Informe jurídico n.º 73 – Julio de 2024.  

Servicios en la nube: ¿qué criterios se utilizan para cada opción?

Desde la pandemia de Covid, se ha observado un uso creciente de los servicios en la nube tanto en el sector público como en el privado.

Si bien el marco europeo en este ámbito se está clarificando, aún persisten muchas incertidumbres.

• ¿Deberíamos elegir una nube francesa y europea que cumpla con los requisitos de una nube soberana?
• ¿Cuáles son los riesgos de confiar la gestión de los datos personales a las empresas de GAFAM?

Aunque no existe una definición legal de nube soberana, generalmente se considera que debe garantizar la soberanía en tres niveles fundamentales:

• Los datos,
• Las operaciones,
• La infraestructura.

Por lo tanto, la nube debe presentar un alto nivel de exigencia en materia de seguridad digital y protección de datos, desde un punto de vista técnico, operativo y legal, y más concretamente, una competencia exclusiva en el territorio nacional.

Por lo tanto, desconfíe de las afirmaciones sobre una "nube europea soberana" hechas por empresas no europeas.

Francia destaca dentro de la Unión Europea por sus requisitos particularmente estrictos. especialmente desde la implementación del marco SecNumCloud y la adopción, el 21 de mayo, de la ley SREN, destinada a garantizar la seguridad y la regulación del espacio digital.

Esta ley exige que las administraciones estatales y sus operadores que utilicen un servicio en la nube proporcionado por un proveedor privado implementen criterios específicos de seguridad y protección para el funcionamiento de los sistemas informáticos que procesan datos de especial sensibilidad.

El objetivo es impedir cualquier acceso no autorizado a los datos por parte de las autoridades públicas de terceros estados.

Esto es particularmente relevante teniendo en cuenta la Ley de la Nube, que faculta a los servicios de seguridad estadounidenses para acceder a los datos que poseen las empresas ubicadas fuera de su territorio sin autorización previa.

Estas obligaciones están en consonancia con el espíritu de la doctrina de la "nube en el centro" desarrollada por el Estado francés para sus administraciones.

Si bien no son obligatorias para el sector privado, siguen siendo útiles como recomendaciones, en particular cuando se trata del tratamiento de datos sensibles, por ejemplo en el ámbito de la salud o la investigación.

¿Qué ocurre con el desarrollo de los servicios en la nube en otras partes de Europa?

Existen numerosos servicios de calidad disponibles, por ejemplo en Alemania y Suiza.

Sin embargo, parece que la noción de nube soberana se interpreta a menudo de forma más amplia que en el contexto francés: el modelo alemán define como soberana cualquier nube ubicada en el territorio de la UE comercializada por una empresa europea, con empleados que sean ciudadanos de la UE y requisitos de seguridad específicos en cuanto al acceso a los datos, incluso si el servicio en la nube lo ofrece en la práctica una filial de una empresa estadounidense, por ejemplo.

Esta es la dirección que está tomando actualmente el proyecto de Certificación de Servicios en la Nube de la Unión Europea (EUCS).

En su última versión, que data de marzo, este proyecto "ya no permite a los proveedores demostrar que protegen los datos almacenados contra cualquier acceso por parte de una potencia extranjera, a diferencia de la certificación SecNumCloud en Francia".

En estos términos advierte la CNIL a la nueva Comisión Europea, encabezada por Ursula von der Leyen, que participa en el proceso de toma de decisiones relativo a la EUCS.

Entre las razones esgrimidas para justificar la eliminación de los requisitos de soberanía del proyecto se encuentran las posibles acusaciones de proteccionismo por parte de Estados Unidos o China.

La CNIL, por su parte, lamenta, además de los riesgos de violación de datos personales, el impacto de esta revisión a la baja de los requisitos europeos en el fomento de la oferta europea de servicios en la nube.

Dada la incertidumbre actual en el ámbito europeo, el marco SecNumCloud constituye una referencia útil, en particular para el procesamiento de datos sensibles o estratégicos. 

El sitio web de ANSSI publica la lista de servicios en la nube calificados como "SecNumCloud": contiene, actualizada el 17 de julio, una lista de 14 servicios en la nube que cumplen con los requisitos de calificación y otros ocho en proceso de calificación.

Independientemente del marco de SecNumCloud, otros servicios europeos en la nube siguen siendo atractivos en comparación con sus competidores internacionales, dado el contexto legal actual.

