Nueva actualizacion

Nueva actualización de las normas ePrivacy de la UE

Las normas ePrivacy sobre los datos de comunicaciones electrónicas se actualizarán conforme lo acordado por los Estados Miembro de la UE. 

 

A principios de este mes, los Estados Miembro de la UE acordaron un mandato de negociación para una revisión de las normas de ePrivacy. Las normas sobre la protección de la privacidad y la confidencialidad en el uso de comunicaciones electrónicas definen los casos en los que los proveedores de servicios pueden tratar los datos de comunicaciones electrónicas o acceder a aquellos que se han almacenado en el dispositivo del usuario final. La última actualización de la directiva ePrivacy tuvo lugar en 2009 y, como tal, los Estados Miembro estuvieron de acuerdo en que esta normativa precisa de una renovación en consonancia con los desarrollos tecnológicos y de mercado. El nuevo Reglamento ePrivacy sustituirá a la actual Directiva ePrivacy y tiene como objetivo complementar el RGPD. El Reglamento se hará efectivo 20 días después de su publicación en el Diario Oficial de la UE y comenzará a aplicarse dos años después. Se pueden encontrar más detalles al respecto en la publicación de prensa del Consejo Europeo.  

 

El borrador de revisión de la normativa regula el contenido de las comunicaciones electrónicas a través de redes y servicios públicos, así como los metadatos asociados. 

 

Este borrador de la normativa ePrivacy derogará la actual Directiva y regulará el contenido transmitido a través de redes y servicios públicos cuando los usuarios finales están en la UE. Los metadatos incluyen información sobre el tiempo, la localización y el receptor de la comunicación, por ejemplo. Así, se considera que los metadatos son potencialmente tan sensibles como el contenido propio de la comunicación electrónica. Las normas cubrirán también el tratamiento de datos que se transmitan de máquina a máquina a través de una red pública.  

 

Cualquier dato de comunicaciones electrónicas se considerará confidencial, excepto cuando lo permita la normativa ePrivacy. 

 

Como norma general, todas las comunicaciones electrónicas se consideran confidenciales y sus datos no deberían tratarse sin el consentimiento del usuario. Existen, sin embargo, algunas excepciones señaladas en la normativa de manera específica, entre las que se incluyen la comprobación de malware o virus, así como asegurar la integridad del servicio de comunicaciones. También se hacen una serie de provisiones para casos en los que el proveedor de servicios debe tratar dichos datos conforme al derecho de la UE o de los Estados Miembro en relación a la persecución de delitos o la prevención de amenazas para la seguridad pública. 

 

Los metadatos pueden tratarse con finalidades muy específicas y sujeto a la aplicación de fuertes garantías adicionales.

 

Los metadatos pueden tratarse por ejemplo con finalidades de facturación o detección del fraude. Si los usuarios otorgan su consentimiento, los proveedores de servicios podrán usar sus datos para mostrar sus movimientos de tráfico para ayudar a las autoridades públicas a desarrollar nuevas infraestructuras cuando sea necesario. Asimismo, este tratamiento también estará permitido para proteger los intereses vitales de los usuarios, por ejemplo en el control de pandemias o en emergencias como desastres naturales o provocados. En casos específicos, los proveedores de redes pueden tratar los metadatos con finalidades diferentes a aquellas para la que fueron recogidos, siempre y cuando sean compatibles con la inicial y se apliquen fuertes garantías. 

 

Será posible para los usuarios contar con una lista de aprobación de proveedores y otorgar así consentimiento para ciertos tipos de cookies de determinadas páginas web mediante los ajustes del navegador de los usuarios. 

 

Los usuarios podrán permitir ciertos tipos de cookies de uno o muchos proveedores de servicios, y cambiar dichos ajustes fácilmente en el menú de su navegador, lo cual simplificaría los procesos de consentimiento para cookies, y evitaría así la denominada “fatiga del consentimiento”. Además, los usuarios finales podrán decidir de manera libre si aceptan las cookies o identificadores similares. Los proveedores de servicio podrán condicionar el acceso a la página web al consentimiento de cookies para finalidades adicionales, en lugar de emplear la técnica del muro, pero esto sólo será posible si permiten al usuario acceder a una oferta equivalente ofrecida por el mismo proveedor y que no implique la necesidad de consentimiento para el uso de cookies.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy y el resto de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Opinión del Abogado General

Opinión del Abogado General del TJUE en el caso Facebook.

El Abogado General del TJUE ha emitido su opinión sobre el caso aun en curso entre Facebook y la autoridad belga de protección de datos.  

