Apple cesión de datos

Apple a examen por prácticas irregulares de cesión de datos

Se acusa a Apple de llevar a cabo prácticas irregulares de cesión de datos.

A principios de este mes, Apple se situó en el punto de mira por una práctica concreta de cesión de datos que consistía en el envío de las direcciones IP de los usuarios del navegador Safari tanto a Google como a una empresa de tecnología establecida en China, Tencent.


Apple ha defendido esta práctica al destacar que se t
rata de una función de seguridad denominada ‘Safari Fraudulent Website Warningcuyo objetivo es detectar webs que pueden ser consideradas maliciosas. En una entrevista con iMore, Apple afirmó queCuando la función está habilitada, Safari contrasta la URL de la página web con listas de otras páginas ya detectadas como maliciosas, y cuando se alerta de una coincidencia, se emite un mensaje de aviso al usuario. Para poder hacer esto, Safari recibe una lista de páginas web conocidas como maliciosas por Google y lo mismo por parte de Tencent cuando se trata de dispositivos cuyo código de región está establecido en China continental. La URL de la página que visitas no se comparte con el navegador y además se trata de una función que se puede deshabilitar”. 

Debe destacarse que la función ‘Safari Fraudulent Website Warning’ de Apple aparece habilitada por defecto, de modo que los usuarios tendrían que indagar por su cuenta en el menú de configuración y desactivarla. Si bien, hacerlo podría conducir a que la navegación fuese menos segura.

¿Hay consecuencias potenciales en relación al RGPD y la CCPA?

Las IP revelan información de localización y pueden utilizarse para realizar perfiles de los usuarios. Las IP se consideran identificadores online en el sentido del Considerando 30 del RGPD, y son, por tanto, dato personal y deben cumplir con la normativa de protección de datos.

El requisito de consentimiento activo para las cookies que recientemente ha emitido el TJUE, del cual hablamos en uno de nuestros últimos blogs podría también afectar al modo en que Appleestablece la configuración de los permisos.

Además, es posible que Apple también se vea afectado por la Ley de Privacidad de California (CCPA), que introduce derechos en relación a la cesión y venta de datos y comenzará a aplicarse el 1 de enero de 2020.

Esta práctica estaba explicada en la política de privacidad, en la sección ‘Sobre Safari & Privacidad’ y era accesible a cualquiera que abriese la configuración. Sin embargo, debe destacarse que, aunque la política de privacidad debe contener todos los tratamientos de datos realizados por el responsable conforme a los artículos 13 y 14 del RGPD, esto no los convierte en legítimos de forma automática, pues para eso se precisa una base legal para el tratamiento, como contrato, consentimiento o interés legítimo, entre otros.

¿Compartes datos con terceros? Aphaia ofrece servicios de adaptación tanto al RGPD como a la CCA, incluyendo evaluaciones de impacto y subcontratación del delegado de protección de datos.

Reference: iMore

CCPA

Resumen del Reglamento de desarrollo de la CCPA

CCPA, ¿el RGPD californiano? El Fiscal General de California publica un borrador de ley para la Ley de Privacidad de California (CCPA).

Cuando pensamos en privacidad y protección de datos es más que probable que se nos venga a la mente el RGPD y la LOPDGDD. Esto sucede porque en los últimos años tanto la UE como los Estados Miembro han hecho importantes esfuerzos para defender los derechos de los ciudadanos en un mundo tecnológico totalmente conectado. Si bien puede parecer que esto es algo que sólo se está dando en los países europeos, la reciente incorporación de la CCPA por el Fiscal General de California, Xavier Becerra, va a cambiar este panorama al introducir requisitos de privacidad para las empresas estadounidenses y todas aquellas que realicen negocios en dicho territorio.

¿Qué es la CCPA?

Conforme al departamento del Fiscal General de California “La Ley de Privacidad de California (CCPA), crea nuevos derechos para los consumidores en relación al acceso, eliminado y cesión de su información personal por parte de las empresas que la recogen”.

Como resultado de la aplicación de la CCPA, los consumidores de California contarán con los siguientes derechos:

  •  El derecho a solicitar que las empresas informen a los consumidores de las categorías de datos que recogen y también de los datos específicos que tratan.
  • El derecho a solicitar la eliminación de cualquier información personal del consumidor de la que disponga la empresa.
  •  El derecho a solicitar ser informados no sólo de la información recogida, sino también de las fuentes de las que proviene la misma y si ésta fue cedida o vendida a terceros.
  • El derecho a solicitar ser informado de cualquier cesión o venta de sus datos por parte de las empresas.
  • El derecho a solicitar, en cualquier momento, que su información personal no sea vendida por las empresas, lo que será conocido como el derecho de oposición y opt-out.

Mientras que la CCPA fue aprobada en 2018, Bostjan Makarovic, Socio Gerente de Aphaia, explicó que precisaba ser implementada y desarrollada por el Fiscal General a fin de que surta efecto.

