UE aprueba medidas de emergencia

La UE aprueba medidas de emergencia para la protección de los menores

El Parlamento Europeo ha aprobado medidas de emergencia temporales para la protección de los menores

 

El Parlamento Europeo adoptó el pasado 6 de julio medidas de emergencia temporales para la protección de los menores. Esta normativa permitirá a los proveedores de servicios de comunicaciones electrónicas analizar mensajes privados que comprendan cualquier tipo de abuso a menores. La Comisión Europea ha informado de que el año pasado se reportaron casi cuatro millones de archivos visuales con este contenido. También hubo 1.500 informes sobre acoso sexual infantil. En los últimos 15 años, este tipo de incidentes se han incrementado en un 15.000%.  

 

Esta nueva normativa, que pretende implementarse por medio de IA, ha despertado algunas preocupaciones en el campo de la privacidad. 

 

Estas medidas otorgan a los proveedores de servicios de comunicaciones electrónicas luz verde para analizar de manera voluntaria conversaciones privadas e identificar contenido que pueda incluir abuso sexual a menores. Con esta finalidad, se empleará IA bajo supervisión humana. También se podrán utilizar tecnologías anti abuso una vez que se hayan completado las consultas con las autoridades de control. Sin embargo, estos mecanismos han sido también señalados dadas sus implicaciones para la privacidad. El CEPD publicó el año pasado una opinion no vinculante donde cuestionaba si estas medidas podrían amenazar el derecho fundamental de la privacidad. 

 

Los críticos indican que esta medida no frenará el abuso infantil sino que hará más complicado detectarlo y potencialmente expondrá comunicaciones legítimas entre adultos.  

 

Estas medidas se redactaron en septiembre de 2020 durante uno de los peores momentos de la pandemia, cuando se produjo un máximo en el número de informes sobre acoso de menores en internet. Mientras que este nuevo marco permitirá a los proveedores de servicios de comunicaciones electrónicas supervisor material relacionado con abuso sexual de menores, tomar acción al respecto no es una obligación. 

 

En lo que concierne a la privacidad, se ha indicado el riesgo que supone exponer conversaciones legítimas entre adultos, que pueden abarcar fotos o vídeos de desnudos, en violación de su privacidad y con riesgo de que dicho material se vea comprometido. Durante las negociaciones se efectuaron algunos cambios para garantizar que se informa de manera debido a los usuarios sobre la posibilidad de analizar sus comunicaciones, así como asegurar que se establecen períodos razonables de retención de datos y limitaciones en el uso de esta tecnología. A pesar de ello, la iniciativa ha recibido críticas, que se basan en su mayoría en el hecho de que las herramientas automáticas normalmente destacan material no relevante. Los canales de información confidencial podrían también verse afectados. Por último, los detractores de esta medida argumentan que, lejos de impedirlo, esta normativa hará más difícil identificar y descubrir actos de abuso a menores, pues incentivaría técnicas ocultas. 

 

Esta medida para la protección de los menores es una solución temporal para lidiar con el problema persistente del abuso infantil. 

 

A principios de 2021 cambió la definición de comunicaciones electrónicas bajo la ley de la Unión Europea a fin de incluir servicios de mensajería. En consecuencia, la mensajería privada, anteriormente regulada por el RGPD, estará ahora también regulada por la directiva ePrivacy. A diferencia del RGPD, la directiva ePrivacy no incluye medidas para detectar el abuso infantil. Las negociaciones para revisar la directiva ePrivacy llevan varios años estancadas. Estas medidas son temporales y durarán hasta diciembre de 2025 o hasta que se apruebe la revisión de la directiva ePrivacy. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

Se adoptan dos decisiones

Se adoptan dos decisiones de adecuación para las transferencias de datos entre Reino Unido y la Unión Europea

La Comisión Europea ha adoptado dos decisiones de adecuación en relación a las transferencias internacionales a Reino Unido.

