La CNIL advierte de que las funciones personalizadas de Google Analytics no hacen legal la transferencia de datos

La CNIL ha anunciado que las transferencias de datos con Google Analytics no son legales ni aunque se utilicen las funciones personalizadas. 

 

La CNIL ha anunciado recientemente que incluso con el uso de las funciones personalizadas de Google Analytics, las transferencias de datos a través de esta tecnología no son legales en ausencia de un acuerdo de transferencia de datos entre Europa y Estados Unidos. Este anuncio se ha incluido en la página de respuestas y preguntas de la CNIL, como una clarificación después de que numerosas empresas mostrasen su esperanza de que las funciones de personalización pudiesen emplearse de tal modo que hiciesen legales las transferencias de datos entre Europa y Estados Unidos a través de Google Analytics. Sin embargo, según la CNIL, la utilización de esta herramienta sigue sin cumplir con el RGPD aunque ahora haya algunas opciones preventivas disponibles. 

 

A pesar de que se están realizando grandes esfuerzos para reemplazar el ya anulado Privacy Shield, las autoridades indican que aún queda un largo camino por recorrer. 

 

A principios de este año, la CNIL envió comunicaciones formales a una serie de empresas tras determinar que las transferencias de datos a Estados Unidos a través de Google Analytics son ilegales. Esta decisión se basó en la resolución del TJUE en el caso Schrems II que anuló el Privacy Shield hace dos años. Mientras que se anunció que dicha herramienta se reemplazaría, aún queda mucho camino por recorrer. La Vicepresidenta ejecutiva de la Comisión Europea, Margrethe Vestager, confirmó en el Foro Internacional de Ciberseguridad que tuvo lugar a principios de este mes que las negociaciones “han finalizado”, pero también indicó que “aun queda mucho trabajo por hacer”.  

 

En ausencia del Privacy Shield, la CNIL ha dado respuesta a una serie de preguntas y preocupaciones relacionadas con otras soluciones que se han ofrecido al respecto. 

 

Mientras que se espera el reemplazo del Privacy Shield, la CNIL ha sido muy transparente y ha ofrecido clarificación siempre que ha sido necesario. La autoridad de control ofreció también su opinión sobre la posibilidad de configurar Google Analytics de tal modo que no se transfiriesen datos fuera de la UE, de tal manera que ha expresado al respecto una clara negativa acompañada de una explicación centrada en que “el uso de soluciones propuestas por compañías sujetas a jurisdicciones no europeas puede dar lugar a dificultades en cuanto al acceso a los datos”. Este será el caso incluso en ausencia de una transferencia, pues Google ha confirmado a la CNIL que todos los datos recogidos por Google Analytics son almacenados en Estados Unidos. 

 

Muchas de las soluciones alternativas no se consideran satisfactorias, pues cualquier transferencia de datos personales a Estados Unidos parece suponer un riesgo. 

 

Google ha propuesto la implementación de garantías adicionales como la anonimización y el cifrado de los datos, pero la CNIL no considera satisfactorias ninguna de estas soluciones. La CNIL reconoce la función de anonimización de IP proporcionada por Google, pero indica que no se aplica a todas las transferencias y que Google ha sido incapaz de demostrar que la anonimización tiene lugar antes de que los datos sean transferidos a Estados Unidos. Los identificadores únicos no son tampoco una buena solución porque su uso puede ser identificado a través de la asociación con otros datos. La CNIL establece que las soluciones de cifrado de datos ofrecidas por Google fueron ineficientes, pues Google ofrece y guarda las claves, lo que permite a la compañía acceder a los datos si así lo desea. Como resultado, cualquier compañía u organización que quiera utilizar esta herramienta necesitará obtener consentimiento explícito de los sujetos afectados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Dinamarca aclara el concepto de “exportador de datos”

La autoridad de control de Dinamarca ha aclarado algunas preguntas relacionadas con el concepto “exportador de datos” originadas a raíz de la decisión del TJUE en el caso “Schrems II”. 

 

Desde la publicación de la decisión del TJUE en el caso “Schrems II”, la autoridad de control de Dinamarca ha recibido un gran número de preguntas relacionadas con la transferencia de datos personales a terceros países. Muchas de ellas se centran en el concepto de “exportador de datos” y consideraciones en torno a quien debería asegurar que la transferencia de datos tiene lugar conforme a la normativa aplicable, especialmente en situaciones complejas.  Mientras que el concepto “exportador de datos” no se define en el RGPD, sí que se desarrolla en las cláusulas tipo publicadas por la Comisión Europea, que es una de las herramientas más utilizadas para transferir datos conforme al Capítulo V del RGPD. En consecuencia, la autoridad de control de Dinamarca ha publicado una aclaración del rol y concepto de “exportador de datos”. 

 

Un responsable o encargado del tratamiento en un tercer país a quién se le transfieren datos bajo las cláusulas tipo es considerado un “importador de datos”. 

 

Un responsable de datos europeo puede utilizar cláusulas tipo para transferir datos a un responsable o encargado del tratamiento en un tercer país. El responsable o encargado de tratamiento en el tercer país sería entonces considerado el “importador de datos”. Esta situación ha creado algunas dudas sobre cuál de las partes debe garantizar la legalidad de la transferencia bajo el RGPD, especialmente en aquellos casos en los que uno o más de los sub-encargados de tratamiento se encuentra fuera de la EU/EEA. 

 

El RGPD establece que las dos partes (tanto exportador como importador) son responsables de determinar la base legal para la transferencia. 

 

Conforme al artículo 44 del RGPD, “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.”. La autoridad de control de Dinamarca interpreta este Artículo del RGPD como una obligación aplicable tanto al responsable como al encargado de los datos. Las dos partes deben por tanto asegurar que existe una base legítima que sea efectiva para la transferencia de datos a la luz de las circunstancias de la misma. 

Bajo el RGPD, se espera que tanto el responsable como el encargado tomen las medidas necesarias para garantizar la seguridad de los datos. 

 

El artículo 32 del RGPD establece que el responsable y el encargado de los datos deben establecer un nivel de seguridad adecuado. La autoridad de control de Dinamarca considera que tanto el responsable como cualquier posible encargado de tratamiento son sujetos independientes en relación a esta obligación, lo que significa que se espera que tanto el responsable de los datos como el encargado deben implementar las medidas técnicas y organizativas que sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Cuando el encargado aporta toda o la mayor parte de la infraestructura técnica, la tarea del responsable es asegurar -y ser capaz de demostrarlo ante la autoridad de control de Dinamarca- que el encargado ha establecido un nivel de seguridad satisfactorio sobre los datos que se tratan. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Reino Unido introduce una nueva estrategia de datos

Reino Unido introduce una nueva estrategia de datos enfocada a la innovación y a la mejora de la eficiencia en el sector de la salud. 

 

Reino Unido ha anunciado recientemente su nueva estrategia para datos de salud, que se centra en siete principios enfocados a aprovechar el poder y la innovación exhibidos durante la pandemia, y utilizarlo para mejorar el futuro del sector de la salud. Estos principios se implementarán para impulsar la transformación en el sector de la salud y crear un sistema seguro tanto para pacientes como para profesionales, que priorice la privacidad. Estos principios que se establecen en la estrategia de datos incluyen una mejora en la confianza sobre el uso de datos por parte del sector de la salud, lo cual permitirá proporcionar a los profesionales la información que necesitan para ofrecer el mejor cuidado, mejorar los datos para la seguridad social de adultos, apoyar a las personas que toman las decisiones de manera local con los datos, empoderar a los investigadores con los datos que precisan para desarrollar tratamientos y diagnósticos y trabajar con socios que lleven a cabo innovaciones para mejorar el sector de la salud mediate el desarrollo de la adecuada infraestructura técnica.  

 

Se diseñarán entornos seguros de datos por defecto para el sector de la salud y se utilizarán datos anonimizados en el campo de la investigación. 

 

A fin de otorgar a los pacientes la confianza necesaria sobre la seguridad de sus datos, el NHS creará entornos seguros de datos por defecto, y las organizaciones de seguridad social de adultos ofrecerán acceso a datos anonimizados para investigación. Como resultados, los datos vinculados a un individuo nunca abandonarán el servidor y los datos anonimizados sólo se utilizarán con fines de investigación. Se espera que esto permita el desarrollo de tratamientos de vanguardia y diagnósticos más rápidos a través de ensayos clínicos, así como una investigación más diversa e inclusiva para afrontar las desigualdades de salud. Se consultará al público sobre el nuevo “pacto de datos”, que establecerá cómo el sistema de salud utilizará datos de pacientes y qué se debería esperar al respecto. 