 

El pasado 13 de enero el Abogado General del TJUE emitió su opinión en el caso Facebook, incluida en una publicación de prensa del TJUE. Este caso se abrió el 25 de mayo de 2018, cuando la autoridad belga de protección de datos (entonces conocida como la Comisión de Privacidad) identificó una seria infracción de los derechos de privacidad de los ciudadanos belgas por parte de Facebook. Se determinó que la compañía había estado emplazando cookies en los dispositivos de los usuarios de internet y, en consecuencia, recogiendo los datos asociados a las cookies a través de plugins y pixels situados en las páginas que estos visitaban, lo que resultó en la recogida de información sobre el comportamiento online de millones de usuarios de internet en Bélgica. El tribunal de Bruselas, tras examinar los detalles del caso, decidió remitirlo al TJUE para aclarar algunos aspectos y decidir si la autoridad de control belga podría realmente iniciar acciones legales contra Facebook bajo el RGPD. El Abogado General del TJUE retire el principio que defendía también la autoridad de control belga, sobre el hecho de que el mecanismo de ventanilla única, conforme al RGPD no impide que otras autoridades de control inicien procedimientos frente a jueces nacionales siempre y cuando se traten de situaciones específicamente cubiertas en el RGPD. Así, el TJUE decidirá sobre este caso, pero aún se desconoce cuándo habrá una sentencia al respecto.  

 

La autoridad de control belga alega que el mecanismo de ventanilla única no afecta a su competencia para llevar estos procedimientos por medio de tribunales civiles. 

 

El mecanismo de ventanilla única establecido por el RGPD asegura cooperación entre las autoridades de control en casos de tratamientos transfronterizos. Con las oficinas principales de Facebook en Europa en Dublín, Irlanda, el mecanismo dicta que la autoridad de control irlandesa es la competente para tomar las acciones pertinentes e imponer sanciones contra la compañía. La cuestión planteada por la autoridad de control belga gira en torno al hecho que si dicho mecanismo de ventanilla única también permite que las autoridades de control nacionales inicien igualmente procedimientos ante los tribunales nacionales.  La autoridad de control belga mantiene que el mecanismo de ventanilla única no afecta a su competencia para buscar remedios judiciales mediante los tribunales civiles.  

El Abogado General del TJUE confirma que la autoridad de control belga, aún sin ser la autoridad de control nacional, puede proceder con acciones frente al tribunal. 

 

La audiencia preliminar del caso en el TJUE tuvo lugar el 5 de octubre de 2020, y el 13 de enero de este año Michal Bobek, Abogado General del TJUE, emitió su opinión al respecto, en la que confirmó que una autoridad nacional que no es la autoridad de control nacional para un operación de tratamiento de datos transfronteriza puede iniciar procedimientos legales ante los tribunales nacionales en algunas situaciones, especialmente aquellas para las que el RGPD otorga competencia para proceder con dicha acción. El Abogado General del TJUE considera que la autoridad de control belga, a pesar de no ser la autoridad de control principal, puede presentar acciones en los tribunales nacionales. En la publicación de prensa publicada por el TJUE, Mr Bobek indica que  “La autoridad de control de un Estado donde el responsable o el encargado del tratamiento tiene un establecimiento, ostenta competencia general para iniciar procedimientos legales por infracciones del RGPD en relación a tratamientos de datos transfronterizos. Las otras autoridades de control nacionales afectadas pueden igualmente comenzar dichos procedimientos en sus Estados Miembros cuando el RGPD específicamente se lo permita”. Con esta información, el TJUE será ahora el tribunal que emitirá una decisión para el caso. Por ahora, no se conoce cuándo se emitirá el fallo.  

 

¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La autoridad de control de Polonia

La autoridad de control de Polonia multa a una universidad por no comunicar una brecha de seguridad

La autoridad de control de Polonia ha multado a una universidad por no cumplir con la preceptiva comunicación de brecha de seguridad debida tanto a la autoridad de control como a los sujetos afectados. 

En junio de 2020 la autoridad polaca de protección de datos recibió una notificación de brecha de seguridad en una universidad médica. En la queja se informaba de que los estudiantes habían sido identificados por videoconferencia durante los exámenes que tuvieron lugar a finales de mayo de 2020, tras lo cual las grabaciones quedaron disponibles no sólo para los estudiantes que habían hecho los exámenes, sino también para cualquier otro que tuviese acceso al sistema. Así por tanto, cualquier tercero podía tener acceso a los datos personales de los estudiantes mediante un enlace directo.  

 

Mientras que la información proporcionada en la queja señalaba un alto riesgo para los derechos y libertades de las personas afectadas, el responsable no estuvo de acuerdo. 

