Conforme a la autoridad de control de Polonia, se requiere una base legal para audio vigilancia.

La autoridad de control de Polonia indica que la audio vigilancia requiere una base legal y ha multado al Centro de Varsovia para Personas Intoxicadas por ausencia de la misma.

 

La autoridad de control de Polonia ha sido recientemente informada de que el Centro de Varsovia para Personas Intoxicadas grabó entre 2016 y 2021 sonido a través de sus sistemas de vigilancia sin contar con una base legítima para hacerlo, según ha indicado el CEPD en su informe. Conforme a los documentos, esta práctica se llevó a cabo en sus instalaciones por medio del sistema de vigilancia. El hecho de que se grabase sonido durante un período de tiempo tan largo implica que la infracción podría potencialmente haber afectado a un gran número de personas. La autoridad de control de Polonia considera que es excesivo grabar el audio de personas que se encuentran en estado de intoxicación, pues ello les impide realizar afirmaciones conscientes o tener un control adecuado sobre los sonidos que emiten.  

 

El responsable explicó que el tratamiento de estos datos era necesario para cumplir con una obligación legal. 

 

La autoridad de control de Polonia solicitó al responsable que indicase la base legal que utilizaba para recoger datos personales en forma de sonidos, quien indicó que el tratamiento de dichos datos era necesario para cumplir con una obligación legal. Además de los estatutos del Centro, el responsable hizo referencia a las normas recogidas en la Ley Polaca sobre Educación en Sobriedad y Lucha contra el Alcoholismo y explicó que sus sistemas graban audio y video y que la finalidad perseguida es, entre otras cosas, llevar a cabo una vigilancia continua y garantizar la seguridad de las personas que están en el Centro. La autoridad de control de Polonia también fue informada de que los archivos de audio y video se almacenan por un período que abarca entre 30 y 60 días, excepto en aquellos casos en los que la grabación debe usarse como prueba en otros procedimientos. 

 

La autoridad de control de Polonia determinó que la normativa que regulaba las actividades del Centro no les permitía grabar audio como datos personales. 

 

En su resolución, la autoridad de control de Polonia indicó que ninguna de las bases listadas en el artículo 6.1 del RGPD sería válida en este caso, y en concreto tampoco la del artículo 6.1.(c), es decir, obligación legal a la que el responsable está sujeto. La autoridad de control también concluyó que ninguna de la normativa que regula la actividad del Centro le permite grabar audio de datos personales como parte de sus actividades de vigilancia.  

 

Se impuso una multa de 2.200 € al Centro de Varsovia para Personas Intoxicadas. 

 

En la determinación de la cantidad de la multa administrativa, la autoridad de control de Polonia tuvo en cuenta el grado de cooperación con la autoridad por parte del responsible como un factor de mitigación. Asimismo, el responsable cesó esta práctica cuando recibió noticia del inicio de los procedimientos y eliminó todos los datos, como muestra de consideración hacia los derechos de los sujetos. En consecuencia, se impuso una multa administraiva de 2.200e al responsable. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La Ley de Mercados Digitales y la Ley de Servicios Digitales se aprueban de manera oficial en la UE

La Ley de Mercados Digitales y la Ley de Servicios Digitales se han aprobado oficialmente en la UE.

 

El Parlamento Europeo ha aprobado recientemente la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales (DSA), que permitirán controlar cualquier ventaja desleal que pretendan tomar los gigantes tecnológicos como Google, Amazon, Apple, Facebook y Microsoft. Las empresas podrán ahora enfrentarse a multas que alcanzan el 10% de su beneficio global anual por infracciones de la DMA y el 6% por infracciones de la DSA. El legislador europeo y los Estados Miembro de la UE han llegado a un acuerdo político al respecto, pero aún quedan algunos detalles por definir.  

 

La DMA y la DSA establecerán normas estrictas sobre la manera en la que las grandes compañías tecnológicas pueden operar, a fin de prevenir el abuso de poder. 

