Nuevo litigio entre Schrems y Facebook

Nuevo litigio entre Schrems y Facebook

Facebook se enfrenta a un nuevo litigio contra el abogado Max Schrems tras un conjunto de preguntas remitidas por parte del Tribunal Supremo de Austria al TJUE. 

 

El abogado y activista austriaco Max Schrems protagoniza de nuevo los titulares tras aceptar el Tribunal Supremo de Austria su solicitud para remitir ciertas cuestiones clave sobre Facebook al TJUE. En este caso, la acusación central de Schrems se construye sobre el argumento de que Facebook viola los derechos de los usuarios bajo el RGPD en relación al consentimiento, y el hecho de que la empresa emplea el consentimiento como un contrato que les permite reproducir publicidad dirigida. Según algunos informes recientes, esta larga batalla entre Facebook y Max Schrems cuestiona las bases legales de Facebook para tratar los datos de sus usuarios europeos. 

Facebook ha estado tratando datos de sus usuarios bajo el RGPD sobre la base de contrato en lugar de consentimiento.  

 

Desde que el RGPD comenzó a aplicarse en 2018, Facebook ha mantenido la postura de que sus usuarios están sujetos a un contrato para recibir publicidad personalizada, en lugar de recabar consentimiento para tratar los datos con dicha finalidad. El RGPD establece los requisitos necesarios para un consentimiento válido, y este movimiento de Facebook se percibió como un intento de operar de manera paralela a estas normas y evitar la necesidad de obtener el consentimiento libre e informado de sus usuarios.  

 

Max Schrems afirmó que “Facebook ha intentado despojar a sus usuarios de muchos derechos que el RGPD les garantiza simplemente ‘reinterpretando’ el consentimiento como un contrato civil”. 

 

También se acusó a Facebook de no adherirse al principio de minimización de datos del RGPD. 

 

Se acusó a Facebook de recoger más datos de los necesarios, especialmente mediante el botón “Like”, presente en diversas páginas web, entre ellas Facebook.com. En consecuencia, se remitieron al TJUE cuestiones de esta naturaleza así como otras relacionadas al tratamiento de datos de categoría sensible por parte de Facebook (por ejemplo, afiliación política u orientación sexual) con finalidades de publicidad dirigida. Schrems considera que estas preguntas son cruciales: “Podría quedar prohibido para Facebook emplear los datos con finalidades de publicidad, incluso cuando cuenta con consentimiento válido. De la misma manera, podría tener que filtrar datos de categoría sensible como opiniones políticas o la orientación sexual“.

 

Max Schrems recibió 500 € como compensación por los daños derivados de las técnicas de obstrucción que Facebook empleó contra él.  

 

Facebook fue acusado de crear una “caza de los huevos de Pascua” cuando Max Schrems le solicitó acceso completo a sus datos. Conforme al Tribunal, Max Schrems no recibió sus datos primarios y tampoco información muy básica sobre el tratamiento, como la base legal sobre la que se tratan sus datos. Como resultado, se le ofreció una compensación simbólica de 500€ por los daños causados por las técnicas de obstrucción de información de Facebook. Ahora se han remitido varias cuestiones esenciales al TJUE por parte del Tribunal Superior de Justicia de Austria, en relación al presunto no cumplimiento del gigante tecnológico con el RGPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Se aprueba la Ley de Privacidad de Colorado

La Ley de Privacidad de Colorado ha sido aprobada, lo que convierte a Colorado en el tercer estado de Estados Unidos en contar con normativa completa de privacidad. 

 

La Ley de Privacidad de Colorado (CPA), aprobada recientemente, ofrece un marco de privacidad completo a los residentes de Colorado por primera vez en su historia. Colorado se convierte así en el tercer estado de Estados Unidos en promulgar una ley de estas características, muy similar a las que le han precedido, con algunas diferencias mínimas. Por ejemplo, al contrario que la CCPA de California, la CPA ha adoptado un enfoque responsable/encargado, en lugar de la perspectiva empresa/prestador de servicios. Esta nueva ley comparte muchos elementos con la Ley de Protección de Datos Personales del Consumidor (CDPA) de Virginia, con un ámbito de aplicación ligeramente más amplio.  

 

La Ley de Privacidad de Colorado se aplica en el contexto de prestación de servicios o venta de productos a consumidores residentes en Colorado. 

 

La CPA se aplica a los responsables del tratamiento que operan en Colorado, así como a aquellos cuyos productos se dirigen a residentes de Colorado, siempre y cuando cumplan los siguientes requisitos: 

 

  • Tratamiento de datos personales de al menos 100.000 consumidores durante un año. 
  • Beneficio o descuento obtenido por la venta de datos personales y tratamiento de datos personales de al menos 25.000 consumidores. 

 

Conforme a la CPA, el concepto ‘consumidor’ se refiere a residentes en Colorado que actúan como personas naturales o en un contexto doméstico. Esta definición deja fuera a todos aquellos sujetos que actúan en su capacidad profesional, en un contexto comercial o laboral, de manera que la CPA no se aplica a los datos de los empleados, al igual que sucede con la CDPA. 

La CPA se aplica al intercambio de datos personales por una contraprestación monetaria o valor de otro tipo entre el responsable y un tercero. 

 

La CPA considera venta de datos personales tanto cuando existe una contrapartida monetaria como cuando se da cualquier otro intercambio de valor, en oposición a la CDPA que sólo contempla el primer caso. Entre las situaciones que se excluyen del concepto de venta, se encuentran las siguientes cesiones: aquellas realizadas al encargado por parte del responsable, las que recaen sobre terceros con la finalidad de ofrecer el producto o servicio solicitado por el consumidor, las efectuadas a otras entidades del responsable y aquellas que tienen lugar en el contexto de una fusión, adquisición, bancarrota u otra transacción en la que la tercera parte controle parte o la totalidad de los activos del responsable. 

Los datos anonimizados y la información disponible de manera pública no entran en el ámbito de aplicación de la CPA.

 

Al igual que la CDPA, la CPA no se aplica a los datos anonimizados ni a la información disponible de manera pública. La CPA define información disponible de manera pública como “cualquier información que se ha hecho pública a través de los registros gubernamentales y aquella sobre la que el responsable tiene una base razonable para creer que ha sido puesta a disposición pública por parte del consumidor”. La CPA incluye otras dos exenciones, bajo la categorías de tipo de entidad y tipos de datos. La primera es más amplia y excluye a los responsables de la obligación de cumplir con la CPA, por ejemplo, en el caso de entidades ya reguladas por la Gramm-Leach-Blilet Act, para las instituciones financieras. 

 

La CPA recoge cinco derechos principales para los consumidores.

La CPA recoge cinco derechos principales para los consumidores, los cuales incluyen el derecho de acceso, derecho de corrección, derecho de supresión, derecho de portabilidad y derecho de oposición. El derecho de acceso concede a los consumidores el derecho de confirmar si el responsable está tratando datos personales que les conciernen, y de acceder a los mismos. Bajo la CPA, los consumidores también pueden rectificar imprecisiones en sus datos personales, en consideración de la naturaleza de los mismos y la finalidad del tratamiento. En relación al derecho de portabilidad, los consumidores podrán recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, que permita la transmisión de datos a otra entidad, cuando sea posible.  Asimismo la CPA garantiza a los consumidores el derecho a oponerse al tratamiento de sus datos personales con la finalidad de publicidad dirigida, venta o elaboración de perfiles para toma automatizada de decisiones que produzca efectos legales o similares.

 

Se establecen varias obligaciones para los responsables y encargados bajo la CPA. 

