Las gafas Facebook View, cuestionadas por las autoridades de control de Irlanda e Italia

Las gafas Facebook View, cuestionadas por las autoridades de control de Irlanda e Italia en relación a la información proporcionada a los interesados cuando están grabando.

 

 

Las autoridades de protección de datos de Europa han cuestionado el nuevo producto que planea sacar Facebook en colaboración con Ray Ban, denominado “Facebook View” y que se presentó al público general con un pequeño vídeo promocional donde Mark Zuckerberg explicaba los atributos de las gafas, incluida su capacidad de realizar fotografías y grabar vídeos. En relación a esto último, y en previsión de las posibles preocupaciones vinculadas con la privacidad, Mark Zuckerberg explicó que se ha implementado una luz LED que se enciende cuando la grabación está activa, a fines informativos. Sin embargo, las autoridades de control de Irlanda y la de Italia destacan que una luz en la montura de las gafas podría no ser lo suficientemente significativa para comunicar de manera efectiva que se está grabando.

 

 

Las gafas Facebook View son mucho menos evidentes en lo relativo a la grabación que una cámara o un teléfono móvil.

 

En lo que respecta a la privacidad, es importante que las personas sean conscientes de que están siendo grabadas cuando esto ocurre, pues se trata de una percepción extendida cuando se saca una cámara o un teléfono móvil, pero no cuando se ve a alguien con unas gafas Ray Ban. De hecho, la mayoría de gente no busca una luz en unas gafas en circunstancias normales. Por este motive, las autoridades de control de Irlanda y la de Italia han emitido un comunicado conjunto donde consideran que unas gafas no pueden proporcionar de manera adecuada información sobre el hecho de que hay una grabación en curso.

 

 

Las autoridades de control solicitan a Facebook que demuestre la efectividad de la luz LED que se enciende cuando la grabación está activa, así como que lleve a cabo una campaña informativa.

 

Las autoridades de control de Irlanda e Italia alegan que Facebook no les ha demostrado que haya realizado pruebas exhaustivas para asegurar que la luz LED comunicará de manera efectiva que la grabación está activa y en consecuencia se le solicita a Facebook que lo haga, además de llevar a cabo una campaña informativa para alertar al público de manera adecuada sobre la existencia y funcionamiento de este nuevo producto, mediante el cual se pueden tomar vídeos y fotografías de manera mucho menos evidente de lo que permiten otros dispositivos en el mercado.

 

Cristina Contero Almagro, socia en Aphaia, destaca que “Facebook debería también explicar si planea combinar la información recogida mediante las gafas Facebook View con sus actuales bases de datos, especialmente porque este escenario parece muy probable si se tiene en cuenta que sus servicios principales consisten en que los usuarios de su red social puedan compartir fotos de sus amigos y contactos”.

 

 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Derecho al olvido: la autoridad de control de Eslovenia ordena la eliminación de fotografías

  1. El derecho al olvido está detrás de la última resolución de la autoridad de control de Eslovenia IPRS, que ha ordenado al responsable de los datos la eliminación de 88 fotografías.

 

La autoridad de control de Eslovenia ha ordenado la eliminación de una colección de 88 fotografías recogidas durante un período de tiempo de entre siete y 15 años. La resolución, que fue emitida en julio, gira en torno al ejercicio del derecho al olvido por parte de la interesada, tal y como ha informado el CEPD.  El Artículo 17 establece que los sujetos tienen derecho “a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”, bajo determinadas circunstancias. En este caso el responsable de los datos era una agencia de producción de contenido que creaba material sobre estilos de vida, y en este contexto almacenaba un total de 88 fotografías de la interesada demandante, quien indicó que no había otorgado su permiso para el tratamiento de sus datos y también se opuso al tratamiento tras afirmar que no existían motivos legítimos imperiosos para el que el mismo fuese válido.

 

El responsable alegó que el tratamiento era legítimo y rechazó la solicitud de la interesada para la eliminación de sus fotografías.

 

El responsable rechazó la solicitud de eliminación de las fotografías presentada por la interesada bajo la afirmación de que el tratamiento se realizaba sobre la base de interés legítimo conforme al artículo 6 (1) (f) del RGPD. Sin embargo, la autoridad de control consideró que el derecho a la libertad de expresión y el derecho a la información en este caso no prevalecían frente al derecho al olvido de la interesada y recordó que el derecho a la protección de datos debe valorarse frente al derecho a la libertad de expresión y a la información caso por caso.