 

La información que contenía la queja indicaba que el incidente podría haber presentado un alto riesgo para los derechos y libertades de aquellas personas que realizaron el examen. La autoridad de control polaca escribió a la universidad para solicitar más explicaciones al respecto. Sin embargo, el responsable respondió por escrito y argumentó que la situación suponía un riesgo muy bajo para los derechos y libertades de los interesados afectados y por tanto no era necesaria notificar a la autoridad de control en relación a esta brecha de seguridad. La universidad también indicó que el sistema se había modificado tras el incidente a fin de asegurar que las grabaciones no se compartirían por error. Además, el responsable señaló que había identificado a las personas que descargaron el archivo de las grabaciones y les informó sobre su responsabilidad al acceder a los datos. 

 

Mientras que la autoridad de control de Polonia reconoció los esfuerzos del responsable para asegurar los datos en el futuro, también mantiene que las comunicaciones eran necesarias. 

 

La postura que ha tomado la autoridad de control de Polonia es que es la universidad, como responsable de los datos, y no los sujetos que descargaron los archivos, quien debería responder por los hechos, pues ha considerado que la descarga se produjo por la negligencia del responsable, que condujo a la brecha de seguridad y la asociada alta amenaza para los riesgos y libertades de los interesados afectados. Mientras que la autoridad de control admitió que las modificaciones de la plataforma de aprendizaje online empleada para realizar los exámenes servirá para proteger los datos de los estudiantes en el futuro y evitará que tales archivos se descarguen, también considera que debería haber tenido lugar la comunicación tanto a la autoridad como a los estudiantes afectados.  

 

La autoridad de control de Polonia considera que el responsable no ha evaluado con precisión los riesgos asociados a esta brecha de seguridad, y como resultado no cumplió con sus obligaciones. 

 

La autoridad de control polaca determinó que, tras tener lugar la brecha de seguridad, el responsable no cumplió con sus obligaciones de notificar tanto a la autoridad de control como a las personas afectadas por la brecha. Estas notificaciones son necesarias y obligatorias cuando, debido a la brecha, hay un alto riesgo para los derechos y libertades de los sujetos involucrados. La autoridad considera que el responsable ha evaluado de manera incorrecta los riesgos potenciales. En su decisión, la autoridad de control también ha indicado que, al contrario de lo que alega el responsable, no es relevante que el archivo fuese descargado por un número limitado de personas, pues realmente no hay seguridad de que no haya estado al alcance también de otras personas no autorizadas. 

 

La autoridad de control polaca impuso una multa de 5.850 euros a la universidad por incumplir con su obligación de notificación durante varios meses. 

 

La universidad se enfrenta a una multa de casi 6.000 euros. El presidente de la oficina tuvo en cuenta no sólo la falta de comunicación a la autoridad de control y a los estudiantes afectados, sino también la duración de la brecha, pues pasaron varios meses desde que esta tuvo lugar hasta que se emitió la decisión final, la inacción deliberada del responsable tras ser notificado de la necesidad de las notificaciones y la falta de cooperación del mismo con la autoridad a pesar de las notificaciones y el inicio de los procedimientos. Se pretende que la imposición de la multa también cumpla una función preventiva y muestre que los responsables no pueden ignorar sus obligaciones en relación a las brechas de seguridad. 

 

¿Has implementado todas las medidas necesarias en cumplimiento de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

 

Regulación TIC

Regulación TIC 2021: Cuatro cosas a las que mirar

Desde la regulación Big Tech hasta el inminente marco legislativo de IA, en lo que se refiere a la regulación TIC, he identificado cuatro áreas de las que estar pendientes en 2021.

 

  1. Regulación de los gigantes tecnológicos

 

El Big Tech lleva un tiempo en el radar regulatorio y legislativo, con multas europeas antimonopolio impuestas sobre Google y la posterior introducción de multas más graves con el RGPD.  Mientras que se han tramitado una serie de casos antimonopolio contra Facebook US a finales de 2019, la última propuesta de la Comisión Europea trae importantes innovaciones en la regulación Big Tech.

La Digital Markets Act crea algo nuevo: regulación asimétrica basada en el poder de mercado de los gigantes tecnológicos. Mientras que la Digital Services Act se construye en la filosofía existente de protección del consumidor, que sólo acusa la asimetría entre el consumidor y la empresa, la Digital Markets Act sólo impone medidas en aquellas plataformas digitales que tienen una posición intermediaria sólida y duradera. Este enfoque es similar a la regulación asimétrica de los operadores de telecomunicaciones con Poder Significativo de Mercado. 

En una manera que recuerda a la regulación de telecomunicaciones, la Digital Markets Act busca garantizar acceso a las plataformas Big Tech “deconstruyendo” algunas de sus características. En consideración de la reticencia de los reguladores y legisladores para actuar sobre el contenido de internet desde finales de los 1990s, tales medidas ex ante pueden considerarse realmente históricas. 

