Se acusa a Apple de llevar a cabo prácticas irregulares de cesión de datos.
A principios de este mes, Apple se situó en el punto de mira por una práctica concreta de cesión de datos que consistía en el envío de las direcciones IP de los usuarios del navegador Safari tanto a Google como a una empresa de tecnología establecida en China, Tencent.
Apple ha defendido esta práctica al destacar que se trata de una función de seguridad denominada ‘Safari Fraudulent Website Warning’ cuyo objetivo es detectar webs que pueden ser consideradas maliciosas. En una entrevista con iMore, Apple afirmó que “Cuando la función está habilitada, Safari contrasta la URL de la página web con listas de otras páginas ya detectadas como maliciosas, y cuando se alerta de una coincidencia, se emite un mensaje de aviso al usuario. Para poder hacer esto, Safari recibe una lista de páginas web conocidas como maliciosas por Google y lo mismo por parte de Tencent cuando se trata de dispositivos cuyo código de región está establecido en China continental. La URL de la página que visitas no se comparte con el navegador y además se trata de una función que se puede deshabilitar”.
Debe destacarse que la función ‘Safari Fraudulent Website Warning’ de Apple aparece habilitada por defecto, de modo que los usuarios tendrían que indagar por su cuenta en el menú de configuración y desactivarla. Si bien, hacerlo podría conducir a que la navegación fuese menos segura.
¿Hay consecuencias potenciales en relación al RGPD y la CCPA?
Las IP revelan información de localización y pueden utilizarse para realizar perfiles de los usuarios. Las IP se consideran identificadores online en el sentido del Considerando 30 del RGPD, y son, por tanto, dato personal y deben cumplir con la normativa de protección de datos.
El requisito de consentimiento activo para las cookies que recientemente ha emitido el TJUE, del cual hablamos en uno de nuestros últimos blogs podría también afectar al modo en que Appleestablece la configuración de los permisos.
Además, es posible que Apple también se vea afectado por la Ley de Privacidad de California (CCPA), que introduce derechos en relación a la cesión y venta de datos y comenzará a aplicarse el 1 de enero de 2020.
Esta práctica estaba explicada en la política de privacidad, en la sección ‘Sobre Safari & Privacidad’ y era accesible a cualquiera que abriese la configuración. Sin embargo, debe destacarse que, aunque la política de privacidad debe contener todos los tratamientos de datos realizados por el responsable conforme a los artículos 13 y 14 del RGPD, esto no los convierte en legítimos de forma automática, pues para eso se precisa una base legal para el tratamiento, como contrato, consentimiento o interés legítimo, entre otros.
¿Compartes datos con terceros? Aphaia ofrece servicios de adaptación tanto al RGPD como a la CCA, incluyendo evaluaciones de impacto y subcontratación del delegado de protección de datos.
Reference: iMore