Si bien el nivel de protección de datos en Estados Unidos se considera actualmente adecuado, conviene recordar que los dos primeros acuerdos UE-UE fueron anulados por el Tribunal de Justicia de la Unión Europea y que Max Schrems, quien inició las dos primeras acciones legales, pretende someter el "marco de privacidad de datos" a la misma suerte.

 

         

En sus conclusiones del 11 de julio, el Abogado General del Tribunal de Justicia de la Unión Europea (TJUE) se pronunció sobre la necesidad de tratar datos relativos al sexo («Sr. o Sra.») para la prestación del servicio de trenes de la SNCF.

Dado que la recopilación de estos datos es obligatoria en los formularios de la SNCF, el Consejo de Estado, a instancias de la asociación Mousse, preguntó al TJUE si esta recopilación podía basarse en el artículo 6.1.a (consentimiento) o 6.1.b (necesario para la ejecución de un contrato) del RGPD.

Según la Asamblea General, dicho tratamiento no es necesario para la prestación del servicio, ya que en este caso no se trata de vagones separados para hombres o mujeres, y la SNCF ha reconocido que no utiliza sistemáticamente esta información en su comunicación con sus clientes.

El Abogado General recuerda en particular la aplicación del principio de minimización y menciona la sentencia "Bundeskartellamt", en la que el Tribunal declaró que "para que el tratamiento de datos personales se considere necesario para la ejecución de un contrato, (...) debe ser objetivamente indispensable para un fin que forme parte integrante de la obligación contractual a la que está sujeto el interesado.

Por lo tanto, el responsable del tratamiento de datos debe poder demostrar cómo no se puede alcanzar la finalidad principal del contrato si no se lleva a cabo el tratamiento en cuestión.

La Asamblea General concluye que el género del usuario no es necesario en este caso particular.

La Federación de Terceros de Confianza en el sector digital ha publicado una "Guía de buenas prácticas para la experiencia digital y el consentimiento".

En el contexto normativo de las firmas digitales, el objetivo es "garantizar que la agregación de todos los componentes en una cadena de confianza extendida a lo largo del proceso proporcione la evidencia necesaria para demostrar la coherencia y la fiabilidad del proceso a posteriori".

El 21 de junio, el Consejo de Estado anuló parcialmente un decreto de 2021 relativo al uso de drones por parte de las fuerzas del orden..

El Consejo de Estado consideró que ciertas disposiciones de este decreto infringían de manera desproporcionada el derecho al respeto de la vida privada y la libertad de reunión.

El uso de drones para filmar manifestaciones solo podrá autorizarse si existe la posibilidad de que se produzcan alteraciones del orden público y si las imágenes grabadas son estrictamente necesarias para prevenir dichas alteraciones o para procesar a los responsables.

Además, las personas que sean filmadas deben estar debidamente informadas sobre el uso de drones y sus derechos de protección de datos (a través de la AFCDP).

El Consejo de Estado ha confirmado el derecho de los donantes de gametos a oponerse, en virtud del artículo 21 del RGPD, a la transferencia de sus datos personales desde la organización donde realizaron su donación a un registro central de donantes.

 

instituciones y organismos europeos

Actualmente existe una disputa entre la Comisión Europea y el Supervisor Europeo de Protección de Datos (SEPD) en relación con el uso de Microsoft Office 365.

La Comisión, en efecto, inició acciones legales a mediados de mayo para impugnar las conclusiones de una investigación del SEPD sobre el uso que hace de estos servicios.

El SEPD critica especialmente a la Comisión por no haber ofrecido garantías en lo que respecta a la transferencia de datos a Estados Unidos. 

En su contrato con Microsoft, la Comisión también habría omitido especificar suficientemente los tipos de datos personales recopilados y los fines del tratamiento, en violación del RGPD de la UE.

El Supervisor Europeo de Protección de Datos (SEPD) instó a la Comisión a suspender las transferencias en cuestión y a cumplir con la ley antes del 9 de diciembre. Las conclusiones de la Comisión se publicaron a mediados de julio en el Diario Oficial de la Unión Europea.

El 12 de julio, la Comisión Europea envió sus conclusiones preliminares a X (anteriormente Twitter) en relación con el cumplimiento del Reglamento europeo de servicios digitales (DSA).

El procedimiento iniciado en diciembre de 2023 se centra específicamente en las "prácticas engañosas", la transparencia publicitaria y el acceso a los datos para los investigadores.

Elon Musk ya ha anunciado que impugnará las conclusiones de la Comisión ante los tribunales.

En su sesión plenaria de mediados de julio, el CEPD adoptó una declaración sobre el papel de las autoridades de protección de datos (APD) en el contexto del Reglamento sobre inteligencia artificial.