 

Esta nueva estrategia de datos pretende digitalizar y mejorar numerosos procesos y ofrecer facilidades tanto a pacientes como a profesionales de la salud. 

 

La nueva estrategia de datos introducida en Reino Unido también incluirá algunos compromisos clave con los pacientes, dándoles un mayor acceso y control sobre sus datos, lo cual incorporará una simplificación del proceso de oposición para la cesión de datos y el mejorado acceso a los registros a través de la app de NHS. La estrategia también espera que el 75% de la población adulta esté registrada con la App de NHS para marzo de 2024, convirtiéndolo en una “one stop shop” para las necesidades de salud. La nueva estrategia de datos tiene también como objetivo que al menos el 80% de los proveedores de atención social tengan un registro de atención digitalizado para marzo de 2024.

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Patrones oscuros en redes sociales

El Comité Europeo de Protección de Datos (CEPD) define los “patrones oscuros” como “interfaces y experiencias de usuario que llevan a estos a tomar decisiones no deseadas, involuntarias y potencialmente dañinas en relación al tratamiento de sus datos personales”. Así, los patrones oscuros pretenden influir en el comportamiento de los usuarios en estas plataformas y obstaculizar su habilidad de tomar decisiones conscientes que protejan sus datos de manera efectiva. Las autoridades de protección de datos son responsables de sancionar cualquier uso de patrones oscuros si estos infringen el RGPD. Los patrones oscuros incluyen, por sus términos en inglés, skipping, stirring, hindering, fickle designs y leaving users in the dark:

Overloading

Overloading hace referencia a aquellas situaciones en las que el usuario se enfrenta a una gran cantidad de solicitudes, información o posibilidades que le impulsan a compartir más datos de los necesarios o a permitir de manera inintencionada ciertos tratamientos de datos contrarios a sus expectativas. Las técnicas de overloading incluyen continua instigación y opciones que suponen laberintos en términos de privacidad. 

Skipping

Skipping implica que la interfaz o la experiencia de usuario han sido diseñadas de tal manera que los interesados olvidan algunos aspectos de protección de datos o no reflexionan sobre ellos. Algunos ejemplos de esta técnica incluyen prácticas engañosas e indicaciones del estilo de “mira aquí”.

Stirring

Stirring es un patrón oscuro que apela a las emociones de los usuarios mediante recursos visuales con el objetivo de afectar sus elecciones. Estos métodos recurren al manejo emocional y sitúan la información pertinente de tal forma que está “escondida a simple vista”.  

Hindering 

Hindering implica la utilización de técnicas de obstrucción o bloqueo relacionadas con el acceso a la información o la gestión de los datos mediante prácticas que hacen los procesos extremadamente complicados o los resultados imposibles de lograr. Los patrones oscuros que forman parte de esta categoría abarcan diseños sin salida, procedimientos más largos de lo necesario e información engañosa.  

Fickle Interfaces

Fickle interfaces se caracterizan por diseños inconsistentes y poco claros que hacen difícil navegar los controles de protección de datos y comprender la finalidad del tratamiento. Estas interfaces incluyen aquellas que carecen de jerarquía y las que utilizan la descontextualización dentro del diseño. 

Interfaces that leave users in the dark  

Se considera que una interfaz “deja a los usuarios a oscuras” si ésta se ha diseñado de una forma que esconde información o herramientas de protección de datos y como resultado arroja a los usuarios incertidumbre sobre qué datos se tratan y qué control tienen en relación al ejercicio de sus derechos. Algunos ejemplos serían discontinuidad en el lenguaje o redacción e información contradictorias.  

Hemos publicado un breve Vlog en YouTube donde destacamos los tipos de patrones oscuros y cómo el RGPD y sus principios pueden ayudar a evitarlos, así como cuáles son las principales medidas que deberían implementarse para no incurrir en sanciones. 

Suscríbete al canal de YouTube de Aphaia para más información sobre protección de datos y la ética de IA. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.