Une nouvelle année sous le signe de l’expectative

Un nuevo año bajo el signo de la expectativa

Vigilancia Legal No. 42 – Diciembre de 2021

Un nuevo año bajo el signo de la expectativa

En materia de protección de datos, el año que comienza no anuncia grandes novedades, sino más bien una evolución y quizás decisiones estratégicas respecto a algunas cuestiones de actualidad.

Centrémonos en tres de ellos: la implementación del RGPD por parte de las autoridades supervisoras, las cuestiones sanitarias y la regulación de los gigantes digitales.

Uno de los temas recurrentes desde que entró en vigor el RGPD se refiere a la seriedad de su implementación por parte de las autoridades nacionales de protección de datos. y la gran diferencia entre el número y la severidad de las sanciones adoptadas, según si el responsable está en Irlanda o en España, por ejemplo.

Este último país parece ser uno de los que ha impuesto el mayor número de sanciones, mientras que Luxemburgo y la CNIL pueden reclamar las multas más elevadas contra las GAFAM (recordemos la multa de 746 millones de euros impuesta por Luxemburgo a la empresa Amazon).

En el otro extremo del espectro se encuentra la autoridad de protección de datos de Irlanda, que ha sido abiertamente criticada por algunos de sus pares, así como por el vicepresidente de la Comisión Europea, por su laxitud hacia los principales actores de la web.

Para reforzar la cohesión y la eficacia de los procedimientos de control en Europa, algunos hablan de reforzar los poderes del Comité Europeo de Protección de Datos (CEPD).

La cuestión se abordará en una conferencia organizada por el Supervisor Europeo de Protección de Datos los días 16 y 17 de junio en Bruselas.

El tratamiento de datos sanitarios constituye, a raíz de la crisis sanitaria, otro importante motivo de preocupación..

Están preocupados

  • Preguntas relacionadas con las condiciones de investigación médica,
  • El tratamiento de datos genéticos y los riesgos de reventa por parte de determinados laboratorios de datos recogidos en el marco de pruebas de detección, como lo demuestra el reciente caso británico de la empresa Signpost Diagnostics,
  • Seguimiento de personas a través de aplicaciones y otros pases de salud, 
  • Y, por último, los riesgos relacionados con la seguridad de los datos: pensamos, en particular, en la violación de datos relativa a los resultados de las pruebas de Covid de la empresa FranceTest, a la que la CNIL ordenó formalmente el pasado mes de octubre que protegiera sus datos, o en la filtración de datos relativa a la Assistance Publique-Hôpitaux de Paris.

Aunque la CNIL publica periódicamente sus posiciones sobre este tema, observamos que en su deliberación ante el Parlamento del 30 de noviembre, indicó que esperaba que el gobierno aportara elementos destinados a apoyar la eficacia de los ficheros y los medios de control establecidos.

Un tercer tema de actualidad se refiere a las iniciativas regulatorias de la Unión Europea relativas a los servicios digitales y la inteligencia artificial.

Además de la gestión de las cookies, que sigue en el punto de mira de las autoridades nacionales, el legislador europeo se muestra preocupado por el creciente poder de los gigantes de la web, esos intermediarios en posición dominante que ofrecen servicios de mensajería y redes sociales.

También está en cuestión el uso de la biometría y la inteligencia artificial para fines de elaboración de perfiles cada vez más intrusivos y la manipulación de los usuarios de Internet sin su conocimiento (patrones oscuros) mediante la presentación de contenidos específicos.

Varios textos están en proceso de adopción a nivel europeo, incluidas dos propuestas de la Comisión Europea sobre mercados y servicios digitales y una propuesta relativa a la inteligencia artificial. 

El Parlamento Europeo adoptó su posición sobre la propuesta relativa a los mercados digitales el 5 de diciembre.

Entre los cambios introducidos en el texto está la adición de un requisito de interoperabilidad entre los servicios de las principales plataformas de mensajería instantánea y redes sociales, con el objetivo de permitir a los usuarios cambiar fácilmente de proveedor de servicios y combatir posiciones dominantes.

Al inicio de la Presidencia francesa del Consejo de la Unión Europea, el Supervisor Europeo de Protección de Datos acaba de expresar sus mejores deseos de éxito al gobierno francés, subrayando la importancia de estos tres grandes temas relacionados con la tecnología digital y la inteligencia artificial e indicando que seguirá de cerca la evolución en estos ámbitos.

Aunque algunas prioridades ya parecen estar bien identificadas, esperemos que este nuevo año nos traiga a todos su cuota de agradables sorpresas, así como grandes bocanadas de aire fresco, por fin.