 

La DSA prohíbe la publicidad dirigida a niños o aquella que utilice categorías especiales de datos como religión, género, raza y opiniones políticas. La DMA requerirá a las empresas hacer sus servicios de mensajería interoperables y asegurar que los usuarios tienen acceso a sus datos. Los usuarios profesionales de estas plataformas serán ahora capaces de promocionar productos y servicios de la competencia y cerrar acuerdos con los clientes fuera de las mismas. Las grandes empresas tecnológicas no podrán otorgar una ventaja desleal a sus propios servicios frente a los de sus rivales ni impedir a sus usuarios eliminar software o apps preinstaladas. Se espera que estas dos normas afecten en concreto a Google y Apple. Los patrones oscuros, técnicas que confunden a los usuarios para dar sus datos personales a las empresas de forma online tal y como desarrollamos en el blog de Aphaia, también estarán prohibidos. 

 

La Comisión Europea ha establecido un grupo de trabajo para la aplicación de la DMA y la DSA. 

 

La Comisión Europea ha establecido un grupo de trabajo que consta de alrededor de 80 expertos para colaborar en la aplicación de la DMA y la DSA. Además, los reguladores crearán el Centro Europeo para la Transparencia Algorítmica para atraer científicos de datos y algoritmos que ayuden con su implantación. Andreas Schwab, el diputado que se encargó de llevar este tema en el Parlamento Europeo, ha propuesto el uso de un grupo de trabajo más grande para contrarrestar la capacidad económica de las Big Tech y su acceso a abogados.  Otras organizaciones también han expresado sus preocupaciones. La Directora Adjunta de la Organización Europea de Consumidores, Ursula Pachl, indicó que “Hicimos sonar las alarmas la semana pasada junto a otros grupos civiles en torno al hecho de que si la Comisión no contrata a los expertos que necesita para controlar las prácticas de las Big Tech en el mercado, la legislación podría verse obstaculizada por una aplicación ineficaz”.  El Comisario Europeo de Mercado Interior y Servicios Thierry Breton ha dado respuesta a estas preocupaciones y ha afirmado que varios equipos trabajarán en asuntos particulares como evaluaciones de riesgo, interoperabilidad de los servicios de mensajería y acceso a los datos durante el proceso de aplicación de estas normas.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL advierte de que las funciones personalizadas de Google Analytics no hacen legal la transferencia de datos

La CNIL ha anunciado que las transferencias de datos con Google Analytics no son legales ni aunque se utilicen las funciones personalizadas. 

 

La CNIL ha anunciado recientemente que incluso con el uso de las funciones personalizadas de Google Analytics, las transferencias de datos a través de esta tecnología no son legales en ausencia de un acuerdo de transferencia de datos entre Europa y Estados Unidos. Este anuncio se ha incluido en la página de respuestas y preguntas de la CNIL, como una clarificación después de que numerosas empresas mostrasen su esperanza de que las funciones de personalización pudiesen emplearse de tal modo que hiciesen legales las transferencias de datos entre Europa y Estados Unidos a través de Google Analytics. Sin embargo, según la CNIL, la utilización de esta herramienta sigue sin cumplir con el RGPD aunque ahora haya algunas opciones preventivas disponibles. 

 

A pesar de que se están realizando grandes esfuerzos para reemplazar el ya anulado Privacy Shield, las autoridades indican que aún queda un largo camino por recorrer. 

 

A principios de este año, la CNIL envió comunicaciones formales a una serie de empresas tras determinar que las transferencias de datos a Estados Unidos a través de Google Analytics son ilegales. Esta decisión se basó en la resolución del TJUE en el caso Schrems II que anuló el Privacy Shield hace dos años. Mientras que se anunció que dicha herramienta se reemplazaría, aún queda mucho camino por recorrer. La Vicepresidenta ejecutiva de la Comisión Europea, Margrethe Vestager, confirmó en el Foro Internacional de Ciberseguridad que tuvo lugar a principios de este mes que las negociaciones “han finalizado”, pero también indicó que “aun queda mucho trabajo por hacer”.  

 

En ausencia del Privacy Shield, la CNIL ha dado respuesta a una serie de preguntas y preocupaciones relacionadas con otras soluciones que se han ofrecido al respecto. 

 

Mientras que se espera el reemplazo del Privacy Shield, la CNIL ha sido muy transparente y ha ofrecido clarificación siempre que ha sido necesario. La autoridad de control ofreció también su opinión sobre la posibilidad de configurar Google Analytics de tal modo que no se transfiriesen datos fuera de la UE, de tal manera que ha expresado al respecto una clara negativa acompañada de una explicación centrada en que “el uso de soluciones propuestas por compañías sujetas a jurisdicciones no europeas puede dar lugar a dificultades en cuanto al acceso a los datos”. Este será el caso incluso en ausencia de una transferencia, pues Google ha confirmado a la CNIL que todos los datos recogidos por Google Analytics son almacenados en Estados Unidos. 

