Los riesgos asociados a los datos de geolocalización: análisis de la CNIL

El “Laboratoire d’Innovation Numerique de la CNIL” o LINC en Francia ha evaluado los riesgos asociados con los datos de geolocalización. 

 

El laboratorio de innovación digital de Francia, conocido como el “Laboratoire d’Innovation Numerique de la CNIL» o  LINC protegió una base de datos de geolocalización de un bróker que en teoría estaba anonimizada. La finalidad de esta práctica fue comprobar y evaluar el riesgo de re-identificación mediante el uso de tales datos. El objetivo del LINC es experimentar con métodos de anonimización con la intención de ayudar a limitar los riesgos de privacidad para los usuarios mientras que se mantiene la utilidad de la información. En concreto, este informe del LINC proporciona una breve evaluación de los riesgos asociados con la posibilidad de re-identificación a partir de un tipo específico de datos, los datos de geolocalización. 

 

Los datos de geolocalización se consideran muy valiosos porque son abundantes y precisos, lo cual permite llevar a cabo un mejor seguimiento de los individuos. 

 

El interés de los datos de geolocalización de un teléfono inteligente es indiscutible. Hemos visto sus beneficios en el contexto de lucha contra brotes epidémicos y de control de tráfico, entre otras aplicaciones, pero estos datos también se emplean en situaciones de vigilancia del comportamiento y para monitorizar a los sujetos con fines de publicidad.  El LINC planteó si los datos de geolocalización deberían considerarse también categorías especiales de datos personales. En su informe de 2017, indica que “la geolocalización y los flujos de datos son a los datos personales lo que las células madre a la biología celular”.  Y continua con la afirmación de que los datos de geolocalización “permiten inferior una cantidad considerable de datos sobre comportamiento, hábitos y estilo de vida”. El conocimiento sobre el lugar de residencia puede hacer que alguien sea capaz de deducir tu renta, dónde vas, averiguar tu modo de vida (hobbies, circunstancias familiares…), tus hábitos religiosos y preferencias sexuales, incluso tu situación de salud”. Este conjunto de datos tiene gran valor para los brókers de datos, sobre todo para aquellos especializados en la recogida y reventa de los datos de geolocalización. Así, estos datos se consideran muy valiosos por su abundancia y precisión. 

 

Aunque los datos de geolocalización son muy valiosos, estos son datos personales y por tanto se debe mantener un nivel de protección adecuado a su naturaleza. 

 

El problema reside en el hecho de que la determinación para recoger, utilizar y vender datos extremadamente precisos puede generar algunos conflictos para la protección de los datos personales de las personas a las que estos pertenecen. En muchos casos, estas personas no son conscientes de la cantidad de datos que transmiten, ni de la precisión de los mismos. En algunas ocasiones las empresas han traicionado la confianza de los usuarios mediante la venta de los datos de geolocalización de niños o personas que visitan clínicas de aborto, y a veces incluso han proporcionado contexto sobre la orientación sexual de los sujetos. A pesar de que los datos de geolocalización están normalmente anonimizados y por tanto quedarían excluidos del RGPD, hay casos en los que la naturaleza de los mismos permite la re-identificación. En la Unión Europea, los datos de geolocalización asociados con una persona, ya sea de manera directa o indirecta, se consideran datos personales y por tanto los responsables de los mismos deben respetar las normas para el tratamiento de los mismos y los derechos de los interesados.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

La CNIL impone una multa de 1 millón de euros por infracciones relacionadas con los derechos de los interesados y las obligaciones de transparencia

La CNIL impone una multa de 1 millón de euros a una compañía energética por diversas infracciones del RGPD, vinculadas con los derechos de los interesados y las obligaciones de transparencia. 

 

Tras recibir diversas quejas relativas a la dificultad de los interesados en ver satisfechas las solicitudes de acceso a los datos y las de oposición a la recepción de llamadas de marketing presentadas a TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE (TotalEnergies), la CNIL ha sancionado a la compañía de energía y suministro eléctrico con un millón de euros. La autoridad francesa también ha decidido hacer esta resolución pública, según este informe.  