Y también

Francia:

La CNIL sancionó a la empresa el 6 de enero. Google por un valor de 150 millones de euros, y la empresa Facebook hasta 60 millones de euros, por incumplimiento de las disposiciones legales en materia de cookies.

El 28 de diciembre, la CNIL impuso a la empresa una multa de 300.000 euros. MÓVIL GRATIS, en particular por no haber respetado los derechos de las personas y la seguridad de los datos de sus usuarios.

En la misma fecha, también sancionó a la empresa Slimpay, que ofrece soluciones de pago a sus clientes, fue multada con 180.000 euros por no proteger adecuadamente los datos personales de los usuarios y no informarles de una violación de datos.

El presidente de la CNIL notificó formalmente a la empresa el 26 de noviembre. IA CLEARVIEW dejar de recopilar fotografías y vídeos disponibles en línea y eliminar los datos en el plazo de 2 meses.

La compañía ha desarrollado un software de reconocimiento facial cuya base de datos se basa en la extracción de fotografías y vídeos disponibles públicamente en internet.

A Nueva versión de la guía para desarrolladores de la CNIL Se acaba de publicar. Esta guía ofrece nuevo contenido diseñado para ayudar a los profesionales del desarrollo web y de aplicaciones a garantizar que su trabajo cumpla con las normativas.

Allá SNCF En diciembre, trasladó sus 7.000 servidores y 250 aplicaciones a la nube de Amazon, concretamente a tres centros de datos en la región parisina.

El objetivo de la empresa también es ampliar el uso de la inteligencia artificial.

Europa

EL Comité Europeo de Protección de Datos El 14 de diciembre publicó directrices para ayudar a los controladores de datos a gestionar las violaciones de seguridad.

El texto incluye gran cantidad de ejemplos y desarrolla las medidas a adoptar según el tipo de infracción.

La Agencia de los Derechos Fundamentales de la Unión Europea (FRA) publica, en colaboración con las autoridades de protección de datos, una guía destinada a informar mejor a los solicitantes de asilo y a los migrantes sobre el uso que se hace de sus huellas dactilares.

Al ser detenidos en la frontera exterior de la Unión Europea, se les exige que proporcionen sus huellas dactilares, que se almacenan en el archivo Eurodac.

El Tribunal Administrativo de Wiesbaden El 1 de diciembre, una empresa alemana ordenó a la Universidad de Ciencias Aplicadas de Rhein-Main que suspendiera el uso del gestor de consentimiento «Cookiebot». El motivo fue la transferencia ilegal de datos de visitantes del sitio web a Estados Unidos.

La Autoridad de Protección de Datos de Finlandia El 7 de diciembre, una empresa de psicoterapia fue multada con más de 600.000 euros por no garantizar adecuadamente la seguridad de los datos de sus pacientes y no informarles de dos violaciones de seguridad que dieron lugar a chantajes contra los pacientes afectados y la propia empresa.

La Autoridad Noruega de Protección de Datos impuso una multa de 6.300.000 euros a Grindr compartir los datos de sus usuarios con terceros para fines de elaboración de perfiles y publicidad, sin su consentimiento.

La Administración Tributaria Holandesa fue multada con 2.750.000 euros por procesar datos sin base legal y en violación del principio de equidad (artículos 5(1)(a) y 6(1)(e) del RGPD).

El Ministerio de Defensa belga fue víctima de un grave ciberataque el 20 de diciembre provocado por el malware Log4Shell, que afectó las actividades de la administración durante varios días. 

La Autoridad Belga de Protección de Datos Multó a una empresa con 10.000 euros por comprar una base de datos con fines de marketing directo sin comprobar que los datos se habían recopilado legalmente.

La empresa tampoco informó a las personas afectadas sobre esta recopilación indirecta ni respondió a la solicitud de acceso de una persona.

Internacional :

Amazonas ha presentado varias solicitudes de patente para tecnologías biométricas diseñadas para permitir que las cámaras de los videoteléfonos detecten individuos sospechosos basándose en diversos criterios: olor, textura de la piel, huellas dactilares, ojos, voz y forma de andar.

Allá Corea del Sur Se considera que proporciona un nivel de protección adecuado desde el 17 de diciembre. La decisión de la Comisión Europea llega unos meses después de la conclusión de un acuerdo de libre comercio entre la Unión Europea y Corea, que entró en vigor en julio de 2021.

A partir del 15 de febrero, la Gobierno chino Someterá a las empresas chinas con operaciones comerciales internacionales a una serie de controles de ciberseguridad.

Los controles tienen como objetivo limitar la transmisión de datos estratégicos fuera del país.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES