Derecho al olvido: la autoridad de control de Eslovenia ordena la eliminación de fotografías

  1. El derecho al olvido está detrás de la última resolución de la autoridad de control de Eslovenia IPRS, que ha ordenado al responsable de los datos la eliminación de 88 fotografías.

 

La autoridad de control de Eslovenia ha ordenado la eliminación de una colección de 88 fotografías recogidas durante un período de tiempo de entre siete y 15 años. La resolución, que fue emitida en julio, gira en torno al ejercicio del derecho al olvido por parte de la interesada, tal y como ha informado el CEPD.  El Artículo 17 establece que los sujetos tienen derecho “a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”, bajo determinadas circunstancias. En este caso el responsable de los datos era una agencia de producción de contenido que creaba material sobre estilos de vida, y en este contexto almacenaba un total de 88 fotografías de la interesada demandante, quien indicó que no había otorgado su permiso para el tratamiento de sus datos y también se opuso al tratamiento tras afirmar que no existían motivos legítimos imperiosos para el que el mismo fuese válido.

 

El responsable alegó que el tratamiento era legítimo y rechazó la solicitud de la interesada para la eliminación de sus fotografías.

 

El responsable rechazó la solicitud de eliminación de las fotografías presentada por la interesada bajo la afirmación de que el tratamiento se realizaba sobre la base de interés legítimo conforme al artículo 6 (1) (f) del RGPD. Sin embargo, la autoridad de control consideró que el derecho a la libertad de expresión y el derecho a la información en este caso no prevalecían frente al derecho al olvido de la interesada y recordó que el derecho a la protección de datos debe valorarse frente al derecho a la libertad de expresión y a la información caso por caso.

 

Las fotografías y otros elementos de la página web estaban organizados de manera que se podía elaborar un perfil del interesado mediante la búsqueda de su nombre.

 

La autoridad de control de Eslovenia concluyó que las fotografías eran datos personales que formaban parte de un fichero. La fotografía principal y la descripción del resto de las fotografías iban acompañadas del nombre y el apellido de la interesada. Mediante las fotografías y la información adicional era posible determinar los eventos a los que la interesada había acudido, con quién y también sus características personales. El nombre de la interesada en el buscador podía crear un perfil que destacase las fotografías y sus datos. La web no podía concebirse como una página con información sobre un evento específico, pues permitía realizar búsquedas con el nombre y el apellido.

La autoridad de control ordenó la eliminación de las fotografías y los datos asociados, conforme a la solicitud del derecho al olvido del interesado.

 

La autoridad de control ordenó que el responsable tenía que eliminar no sólo las fotografías, sino también el nombre de la interesada, la URL y los metadatos que permitían el acceso a las fotografías. Este tipo de publicaciones normalmente se hacen con la intención de ofrecer información sobre eventos públicos y la vida íntima de algunas personas específicas. Sin embargo, la autoridad de control observe que la interesada no era una figura pública y el contenido de la página web no contribuía a ningún debate social de importancia ni se vinculaba con ningún tema de interés público. Por ello, la autoridad de control de Eslovenia decidió satisfacer la solicitud de derecho al olvido de la demandante.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Uso de reconocimiento facial por parte de las agencias federales estadounidenses

Tienes que añadir un widget, una fila o un diseño preconstruido antes de que puedas ver algo aquí. 🙂

Encuesta sobre el uso actual y futuro del reconocimiento facial por parte de las agencias federales estadounidenses. 

El uso de tecnologías de reconocimiento facial tanto por el sector público como por el sector privado es un tema de debate recurrente a nivel mundial. En Europa se han promovido en los últimos años varias iniciativas para prohibirlas. En Estados Unidos ya las emplean muchas agencias federales, según informa esta publicación que refleja los resultados de la encuesta de la que aquí hablamos. La encuesta, llevada a cabo por la Oficina de Rendición de Cuentas del Gobierno de Estados Unidos sobre 24 agencias federales concluyó que la tecnología de reconocimiento facial tenía aplicaciones prácticas de grado militar, desde ciberseguridad hasta seguridad física, incluida investigación de delitos. Los resultados de la encuesta también reflejaron que las agencias del gobierno emplean la tecnología de reconocimiento facial con varias finalidades. 

La mayoría de agencias federales informaron de que emplean la tecnología de reconocimiento facial con varias finalidades. 

A través de los años ha habido un aumento progresivo en el uso e interés de la tecnología de reconocimiento facial, lo que hace esencial comprender su funcionamiento en todos los ámbitos. La Oficina de Rendición de Cuentas del Gobierno de Estados Unidos ha sido encomendada con la tarea de evaluar el uso de la tecnología de reconocimiento facial por parte de las agencias federales, llevar a cabo la investigación correspondiente y recopilar información al respecto sobre los planes futuros hasta el año 2023. Las conclusiones han sido publicadas tras completar la encuesta, estudiar toda la documentación disponible y entrevistar a los funcionarios de las 24 agencias, de las cuales 18 informaron de que utilizan esta tecnología con diversas finalidades. 

Acceso digital: 

De las agencias federales que llevaron a cabo la encuesta, 16 de ellas information de que usan la tecnología de reconocimiento facial para ciberseguridad o acceso digital. De estas 16 agencias, 14 afirmaron que estos sistemas se emplean para desbloquear smartphones expedidos por ellas y las otras dos reconocieron que se hace uso de la misma para monitorizar a las personas que acceden a las páginas web del gubernamentales. 

Aplicación de la ley:

En el campo de aplicación de la ley, seis de las agencias federales usan la tecnología de reconocimiento facial para conseguir pistas en las investigaciones, como por ejemplo identificar a los presuntos delincuentes y obtener información sobre las víctimas de delitos a través de recursos disponibles de manera pública.  

Seguridad física:

Otras cinco agencias reportaron un uso de reconocimiento facial destinado a vigilancia. Una de ellas en concreto identifica a personas que se encuentran en listas de vigilancia y alertan en consecuencia al personal de seguridad. Además, diez agencias explicaron que están llevando a cabo una investigación y desarrollo relative a la tecnología de reconocimiento facial, incluida su habilidad para identificar a personas que llevan mascarillas. 

Planes futuros de uso de la tecnología de reconocimiento facial:

En torno a diez agencias planean expandir el uso de reconocimiento facial para 2023. También alegaron que pretenden usar la tecnología de reconocimiento facial para automatizar el proceso de verificación de identidad en los aeropuertos. 

Europa ha solicitado en varias ocasiones que se prohíba la tecnología de reconocimiento facial en espacios públicos. 

En Europa, los correspondientes organismos han solicitado en varias ocasiones que se prohíba el uso de tecnología de reconocimiento facial en espacios públicos, la más reciente el pasado junio cuando el CEPD y el SEPD publicaron un comunicado conjunto al respecto. Si bien se acogió con satisfacción el objetivo de abordar este problema, existe preocupación sobre la exclusión de cooperación internacional, y se basó la solicitud de veto en los altos riesgos asociados con la identificación biométrica, incluido el reconocimiento facial, de sujetos en espacios de acceso público.

¿Qué dice el RGPD sobre la tecnología de reconocimiento facial?

El RGPD define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Conforme al artículo 9 del RGPD, el tratamiento de datos biométricos, que se considera categorías especiales de datos personales, se encuentra prohibido salvo que se cuente con consentimiento explícito o se den algunas de las otras condiciones recogidas en el RGPD o en la normativa aplicable. 

¿Cuáles son los factores clave a tener en cuenta si se planea usar reconocimiento facial? 

Existen varios factores que deberán tener en cuenta las empresas u organizaciones que quieran emplear reconocimiento facial. En primer lugar, es esencial confirmar la base legítima que se aplica en cada caso, de acuerdo a la normativa nacional y europea. Cuando se trata de categorías especiales de datos personales, como en este caso, se deberá cumplir también con alguna de las condiciones establecidas en el artículo 9 del RGPD. En caso de que el tratamiento se base en consentimiento explícito, se deberá confirmar que éste es válido. En segundo lugar, el principio de proporcionalidad también deberá ser tenido en cuenta y tendrá que llevarse a cabo una Evaluación de Impacto de Protección de Datos conforme al artículo 35 del RGPD, el cual ayudará a determinar el riesgo específico para los derechos y libertades de los sujetos. 

Cristina Contero Almagro, Socia en Aphaia, considera que “No es sólo el derecho a la protección de datos el que puede verse afectado por las tecnologías de reconocimiento facial. Si no se emplea de manera adecuada, también puede dañar otros derechos fundamentales, como el derecho a la igualdad y a la no discriminación. En consecuencia, es esencial que se tenga en cuenta todo el marco legal aplicable a lo largo de todo el ciclo de vida tanto del sistema como de los resultados obtenidos con su uso. La habilidad de asegurar un adecuado nivel de protección y seguridad en todos los campos determinará la adopción de esta tecnología y nuestra capacidad para disfrutar de los beneficios que conlleva”. 