 

La investigación de la CNIL reveló que TotalEnergies cometió diversas infracciones del RGPD.

 

La investigación de la CNIL evidenció que la compañía había cometido numerosas infracciones, incluida la obstaculización del ejercicio del derecho de oposición en relación a las prácticas de marketing y la no atención al resto de derechos de los interesados, así como la ausencia de información sobre derechos y otros aspectos requeridos por el artículo 14 del RGPD. Además, el formulario de contratación de los servicios de energía disponible en la página web para los usuarios no ofrecía ninguna alternativa de que los mismos se opusiesen a la recepción de comunicaciones comerciales, lo que supone una violación de la normativa nacional francesa que implementa la Directiva ePrivacy. 

 

Por otro lado, la CNIL observó que determinada información esencial sobre el tratamiento de datos no había sido comunicada a los interesados, y que además no existía ninguna forma en que los mismos pudiesen acceder a ella. La compañía infringió también el Artículo 15 del RGPD al no respetar el derecho de acceso a los datos y no cumplir con las solicitudes correspondientes. Tampoco se procesaban las solicitudes para dejar de recibir llamadas de marketing, en incumplimiento del artículo 21 del RGPD.  Finalmente la compañía tampoco cumplía con el plazo de un mes para responder a las solicitudes de ejercicio de derechos.  

 

La CNIL determinó que impondría una multa de 1 millón de euros a TotalEnergies por estas infracciones. 

 

En la determinación de la cantidad de la multa, la CNIL consideró las infracciones cometidas y las medidas tomadas por la compañía durante el procedimiento con el objetivo de cumplir con la normativa. La sanción se fijó finalmente en un millón de euros por incumplimiento con las obligaciones relativas a las prácticas de marketing y aquellas vinculadas con los derechos de los interesados. Además, la CNIL resolvió hacer esta decisión pública. 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Una brecha de seguridad de datos médicos deriva en una gran multa de la CNIL

A principios de este mes, la CNIL impuso una multa de 1,5 millones de euros por una brecha de seguridad de datos médicos que afectó a cerca de 500,000 personas y puso en evidencia algunas deficiencias.

 

A principios del año pasado se reportó una gran brecha de seguridad que afectó a cerca de 500.000 personas. La brecha comprometió información que incluía diversa información de los usuarios, entre ella nombres, apellidos, números de la seguridad social, datos de sus doctores, fechas de sus exámenes médicos y otra información crítica sobre sus condiciones médicas (HIV, cáncer, enfermedades genéticas, embarazos, tratamientos e incluso datos genéticos). En febrero de 2021, la CNIL llevó a cabo varias investigaciones sobre la empresa  DEDALUS BIOLOGY, una compañía de software que ofrece apoyo a los laboratorios de análisis médicos. Basada en sus hallazgos, la CNIL concluyó que la empresa había infringido numerosas obligaciones bajo el RGPD, y en concreto la obligación de garantizar la seguridad de los datos personales. La autoridad de control decidió así imponer una multa de 1,5 millones de euros y hacer esta decisión pública. La cuantía de la multa se determinó en consideración de la gravedad de las infracciones y el beneficio de la empresa.

 

La CNIL sancionó a la compañía de software por infringir varias obligaciones del RGPD tras la brecha de seguridad de datos médicos.  

 

La compañía habría tratado datos fuera de las instrucciones de sus clientes, en este caso los responsables de tratamiento, cuando estos le solicitaron la migración de su software a otra herramienta y DEDALUS BIOLOGY extrajo muchos más datos de los necesarios para llevar a cabo esta tarea. 