 

  1. Regulación IA

 

Tras la introducción de normas sobre elaboración de perfiles e intervención humana en el RGPD, las Directrices Éticas para una IA Fiable preparadas por el Alto Grupo de Expertos en Inteligencia Artificial (AI-HLEG) han aportado importantes pistas acerca de una acción legislativa horizontal en el área de IA. 

Después de una consulta pública que tuvo lugar en 2020, la Comisión Europea espera desvelar una propuesta legislativa para la regulación de la IA en el primer trimestre de 2021. Queda por ver hasta qué punto convertirán los legisladores europeos los principios éticos identificados por el AI HLEG, tales como la acción y supervisión humanas o la solidez técnica y la seguridad, en normas obligatorias y vinculantes.

 

  1. Código Europeo de las Comunicaciones Electrónicas (EECC)

 

El EECC, una nueva Directiva que incorpora la mayor parte de la legislación sobre comunicaciones electrónicas de la UE, debería haberse implementado el 21 de diciembre de 2020.  Con algunos Estados Miembro aún sin cumplir los plazos establecidos, normalmente debido al COVID-19, la Comisión Europea ya ha adoptado un Reglamento Delegado sobre tarifas de terminación de voz en la UE tanto para llamadas fijas como móviles, lo cual reduce los precios mayoristas de llamadas de voz dentro de la UE con el objetivo de reflejar tal reducción en los precios retail que asumen los consumidores.

El impacto que tendrá el EECC en los mercados de telecomunicaciones aún está por ver. La nueva Directiva ofrece a los reguladores nacionales mayores opciones para enfrentarse a los fallos de mercado a través de compromisos de los agentes dominantes. Moderniza y armoniza las normas con la vista puesta en el 5G y las tecnologías que le siguen, e introduce regulación para la protección de consumidores que utilizan servicios de comunicaciones OTT no vinculados a números. Esto último ha estado hasta ahora excluido de la regulación del sector de telecomunicaciones. 

Los efectos prácticos dependerán en su mayoría de la implementación en los Estados Miembro. Por ejemplo, ¿serán los reguladores capaces de contener las medidas regulatorias a fin de fomentar la aparición de actores de infraestructura de banda ancha exclusivamente mayoristas? La implementación a nivel nacional también será crucial para recoger todos los beneficios del nuevo espectro de normas de gestión, conforme a Vesna Prodnik de Vafer, una consultora especializada en telecomunicaciones móviles: “Los Estados Miembro aún tienen gran discrecionalidad en cuanto a las reglas exactas para simplificar la ubicación de las inalámbricas en áreas pequeñas, que son cruciales para la densidad de red 5G necesaria.”

 

  1. Identidad electrónica

 

Conforme más empresas y particulares se pasan al contexto online debido a la pandemia del COVID-19, los fraudes de identidad online se descontrolan en mayor medida. ¿Deberían los gobiernos centralizar su enfoque a la identidad electrónica? ¿O deberíamos basarnos en soluciones de identidad ofrecidas de manera descentralizada y comercial?  ¿Debería todo el mundo recibir un certificado electrónico u otros medios para verificar quiénes son en el entorno online? 

El Reglamento europeo eIDAS ha introducido un marco de interoperabilidad para que los ciudadanos europeos utilicen sus propios esquemas nacionales de identificación electrónica   (eIDs) para acceder a los servicios públicos en otros Estados Miembro. También ha creado un mercado interno para servicios de confianza- a saber, firmas electrónicas, sellos electrónicos, sello de tiempo, servicio de entrega electrónica y autenticación web. – asegurando que funcionarán a través de las fronteras y tienen el mismo estatus legal que los equivalentes nacionales en papel. 

A pesar de estos desarrollos, parece que aún estamos lejos de una identificación electrónica uniforme y universalmente aceptada, especialmente a nivel internacional. Un mayor empuje puede venir de la revisión por parte de la Comisión Europea del Reglamento eIDAS, que está actualmente en proceso tras una consulta pública abierta. 

 

Próximos pasos para empresas TIC

 

  • Comprueba cómo tus operaciones online podrían verse afectadas en el future por las obligaciones adicionales propuestas por la EU Digital Services Act.
  • Si desarrollas soluciones IA, considera realizar una evaluación de impacto de la ética de la IA para asegurar viabilidad a largo plazo. 
  • Comprueba si alguno de los servicios que ofreces online podrían clasificarse como servicios de comunicación interpersonal y por tanto estar sujetos al EECC. 

En Aphaia continuamos al día de todos estos desarrollos. Contacta con nosotros si tu empresa requiere asistencia al respecto. Puedes visitarnos en https://aphaia.consulting para explorar todos los servicios que ofrecemos.