 

La CPA impone varias obligaciones sobre los responsables, entre las que se incluyen deberes de transparencia, limitación de finalidad, minimización de datos, cuidado, evaluaciones de impacto, contratos de tratamiento de datos y garantías adicionales para los datos de categoría sensible, además de evitar usos secundarios de los datos y cualquier tipo de discriminación ilegítima. La CPA requiere que los responsables proporcionen una política de privacidad accesible, clara y completa. Si los datos se venden a un tercero o se tratan con finalidades de publicidad dirigida, el responsable deberá ofrecer la información relevante al respecto y habilitar medios para que los consumidores se opongan a ello. Se deberá también en el momento de la recogida de los datos personales, especificar las finalidades concretas para las que se estos se tratan. La CPA también instaura una política de minimización de datos por la cual los responsables solo podrán recoger datos que sean adecuados, relevantes y limitados a lo que es razonadamente necesario. Además, los responsables no pueden tratar los datos para fines que no sean especiales o compatibles con aquellos que se definieron en el momento de la recogida, y tampoco pueden tratar categorías sensibles de datos personales sin consentimiento. Las evaluaciones de impacto y los contratos son una parte fundamental de las obligaciones bajo la CPA. Por ejemplo, la relación entre responsable y encargado deberá estar regulada por un contrato entre ambos. 

 

¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, RGPD, LSSI, CCPA y CPA? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD y servicios de derecho comparado, y también evaluaciones de impactoevaluaciones de la ética de la IAevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí. 

 

Recomendación de la UNESCO sobre la ética de la IA

Los Estados Miembro han alcanzado un acuerdo sobre la Recomendación de la UNESCO sobre la ética de la IA. 

 

La Organización de las Naciones Unidas para la Educación, la Ciencia y la Cultura (UNESCO) han alcanzado un acuerdo en relación a la Recomendación sobre la ética de la Inteligencia Artificial (IA). La primera versión del documento fue enviada a los representantes de los Estados Mimbro en septiembre de 2020. Después, representantes del Comité especial intergubernamental de técnicos y expertos legales se reunieron en abril y junio de este año para examinarla. La Recomendación sería así la primera en establecer un marco global para la ética de la IA. El borrador final será presentado a los Estados Miembro para su adopción en la 41º sesión de la Conferencia General de la UNESCO en noviembre.

 

La Recomendación aborda las cuestiones éticas de la IA de la forma en que indica la UNESCO. Se ha tomado un enfoque holístico, comprensivo, multicultural y evolutivo y el objetivo es afrontar la responsabilidad derivada de las tecnologías de IA, tanto sus aspectos conocidos como los desconocidos. El documento define la IA como “tecnologías de procesamiento de información que integran modelos y algoritmos que generan capacidad de aprendizaje y desarrollo de tareas cognitivas que conducen a resultados como predicción y toma automatizada de decisiones en entornos materiales y virtuales”. La Recomendación se centra en las implicaciones éticas de la IA desde una perspectiva amplia vinculada con las funciones de la UNESCO, que incluye educación, ciencia, cultura, comunicación e información.  

 

La Recomendación de la UNESCO sobre ética de la IA pretende establecer un marco para guiar las diferentes etapas del ciclo de vida de los sistemas de IA a fin de promover los derechos humanos.  

 

El objetivo de la Recomendación de la UNESCO sobre la ética de la IA es influir en las acciones de los individuos, grupos, comunidades, compañías privadas e instituciones para asegurar que la ética reside en el centro de los sistemas de IA, y busca impulsar el diálogo y el consenso a través de generar comunicación en las materias relacionadas con la ética de la IA a un nivel multidisciplinar y con participación de varias partes interesadas. Este marco universal de valores, principios y acciones se orienta a proteger, promover y respetar los derechos y libertades humanos, igualdad, dignidad, diversidad y preservación del medioambiente, en cada etapa del ciclo de vida del sistema de IA. La Recomendación incluye un conjunto de valores y principios que deberán respetar todos los actores en el campo de la IA durante todo el proceso de desarrollo y utilización de la misma. Los valores juegan un papel esencial como ideales motivadores en el establecimiento de políticas, normas legales y acciones y se basan en el reconocimiento de que la confiabilidad e integridad de la IA es determinante para asegurar que esta tecnología actuará por el bien de la humanidad. 

 

La Recomendación incluye una compilación de valores considerados aptos para cumplir con el estándar ético de IA definido por la UNESCO. 