 

Las fotografías y otros elementos de la página web estaban organizados de manera que se podía elaborar un perfil del interesado mediante la búsqueda de su nombre.

 

La autoridad de control de Eslovenia concluyó que las fotografías eran datos personales que formaban parte de un fichero. La fotografía principal y la descripción del resto de las fotografías iban acompañadas del nombre y el apellido de la interesada. Mediante las fotografías y la información adicional era posible determinar los eventos a los que la interesada había acudido, con quién y también sus características personales. El nombre de la interesada en el buscador podía crear un perfil que destacase las fotografías y sus datos. La web no podía concebirse como una página con información sobre un evento específico, pues permitía realizar búsquedas con el nombre y el apellido.

La autoridad de control ordenó la eliminación de las fotografías y los datos asociados, conforme a la solicitud del derecho al olvido del interesado.

 

La autoridad de control ordenó que el responsable tenía que eliminar no sólo las fotografías, sino también el nombre de la interesada, la URL y los metadatos que permitían el acceso a las fotografías. Este tipo de publicaciones normalmente se hacen con la intención de ofrecer información sobre eventos públicos y la vida íntima de algunas personas específicas. Sin embargo, la autoridad de control observe que la interesada no era una figura pública y el contenido de la página web no contribuía a ningún debate social de importancia ni se vinculaba con ningún tema de interés público. Por ello, la autoridad de control de Eslovenia decidió satisfacer la solicitud de derecho al olvido de la demandante.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de DatosEvaluaciones de la Ética de la IAimplementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

Reino Unido se plantea reformar su normativa de privacidad

Reino Unido se plantea reformar su normativa de privacidad con el objetivo de incrementar su eficacia y a su vez mantenerse en línea con el marco de la Unión Europea y otros países.  

El Gobierno británico busca crear una nueva normativa de privacidad que se base en “el sentido común, no en la marcación de casillas”. Esta iniciativa podría distanciar a Reino Unido del marco legal de protección de datos de la Unión Europea, incluido el RGPD, que también ha servido de base para redactar la versión británica del mismo, el denominado “UK GDPR”, actualmente en aplicación tras el Brexit. Conforme al secretario de cultura, esto podría suponer el final de los banner y consentimiento de cookies tal y como los conocemos ahora. Sin embargo, este nuevo régimen tendría que ser validado por la Comisión si se pretende obtener una decisión de adecuación, pues de otra forma las transferencias de datos entre Reino Unido y Europa podrían verse afectadas. 

Después de octubre se nombrará un nuevo presidente de la ICO que sustituirá a Elizabeth Denham.

El secretario de cultura pretende desarrollar en el campo de protección de datos una política que ayude tanto a las empresas como a los particulares a lo largo de Reino Unido. El Gobierno prevé asignar la tarea de supervisar esta transformación a John Edwards, que será designado como nuevo presidente de la ICO. Actualmente es el Presidente de la autoridad de control de Nueva Zelanda y la primera opción de Reino Unido para sustituir a la actual presidenta de la ICO, Elizabeth Denham, cuyo mandato finaliza el 31 de octubre.

¿Ayudará la nueva normativa a las pequeñas empresas o implicará más barreras al comercio y la inversión? 

Mientras que las normas sobre consentimiento para las cookies han sido muy criticadas tanto por la industria como por los usuarios, representan una porción ínfima del actual marco del RGPD y es improbable que jueguen un rol decisivo en lo que respecta a una adecuación mutua entre naciones. La foto completa es la actual libertad de transferencia de datos entre Reino Unido y la UE/EEE, que se basa en la decision de adecuación de la Comisión Europea y todavía aporta a las empresas de tecnología de Reino Unido una ventaja competitiva. Al respecto, Bostjan Makarovic, Socio Gerente de Aphaia, afirma que “poner esto en peligro perjudicaría, con una alta probabilidad, cualquier beneficio de las empresas tecnológicas en lo que se refiere a un régimen de cumplimiento simplificado. Debemos también tener en cuenta que los consumidores de Reino Unido se han acostumbrado a un alto grado de protección de datos, y ellos no consideran el RGPD (y su equivalente en Reino Unido) como una carga burocrática innecesaria”.  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

La autoridad de control de Malta publica su guía sobre el consentimiento de cookies

La autoridad de control de Malta ha publicado una guía con los requisitos que se deberán aplicar a la recogida de consentimiento para el uso de cookies. 