El reglamento estipula que los Estados miembros deberán designar autoridades nacionales de vigilancia del mercado antes del 2 de agosto de 2025, con el objetivo de supervisar su aplicación y ejecución.

Según el CEPD, las autoridades de protección de datos ya tienen experiencia en lo que respecta al impacto de la IA en los derechos fundamentales y, por lo tanto, deberían ser designadas como autoridades de vigilancia del mercado, lo que garantizaría una mejor coordinación entre las diferentes autoridades reguladoras y una mayor seguridad jurídica para todas las partes interesadas.

Cabe señalar que el reglamento sobre inteligencia artificial, publicado el 12 de julio en el Diario Oficial de la UE, entró en vigor el 1 de agosto.

El CEPD también adoptó dos documentos (preguntas frecuentes) relativos al acuerdo entre la Unión Europea y Estados Unidos para la protección de datos personales, con el fin de proporcionar más detalles sobre su funcionamiento.

Estos documentos están destinados, por un lado, a particulares y, por otro, a empresas.

El 11 de julio, el Tribunal de Justicia de la Unión Europea (TJUE) se pronunció en un caso que enfrentaba a la empresa Meta con una federación alemana de organizaciones de consumidores.

El Tribunal recordó que la obligación del responsable del tratamiento de proporcionar información a los interesados es la consecuencia del derecho a la información de estas personas en virtud de los artículos 12 y 13 del RGPD, y es, por tanto, uno de los derechos que pueden hacerse valer mediante una acción colectiva de conformidad con el artículo 80, apartado 2, del RGPD.

El Tribunal también señaló que el incumplimiento de las obligaciones de información puede impedir que el interesado dé su consentimiento "informado" y, en consecuencia, puede hacer que el tratamiento sea ilícito en virtud del artículo 5(1)(a) del Reglamento (a través de GDPRhub).

Microsoft fue noticia el 19 de julio en un contexto diferente, cuando uno de sus subcontratistas, Crowdstrike, distribuyó una actualización defectuosa de su software de seguridad Falcon Sensor.

Aproximadamente 8,5 millones de ordenadores con sistema operativo Microsoft Windows que utilizaban dicho software fallaron y no pudieron reiniciarse correctamente, en lo que se ha descrito como "la mayor interrupción del servicio en la historia de la tecnología de la información".

Desde una perspectiva jurídica, la falta de disponibilidad de datos causada por tal fallo constituye una brecha de seguridad que requiere la adopción de medidas en virtud, en particular, de la directiva europea NIS2 (que será aplicable a partir del próximo mes de octubre).

El Comité Europeo de Protección de Datos (CEPD) considera que esto también constituye una violación de datos personales en el sentido del artículo 4(12) del RGPD, incluidas las violaciones que resulten en la pérdida accidental o ilícita de datos.

Esto implica, según las consecuencias, la notificación a las autoridades de protección de datos y a las personas afectadas.

Esta postura se está debatiendo actualmente, ya que algunos profesionales consideran que la indisponibilidad de los datos no constituye una pérdida en el sentido del RGPD, mientras que otros citan las consecuencias, a veces vitales, que supone bloquear el acceso a los datos para las personas afectadas.

 

Noticias procedentes de los países miembros de Europa.

Un tribunal alemán ha dictaminado que Google Ireland Limited, como operador del motor de búsqueda de Google, es responsable de mostrar los resultados de búsqueda, independientemente de que dichos resultados sean proporcionados por la empresa estadounidense Google LLC.

En Dinamarca, la autoridad de protección de datos reprendió al Ministerio de Inmigración e Integración por infringir el principio de limitación del almacenamiento al no cumplir con su propia política de retención de datos.

En una resolución de fecha 27 de junio, la Sala de Controversias Administrativas de la Audiencia Nacional dictaminó que la Autoridad Española de Protección de Datos (APD) era competente para tramitar una reclamación presentada contra la empresa estadounidense Clearview AI.

El Tribunal se basó en decisiones anteriores de varias autoridades de protección de datos, incluidas las de la autoridad italiana y la de la CNIL de 26 de noviembre de 2021, en la que identificó a Clearview como incluida en el ámbito de aplicación del artículo 3(2)(b) del RGPD.

La CNIL tuvo en cuenta la búsqueda realizada por la empresa Clearview de fotografías en la web, las URL de estas fotografías y sus metadatos, lo que le permitió identificar y crear un perfil detallado de las personas afectadas y, por lo tanto, rastrear el comportamiento de estas personas.

