TikTok multada

TikTok, multada por la autoridad de control de Holanda

 

TikTok se enfrenta a una multa de la autoridad de control de Holanda por no proporcionar a sus usuarios información traducida.

 

TikTok ha sido multada recientemente por la autoridad de control de Holanda, según informa el CEPD. Tras una investigación efectuada sobre aplicaciones de uso común entre los menores, se descubrió que la información proporcionada por TikTok en el momento de la descarga e instalación, entre lo que se incluye la política de privacidad, se encontraba en inglés. En consecuencia, la falta de una version en el idioma holandés viola los derechos de los usuarios, pues no se les está ofreciendo información clara y comprensible sobre el tratamiento de sus datos personales, lo que es en sí mismo una infracción de la normativa de protección de datos. La multa impuesta a TikTok por estos hechos asciende a 750.000€, la cual ya ha sido recurrida por la compañía.

 

TikTok, multada por la autoridad de control de Holanda y ahora también investigada por la autoridad de control de Irlanda tras establecer allí su sede.

 

Esta multa inicial fue impuesta por la autoridad de control de Holanda en un momento en el que TikTok no tenía sede en Europa. Ahora, con ésta operativa en Irlanda, será la autoridad de control de Irlanda quien tendrá que llevar a cabo cualquier investigación sucesiva derivada de estos hechos. La autoridad de control de Holanda sólo puede ya evaluar la infracción relacionada con la traducción de la política de privacidad, que ya había sido solventada cuando se estableció la sede en Irlanda. Cuando las empresas no cuentan con oficinas en Europa, cualquier Estado Miembro puede supervisar sus actividades, pero desde el momento en que se establece una sede en un país europeo, la responsabilidad recae sobre la autoridad de control de dicho territorio.

 

TikTok ha realizado cambios en su aplicación para hacerla más segura para sus usuarios menores de edad.

 

Desde el pasado octubre, cuando la autoridad de control de Holanda presentó sus resultados de la investigación, TikTok ha realizado algunos cambios para proteger a sus usuarios menores de 16 años. Mientras que estas modificaciones no ofrecen una protección absoluta dado que los usuarios aún pueden crear una cuenta con información falsa, la autoridad de control recibe de forma positiva estos ajustes por parte de TikTok para reducir el riesgo en menores. Los padres podrán ahora gestionar las cuentas de sus hijos a través de sus propios perfiles o mediante la funcionalidad “Emparejamiento Familiar”. Esta novedad no evitará que los menores se expongan ellos mismos a riesgo si mienten sobre su edad, pero sí ofrecerá a los padres el poder de revisar las cuentas de sus hijos y ofrecer mayor seguridad sobre las mismas.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

 

Nuevo litigio entre Schrems y Facebook

Nuevo litigio entre Schrems y Facebook

Facebook se enfrenta a un nuevo litigio contra el abogado Max Schrems tras un conjunto de preguntas remitidas por parte del Tribunal Supremo de Austria al TJUE. 

 

El abogado y activista austriaco Max Schrems protagoniza de nuevo los titulares tras aceptar el Tribunal Supremo de Austria su solicitud para remitir ciertas cuestiones clave sobre Facebook al TJUE. En este caso, la acusación central de Schrems se construye sobre el argumento de que Facebook viola los derechos de los usuarios bajo el RGPD en relación al consentimiento, y el hecho de que la empresa emplea el consentimiento como un contrato que les permite reproducir publicidad dirigida. Según algunos informes recientes, esta larga batalla entre Facebook y Max Schrems cuestiona las bases legales de Facebook para tratar los datos de sus usuarios europeos. 

Facebook ha estado tratando datos de sus usuarios bajo el RGPD sobre la base de contrato en lugar de consentimiento.  

 

Desde que el RGPD comenzó a aplicarse en 2018, Facebook ha mantenido la postura de que sus usuarios están sujetos a un contrato para recibir publicidad personalizada, en lugar de recabar consentimiento para tratar los datos con dicha finalidad. El RGPD establece los requisitos necesarios para un consentimiento válido, y este movimiento de Facebook se percibió como un intento de operar de manera paralela a estas normas y evitar la necesidad de obtener el consentimiento libre e informado de sus usuarios.  

 

Max Schrems afirmó que “Facebook ha intentado despojar a sus usuarios de muchos derechos que el RGPD les garantiza simplemente ‘reinterpretando’ el consentimiento como un contrato civil”. 

 

También se acusó a Facebook de no adherirse al principio de minimización de datos del RGPD. 