Resumen del Reglamento de desarrollo de la CCPA:

Conocida como California Consumer Privacy Act Regulations, este Reglamento de desarrollo recoge el cumplimiento con la CCPA, y cualquier brecha del mismo será también considerada violación de la CCPA.

Las siguientes orientaciones y requisitos se establecen en el Reglamento de desarrollo de la CCPA:

Información a los consumidores.
Prácticas para atender solicitudes de los consumidores.
Verificación de solicitudes.
Normas especiales para los menores.
No discriminación.

Esta normativa comenzará a aplicarse el 1 de enero de 2020.

¿Afectará la CCPA a las empresas europeas?

Bostjan Makarovic, Socio Gerente de Aphaia, sostiene que “de forma similar al RGPD, la CCPA no se aplica sólo a las empresas establecidas en tal jurisdicción, sino a todas aquellas que traten (recojan, vendan, cedan) información personal de residentes en California”.

¿Necesitas asesoramiento para cumplir con la CCPA? Aphaia ofrece adaptación tanto a la CCPA como al RGPD, incluidas evaluaciones de impacto y servicios de Delegado de Protección de Datos”.

TJUE cookies consentimiento

Según el TJUE, las cookies requieren consentimiento para cumplir con el RGPD.

El TJUE aclara que el término “consentimiento” en las leyes de protección de datos y privacidad se refiere, en relación al cumplimiento relativo a las cookies, a un consentimiento dado a través de un comportamiento activo del usuario.

Esta semana, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado la norma en relación a la definición del término ‘consentimiento’ cuando éste se aplica a la recogida e instalación de cookies. El caso que ha dado origen a ello es la disputa entre la Federación de Organizaciones del Consumidor de Alemania (‘la Federación’) y la empresa de juego online Planet49 GmbH.

 

Resumen del caso

El caso se centra en la lotería promocional que la empresa Planet49 publicó en su página web en septiembre de 2013.

A fin de participar en la lotería online, se les requería a los usuarios aportar su nombre, dirección y código postal. Debajo del campo de ‘dirección’, había dos textos explicativos, acompañado cada uno de su correspondiente casilla de verificación. La primera de ellas solicitaba a los usuarios dar su consentimiento para ser contactados por terceros, y la segunda lo requería para la instalación de cookies en el dispositivo. Se derivan dos cuestiones: la casilla de cookies estaba premarcada y la participación en la lotería sólo era posible si se marcaba también la primera casilla.

 

La sentencia explica que la Federación envió una carta a Planet29 donde le informaba que dicho sistema de Casillas no cumplía con los requisitos del Párrafo 307 del Código Civil alemán (BGB), leído de manera conjunta con el Párrafo 7 (2) (2) de la ley alemana de Competencia Desleal y los Párrafos12 y ss. de la ley de Telecomunicaciones alemana (TMG).

En consecuencia, en marzo de 2014 la Federación emitió un requerimiento donde pedía a Planet49 el cese de tales declaraciones y el pago de 214 € más intereses, lo cual fue respaldado por el Tribunal Regional.

A su vez, Planet49 presentó una apelación ante el Tribunal Regional Superior, y éste consideró que la petición de la Federación era infundada porque “primero, el usuario puede percatarse de que puede desmarcar la casilla de las cookies y, segundo, el texto eslo suficientemente claro desde un punto de vista tipográfico y proporciona información suficiente sobre cómo se utilizan las cookies, sin necesidad de aportar más información sobre la identidad de terceros que pueden acceder a dichos datos”.

Este fallo fue apelado por la Federación en el Tribunal de Justicia de Alemania, que consideró que la victoria de Planet49 se centró en la interpretación de una serie de artículos de la Directiva de comunicaciones electrónicas, leídos de manera conjunta con una serie de disposiciones de la Directiva de Protección de Datos y del RGPD.  

El Tribunal estableció queante las dudas sobre la validez, a la luz de dichos artículos, sobre el consentimiento recogido por Planet49 por medio de la segunda casilla de verificación, decido remitir una cuestión prejudicial al Tribunal de Justicia de la Unión Europea”.

En concreto, se planteó la siguiente cuestión:

¿Constituye consentimiento válido, conforme a la Directiva de Comunicaciones Electrónicas y la Directiva de Protección de Datos si el almacenamiento de información, o el acceso a información ya almacenada en el dispositivo del usuario, se permite mediante una casilla premarcada que el sujeto debe desmarcar si rechaza tal consentimiento?

 

Fallo del TJUE

Tras el análisis de la normativa correspondiente, en concreto la Directiva ePrivacy, la anterior Directiva en protección de datos y el RGPD, “se debe interpretar como significado que el consentimiento mencionado en tales artículos no es válido si, en forma de cookies, se almacena información o se accede a información ya almacenada en el terminal mediante una casilla premarcada que el usuario debe desmarcar si rechaza tal consentimiento”.

 

En definitiva, las cookies requieren consentimiento activo por parte del usuario.