 

La Recomendación de la UNESCO sobre la ética de la IA se erige sobre los valores de respeto, protección y promoción de los derechos humanos y libertades fundamentales en torno a la dignidad inherente de cada ser humano, independientemente de la raza, el color, descendencia, edad, género, idioma, condición socioeconómica, discapacidad o cualquier otro factor. También defiende que debería apoyarse el desarrollo de los ecosistemas y el medio ambiente, para promoverlos y protegerlos a lo largo de todo el ciclo de vida de los sistemas de IA. La Recomendación pretende asegurar que la diversidad y la inclusión convivan en sociedades pacíficas, justas e interconectadas.  

 

El documento también recoge varios principios que deberían regir la tecnología que incorpore IA, en todas las etapas de su ciclo de vida. 

 

De manera similar a las Directrices Éticas para una IA Fiable del Alto Grupo de Expertos en IA (AI HLEG), la UNESCO ha destacado los principios clave sobre los que debería operar una IA fiable, entre los que cabe destacar la proporcionalidad, la seguridad, la sostenibilidad y el derecho a la privacidad y protección de datos, los cuales se explican en detalle. La Recomendación afirma claramente que deberá ser siempre posible atribuir responsabilidad ética y legal a cualquier etapa del ciclo de vida del sistema de IA. Los principios de transparencia, explicabilidad, responsabilidad, rendición de cuentas y supervisión y determinación humanas se encuentran en la base de la Recomendación, con una mención específica a la participación de los actores interesados y gobernanza y colaboración adaptativas, para asegurar que los Estado cumplen con la normativa internacional mientras que regulan los datos que atraviesan su territorio.

 

La Recomendación de la UNESCO sobre la ética de la IA determina diferentes áreas con el objetivo de operacionalizar los valores y principios que subraya. 

 

La Recomendación anima a los Estado Miembro a establecer medidas efectivas para asegurar que otros actores interesados incorporan los valores y principios de una tecnología IA ética. La UNESCO reconoce que los diversos Estados Miembro se encontrarán en varias fases de preparación para implementar la Recomendación, de forma que se desarrollará un informe de evaluación para determinar la situación de cada Estado Miembro. La Recomendación sugiere que todos los Estados Miembro deberían introducir marcos de evaluación de impacto para identificar y medir beneficios, preocupaciones y riesgos en torno a los sistemas de IA. Además, los Estado Miembro deberían asegurar que los procedimientos de gobernanza de IA son inclusivos, transparentes, multidisciplinarios, multilaterales y multiparte. La gobernanza debería garantizar que cualquier daño generado a través de sistemas de IA es investigado y rectificado, mediante la promulgación de mecanismos sólidos de aplicación y medidas coercitivas. Las políticas de datos y la cooperación internacional son también extremadamente importantes en este marco global. La Recomendación incluye una serie de sugerencias sobre cómo los Estados Miembro deberían evaluar el impacto directo e indirecto de los sistemas de IA, en cada punto de su ciclo de vida y sobre el medio ambiente y los ecosistemas. También defiende que las políticas que rodean las tecnologías digitales y la IA deberían contribuir a alcanzar de manera plena la igualdad de género, la preservación de la cultura, la educación y la investigación, así como el acceso a información y conocimiento. Asimismo, la Recomendación realiza una mención específica sobre cómo los Estados Miembro deberían velar por la preservación de la salud y el bienestar a través del uso y prácticas éticas de IA.  

Cristina Contero Almagro, Socia de Aphaia, señala que “La Propuesta de Reglamento para la regulación de IA publicada por la Comisión Europea en abril de 2021 y esta Recomendación sobre la ética de la IA presentada por la UNESCO muestra el interés de las instituciones en regular la IA, tanto a nivel europeo como a nivel global. Las empresas que utilicen IA tienen ahora su oportunidad para adaptar sus sistemas y practices a fin de estar preparadas antes de que elm arco normative se haga obligatorio”.  

 

¿Utilizas IA y necesitas ayuda para cumplir con la normativa? Podemos ayudarte. Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Se adoptan dos decisiones

Se adoptan dos decisiones de adecuación para las transferencias de datos entre Reino Unido y la Unión Europea

La Comisión Europea ha adoptado dos decisiones de adecuación en relación a las transferencias internacionales a Reino Unido.

