TikTok multada

TikTok, multada por la autoridad de control de Holanda

 

TikTok se enfrenta a una multa de la autoridad de control de Holanda por no proporcionar a sus usuarios información traducida.

 

TikTok ha sido multada recientemente por la autoridad de control de Holanda, según informa el CEPD. Tras una investigación efectuada sobre aplicaciones de uso común entre los menores, se descubrió que la información proporcionada por TikTok en el momento de la descarga e instalación, entre lo que se incluye la política de privacidad, se encontraba en inglés. En consecuencia, la falta de una version en el idioma holandés viola los derechos de los usuarios, pues no se les está ofreciendo información clara y comprensible sobre el tratamiento de sus datos personales, lo que es en sí mismo una infracción de la normativa de protección de datos. La multa impuesta a TikTok por estos hechos asciende a 750.000€, la cual ya ha sido recurrida por la compañía.

 

TikTok, multada por la autoridad de control de Holanda y ahora también investigada por la autoridad de control de Irlanda tras establecer allí su sede.

 

Esta multa inicial fue impuesta por la autoridad de control de Holanda en un momento en el que TikTok no tenía sede en Europa. Ahora, con ésta operativa en Irlanda, será la autoridad de control de Irlanda quien tendrá que llevar a cabo cualquier investigación sucesiva derivada de estos hechos. La autoridad de control de Holanda sólo puede ya evaluar la infracción relacionada con la traducción de la política de privacidad, que ya había sido solventada cuando se estableció la sede en Irlanda. Cuando las empresas no cuentan con oficinas en Europa, cualquier Estado Miembro puede supervisar sus actividades, pero desde el momento en que se establece una sede en un país europeo, la responsabilidad recae sobre la autoridad de control de dicho territorio.

 

TikTok ha realizado cambios en su aplicación para hacerla más segura para sus usuarios menores de edad.

 

Desde el pasado octubre, cuando la autoridad de control de Holanda presentó sus resultados de la investigación, TikTok ha realizado algunos cambios para proteger a sus usuarios menores de 16 años. Mientras que estas modificaciones no ofrecen una protección absoluta dado que los usuarios aún pueden crear una cuenta con información falsa, la autoridad de control recibe de forma positiva estos ajustes por parte de TikTok para reducir el riesgo en menores. Los padres podrán ahora gestionar las cuentas de sus hijos a través de sus propios perfiles o mediante la funcionalidad “Emparejamiento Familiar”. Esta novedad no evitará que los menores se expongan ellos mismos a riesgo si mienten sobre su edad, pero sí ofrecerá a los padres el poder de revisar las cuentas de sus hijos y ofrecer mayor seguridad sobre las mismas.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

 

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

La CNIL da luz verde

La CNIL da luz verde a un concierto experimental en París

La CNIL da luz verde a un concierto experimental en París tras una solicitud de autorización, dado al tratamiento de datos de categoría sensible. 

 

A medida que los gobiernos de todo el mundo centran sus esfuerzos en reabrir e impulsar las economías afectadas por la pandemia del COVID-19, se están también intentando retomar la celebración de eventos masivos, algo que se ha prohibido en muchos países desde el inicio de la crisis sanitaria. El mes pasado publicamos la opinión de la CNIL sobre el uso de los pasaportes COVID para la admisión a eventos masivos. La autoridad de control abordó así los aspectos de privacidad y protección de datos que serían necesarios para que esta actividad se retome de manera funcional. Debido al gran volumen de datos personales que se tratarían, se solicitó autorización a la CNIL para la celebración del concierto, y estudiar de este modo el riesgo de propagación del COVID-19. La CNIL ha mostrado su total apoyo a la realización de este proyecto con fines de investigación, y ha reiterado la importancia de asegurar complimiento con el RGPD y la normativa nacional de protección de datos. 

 

Este concierto experimental es parte de un ensayo clínico que estudia el riesgo de infección por COVID-19 en multitudes.

 

El ensayo clínico consiste en dos grupos de personas, un grupo experimental de 5000 componentes que asistió al concierto y otro, denominado grupo de control y compuesto por 2500 participantes, que no lo hizo. El objetivo del estudio es analizar la transmisión del COVID-19 en una reunión a gran escala o en un evento de multitudes en una habitación cerrada, con la aplicación de los protocolos de salud. El concierto, que estaba programado para el 29 de mayo, se considera el primer intento de recuperar los conciertos con público de pie en Francia. Se han llevado a cabo experimentos similares en otros países europeos como España, y se espera que estas pruebas aporten información sobre cómo de seguro es reintroducir los eventos masivos en el día a día de una sociedad tras la pandemia.  

 

Dado el volumen de datos personales tratados para el desarrollo de este ensayo clínico, se solicitó autorización a la CNIL. 