 

La Comisión Europea ha aprobado dos decisiones de adecuación para Reino Unido. Desde que tuvo lugar el Brexit, se han generado ciertos interrogantes sobre la adecuación de Reino Unido, y, en particular, el nivel de protección que reciben las transferencias de datos entre la UE y Reino Unido. Con la adopción de estas dos decisiones de adecuación- una bajo el RGPD y la otra bajo la Directiva de protección de datos en el ámbito penal, las transferencias de datos entre la UE y Reino Unido pueden ahora realizarse de manera libre sin la necesidad de adoptar garantías adicionales, pues se considera que se otorga un nivel de protección de datos equivalente al de la UE. 

 

Las decisiones de adecuación se han adoptado después de un minucioso proceso de evaluación, durante el cual las transferencias se han realizado conforme al Acuerdo de Comercio y Cooperación.  

 

Las normativa de protección de datos de Reino Unido y las prácticas vinculadas a la misma han sido evaluadas con detenimiento desde que se publicaron en febrero los dos borradores de adecuación. En abril, el CEPD emitió su opinión sobre los mismos y después estos se sometieron a un procedimiento de voto de los Estados Miembro de la UE. Durante este período, las transferencias de datos entre la UE y Reino Unido se han podido realizar con base en el Acuerdo de Comercio y Cooperación, con fecha límite el 30 de junio de 2021. Sin el acuerdo en vigor, la ausencia de una decisión de adecuación hubiese implicado que cualquier transferencia de datos a Reino Unido estuviese sujeta a las garantías adicionales del RGPD y la Directiva de protección de datos en el ámbito penal.  

 

La normativa de protección de Reino Unido es muy similar a las leyes bajo las cuales operaba como Estado Miembro de la UE. 

 

Reino Unido, como antiguo Estado Miembro de la UE, cuenta con un sistema de protección de datos muy similar al que estaba en vigor cuando formaba parte de la Unión Europea. Los principios, derechos y obligaciones del RGPD y la Directiva de protección de datos en el ámbito penal se han incorporado de manera plena en el derecho interno de Reino Unido, lo cual ha hecho posible la adopción de las decisiones de adecuación mediante un proceso sencillo. Reino Unido ha demostrado ofrecer fuertes garantías en relación al acceso a los datos personales por parte de las autoridades públicas y, en principio, la recogida de datos por parte de agencias de inteligencia queda sujeto a la autorización previa de un órgano judicial independiente. 

 

Las decisiones de adecuación incluyen una cláusula de extinción que las limita a un período máximo de cuatro años. 

 

Las dos decisiones de adecuación incluyen sin embargo una cláusula de extinción, por la cual expirarán automáticamente en cuatro años, después de los cuales podrán ser renovadas en función de si Reino Unido continúa ofreciendo un nivel equivalente de protección de datos y sujeto a la consecución de todo el proceso de adopción de nuevo. La Comisión Europea seguirá vigilando la situación legal de Reino Unido y se reserva el derecho a intervenir en cualquier momento si existe alguna desviación sobre el actual nivel de protección de datos. Se trata de la primera vez que se incorpora una provisión que limita la duración de la validez de las decisiones de adecuación. 

 

La adecuación del RGPD relativa a los controles de inmigración ha sido excluida de la decisión, a fin de reconsiderarse a espera de las sentencias de los Tribunales de Apelación de Inglaterra y Gales. 

 

Debido a una sentencia reciente del Tribunal de Apelación de Inglaterra y Gales, las transferencias de datos con fines de controles de inmigración en Reino Unido han sido excluidas del ámbito de la decisión de adecuación del RGPD. La sentencia afecta a la validez e interpretación de ciertos derechos de protección de datos vinculados con la inmigración y control, de manera que la Comisión reevaluará la necesidad de esta exclusión una vez que este aspecto quede claro bajo la normativa de la Unión Europea. 

