Informe jurídico n.º 80 – Febrero de 2025. 

Transferencia de datos a Estados Unidos: un marco jurídico debilitado.

El 5 de febrero, 19 eurodiputados de todas las tendencias políticas pidieron a la Comisión Europea que investigara si el "Marco de Protección de Datos" (DPF, por sus siglas en inglés), que regula las transferencias transatlánticas de datos, sigue siendo viable.

El 6 de febrero, el presidente del Comité de Libertades Civiles, Justicia y Asuntos Internos le formuló una pregunta similar.

Estas cuestiones fueron planteadas por la decisión de Donald Trump de poner fin a los mandatos de los tres miembros demócratas del Congreso. La Junta de Supervisión de la Privacidad y las Libertades Civiles (PCLOB, por sus siglas en inglés), que ya no cuenta con el quórum necesario para funcionar.

En el contexto del acuerdo transatlántico, la PCLOB se consideró un recurso esencial para el respeto de los derechos individuales en materia de vigilancia masiva.

Desde entonces, las garantías estadounidenses en materia de protección de datos parecen cada vez más frágiles.

Según un artículo publicado por Euractiv el 3 de marzo, uno de los jueces del órgano de apelación de la PCLOB, el Tribunal de Revisión de Protección de Datos, ha desaparecido de la lista de jueces en el sitio web, y un abogado especial ha dimitido.

Además, "si bien Donald Trump no despidió a los inspectores generales encargados de supervisar las agencias de inteligencia, despidió al menos a otros 17", y, según se informa, también fueron destituidos miembros de la unidad de protección de la privacidad de la "Oficina de Gestión de Personal".

Finalmente, el "Proyecto 2025", un programa político vinculado a la administración Trump, considera que el presidente entrante debería realizar un estudio de la orden ejecutiva "Biden" relativa al DPF y "reajustar las expectativas de Europa".

Este proyecto también prevé suspender las disposiciones que obstaculizan indebidamente la recopilación de información.

Cabe recordar que la falta de mecanismos independientes de control y recurso con respecto a las agencias de inteligencia estadounidenses fue la razón de la cancelación del acuerdo anterior, el Escudo de Privacidad. 

Estos diversos factores no auguran nada bueno para la viabilidad del acuerdo transatlántico. La pregunta clave es cuándo se aclarará oficialmente la situación.

Por el momento, la Comisión Europea guarda silencio, pero se espera que responda a las preguntas parlamentarias antes de que finalice el mes.

El Tribunal de Justicia de la Unión Europea, que ya conoce del asunto, podría dictar una resolución en consonancia con sus dos resoluciones anteriores que invalidaron respectivamente los "Principios de Puerto Seguro" y el "Escudo de Privacidad", pero aún se desconoce la fecha de dicha resolución.

¿Y qué ocurre con las autoridades de protección de datos?

La Autoridad Noruega de Protección de Datos (Datatilsynet) emitió un comunicado al respecto el 26 de febrero. En él, reiteró que la decisión de adecuación de la Comisión Europea, que valida el acuerdo comercial transatlántico, permanece vigente hasta que sea revocada por la Comisión Europea o por el Tribunal de Justicia de la Unión Europea (TJUE).

Las autoridades de protección de datos (APD) están obligadas por estas decisiones y no pueden prohibir las transferencias que se realicen de conformidad con una decisión de adecuación.

Dado el contexto actual, No obstante, la APD aconseja a los responsables del tratamiento de datos que desarrollen una estrategia de salida en caso de que el marco actual quede invalidado. porque el cambio podría producirse sin un período de transición.

La primera recomendación para los responsables del tratamiento de datos hoy en día es elaborar un inventario exhaustivo de todas las transferencias de datos realizadas por su empresa.

La tarea es ardua porque Estados Unidos está ahora omnipresente en nuestro mundo digital y, al igual que el señor Jourdain, transferimos datos a diario sin darnos cuenta.

