 de marzo, la Cámara de Representantes aprobó la denominada "Ley de Protección de los Estadounidenses contra las Aplicaciones Controladas por Adversarios Extranjeros".

Si el Senado aprueba y promulga la ley, TikTok tendrá que separar la plataforma de vídeo de su empresa matriz china, ByteDance, o bien eliminar el acceso de los estadounidenses a la aplicación.

El 18 de marzo, en la tercera cumbre por la democracia celebrada en Seúl, Corea del Sur, Finlandia, Alemania, Irlanda, Japón, Polonia y la República de Corea se unieron a Estados Unidos en una declaración conjunta sobre los esfuerzos para combatir la proliferación y el uso indebido de software espía comercial.

Los países se comprometen a trabajar dentro de sus sistemas nacionales para establecer sólidas salvaguardias que contrarresten la proliferación y el uso indebido de esta tecnología de vigilancia.

En Kuwait, la Autoridad Reguladora de las Tecnologías de la Información y la Comunicación (CITRA) ha publicado una nueva ley sobre la protección de datos personales.