Apple da un paso más para proteger la privacidad de los niños

Aún a riesgo de afectar a su negocio, Apple ha decidido cambiar sus normas en relación a las apps infantiles.

Bajo las nuevas normas, las apps infantiles de Apple Store no podrán utilizar software analítico externo, que son líneas invisibles de código empleadas para recoger información muy detallada sobre quién y cómo se usa la app. Apple también restringirá la habilidad de vender publicidad en estas apps, lo cual hasta el momento es lo que ha sostenido el modelo de negocio de aquellas apps que son gratuitas. Estos cambios se han introducido a raíz de que muchos niños estaban recibiendo anuncios inapropiados, según Apple.

Las novedades forman parte de un movimiento para mejorar la protección de la privacidad de los usuarios, lo cual ha sido elogiado por muchos abogados. Se teme sin embargo que estas medidas, lejos de proteger a los niños, los expongan en mayor medida al uso de apps para adultos.

Algunos desarrolladores web, por su parte, están preocupados de que las nuevas normas limiten la posibilidad de introducir anuncios en las apps, lo cual conduciría a la necesidad de abandonar el modelo de negocio que permite actualmente que éstas se ofrezcan sin coste. Apple alega que con este giro está respondiendo a las preocupaciones de muchos padres. Phil Schiller, Vicepresidente de Apple de marketing a nivel mundial, explicó que algunos padres estaban quejándose de la publicidad inapropiada que llegaba a sus hijos cuando utilizaban apps de iPhone: “los padres se decepcionan en gran medida cuando esto ocurre, porque ellos confían en nosotros”.

Con las nuevas normas, el software analítico de Apple sí podrá seguir utilizándose, pero, una vez que los datos hayan sido recogidos, Apple no podrá ver qué se hace con ellos como tal, como enviarlos a un servidor donde puedan ser analizados por terceros. De alguna forma, y conforme a profesionales de la industria, parece que Apple podría estar incluso empeorando la situación al relegar el análisis de datos a prácticas ocultas.

La App Store de Apple se encuentra en el punto de mira de una investigación europea antimonopolio, tras la acusación de una app de música sueca que alegó que Apple beneficiaba la música de Apple Music en la Apple Store. Asimismo, el Tribunal Supremo aceptó a trámite un caso que apuntaba a Apple de usar su poder de monopolio para aumentar de manera injustificada los precios de las app.

Las apps infantiles suponen sólo una pequeña parte de los millones de app disponibles en Apple Store, aunque Apple se ha negado a aportar datos sobre cuál es el porcentaje. Tampoco se ha proporcionado información sobre cuántas de dichas apps recogen información personal de los niños y cuáles lo hacen de manera inapropiada.

Muchos abogados se han quejado durante años de estos problemas de Apple que ahora la compañía dice estar intentando resolver. La Ley de 1998 sobre la protección de la privacidad de los menores (COPPA) y el RGPD limitan los datos que las apps infantiles pueden recoger y rastrear.

Según el Cristina Contero Almagro, Socio Gerente de Aphaia,»si bien esto es un paso remarcable en la dirección correcta, está todavía por ver cómo se aplicará en la práctica. La imposición de las nuevas normas muestra una preocupación teórica de Apple, uno de los gigantes de internet, sobre privacidad, si bien la protección de datos va más allá de una serie de reglas escritas. Dado que el software propio de Apple sí se permite, la información personal de los menores se seguirá recogiendo, y estará por tanto expuesta a un mal uso. Y, lo que es peor, si no hay control sobre cómo y a quién los desarrolladores transfieren después esos datos, los interesados no podrán ejercer de forma adecuada sus derechos, lo cual supondrá una inaceptable limitación del RGPD».

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

CRITERIO DEL TJUE PARA EL BOTÓN “ME GUSTA” DE FACEBOOK

El Tribunal de Justicia de la UE ha dictaminado que el operador de una página web que incluye el botón “Me gusta” de Facebook podría ser corresponsable del tratamiento junto a la red social. 

Los hechos

El TJUE ha intervenido en un caso en el que un minorista de moda alemán, Fashion ID, ha sido acusado de violar el RGPD debido a que la inclusión del botón “Me gusta” de Facebook en su website implicaba la transmisión de los datos de los usuarios a la red social, sin ser los mismos conscientes de ello e independientemente de que fuesen miembros de Facebook o hubiesen presionado el botón.

En consecuencia, una asociación alemana de consumidores ha culpado al minorista de enviar datos a Facebook de los usuarios sin su consentimiento, además de incumplir con la obligación de información pertinente a tal respecto.

El fallo

El Tribunal señaló en primer lugar que, mientras que la antigua Directiva de Protección de Datos no permitía a las asociaciones de consumidores presentar procedimientos legales contra una persona sospechosa de haber infringido la legislación de protección de datos, el nuevo RGPD si ofrece dicha posibilidad.

En segundo lugar y ya en relación al fondo de la materia, el Tribunal afirmó que el minorista de moda no podía ser considerado responsable en relación a las actividades de tratamiento llevadas a cabo tras compartir los datos con Facebook Irlanda, pues parece imposible que Fashion ID determinase los fines y medios de tales operaciones. Sin embargo, Fashion ID sí podría caer bajo el concepto de corresponsable del tratamiento junto con Facebook Irlanda en relación a las actividades de tratamiento donde estén involucradas la recogida y transmisión de los datos a Facebook, puesto que puede determinarse que Fashion ID y Facebook deciden de manera conjunta los medios y fines del tratamiento. En conclusión, el TJUE falla a favor de que las páginas web y Facebook sean corresponsables en relación al botón de “Me gusta”.