 

La investigación llevada a cabo por el promotor del concierto experimental implicaba el tratamiento de datos personales de categoría especial de un gran número de sujetos. Durante el estudio, los participantes tuvieron que realizarse numerosas pruebas COVID-19, cuyos resultados se almacenaron de forma centralizada. Asimismo se les concedió la opción de presentar una prueba reciente de resultado negativo, bien de forma online o física. Además, los componentes del grupo experimental fueron grabados durante el proceso, mediante cámaras inteligentes, en un esfuerzo de evaluar las circunstancias bajo las cuales los asistentes a estos eventos son menos propensos a respetar la normativa sobre las mascarillas. Para ello, se informó a cada participante individualmente sobre la manera en la que se iba a realizar el estudio, y se recogió su consentimiento por escrito de manera previa, con la confirmación de que éste era libre, específico e informado. Se les solicitó consentimiento para participar en la investigación en general y también para ser grabados. A su vez, el mismo podía ser retirado en cualquier momento sin justificación. 

 

La CNIL apoyó completamente la iniciativa, y concedió la autorización el mismo día en que recibió la solicitud.  

 

La CNIL, en consideración de los retos a los que se han enfrentado los profesionales del entretenimiento en Francia durante la pandemia, ha otorgado su completo apoyo a este concierto experimental. La autoridad de control destacó la importancia de cumplimiento con el RGPD y el resto de la normativa de protección de datos, al igual que el hecho de otorgar garantías para la protección de los derechos y libertades individuales. Este concierto es tan sólo uno de los tantos proyectos de investigación que se han beneficiado del apoyo técnico y legal por parte de la CNIL durante la crisis sanitaria. Muchos de ellos se han autorizado en menos de dos días a fin de cumplir con los límites de tiempo establecidos, con un total de 117 autorizaciones de investigación médica emitidas por la CNIL durante la pandemia del COVID-19. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una nueva ley

Una nueva ley europea impone un tiempo límite a los gigantes tecnológicos para eliminar contenido de internet

Una nueva ley europea impone un límite de una hora para que los gigantes tecnológicos eliminen contenido terrorista. 

 

El mes pasado, el Parlamento Europeo adoptó una nueva ley que obliga a las plataformas de Internet a eliminar contenido terrorista en un plazo de una hora desde el envío de la orden por parte de la autoridad competente. Según informa Euractiv, esta normativa dirigida a frenar la propagación de contenido terrorista en el entorno online ha generado cierta controversia. La Comisión Europea ha elaborado esta ley sobre de varios ataques terroristas que han tenido lugar en el espacio comunitario, de manera que se considera un paso necesario en el combate para impedir que se promulgue contenido terrorista en internet. La Ley entró en vigor el 28 de abril, tras ser aprobada por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior en enero. 

 

La legislación se adoptó sin votación, después de haber sido aprobada por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior. 

 

La Comisión de Libertades Civiles, Justicia y Asuntos de Interior aprobó la nueva normativa el 11 de enero. Hubo 52 votos a favor y 14 en contra. A fin de evitar un nuevo debate en la Cámara, se aprobó la legislación sin necesidad de voto en el Pleno. Desde entonces, la ley ha recibido algunas críticas y ciertos sectores han expresado su disconformidad con su implementación, dado la ausencia de suficiente oportunidad de debate. Las principales reservas en torno a la misma surgen alrededor de la posibilidad de utilizar esta regulación para silenciar debate no terrorista que pueda considerarse controvertido, o de que las plataformas comiencen a monitorizar de manera preventiva el contenido publicado por medio de algoritmos. 

 

Los críticos afirman que un período tan corto podría hacer que las plataformas utilicen más algoritmos. 

 

Algunos críticos han denominado a esta ley “anti-libertad de expresión” y se instó a los europdiputados a que la rechazasen. Antes de la reunion del 28 de abril, 61 organizaciones colaboraron en una carta abierta al legislador europeo donde solicitaron que se opusiesen a la propuesta de ley. Aunque la Comisión ha tratado de calmar algunas de las principales preocupaciones al respecto, aún persisten algunas de las críticas, pues se teme que un plazo de tiempo tan corto para eliminar el contenido terrorista pueda impulsar a las plataformas a desarrollar herramientas de moderación del contenido. Asimismo, destacan que esta ley también podría usarse potencialmente para localizar y silenciar grupos no terroristas. Los detractores de esta ley también afirman que “sólo los tribunales o autoridades administrativas independientes deberían estar capacitados para emitir órdenes de eliminación de contenido”.  

 

Se han añadido nuevas provisionas a la nueva ley en consideración de las críticas recibidas. 

 

Ante las críticas recibidas, el legislador europeo ha añadido una serie de garantías, y ha aclarado de manera específica que esta ley no tiene como objetivo “material difundido con fines educacionales, periodísticos, artísticos, de investigación o para despertar conciencia contra la actividad terrorista”, en un esfuerzo de frenar los intentos oportunistas de utilizar esta ley para actuar en contra de grupos no terroristas y silenciarlos por desacuerdos o malentendidos.  Además, ahora la normativa estipula que “cualquier requerimiento de tomar medidas específicas no deberá incluir una obligación de utilizar herramientas automáticas por parte del proveedor de servicios de hosting”, a fin de lidiar con la posibilidad de que las plataformas sientan que necesitan emplear este tipo de recursos para monitorizar las publicaciones ellas mismas. Por último, también se han añadido obligaciones de transparencia, pero los críticos continúan insatisfechos con estas modificaciones. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.