Será necesario tener en cuenta no solo a los destinatarios claramente identificados en Estados Unidos, sino también, por ejemplo, el uso de servicios estadounidenses de "nube" en territorio europeo, y los múltiples servicios de visualización o conexión, como Google Fonts, Analytics o Maps, o incluso Facebook: el Tribunal de Justicia de la Unión Europea, en su decisión T-354/22, condenó a la Comisión Europea por violar el RGPD en el contexto del registro en línea para un evento que estaba organizando.

Mediante el enlace "Conectar con Facebook" que aparecía en la página principal, se habían "creado las condiciones que permitían la transmisión de la dirección IP del solicitante a Facebook" y, por consiguiente, a Estados Unidos, durante un período en el que el Escudo de la Privacidad había quedado invalidado.

Cuando existen alternativas europeas, estas pueden representar una solución interesante.Nos referimos, por ejemplo, a la nube europea o a la nube francesa certificada.

En lo que respecta a los sistemas de seguimiento, la CNIL ha publicado una lista de herramientas anónimas para la medición de audiencias.

En los casos en que la transferencia siga siendo esencial, el exportador tendrá que recurrir a herramientas como las cláusulas contractuales estándar o las normas corporativas vinculantes, y realizar un análisis de impacto documentando con precisión los riesgos de interceptación de datos a través del Atlántico por parte de las autoridades y las salvaguardias previstas, una tarea particularmente difícil.

El 31 de enero, la CNIL publicó la versión final de su guía sobre evaluaciones de impacto para las transferencias de datos fuera de la Unión Europea.

Al igual que su homóloga noruega, es probable que publique recomendaciones relacionadas con los próximos acontecimientos internacionales.

 

  

Se acaba de introducir una enmienda en un proyecto de ley contra el narcotráfico, cuyo objetivo es obligar a las plataformas a implementar medidas que permitan a las fuerzas del orden acceder a los datos, en particular a los de los servicios de mensajería cifrada.

En comentarios dirigidos al gobierno y a los parlamentarios, varias empresas, entre ellas Apple, Amazon, Google y Microsoft, se opusieron a esta enmienda, haciendo referencia a las posiciones del Comité Europeo de Protección de Datos (CEPD) y del Supervisor Europeo de Protección de Datos (SEPD) en contra del debilitamiento del cifrado de extremo a extremo.

La propuesta será examinada en la sesión plenaria que comienza el 17 de marzo.

Estos acontecimientos se hacen eco de iniciativas gubernamentales similares en varios países europeos, así como en Estados Unidos (véase más abajo, acontecimientos nacionales).

La CNIL recordó al motor de búsqueda Qwant sus obligaciones en virtud del RGPD en materia de anonimización de datos.

Qwant presentó como anónimos los datos utilizados por la empresa en relación con la venta de espacios publicitarios en el motor de búsqueda, operado a través de MICROSOFT. 

La CNIL señala que "a pesar de las fuertes precauciones adoptadas en 2019 para evitar la reidentificación de personas, el conjunto de datos transmitido dio lugar a la aplicación del RGPD y, en particular, de sus artículos 12 y 13".

La Comisión considera que se trata de un error de análisis inicial en lo que respecta a la clasificación de los datos transmitidos, sin intención de eludir las disposiciones del RGPD, y por lo tanto no impone ninguna sanción.

La Comisión también multó a una agencia inmobiliaria con 40.000 euros por monitorear excesivamente a sus empleados utilizando un software (Time Doctor) que registraba la alegaban periodos de inactividad y tomaban capturas de pantalla de su ordenador con regularidad.

Además, los empleados eran grabados constantemente.

La CNIL critica especialmente a la persona responsable por la falta de una evaluación de impacto, la falta de una base jurídica para el tratamiento de datos y el incumplimiento del principio de minimización de datos.

También ha publicado una actualización de sus Tablas de Protección de Datos y los Cuadernos Resumen de 2024, que recogen sus nuevas decisiones importantes, así como los aspectos esenciales de la jurisprudencia nacional y europea en materia de protección de datos.