 

¿Que es una cookie?

Norton explica que una cookie, conocida formalmente como una HTTP cookie “es una solicitud para un paquete de datos que un dispositivo recibe y luego envía sin alterarlo”.

Explica después que la finalidad de las cookies es permitir a las páginas web monitorizar la actividad de los usuarios.

Si consideramos que las cookies almacenan gran cantidad de datos que pueden identificar a un interesado, se trata de datos personales, y están sujetas a cumplimiento con el RGPD.

 

¿Cuáles son las implicaciones de la norma del TJUE?

Bostjan Makarovic, Socio Gerente de Aphaia, considera que aunque no era inesperado, este fallo del TJUE tiene importantes implicaciones para los negocios online “desde que la Directiva ePrivacy requiriese por primera vez consentimiento para las cookies, se ha discutido si este consentimiento podría ser implícito en lugar de explícito. Por ejemplo, hasta hace poco, incluso la ICO en Reino Unido estaba mostrando una posición tolerante a este respecto. Claramente esto está cambiando ahora. Los negocios online necesitan replantearse de manera urgente la aproximación que plantean en relación a las cookies

 

¿Tu empresa utiliza cookies? ¿Actualmente solicitas consentimiento activo de los usuarios? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.

 

 

 

Reconocimiento facial y RGPD

Reconocimiento facial y RGPD

La tecnología de reconocimiento facial está creciendo a pasos agigantados y esto afecta de manera directa a la protección de datos y a la privacidad. Hoy vamos a analizar en profundidad la relación entre el reconocimiento facial y el RGPD.

Desde vigilancia hasta usos de marketing; los avances de la tecnología han desembocado en la comercialización – y, en algunas ocasiones, ¡hasta normalización!- del reconocimiento facial. Se emplea en terminales de aeropuertos, por fabricantes de teléfonos móviles y en empresas de redes sociales como Facebook, así que es probable que ya te hayas topado con ella en algún momento de tu vida. Se espera que en los próximos meses y años se integre de gran manera como una herramienta de identificación en la sociedad.

Por ejemplo, el mes pasado, la policía del sur de Gales probó en fase beta una nueva aplicación en los móviles de los agentes para ayudarles a identificar personas sospechosas. Parece que otro escenario donde el reconocimiento facial jugará un rol esencial será en los Juegos Olímpicos de 2020.

Mientras que las tendencias indican un crecimiento al alza de esta tecnología, se debe tener en cuenta también los riesgos que entraña para la privacidad.

Como explica Christina-Angeliki Toki, especialista en minado de datos e ingeniera de investigación biométrica en su entrevista para Aphaia estos riesgos para la privacidad incluyen:

“Reutilización de los datos, acceso no autorizado o robo, sobre los cuales el interesado no tiene ningún control [y, por tanto], se interfiere en los derechos fundamentales del individuo de una forma excesiva y desproporcionada”.

Como tiene una vinculación directa con el reconocimiento facial y el RGPD; ¿cuáles son las posibles implicaciones para las entidades que no implementan de manera apropiada las medidas para evitar estos riesgos para la privacidad? Principalmente multas administrativas.

En uno de nuestros recientes blogs, vimos cómo un colegio sueco había sido multado con 20.000 euros por infringir la normativa de privacidad y protección de datos en relación al uso de sistemas de reconocimiento facial. Asimismo, el 4 de septiembre la autoridad de control de Reino Unido, la ICO, solicitó a las fuerzas policiales y a las organizaciones privadas que usan tecnología facial intrusiva que fuesen conscientes y tuviesen en cuenta cómo aplica la normativa de protección de datos y las recomendaciones y orientación emitida en la materia hasta la fecha.

La tecnología de reconocimiento facial recoge datos biométricos que miden y evalúan las características físicas de una persona para determinar y verificar su identidad, de modo que se aplican las provisiones del RGPD y la LOPDGDD.

Aunque los escenarios antes mencionados se corresponden en su mayoría con entidades públicas, son muchas las empresas privadas las que también adoptan esta tecnología.

¿Cuáles son los principales requisitos del RGPD que debería implementar una institución o compañía en relación al uso de reconocimiento facial?

Identificación de una base legítima para el tratamiento. Puesto que los datos biométricos son categorías especiales de datos personales, las bases legales para el tratamiento que se pueden considerar están muy limitadas.
Implementar medidas de seguridad apropiadas.
Si el sistema de reconocimiento facial se emplea para la toma automatizada de decisiones, se tienen que incorporar salvaguardas adicionales.
El reconocimiento facial es una tecnología nueva que trata categorías especiales de datos personales y que puede ser empleada, entre otras finalidades, para elaboración de perfiles y seguimiento de individuos a gran escala y en espacios públicos, de manera que es necesario la realización de una Evaluación de Impacto previa.

Para mayor información y asesoramiento sobre cómo el reconocimiento facial y RGPD puede aplicarse según las actividades y necesidades de tu empresa, contacta con nosotros. Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.