Una decisión vinculante del CEPD modifica una resolución anterior sobre el caso de WhatsApp Irlanda

Una decisión vinculante del CEPD modifica el borrador de decisión sobre la controvertida actualización de la política de privacidad de WhatsApp y menciona la infracción del principio de transparencia y la necesidad de recalcular el importe de la multa  

 

A raíz de la controvertida actualización de la política de privacidad de WhatsApp, la autoridad de control de Irlanda emitió una resolución inicial. Sin embargo, otras autoridades de control presentaron sus objeciones a la misma. De acuerdo a este informe, el Comité Europeo de Protección de Datos (CEPD) ha adoptado una decisión vinculante conforme al Artículo 65 del RGPD por la cual reconoce la necesidad de realizar una serie de modificaciones en varias áreas de la resolución de la autoridad de control de Irlanda, entre las que se incluyen las partes relativas a la infracción del principio de transparencia, la subestimación del cálculo de la multa y la otorgación de un plazo indulgente para actualizar sus operaciones en cumplimiento con la normativa. El artículo 65 del RGPD permite al CEPD tomar la decisión final cuando existe desacuerdo entre la autoridad de control principal y otras autoridades de control interesadas en la materia.  

El CEPD explica que la infracción implica una brecha del principio de transparencia del RGPD. 

 

El CEPD señaló que la información proporcionada no aportaba detalles sobre los intereses legítimos que se persiguen, lo cual supone una infracción del artículo 13 (1) (d) del RGPD. El CEPD explicó también que de ello se derivaba una brecha del principio de transparencia del Artículo 5 (1) (a) del RGPD. De hecho, el procedimiento empleado para recoger datos de no usuarios no asegura que se haga de forma anónima. 

La decisión vinculante del CEPD toma en cuenta el beneficio de la matriz de WhatsApp para decidir el importe de la multa. 

El CEPD considera que el beneficio de una empresa no es sólo importante para el cálculo de la máxima multa que se puede imponer, sino que también debe tenerse en cuenta para determinar el importe recomendado para una multa a fin de que ésta sea proporcionada, efectiva y con efecto disuasorio. Asimismo, el CEPD indicó que a estos efectos deberá considerarse también el beneficio de la empresa matriz (en este caso, Facebook Inc.). Por otro lado, el CEPD interpretó por primera vez el Artículo 83 (3) del RGPD, en relación al cual concluyó que cuando se han cometido varias infracciones vinculadas con las mismas actividades de tratamiento, todas ellas deberían valorarse para el cálculo de la multa. 

El CEPD también propone un plazo más corto para que WhatsApp actualice sus operaciones en cumplimiento con la normativa.  

La autoridad de control de Irlanda estableció un plazo de seis meses para que WhatsApp actualizase sus operaciones en cumplimiento con la normativa aplicable. Sin embargo, el CEPD considera que las obligaciones relativas al principio de transparencia deben ser implementadas a la mayor brevedad posible. Como resultado, se reduce el plazo inicial de seis meses a tres. 

 

En consecuencia, la autoridad de control de Irlanda ha adoptado una nueva resolución que incorpora los comentarios del CEPD. WhatsApp Irlanda ha sido notificado debidamente de esta resolución y también se ha adjuntado una copia de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

CEPD y el SEPD lanzan una opinión

El CEPD y el SEPD lanzan una opinión conjunta que plantea la prohibición del reconocimiento facial

El CEPD y el SEPD han realizado una petición conjunta para la prohibición del reconocimiento facial automatizado en espacios públicos. 

 

El CEPD y el SEPD proponen una prohibición del uso de IA para identificación biométrica en espacios públicos, lo que incluiría reconocimiento facial, huellas dactilares, ADN, reconocimiento de voz y otros indicadores biométricos y de comportamiento. Esta petición llega después de que la Comisión Europea haya elaborado, a principios de este año, normas armonizadas sobre Inteligencia Artificial. Mientras que el CEPD y el SEPD acogen la introducción de normas que regulan el uso de sistemas de IA en la UE por instituciones, organismos o agencias, ambos han expresado su preocupación en torno a la exclusión en la propuesta de cooperación internacional para la toma de acciones legales. Asimismo, el CEPD y el SEPD destacan que es necesario aclarar que la actual normativa de protección de datos de la UE se aplica a cualquier tratamiento de datos personales bajo el ámbito de la propuesta de regulación de los sistemas de IA.  

El CEPD y el SEPD solicitan una prohibición general del uso de IA en espacios públicos, especialmente en aquellos casos que puedan resultar en discriminación.  