 

¿Realizas transferencias internacionales de datos? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, el RGPD y la LSSI? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

autoridad de control de Irlanda

La autoridad de control de Irlanda publica unas orientaciones sobre el tratamiento de datos relativos a las vacunas en el entorno laboral

La autoridad de control de Irlanda publica unas orientaciones enfocadas a las empresas en relación al tratamiento de datos de salud vinculados con las vacunas. 

 

Conforme el mundo comienza a ponerse en marcha de nuevo y el teletrabajo deja paso al trabajo presencial en algunas industrias, las empresas solicitan información sobre el enfoque que deben tomar en lo relativo al tratamiento de datos personales vinculados con las vacunas de sus empleados. ¿Pueden las empresas incentivar a sus trabajadores para que se vacunen? ¿Se pueden recoger datos relacionados con el estatus de vacunación de la plantilla?¿Cómo debe tratarse esta información? A la vez que avanzan los programas de vacunación por toda Europa y un gran número ha recibido ya al menos una de las dosis, las autoridades sanitarias y las autoridades de protección de datos trabajan para ofrecer a las empresas guías sobre si deben recoger algún tipo de datos específicos y cuáles serían los límites de dicha práctica. Así, la autoridad de control de Irlanda, el DPC, ha emitido un comunicado que contempla recomendaciones para las empresas sobre cómo actuar en estos casos. 

 

El tratamiento de datos de salud debería realizarse en consonancia con las políticas gubernamentales sobre salud pública. 

 

El tratamiento de datos de salud debería basarse en las indicaciones de los gobiernos nacionales en sus políticas de salud pública. Por ejemplo, el protocolo de seguridad en el trabajo de Irlanda sugiere que son muy pocas las circunstancias en las que las vacunas deberían ofrecerse como una medida de seguridad en el entorno laboral. Sin embargo, hay algunas excepciones, como ocurre con puestos vinculados con el cuidado de la salud en primera línea. En estas circunstancias las empresas están autorizadas a tratar datos relativos a las vacunas de sus empleados. En España, la vacunación en el ámbito laboral está regulada en el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, y tiene un carácter voluntario. Sin embargo, independientemente de la vacuna, en un espacio de trabajo deberían aplicarse algunas medidas generales, como distancia mínima, obligatoriedad de mascarilla y aplicación del teletrabajo para aquellos puestos que lo permitan, las cuales deberían considerarse como paso previo antes de entrar a valorar si la recogida de información sobre el estatus de vacunación de los trabajadores es necesaria. El principio de minimización indica que no deberán recogerse datos que no sean absolutamente necesarios para la finalidad perseguida. 

Bajo el RGPD, los datos de salud se consideran categorías especiales de datos, y merecen protección específica. 

 

En consideración de que aún no se ha probado la eficacia a largo plazo de las vacunas dada la posibilidad de que surjan nuevas variantes o que sean necesarios varios recordatorios para mantener la inmunidad, el tratamiento de datos vinculados con el estado de vacunación no puede, en este momento, catalogarse como esencial en términos generales. Además, es un dato de salud que entra en la categoría de datos especiales del RGPD y, como tal, requiere cierta protección específica bajo el derecho de la UE. El requisito para la empresa de tratar datos personales puede crear una situación de desequilibrio entre el interesado y el responsable cuando en dichos roles se encuentra la empresa y el trabajador, respectivamente. No se debería solicitar a la plantilla su consentimiento a estos efectos, pues, en caso de ser otorgado, probablemente no sería de forma libre. 

 

Incluso en los casos donde se requiera cierta información de los empleados en el contexto de la pandemia, los datos personales de salud deben permanecer protegidos con las debidas garantías. 

 

Existen algunas situaciones en las que la empresa, o el personal sanitaria, puede necesitar recoger ciertos datos de salud de sus empleados. Por ejemplo, en el contexto del COVID-19, si un trabajador tuviese que viajar, la empresa necesitará conocer si cumple con los debidos requisitos para hacerlo, y las condiciones en las que tendrá lugar, pues en algunos casos se exige un período de aislamiento o cuarentena. En estos casos, se preguntaría a los trabajadores la fecha en la que podrían reincorporarse a su puesto, y la información necesaria podrá variar con la actualización de los protocolos de cada país y el avance de la pandemia. En aquellos sectores en los que sea necesario recopilar información sobre la vacuna, las empresas deberán mantenerse actualizadas de las recomendaciones sobre salud pública.  