 

instituciones y organismos europeos

Tras el informe "Digital Fairness Fitness Check" publicado el 3 de octubre de 2024, la Comisión Europea está considerando la posibilidad de elaborar un reglamento sobre equidad digital ("Ley de Equidad Digital") para abordar cuestiones de protección del consumidor en el entorno en línea, como la rescisión o renovación automática de las suscripciones y la conversión de las pruebas gratuitas en suscripciones de pago.

Según se informa, se están preparando una consulta pública y un análisis preliminar del impacto.

La Comisión ha decidido finalmente retirar su propuesta de Reglamento sobre la privacidad electrónica, cuyo objetivo era modernizar y clarificar las obligaciones de la directiva vigente, armonizándolas con los principios del RGPD.

El texto suscitó controversia, en particular en lo que respecta al alcance de las excepciones a los principios de confidencialidad de las comunicaciones.

Se han propuesto nuevas leyes que buscan abordar los problemas de privacidad y, al mismo tiempo, separar la vigilancia comercial de la vigilancia estatal.

La Directiva sobre responsabilidad en materia de IA, cuyo objetivo era actualizar las normas de seguridad de los productos de la UE para abarcar la IA y la automatización, también figura en la lista de propuestas legislativas retiradas.

Haciéndose eco de las conclusiones de la cumbre sobre IA celebrada en París el pasado mes de febrero, el programa de trabajo de la Comisión Europea para 2025 hace hincapié en la competitividad, con el objetivo explícito de fomentar el crecimiento económico mediante el apoyo a la innovación.

El 2 de febrero entraron en vigor las primeras disposiciones del reglamento de IA, incluido el artículo 5, que trata sobre las prácticas prohibidas en el ámbito de la IA.

Dos días después, la Comisión Europea publicó unas directrices que describían las prácticas de IA consideradas inaceptables debido a los riesgos que suponen para los valores europeos y los derechos fundamentales.

Varias autoridades de protección de datos (APD), presentes en la cumbre de IA, emitieron una declaración conjunta tras una mesa redonda sobre "el establecimiento de marcos de gobernanza de datos fiables para fomentar el desarrollo de una IA innovadora y que proteja la privacidad", haciendo hincapié en la necesidad de integrar los principios de privacidad desde la fase de diseño de los sistemas de IA y de implementar marcos internos de gobernanza de datos sólidos.

Al mismo tiempo, el CEPD anunció el 12 de febrero que ampliaba el ámbito de actuación de su grupo de trabajo ChatGPT a la aplicación de la IA y que creaba un "equipo de respuesta rápida para coordinar las acciones de las autoridades de protección de datos" en relación con cuestiones urgentes y delicadas relacionadas con la IA.

A principios de marzo, el CEPD anunció la puesta en marcha de su acción coordinada de controles para 2025 sobre el derecho de supresión.

Esta medida se suma a las acciones coordinadas sobre el uso de la nube por parte del sector público (2022), la designación y el papel de los responsables de protección de datos (2023) y el derecho de acceso (2024).

El servicio de investigación del Parlamento Europeo publicó el 26 de febrero una nota informativa sobre la tensión que existe entre la prevención de la discriminación algorítmica y el tratamiento de categorías especiales de datos.

El documento identifica incertidumbres con respecto a la aplicación conjunta del Reglamento sobre IA y el RGPD, que pueden requerir una reforma legislativa o directrices adicionales.

El 27 de febrero, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una importante sentencia relativa al alcance de los derechos de las personas afectadas por una decisión automatizada.

En el asunto C 203/22 Dun & Bradstreet Austria, el Tribunal aclara que el artículo 15(1)(h) del RGPD "ofrece al interesado un derecho real a una explicación del funcionamiento del mecanismo subyacente a un proceso de toma de decisiones automatizado al que ha sido sometido y del resultado al que ha conducido esa decisión" (párr. 57).

Los datos de terceros protegidos o los secretos comerciales no eximen al responsable del tratamiento de dar explicaciones concretas: este último está «obligado a comunicar esta información supuestamente protegida a la autoridad de control competente o al tribunal, que es el responsable de ponderar los derechos e intereses implicados para determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del RGPD» (párr. 67).