¿Utilizas IA en tu empresa y necesitas ayuda para cumplir con la normativa aplicable? Podemos ayudarte.Realizamos Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y ofrecemos subcontratación del Delegado de Protección de Datos, entre otros servicios. Podemos ayudarte. Infórmate aquí.

Los banners de consentimiento de cookies, entre los temas de debate en la última cumbre de la ICO y los países del G7

La ICO indica que los banners de consentimiento de cookies deberán abordarse para ofrecer un consentimiento más significativo y una mejor experiencia de navegación.

 

La semana pasada tuvo lugar una cumbre en la que participaron las autoridades de control de protección de datos de los países del G7 y la ICO, que propuso una serie de cambios sobre la manera en la que actualmente se gestionan los banner de cookies, tras informar sobre la gran cantidad de quejas recibidas en relación a la necesidad de interactuar con los banner de cookies de manera continua cuando se accede a una página web. La ICO señaló también que estas herramientas por lo general hacen que los usuarios otorguen su consentimiento para más categorías de datos personales y usos de los mismos de lo que realmente quisieran. Puede accederse al comunicado aquí.

 

La ICO considera que los actuales banners de cookies pueden llevar a los sujetos a consentir más usos de sus datos personales de los que quisieran.

 

Los banners de cookies y los requisitos de consentimiento han sido tema de debate durante mucho tiempo, no sólo entre los usuarios de internet, sino también entre las autoridades de control. Uno de los pronunciamientos más recientes en este sentido fue el de la autoridad de control de Malta, del que informamos en nuestro blog. La ICO defiende que el formato actual de los banners de cookies no ofrece a los sujetos una posibilidad de elección absoluta, pues están configurados de tal manera que hacen que estos otorguen su consentimiento para más datos y tratamientos de los que realmente desearían

 

Mientras que el modelo actual cumple con la normativa de protección de datos, la ICO sostiene que las autoridades del G7 tienen poder suficiente para influir en su desarrollo futuro.

 

La ICO anunció hace unas semanas su intención de realizar varios cambios sobre su modelo de protección de datos, entre los que se encuentran los banner de cookies como uno de los principales elementos. A pesar de que el estándar actual cumple con la normativa de protección de datos, la ICO cree que las autoridades del G7 pueden influir en su desarrollo futuro.  El enfoque de la ICO se basa en que los navegadores, las apps y los ajustes de los dispositivos permitan a los sujetos establecer preferencias de privacidad duraderas, en lugar de tener que hacerlo de manera individual mediante banners de cookies cada vez que acceden a una página web o app. La autoridad de control de Reino Unido mantiene que esta alternativa dará lugar a un consentimiento más consciente, y que, aunque se trata de una opción que ya es posible tecnológicamente y que además cumple con el marco vigente, aún queda mucho trabajo para hacer el cambio efectivo y promover soluciones orientadas a la privacidad.

 

La actual normativa de cookies se encuentra dividida entre el RGPD y la Directiva ePrivacy.

 

Actualmente las normas sobre cookies están recogidas tanto en el RGPD como en la Directiva ePrivacy. Existen varios tipos de cookies entre las cuales los usuarios pueden realizar su selección. Por ejemplo, pueden decidir permitir sólo el uso de cookies estrictamente necesarias y rechazar todas aquellas que sean adicionales con finalidades de marketing o análisis de preferencias.  El Considerando 30 del RGPD menciona la importancia de las cookies en tanto en cuanto pueden ser empleadas para identificar a los sujetos, sobre todo si se tiene en cuenta la cantidad de información del usuario a la que se puede acceder mediante las cookies. La Directiva ePrivacy es también conocida como la “ley de cookies”, pues ha sentado las condiciones de los actuales banners de cookies y dado lugar a un consentimiento ético. Las reglas que regulan las cookies y las cookies empleadas cambian continuamente, lo que implica que los banners y las políticas de cookies requieren revisión continua.

 

 

¿Utilizas cookies en tu página web o app? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

El Comité Europeo de Protección

El Comité Europeo de Protección de Datos publica sus orientaciones sobre los conceptos de responsable y encargado de tratamiento

El Comité Europeo de Protección de Datos ha publicado unas orientaciones donde aclara los conceptos de responsable y encargado de tratamiento, entre otros elementos clave del RGPD. 

Los conceptos de responsable, corresponsable y encargado de tratamiento juegan un papel esencial en la aplicación del RGPD, y es por tanto necesario que se comprendan con claridad las funciones y roles asociados a los mismos. A estos efectos, el CEPD ha publicado unas orientaciones al respecto. La importancia de ello radica en que estos conceptos pretenden asignar una responsabilidad apropiada a cada una de las partes.  