¿Tienes dudas sobre cómo cumplir con la normativa en lo relativo al tratamiento de datos de salud en el contexto del COVID-19? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

Alemania adopta una nueva ley

Alemania adopta una nueva ley sobre protección de datos y privacidad electrónica

Alemania adopta una nueva ley sobre protección de datos y privacidad electrónica en los sectores de telecomunicaciones y servicios de la sociedad de la información.

 

El Parlamento alemán adoptó el mes pasado una nueva ley sobre protección de datos y privacidad en los sectores de telecomunicaciones y servicios de la sociedad de la información. Las leyes que hasta el momento habían regulado estas materias contenían provisiones parciales y contradictorias, lo cual generaba incertidumbre en muchos aspectos. Anteriormente, la regulación de protección de datos y privacidad electrónica se encontraba dividida en dos leyes, la Ley de Servicios de la Sociedad de la Información y la Ley de Telecomunicaciones, hasta el pasado 20 de mayo, cuando se aprobó la Ley de Protección de Datos, que pretende unificar la normativa del país en este ámbito y alinearla con el RGPD. Esta ley, conocida como TTDSG, podría sin embargo ser sustituida pronto por el Reglamento ePrivacy, cuyas negociaciones se encuentran en proceso. 

 

La nueva ley implementa la Directiva ePrivacy en relación al uso de cookies en Alemania. 

 

La Directiva ePrivacy, aprobada en 2002 y modificada en 2009, establece que las páginas web están obligadas a recoger el consentimiento informado de los usuarios antes de instalar y utilizar cookies. Así, la nueva normativa alemana implementa estas normas europeas sobre cookies que datan de 2009, y lo hace en consonancia con el RGPD y la jurisprudencia del TJUE del 2019 en Planet49, Caso C-673/17. La ausencia de consentimiento en el uso de cookies es incompatible con la normativa europea, tal y como demuestran diversas sentencias tanto del TJUE como de los tribunales alemanes. Cabe destacar que las últimas modificaciones de la Ley de Telecomunicaciones han sido cuestionadas por la oposición, que alegan que no contiene provisiones suficientes de protección de datos. 

 

El uso y desarrollo de fibra óptica en Alemania se beneficiará de esta nueva ley. 

 

Actualmente Alemania se encuentra a la cola de la mayoría de países europeos en lo que respecta a la implementación de fibra óptica, pues tan sólo el 4.7% de su banda ancha está representado por conexiones de fibra óptica. Muchos países europeos como Suecia, Lituania y España cuentan con unos porcentajes de conexiones de fibra óptica que oscilan entre el 69% y el 75% de la banca ancha. Es importante recordar que la fibra óptica un ancho de banda dedicado, que no se comparte con ningún otro cliente, de forma que generalmente es más rápida y fiable. La Ley de Telecomunicaciones establece claros estándares en lo relativo a los derechos de acceso a internet, basados en “80% de la velocidad de Internet empleada en subida de contenido e información y descargas”, conforme a MP Falko Mohrs. Las modificaciones de la ley no sólo reafirman el derecho de acceso a internet, sino que también contienen una lista de otros servicios, entre los que se incluyen las videoconferencias sin interferencias, que se consideran necesarias para garantizar la capacidad de los ciudadanos a fin de participar en el mundo digital. Con la introducción de este índice de referencia, que se fija y revisa de manera anual en colaboración con la agencia de red del país, Mohrs confía en que se acelerará la implementación de la fibra óptica en Alemania. 

  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. ¿Operas de manera internacional y necesitas ayuda con la normativa nacional de cada país? Podemos ayudarte . Infórmate aquí.