 

Se acusó a Facebook de recoger más datos de los necesarios, especialmente mediante el botón “Like”, presente en diversas páginas web, entre ellas Facebook.com. En consecuencia, se remitieron al TJUE cuestiones de esta naturaleza así como otras relacionadas al tratamiento de datos de categoría sensible por parte de Facebook (por ejemplo, afiliación política u orientación sexual) con finalidades de publicidad dirigida. Schrems considera que estas preguntas son cruciales: “Podría quedar prohibido para Facebook emplear los datos con finalidades de publicidad, incluso cuando cuenta con consentimiento válido. De la misma manera, podría tener que filtrar datos de categoría sensible como opiniones políticas o la orientación sexual“.

 

Max Schrems recibió 500 € como compensación por los daños derivados de las técnicas de obstrucción que Facebook empleó contra él.  

 

Facebook fue acusado de crear una “caza de los huevos de Pascua” cuando Max Schrems le solicitó acceso completo a sus datos. Conforme al Tribunal, Max Schrems no recibió sus datos primarios y tampoco información muy básica sobre el tratamiento, como la base legal sobre la que se tratan sus datos. Como resultado, se le ofreció una compensación simbólica de 500€ por los daños causados por las técnicas de obstrucción de información de Facebook. Ahora se han remitido varias cuestiones esenciales al TJUE por parte del Tribunal Superior de Justicia de Austria, en relación al presunto no cumplimiento del gigante tecnológico con el RGPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

Los datos de 700 millones de usuarios de LinkedIn

Los datos de 700 millones de usuarios de LinkedIn, a la venta en un foro de hackers

Los datos de 700 millones de usuarios de LinkedIn se pusieron a la venta en un conocido foro de hackers. 

 

Los datos de 700 millones de usuarios de la red social LinkedIn han sido puestos a la venta en un conocido foro de hackers, RadiForums, tras un ataque a la plataforma, según informó la página de noticias Privacy Sharks. El vendedor ofreció una muestra de un millón de registros, cuya validez fue confirmada por Privacy Sharks tras realizar una investigación sobre los mismos. Los datos incluían nombres, género, números de teléfono, direcciones de email e información laboral. Se trata de la segunda vez en este año que quedan comprometidos los datos de los usuarios de la plataforma. En abril, un total de 500 millones de usuarios de LinkedIn se vieron afectados en un caso similar.  

 

La investigación desveló que los datos se obtuvieron de LinkedIn y otras fuentes. 

 

LinkedIn mantiene que la compilación de información de sus 700 millones de usuarios no fue consecuencia de una brecha de seguridad y que se trataba de datos públicamente disponibles, e informó de que no se comprometió ningún dato privado. La investigación realizada hasta el momento y el análisis inicial han desvelado que los datos incluyen información extraída de LinkedIn y también de otras fuentes. La compañía ha publicado un comunicado en el que indica que los datos puestos a la venta son un “conglomerado de datos de un conjunto de páginas web y empresas”. Asimismo, LinkedIn destacó que las practices de scraping y otras formas de uso incorrecto de los datos de los usuarios violan los términos del servicio, y que trabajará para identificar y parar este tipo de actividades, así como para pedir las responsabilidades correspondientes.  

 

LinkedIn ha ejercido acciones legales en le pasado por violación de sus términos de servicio, como las practices de web scraping. 

 

Mientras que aún no se ha señalado a ningún culpable por estos hechos, LinkedIn lleva casi dos años en una batalla legal para proteger los datos de sus usuarios y el cumplimiento de sus términos de servicio, por medio de litigios alrededor de las prácticas de web scraping. En septiembre de 2019, LinkedIn inició acciones legales contra hiQ Labs, una empresa de Estados Unidos dedicada al análisis de datos. Se descubrió que hiQ había estado empleando bots automáticos para obtener información de perfiles públicos de LinkedIn por medio de prácticas de web scraping. En aquel momento, LinkedIn emitió una orden de cese y desista y alegó que violaba los términos del servicio. En esta ocasión el tribunal consideró que las prácticas de web scraping eran legales, pues toda la información se encontraba disponible de manera pública y así fue recopilada por la empresa de análisis de datos. Sin embargo, LinkedIn llevó el caso de nuevo a los tribunales el mes pasado, esta vez frente al Tribunal Superior de Justicia, quien rechazó la sentencia anterior y ofreció a LinkedIn una nueva oportunidad de defender el caso. En relación a este último incidente aún no ha habido ningún pronunciamiento sobre si se perseguirán acciones legales. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.