El Tribunal de Justicia de la Unión Europea (TJUE) también consideró el 13 de febrero que las autoridades de control y los tribunales deben tener en cuenta que el responsable del tratamiento de datos forma parte de una empresa en el sentido de los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea (TFUE) a la hora de fijar el importe de las multas.

Además, deben basar el importe máximo de las multas en la facturación de la empresa y no en la del responsable del tratamiento de datos.

El Abogado General del Tribunal de Justicia de la UE compartió sus conclusiones sobre el asunto SEPD contra SRB (C-413/23 P) el 6 de febrero.

El caso versa sobre si los datos anonimizados transmitidos por una agencia de la UE, la Junta Única de Resolución, a su empresa consultora Deloitte constituyen datos personales desde el punto de vista de Deloitte.

La Asamblea General se centra en los medios razonables de que dispone el destinatario para identificar a las personas afectadas, adoptando una interpretación del concepto de datos personales significativamente más restrictiva que la del Supervisor Europeo de Protección de Datos (SEPD) y el Comité Europeo de Protección de Datos (CEPD). Se prevé que la decisión final se anuncie antes del verano.

 

Noticias procedentes de los países miembros de la Unión Europea.

Una decisión de un tribunal alemán (OLG Dresden/Alemania (Az.: 4 U 940/24)) confirma que los responsables del tratamiento de datos no solo son responsables de sus propias acciones, sino también de las acciones de sus subcontratistas.

El Tribunal subrayó que no basta con confiar en el subcontratista sin verificar, como en este caso, que efectivamente haya eliminado los datos subcontratados al finalizar el contrato.

Las consecuencias de una verificación insuficiente pueden persistir mucho después del incidente inicial, como ocurrió en este caso tras un ataque informático que provocó una fuga de datos, seguida de procedimientos legales y daños a la reputación del responsable del tratamiento de datos.

En España, la APD multó a la operadora de telefonía móvil Orange con 1,2 millones de euros por no impedir la emisión de una tarjeta SIM duplicada a un tercero que la utilizó para acceder a la cuenta bancaria de la persona afectada.

La APD consideró que el operador no había implementado las medidas de protección adecuadas.

También en España, la APD impuso varias multas al grupo bancario cooperativo Caja Rural por infringir el RGPD tras una filtración de datos debida a medidas de seguridad inadecuadas y a una vulnerabilidad en el sistema informático.

En este caso, la APD consideró a cada banco miembro del grupo cooperativo individualmente responsable, a pesar de que todos utilizaban el mismo proveedor de servicios informáticos, e impuso sanciones que oscilaban entre los 6.200 y los 400.000 euros, dependiendo del número de clientes y de la rapidez de reacción de los bancos.

La Autoridad Griega de Protección de Datos (APD) ha adoptado una decisión destinada a facilitar el ejercicio de los derechos individuales frente a Google.

Ordenó a la empresa que eliminara los enlaces que aparecían en los resultados de búsqueda del nombre de la persona, y ordenó a Google que modificara su procedimiento de solicitud de eliminación permitiendo archivos adjuntos, proporcionando información de contacto directa y cesando las respuestas automáticas.

En los Países Bajos, una captura de pantalla compartida por un experto en ciberseguridad (y antiguo supervisor del servicio de inteligencia civil) en la plataforma Bluesky revela que Google Analytics está recopilando datos sobre los solicitantes de empleo en los servicios de inteligencia civil y militar del país.

Esta información llevó a un miembro del parlamento a solicitar una aclaración al Ministro del Interior.

La Autoridad Polaca de Protección de Datos (APD) ha multado al operador de un sitio web con 350.000 euros (1.527.855 PLN) y a su subcontratista con 4.590 euros (20.037 PLN) por infringir la seguridad de los datos después de que una configuración incorrecta del sitio web provocara una filtración de datos que afectó a 21.453 personas.

En Rumanía, la empresa Unicredit fue multada con 15.000 euros (74.652 lei) por dos filtraciones de datos debidas a aplicaciones internas.