En Italia, la APD multó a un responsable del tratamiento de datos con 30.000 euros tras una filtración de datos debida al uso de una herramienta CMS obsoleta y altamente vulnerable a los ciberataques.

La Autoridad Lituana de Protección de Datos (APD) ha multado a Vinted con 2.385.276 euros, considerando que sus prácticas de "exclusiones ocultas" (que consisten en excluir a un usuario de la plataforma sin informarle), así como su negativa a responder a las solicitudes de eliminación de datos, eran contrarias a los principios de equidad y transparencia.

En este caso concreto, los demandantes, que eran de Francia y Polonia, se habían puesto en contacto con sus respectivas autoridades.

Las quejas fueron remitidas a la autoridad lituana, que es la principal autoridad en este contexto, dado que la sede principal de Vinted se encuentra en Lituania.

En Luxemburgo, un tribunal confirmó la multa de 18.000 euros impuesta por la APD a un responsable del tratamiento de datos por no involucrar directamente al DPO del grupo en asuntos de protección de datos y por no proporcionarle recursos suficientes.

La Autoridad de Protección de Datos de los Países Bajos (APD) ha multado a Kruidvat.nl con 600.000 euros por instalar cookies de seguimiento sin obtener el consentimiento de los usuarios.

La Autoridad de Protección de Datos también consideró que una casilla premarcada para aceptar las cookies de seguimiento no constituye un consentimiento libre, específico, informado e inequívoco.

 

El 19 de junio, la Autoridad de Protección de Datos del Reino Unido (ICO) publicó su decisión con respecto a la aplicación "My AI" de Snap y el cumplimiento de la obligación de realizar una evaluación de impacto en la protección de datos (DPIA).

La decisión contiene comentarios detallados sobre las expectativas de la ICO con respecto al nivel de detalle que debe incluirse en las DPIA en general y observaciones específicas en lo que respecta a la IA de propósito general y la IA relacionada con los niños.

Dado que la legislación británica en la que se basan estas disposiciones sigue siendo prácticamente idéntica a la de la UE, estas observaciones pueden resultar útiles más allá del Reino Unido.

La ICO también emitió un comunicado de prensa el 30 de julio en el que afirmaba haber reprendido a la Comisión Electoral por no proteger sus servidores, lo que permitió a los piratas informáticos acceder a la información personal de aproximadamente 40 millones de personas.

En Estados Unidos, se ha presentado en el Senado un proyecto de ley sobre inteligencia artificial ("Ley de Protección e Integridad del Origen del Contenido frente a Medios Editados y Manipulados con Deepfake (Ley COPIED)") para combatir los "deepfakes", aumentar la transparencia de la IA y otorgar más poder a los creadores de contenido.

El Senado de Estados Unidos aprobó la Ley de Seguridad y Privacidad Infantil en Internet a finales de julio.

Este proyecto de ley bipartidista combina varios proyectos de ley relacionados con la seguridad, la protección de la privacidad en línea de los niños y adolescentes, y la transparencia en el filtrado relacionado con el uso de la IA.

El texto ahora debe ser aprobado por la Cámara de Representantes.

En un comunicado fechado el 23 de julio, la Comisión Federal de Comercio indicó que había ordenado a ocho empresas que le proporcionaran información sobre productos y servicios que utilizan datos personales, incluidos datos financieros e historial de navegación, para personalizar los precios para los usuarios.

Estas órdenes tienen como objetivo ayudar a la FTC a comprender mejor el opaco mercado de productos ofrecidos por intermediarios externos que utilizan algoritmos avanzados, así como datos de los usuarios (ubicación, datos demográficos, historial crediticio, de navegación o de compras) para categorizar a las personas y fijar sus precios.

Si bien Google había comenzado a eliminar gradualmente las cookies de seguimiento de terceros de Chrome a través de su "entorno aislado de privacidad" (un sistema de seguimiento presentado como respetuoso con la privacidad, pero cuestionado en otros ámbitos), la compañía anunció el 22 de julio que abandonaba el proyecto.

En lugar de eliminar las cookies de terceros, Google introduciría "una nueva experiencia en Chrome que permitiría a los usuarios tomar una decisión informada que se aplicaría a toda su navegación web", una decisión que podría cambiarse en cualquier momento.

La ODA británica ha manifestado su pesar por el abandono del proyecto.

La ley de protección de datos de Malawi entró en vigor en julio.

Se unirá así a la ya larga lista de países africanos que cuentan con una ley de protección de datos personales.

Además, el Observatorio Africano de IA Responsable publicó en marzo pasado un documento titulado "Gobernanza de la IA responsable en África: perspectivas para una regulación basada en resultados".