 

Muchas de las soluciones alternativas no se consideran satisfactorias, pues cualquier transferencia de datos personales a Estados Unidos parece suponer un riesgo. 

 

Google ha propuesto la implementación de garantías adicionales como la anonimización y el cifrado de los datos, pero la CNIL no considera satisfactorias ninguna de estas soluciones. La CNIL reconoce la función de anonimización de IP proporcionada por Google, pero indica que no se aplica a todas las transferencias y que Google ha sido incapaz de demostrar que la anonimización tiene lugar antes de que los datos sean transferidos a Estados Unidos. Los identificadores únicos no son tampoco una buena solución porque su uso puede ser identificado a través de la asociación con otros datos. La CNIL establece que las soluciones de cifrado de datos ofrecidas por Google fueron ineficientes, pues Google ofrece y guarda las claves, lo que permite a la compañía acceder a los datos si así lo desea. Como resultado, cualquier compañía u organización que quiera utilizar esta herramienta necesitará obtener consentimiento explícito de los sujetos afectados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La autoridad de control de Dinamarca aclara el concepto de “exportador de datos”

La autoridad de control de Dinamarca ha aclarado algunas preguntas relacionadas con el concepto “exportador de datos” originadas a raíz de la decisión del TJUE en el caso “Schrems II”. 

 

Desde la publicación de la decisión del TJUE en el caso “Schrems II”, la autoridad de control de Dinamarca ha recibido un gran número de preguntas relacionadas con la transferencia de datos personales a terceros países. Muchas de ellas se centran en el concepto de “exportador de datos” y consideraciones en torno a quien debería asegurar que la transferencia de datos tiene lugar conforme a la normativa aplicable, especialmente en situaciones complejas.  Mientras que el concepto “exportador de datos” no se define en el RGPD, sí que se desarrolla en las cláusulas tipo publicadas por la Comisión Europea, que es una de las herramientas más utilizadas para transferir datos conforme al Capítulo V del RGPD. En consecuencia, la autoridad de control de Dinamarca ha publicado una aclaración del rol y concepto de “exportador de datos”. 

 

Un responsable o encargado del tratamiento en un tercer país a quién se le transfieren datos bajo las cláusulas tipo es considerado un “importador de datos”. 

 

Un responsable de datos europeo puede utilizar cláusulas tipo para transferir datos a un responsable o encargado del tratamiento en un tercer país. El responsable o encargado de tratamiento en el tercer país sería entonces considerado el “importador de datos”. Esta situación ha creado algunas dudas sobre cuál de las partes debe garantizar la legalidad de la transferencia bajo el RGPD, especialmente en aquellos casos en los que uno o más de los sub-encargados de tratamiento se encuentra fuera de la EU/EEA. 

 

El RGPD establece que las dos partes (tanto exportador como importador) son responsables de determinar la base legal para la transferencia. 

 

Conforme al artículo 44 del RGPD, “Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.”. La autoridad de control de Dinamarca interpreta este Artículo del RGPD como una obligación aplicable tanto al responsable como al encargado de los datos. Las dos partes deben por tanto asegurar que existe una base legítima que sea efectiva para la transferencia de datos a la luz de las circunstancias de la misma. 

Bajo el RGPD, se espera que tanto el responsable como el encargado tomen las medidas necesarias para garantizar la seguridad de los datos. 

 

El artículo 32 del RGPD establece que el responsable y el encargado de los datos deben establecer un nivel de seguridad adecuado. La autoridad de control de Dinamarca considera que tanto el responsable como cualquier posible encargado de tratamiento son sujetos independientes en relación a esta obligación, lo que significa que se espera que tanto el responsable de los datos como el encargado deben implementar las medidas técnicas y organizativas que sean apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Cuando el encargado aporta toda o la mayor parte de la infraestructura técnica, la tarea del responsable es asegurar -y ser capaz de demostrarlo ante la autoridad de control de Dinamarca- que el encargado ha establecido un nivel de seguridad satisfactorio sobre los datos que se tratan. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.