Estos dispositivos no habían sido probados antes de su implementación, y la APD está sancionando el incumplimiento del artículo 25(1) del RGPD, que exige la protección de datos desde el diseño ("privacidad desde el diseño").

Tras una orden del gobierno británico para romper el cifrado de iCloud, Apple acaba de retirar por completo su función de seguridad avanzada del Reino Unido.

La orden se refería específicamente a la función introducida en 2023, que permite a los usuarios de iCloud optar por el cifrado de extremo a extremo de todos los datos almacenados en la nube de la compañía y garantiza que ningún tercero, incluida Apple, pueda acceder a los datos.

La empresa tenía dos opciones: eliminar la función de cifrado o crear una puerta trasera que habría comprometido el cifrado para todos los usuarios del mundo; esta segunda opción quedó descartada para Apple.

Al mismo tiempo, Suecia también exige puertas traseras, lo que llevó a Signal a advertir que abandonaría el país si se adoptara dicha legislación.

Cabe añadir que Estados Unidos persigue, según un artículo de Forbes del 24 de febrero, el mismo objetivo de acceder a datos cifrados.

 

Corea del Sur acaba de aprobar una ley de inteligencia artificial que entrará en vigor en enero de 2026.

La ley se ajusta a la normativa europea sobre IA: introduce obligaciones para las empresas de IA, en particular para la IA de alto impacto y la IA generativa, haciendo hincapié en la gestión de riesgos, la protección del usuario y la transparencia.

La IAPP informa que un grupo de senadores estadounidenses que integran el "Comité Selecto de Inteligencia del Senado" enviaron una carta el 5 de febrero a la Casa Blanca para "expresar su alarma ante los riesgos para la privacidad y la seguridad nacional que plantea el Departamento de Eficiencia Gubernamental (DOGE), de reciente creación".

La carta argumenta que las acciones del DOGE corren el riesgo de exponer información clasificada y otra información sensible, poniendo en peligro la seguridad nacional y violando la privacidad de los estadounidenses.

Actualmente hay varios litigios en curso relacionados con el acceso ilegal a datos procesados por estas agencias.

En los últimos años, las solicitudes de los servicios de inteligencia para obtener datos en poder de GAFAM se han disparado.

Esto es lo que se desprende de un estudio publicado por la empresa Proton, basado en los informes de transparencia de Apple, Meta y Google entre 2014 y 2024.

Como señala 01net, estas empresas están obligadas por la ley estadounidense (FISA, Cloud Act) a responder a las solicitudes de las autoridades que desean acceder a grabaciones telefónicas, mensajes de texto, correos electrónicos o copias de seguridad en la nube.

“Las solicitudes de acceso a datos de usuarios (de cualquier nacionalidad), como correos electrónicos o mensajes, presentadas a las autoridades estadounidenses por Google, Apple y Meta durante los últimos diez años han aumentado (…) en promedio, para estas tres empresas, en… 600 %.”

La legislación malasia sobre protección de datos personales se ha reforzado con el fin de aumentar significativamente las facultades de la autoridad reguladora y fortalecer los derechos de las personas.

Su implementación se llevará a cabo en tres fases durante la primera mitad de 2025: el 1 de enero, el 1 de abril y el 1 de junio.

La investigación sobre los "archivos de seguimiento", llevada a cabo por varios medios de comunicación internacionales, entre ellos Le Monde, France Info y el noticiero francés de las 8 de la noche, revela el alcance del seguimiento y los detalles de los datos personales procesados por los intermediarios de datos.

Los datos personales geolocalizados de millones de usuarios se agregan en condiciones que a menudo no son muy transparentes: por ejemplo, jugar en línea en tu teléfono inteligente usando una aplicación puede generar la transmisión de datos como tiempos de conexión, modelo de teléfono inteligente o ubicación geográfica, elementos que se recogen en archivos gigantescos vendidos por intermediarios como el grupo estadounidense Datastream.

Más de 47 millones de personas están incluidas en este último archivo.

Los datos de cualquier persona pueden verse afectados, pero también los de diplomáticos, militares o periodistas.