 

Los responsables del tratamiento y los corresponsables deciden algunos elementos clave del tratamiento, pero no tienen por qué contar con acceso a los datos necesariamente. 

 

El responsable del tratamiento decide algunos de los aspectos clave del mismo, como las finalidades y los medios, pero para ser considerado como tal no es necesario que cuente con acceso a los datos. Cuando más de un actor participa en el tratamiento de los datos, las partes podrían ser consideradas corresponsables. Para ello es necesario que la intervención de todas ellas sea precisa para que el tratamiento tenga lugar en la forma en la que sucede, y que no sería posible en ausencia de alguna de ellas. Las partes pueden decidir de manera conjunta tanto las finalidades como los medios del tratamiento, o bien tan sólo uno de dichos elementos. Si bien el concepto de responsable no se limita a ningún tipo de entidad, normalmente se considera responsable a las empresas y organizaciones, no a individuos dentro de las mismas como podría ser un empleado o algún del cargo directivo.  

 

Si bien el RGPD no define las características que debe tener el acuerdo de corresponsables del tratamiento, el CEPD recomienda que sea un documento vinculante como un contrato o equivalente conforme al derecho de la UE o los Estados Miembros. Es importante destacar sin embargo que las autoridades de control no están sujetas a los términos de dicho acuerdo y los interesados pueden ejercer sus derechos frente a cualquiera de los corresponsables.

 

También pueden darse situaciones en las que varias partes participan en el tratamiento pero no son corresponsables. Si múltiples actores toman parte de manera sucesiva en la cadena de operaciones, serán responsables en su propio derecho, no corresponsables. 

 

Exploramos el concepto de corresponsables de tratamiento en detalle en nuestro blog “Corresponsabilidad del tratamiento: indicaciones clave del Comité Europeo de Protección de Datos”.

 

El encargado de tratamiento es una entidad separada del responsable, que trata los datos por cuenta del responsable. 

 

El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable o de los corresponsables. Las dos condiciones que debe cumplir un encargado de tratamiento para ser considerado como tal son las siguientes: por un lado, ser una entidad separada del responsable y, por otro, tratar los datos por cuenta del responsable. Los empleados y otras personas que actúan bajo la autoridad directa del responsable, como puede ocurrir con el personal temporal, no son encargados aunque traten los datos bajo el control e indicaciones del responsable, porque forman parte de la entidad del mismo. El tratamiento de datos personales puede implicar a varios encargados del tratamiento, pues un encargado es cualquier entidad que actúa por cuenta del responsable para tratar los datos personales.

 

El responsable deberá considerar si las garantías ofrecidas por el encargado del tratamiento son suficientes para cumplir con los requisitos del RGPD. 

 

A fin de cumplir con los requisitos del RGPD, es necesario que los responsables usen únicamente encargados que puedan ofrecer las garantías suficientes para implementar medidas técnicas y organizativas apropiadas. Sería apropiado considerar la experiencia técnica del encargado, así como su fiabilidad, recursos y posible adherencia a un código de conducta. El encargado deberá ser capaz de demostrar todas las garantías ofrecidas, pues cualquier otra sobre la que no pueda presentar credenciales no serán consideradas por el responsable. La relación entre el responsable y el encargado de tratamiento debería recogerse en un Acuerdo de Encargado de Tratamiento que contenga los elementos principales del mismo. 

 

Podría haber terceros que traten los datos sin pertenecer a ninguna de las categorías de responsable o encargado del tratamiento.  

 

El RGPD también define el concepto de tercero. Un tercero es “una persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado”. Este término se refiere por tanto a una entidad que, en relación a la transferencia de datos concreta, no se encuadra en ninguna de dichas categorías.

 

Un destinatario se define como “la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero”. Por ejemplo, cuando un responsable envía datos a otra entidad, ya sea esta entidad un encargado o un tercero, se la considera un destinatario. Es preciso señalar, sin embargo, que no se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros.

 

En las orientaciones, el CEPD ofrece una explicación detallada de estos conceptos, sus funciones y responsabilidades, e incluye ejemplos específicos que muestran cómo funcionan estos términos en la práctica y su interacción con diferentes situaciones. 

 

¿Necesitas asesoramiento con el RGPD o la LOPDGDD? Aphaia ofrece servicios de adaptación al RGPD, la LOPDGG y a la CCPA, incluidas evaluaciones de impacto y Delegado de Protección de Datos