Este incumplimiento de la obligación del encargado de cumplir con las instrucciones del responsable es una infracción del artículo 29 del RGPD. La CNIL también multó a la organización por no satisfacer la obligación de regular el tratamiento mediante un acto legal, pues los contratos proporcionados a la CNIL por parte de DEDALUS no contenían las cláusulas obligatorias del artículo 28.3 del RGPD que establece que el tratamiento de datos “…se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros…” 

 

Durante su investigación, la CNIL descubrió insuficiencias técnicas y organizativas en la seguridad de DEDALUS BIOLOGY en relación a las operaciones de migración de software, entre ellas la ausencia de un procedimiento específico a tales efectos, la falta de cifrado de datos que eran almacenados en un servidor problemático y la inexistencia de la supresión automática de datos tras la migración a otro software. Además, los sistemas de la compañía carecían de la autenticación requerida desde internet para acceder el área pública del servidor y varios empleados compartían cuentas en la zona privada del servidor. DEDALUS tampoco contaba con un procedimiento de supervisión y gestión de alertas de seguridad en el servidor. Estas medidas de seguridad insatisfactorias contribuyeron a que tuviese lugar a brecha de seguridad que comprometió los datos médicos y administrativos de cerca de 500.000 personas y violó el artículo 32 del RGPD.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Google lanza un nuevo banner de consentimiento para cookies tras la multa de la CNIL

Google ha introducido un nuevo banner de consentimiento para cookies tras la multa impuesta por la CNIL bajo el RGPD.  

 

Google ha compartido un avance del que será su nuevo banner de consentimiento para cookies, el cual estará inicialmente sólo disponible en la página de YouTube en Francia y se introducirá después en todos los servicios de Google en Europa, según los planes de la compañía. Este nuevo diseño aterriza unos meses después de que la CNIL impusiese a Google una multa de 150 millones por incumplir la normativa de protección de datos. La CNIL consideró que Google infringió la legislación aplicable al no ofrecer a sus usuarios diferentes opciones de seguimiento. El nuevo banner no sólo cuenta con el texto actualizado, sino que también incluye varias opciones en su parte inferior que son muy distintas a las que contenía la anterior versión. 

 

Google ha realizado algunos cambios drásticos en las opciones que se ofrecen en la parte inferior del nuevo banner de consentimiento para cookies. 

 

Las opciones disponibles en la parte inferior de la página son radicalmente distintas a las que se mostraban anteriormente. En el antiguo diseño los usuarios tenían dos opciones — “Consiento” y “Personalizar”. Los usuarios que seleccionar “Personalizar” eran dirigidos a una página web que ofrecía varias opciones. A fin de desabilitar todos los ajustes de personalización, los usuarios tenían que pulsar “off” tres veces y después confirmar. El nuevo formato incluye a una tercera opción con un botón de “Rechazar todo” que permite a los usuarios oponerse a todos los elementos de seguimiento con un solo click. Los dos botones principales tienen el mismo color, tamaño y forma.  Bajo el RGPD y la normativa ePrivacy, los servicios online tienen que obtener el consentimiento de sus usuarios antes de tratar datos de recogidos mediante cookies que no son estrictamente necesarias. El consentimiento debe ser informado, específico y libre para que se considere válido. El nuevo enfoque permitirá a Google recoger un consentimiento más significativo de sus usuarios. 

 

Inspirada por las orientaciones de la CNIL bajo el RGPD, Google ha renovado su enfoque en la gestión de las cookies. 

 

Después de la introducción de la nueva versión del banner en la página de YouTube de Francia, Google planea utilizar el  mismo diseño para su motor de búsqueda en todo el Espacio Económico Europeo, Reino Unido y Suiza. Sin embargo, muchos usuarios no verán el banner actualizado si ya están registrados con una cuenta de Google, pues sus ajustes ya forman parte de su perfil. Además, es muy probable que las personas que utilizan Google Chrome tengan su navegador vinculado a su cuenta de Google si alguna vez han iniciado sesión en un servicio de Google. Así, mientras que los nuevos usuarios contarán con más opciones en el nuevo banner, los usuarios ya existentes podrán revisar sus ajustes de privacidad. Google afirmó en un blog reciente que: “Tras las conversaciones mantenidas y según las directrices específicas de la CNIL, hemos llevado a cabo una reforma total de nuestro enfoque. En concreto, hemos cambiado la infraestructura que empleamos para gestionar las cookies”.

¿Quieres utilizar cookies en tu página web o en tu app? ¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Infórmate aquí.