 

La Comisión Europea ha aprobado dos decisiones de adecuación para Reino Unido. Desde que tuvo lugar el Brexit, se han generado ciertos interrogantes sobre la adecuación de Reino Unido, y, en particular, el nivel de protección que reciben las transferencias de datos entre la UE y Reino Unido. Con la adopción de estas dos decisiones de adecuación- una bajo el RGPD y la otra bajo la Directiva de protección de datos en el ámbito penal, las transferencias de datos entre la UE y Reino Unido pueden ahora realizarse de manera libre sin la necesidad de adoptar garantías adicionales, pues se considera que se otorga un nivel de protección de datos equivalente al de la UE. 

 

Las decisiones de adecuación se han adoptado después de un minucioso proceso de evaluación, durante el cual las transferencias se han realizado conforme al Acuerdo de Comercio y Cooperación.  

 

Las normativa de protección de datos de Reino Unido y las prácticas vinculadas a la misma han sido evaluadas con detenimiento desde que se publicaron en febrero los dos borradores de adecuación. En abril, el CEPD emitió su opinión sobre los mismos y después estos se sometieron a un procedimiento de voto de los Estados Miembro de la UE. Durante este período, las transferencias de datos entre la UE y Reino Unido se han podido realizar con base en el Acuerdo de Comercio y Cooperación, con fecha límite el 30 de junio de 2021. Sin el acuerdo en vigor, la ausencia de una decisión de adecuación hubiese implicado que cualquier transferencia de datos a Reino Unido estuviese sujeta a las garantías adicionales del RGPD y la Directiva de protección de datos en el ámbito penal.  

 

La normativa de protección de Reino Unido es muy similar a las leyes bajo las cuales operaba como Estado Miembro de la UE. 

 

Reino Unido, como antiguo Estado Miembro de la UE, cuenta con un sistema de protección de datos muy similar al que estaba en vigor cuando formaba parte de la Unión Europea. Los principios, derechos y obligaciones del RGPD y la Directiva de protección de datos en el ámbito penal se han incorporado de manera plena en el derecho interno de Reino Unido, lo cual ha hecho posible la adopción de las decisiones de adecuación mediante un proceso sencillo. Reino Unido ha demostrado ofrecer fuertes garantías en relación al acceso a los datos personales por parte de las autoridades públicas y, en principio, la recogida de datos por parte de agencias de inteligencia queda sujeto a la autorización previa de un órgano judicial independiente. 

 

Las decisiones de adecuación incluyen una cláusula de extinción que las limita a un período máximo de cuatro años. 

 

Las dos decisiones de adecuación incluyen sin embargo una cláusula de extinción, por la cual expirarán automáticamente en cuatro años, después de los cuales podrán ser renovadas en función de si Reino Unido continúa ofreciendo un nivel equivalente de protección de datos y sujeto a la consecución de todo el proceso de adopción de nuevo. La Comisión Europea seguirá vigilando la situación legal de Reino Unido y se reserva el derecho a intervenir en cualquier momento si existe alguna desviación sobre el actual nivel de protección de datos. Se trata de la primera vez que se incorpora una provisión que limita la duración de la validez de las decisiones de adecuación. 

 

La adecuación del RGPD relativa a los controles de inmigración ha sido excluida de la decisión, a fin de reconsiderarse a espera de las sentencias de los Tribunales de Apelación de Inglaterra y Gales. 

 

Debido a una sentencia reciente del Tribunal de Apelación de Inglaterra y Gales, las transferencias de datos con fines de controles de inmigración en Reino Unido han sido excluidas del ámbito de la decisión de adecuación del RGPD. La sentencia afecta a la validez e interpretación de ciertos derechos de protección de datos vinculados con la inmigración y control, de manera que la Comisión reevaluará la necesidad de esta exclusión una vez que este aspecto quede claro bajo la normativa de la Unión Europea. 

 

¿Realizas transferencias internacionales de datos? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, el RGPD y la LSSI? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.