Los puntos clave del fallo son los siguientes:

  1. En los casos en que el interesado haya dado su consentimiento, el Tribunal sostiene que el operador de una página web como Fashion ID debe obtener consentimiento previo únicamente en relación a las operaciones para las que es corresponsable, es decir, la recogida y transmisión de los datos.
  2. En aquellos casos en que el tratamiento sea necesario por interés legítimo, el Tribunal considera que cada uno de los corresponsables del tratamiento, es decir, el operador de la página web y el proveedor del plugin de la red social, en este caso Facebook, debe perseguir un interés legítimo a través de la recogida y transmisión de los datos para que tales actividades puedan estar justificadas.

Según el Dr Bostjan Makarovic, Socio Gerente de Aphaia, “esta decisión sobre el botón ‘Me gusta’ de Facebook supone un golpe al equilibrio entre los derechos de los sujetos y la realidad comercial de los gigantes de Internet. Es importante que la responsabilidad del operador de la página web no se extienda a otros tratamientos de los datos realizados por la red social. Además, la evaluación del interés legítimo de la red social en la actividad inicial puede presentar un gran reto. Dicha evaluación debería ser proporcionada por la red social, como parte del acuerdo de corresponsable de tratamiento”.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

El CNIL impone una multa de 180.000 euros por brecha de seguridad

La aseguradora Active Insurances ha sido multada por el CNIL, la autoridad de control de Francia, con una cantidad de 180.000 euros por “no proteger la información de manera adecuada conforme al artículo 32 del RGPD”.

El incidente fue notificado por primera vez al CNIL por parte de un cliente que afirmaba que era capaz de acceder a los datos personales de otros usuarios, incluidos carnés de conducir, tarjetas y registros bancarios. El CNIL se lo comunicó en consecuencia a la compañía, que aceptó tomar medidas correctivas para proteger los datos de sus consumidores.

Active Insurances informó al CNIL de la aplicación de las medidas necesarias, y la autoridad de control procedió a una inspección de las oficinas, tras lo que concluyó que:

  • las medidas no eran suficientes;
  • los protocolos de contraseñas, impuestos por la empresa, se correspondían con la fecha de nacimiento de cada trabajador, de lo cual se informaba en los mismos manuales;
  • tras la creación de la cuenta de cliente, tanto el usuario como la contraseña eran enviados a los sujetos por email con una indicación expresa.

El CNIL ha considerado que Active Insurances no ha actuado con la diligencia debida para la protección de los datos personales que trata y destacó los siguientes puntos:

  • la compañía debería haber implementado controles de acceso a los documentos;
  • se debería haber cambiado el nombre de los documentos para que no fuesen fácilmente accesibles mediante un motor de búsqueda;
  • se debería haber instado a los usuarios a utilizar contraseñas reforzadas y bajo ninguna circunstancia se deberían haber compartido por email.

La decisión del CNIL toma en cuenta la seriedad de la violación de seguridad debido a la naturaleza de la misma, la sensibilidad de la información personal comprometida y el número de personas afectadas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

La ICO planea imponer a Marriott una multa de más de 100 millones.

Tras una investigación exhaustiva, la ICO ha anunciado su intención de multar a Marriott International con más de 100 millones de euros, conforme al RGPD, tras tener lugar una brecha de seguridad. De llegarse a producir, la cadena hotelera sería la segunda firma internacional en enfrentar una multa millonaria bajo el RGPD.

Marriott notificó el incidente a la ICO en noviembre de 2018. Una gran cantidad de información personal contenida en 340 millones de registros de clientes fue expuesta de manera global accidentalmente. De los datos comprometidos, unos 30 millones correspondían a residentes de 31 países del Área Económica Europea, de los cuales siete millones pertenecían a residentes británicos.

El origen fue un ataque a los hoteles del grupo Starwood en 2014. Después Marriott adquirió Starwood en 2016, pero la brecha no fue descubierta hasta 2018. La investigación de la ICO reveló que Marriott no había aplicado la diligencia debida en la adquisición de Starwood, y que podría haber tomado más acciones para reforzar la seguridad de los sistemas.

Desde la ICO, Elizabeth Denham afirma que: “El RGPD deja claro que las empresas deben ser responsables de los datos que trata. Esto incluye actuar de manera diligente cuando se realiza una adquisición corporativa, que debe ir seguida de una serie de garantías y acciones que comprueben no sólo qué información nueva se ha recibido, sino también cómo está ésta protegida. Los datos personales tienen un gran valor y las compañías han de responder a una obligación legal de velar por la seguridad de los mismos, igual que harían con cualquier otro activo. Si eso no ocurre, desde la ICO no dudaremos en tomar las acciones que sean necesarias para asegurar el interés público”.

Desde que se dio comienzo a la investigación, Marriot ha cooperado y realizado mejoras en sus acuerdos para la seguridad. El CEO ha anunciado que plantea recurrir la multa pretendida por la ICO.

Antes de alcanzar una decisión final, la ICO valorará las intervenciones y alegaciones tanto de la compañía como de otras autoridades públicas de protección de datos.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.