 

La autoridad de control de Malta ha publicado una guía con los requisitos aplicables al uso de cookies, con el objetivo de ayudar a las empresas y organizaciones a implantar en sus páginas web y apps un procedimiento que cumpla con la normativa vigente. Las cookies son archivos alfanuméricos que se almacenan en un dispositivo para un uso inmediato o posterior, en cuyo caso pueden incluir memorización de preferencias, información de inicio de sesión o reconocimiento de individuos mediante identificadores únicos.  

 

La autoridad de control de Malta enfatiza la importancia del concepto de consentimiento. 

 

El uso de cookies en una página web o app está tan solo permitido bajo determinadas circunstancias en cumplimiento con la legislación aplicable. La guía de la autoridad de control de Malta se centra en las cookies de seguimiento, entendidas como aquellas empleadas con fines comerciales de publicidad dirigida y estipula que para instalarlas de manera legítima en los dispositivos de los usuarios se require un mecanismo de consentimiento válido que permita a los interesados llevar a cabo una acción afirmativa y les informe de manera adecuada sobre las condiciones aplicables a dicho consentimiento. Tanto con la Directiva ePrivacy como con el RGPD, el concepto de consentimiento es esencial para obtener y almacenar datos personales de manera legítima.  

 

El concepto de consentimiento bajo la Directiva ePrivacy está relacionado con el del RGPD. Como resultado, los requisitos para obtener un consentimiento válido son acumulativos. Así, éste deberá ser libre, específico, informado y derivar de una “declaración o una clara acción afirmativa”, lo que implicaría el acuerdo para el tratamiento de sus datos personales. Asimismo, el consentimiento deberá poder retirarse en cualquier momento. 

 

Conforme a la normativa nacional que transpone la Directiva ePrivacy en Malta “el almacenamiento de información o el acceso a información almacenada en el dispositivo de un usuario sólo estará permitida bajo la condición de que el interesado haya dado su consentimiento”.  

 

La transparencia es esencial para asegurar que los derechos y las libertades de los sujetos permanecen protegidos. 

 

El RGPD recoge que los sujetos deben estar informados y contar con un conocimiento básico de la situación, lo que les permitirá decidir si otorgar o no su consentimiento y saber cómo retirarlo después si así lo deseasen, como indica el artículo 7 (3) RGPD. En relación a las cookies, el principio de transparencia se refiere a la provisión de información adecuada sobre la actividad de tratamiento, incluidos los detalles sobre cómo los interesados podrán ejercitar sus derechos. En consecuencia, el RGPD señala que los interesados deberán recibir información sobre cómo pueden retirar su consentimiento antes de otorgarlo. No ofrecer una opción de oposición al tratamiento o la información sobre la misma supone una infracción de varios artículos del RGPD. 

 

Conforme a la guía, los muros de cookies, las casillas premarcadas y la navegación continuada no se consideran un consentimiento válido. 

 

La autoridad de control de Malta destaca una serie de funciones que deberán evitarse a fin de recoger un consentimiento válido, entre los que destacan los muros de cookies, las casillas premarcadas y la navegación continuada obligada. 

 

Muros de cookies

 

Los muros de cookies son banners vinculados a una página web o a una app móvil que sólo permiten a los usuarios acceder si estos otorgan su consentimiento para el uso de todas las cookies y las finalidades para las que éstas se tratan, de manera que no es posible entrar de ninguna otra forma. La recogida indiscriminada de datos personales mediante este enfoque niega a los usuarios una opción genuina y no cumple con los requisitos que establece la ley para considerarlo consentimiento válido, pues no es realmente libre. Para serlo, el acceso a los servicios y funciones no debería condicionarse al consentimiento para almacenar y recoger información. 

 

Casillas premarcadas

En algunos casos se emplean casillas premarcadas para recoger el consentimiento de cookies. Sin embargo, conforme al considerando 32 del RGPD “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. En conclusión, las casillas pre-marcadas no son una herramienta válida para obtener consentimiento bajo el RGPD.

 

Navegación continuada

La práctica de recoger consentimiento mediante la navegación continuada por la página no se considera una acción “clara y afirmativa” en los términos del artículo 7 del RGPD y el considerando 32. Por lo tanto, este enfoque no satisface uno de los elementos básicos para que el consentimiento sea válido y además dificulta la provisión de información y el ejercicio del derecho a retirar el consentimiento.

 

¿Utilizas cookies en tu página web o app? ¿Cumples con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.