 

En la opinión conjunta que el CEPD y el SEPD han publicado recientemente, ambos reconocen que la identificación biométrica en espacios públicos presenta grandes riesgos, especialmente en el caso de aquellos sistemas que emplean datos biométricos para clasificar a los sujetos conforme a información relativa a etnia, género, orientación política o sexual u otros campos sobre los cuales se prohíbe la discriminación. De acuerdo al Artículo 21 de la Carta de Derechos Fundamentales de la UE “Se prohíbe toda discriminación, y en particular la ejercida por razón de sexo, raza, color, orígenes étnicos o sociales, características genéticas, lengua, religión o convicciones, opiniones políticas o de cualquier otro tipo, pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad, edad u orientación sexual”. El CEPD y el SEPD también solicitan que se prohíba el uso de IA con la finalidad de inferir el estado emocional de las personas, excepto en escenarios específicos, como por ejemplo en casos donde esto sea necesario en el campo de la salud. Sin embargo, ambas instituciones mantienen que cualquier uso de este tipo de IA con el objetivo de clasificación o puntuación social debería quedar estrictamente prohibido. Dr. Bostjan Makarovic, Socio Gerente de Aphaia, recuerda que “Debería tenerse en cuenta que un sistema general de reconocimiento facial en espacios públicos dificulta que se pueda informar a los interesados sobre dicha práctica, lo cual también hace imposible oponerse al tratamiento, incluida la elaboración de perfiles”. 

 

El CEPD y el SEPD consideran que se precisa mayor claridad sobre el rol del SEPD como autoridad de control competente.  

 

Las organizaciones valoran de manera positiva que la Comisión Europea designe al SEPD como la autoridad de control y organismo supervisor para las instituciones, agencias y cuerpos dentro de la Unión Europea. Sin embargo, consideran que se requiere mayor transparencia sobre las tareas específicas asignadas al SEPD en dichas funciones. El CEPD y el SEPD reconocen que las autoridades de control nacionales ya están aplicando el RGPD y la Directiva 2016/680 en el contexto de IA que implique el tratamiento de datos personales, pero sugieren un enfoque regulatorio más armonizado, que incluya a las autoridades de control como las autoridades de supervisión nacionales designadas y una interpretación consistente de las provisiones de tratamiento de datos a lo largo de la UE. Por otro lado, su comunicado también demanda una mayor autonomía para el Comité Europeo de Inteligencia Artificial a fin de evitar conflicto y crear una atmosfera apropiada para una institución europea de IA libre de influencia política. 

 

Visita nuestro vlog para más información sobre reconocimiento facial en espacios públicos.

¿La IA forma parte de tus productos o servicios y necesitas ayuda para cumplir con la normativa? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Código de Conducta de la Nube

El CEPD aprueba el Código de Conducta de la Nube para la UE

El CEPD aprueba el Código de Conducta de la Nube para la UE a fin de asegurar que la industria de la nube en Europa cumpla con el RGPD. 

 

La industria de la nube ha aprobado recientemente dos códigos de conducta con el objetivo de que dichos servicios en Europa cumplan con el RGPD. Euractiv ha informado de que el Comité Europeo de Protección de datos (“CEPD”) aprobó el mes pasado dos códigos de conducta para los proveedores de servicios e infraestructura en la nube. La presidenta Andrea Jelinek afirmó que “Apreciamos los esfuerzos realizados por los responsables del código para elaborar los códigos de conducta, los cuales son una herramienta práctica y transparente que reduce costes, asegura una mayor consistencia en el sector e impulsa el cumplimiento con el marco de protección de datos”. Estos dos códigos de conducta son los primeros de este tipo aprobados de manera official por las autoridades de protección de datos, y ofrecerán un plan de acción para el cumplimiento con la regulación de protección de datos en Europa. 

 

Todos los proveedores de servicios en la nube están invitados a unirse al Código de Conducta de la Nube para la UE, que cubre todo el espectro de servicios en la nube. 

 

El nuevo Código de Conducta de la Nube para la UE cubre todo el rango de servicios: software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). El código se ha elaborado junto a diversas autoridades de la Unión Europea, y se dirige a los proveedores de servicios en la nube, con el objetivo tanto de ofrecer orientaciones para su cumplimiento con la normativa de protección de datos como de generar confianza en los consumidores. Existen diferentes opciones de participación según el interés de cada proveedor de servicios en la nube, quienes pueden declarar sus servicios como adheridos al código.  Se espera que éste potencie la transparencia y confianza en el sector de los servicios en la nube europeos. Los dos códigos designarán organismos de control independientes para asegurar su correcta aplicación y desempeñarán auditoría externa y estarán acreditados por la autoridad de protección de datos correspondiente. 

 

Se espera que estos códigos de conducta estimulen la industria de la nube y aporten mayor certeza tanto a las empresas como a los ciudadanos de la UE. 

 

Mientras que sólo el 36% de las empresas utilizan computación en la nube, la incertidumbre en en torno a la aplicabilidad judicial y a la protección de datos se perciben como barreras. Se espera que este importante paso hacia unas orientaciones claras para las empresas europeas solucione estos problemas, dado que los servicios en la nube son cada vez más populares. Como incentivo adicional para las compañías, estas podrán ahora lidiar con el dilema generado por la resolución del caso Schrems II. Aunque estos códigos no pueden usarse en el contexto de transferencias internacionales, los clientes podrán solicitar el almacenamiento de sus datos dentro de la UE. Los ciudadanos de la UE disfrutarán los beneficios de mayor control sobre sus datos personales, transparencia sobre la localización de los datos y certidumbre en cuanto al tratamiento de los mismos.  

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.