CEPD y el SEPD lanzan una opinión

El CEPD y el SEPD lanzan una opinión conjunta que plantea la prohibición del reconocimiento facial

El CEPD y el SEPD han realizado una petición conjunta para la prohibición del reconocimiento facial automatizado en espacios públicos. 

 

El CEPD y el SEPD proponen una prohibición del uso de IA para identificación biométrica en espacios públicos, lo que incluiría reconocimiento facial, huellas dactilares, ADN, reconocimiento de voz y otros indicadores biométricos y de comportamiento. Esta petición llega después de que la Comisión Europea haya elaborado, a principios de este año, normas armonizadas sobre Inteligencia Artificial. Mientras que el CEPD y el SEPD acogen la introducción de normas que regulan el uso de sistemas de IA en la UE por instituciones, organismos o agencias, ambos han expresado su preocupación en torno a la exclusión en la propuesta de cooperación internacional para la toma de acciones legales. Asimismo, el CEPD y el SEPD destacan que es necesario aclarar que la actual normativa de protección de datos de la UE se aplica a cualquier tratamiento de datos personales bajo el ámbito de la propuesta de regulación de los sistemas de IA.  

El CEPD y el SEPD solicitan una prohibición general del uso de IA en espacios públicos, especialmente en aquellos casos que puedan resultar en discriminación.  

 

En la opinión conjunta que el CEPD y el SEPD han publicado recientemente, ambos reconocen que la identificación biométrica en espacios públicos presenta grandes riesgos, especialmente en el caso de aquellos sistemas que emplean datos biométricos para clasificar a los sujetos conforme a información relativa a etnia, género, orientación política o sexual u otros campos sobre los cuales se prohíbe la discriminación. De acuerdo al Artículo 21 de la Carta de Derechos Fundamentales de la UE “Se prohíbe toda discriminación, y en particular la ejercida por razón de sexo, raza, color, orígenes étnicos o sociales, características genéticas, lengua, religión o convicciones, opiniones políticas o de cualquier otro tipo, pertenencia a una minoría nacional, patrimonio, nacimiento, discapacidad, edad u orientación sexual”. El CEPD y el SEPD también solicitan que se prohíba el uso de IA con la finalidad de inferir el estado emocional de las personas, excepto en escenarios específicos, como por ejemplo en casos donde esto sea necesario en el campo de la salud. Sin embargo, ambas instituciones mantienen que cualquier uso de este tipo de IA con el objetivo de clasificación o puntuación social debería quedar estrictamente prohibido. Dr. Bostjan Makarovic, Socio Gerente de Aphaia, recuerda que “Debería tenerse en cuenta que un sistema general de reconocimiento facial en espacios públicos dificulta que se pueda informar a los interesados sobre dicha práctica, lo cual también hace imposible oponerse al tratamiento, incluida la elaboración de perfiles”. 

 

El CEPD y el SEPD consideran que se precisa mayor claridad sobre el rol del SEPD como autoridad de control competente.  

 

Las organizaciones valoran de manera positiva que la Comisión Europea designe al SEPD como la autoridad de control y organismo supervisor para las instituciones, agencias y cuerpos dentro de la Unión Europea. Sin embargo, consideran que se requiere mayor transparencia sobre las tareas específicas asignadas al SEPD en dichas funciones. El CEPD y el SEPD reconocen que las autoridades de control nacionales ya están aplicando el RGPD y la Directiva 2016/680 en el contexto de IA que implique el tratamiento de datos personales, pero sugieren un enfoque regulatorio más armonizado, que incluya a las autoridades de control como las autoridades de supervisión nacionales designadas y una interpretación consistente de las provisiones de tratamiento de datos a lo largo de la UE. Por otro lado, su comunicado también demanda una mayor autonomía para el Comité Europeo de Inteligencia Artificial a fin de evitar conflicto y crear una atmosfera apropiada para una institución europea de IA libre de influencia política. 

 

Visita nuestro vlog para más información sobre reconocimiento facial en espacios públicos.

¿La IA forma parte de tus productos o servicios y necesitas ayuda para cumplir con la normativa? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

El ICO multa a tres empresas por marketing no solicitado

 

El ICO ha multado a tres empresas con más de 480.000€ en total tras recibir varias quejas sobre prácticas de marketing no solicitado.

El ICO ha multado a tres empresas con más de 480.000€ en total por enviar marketing no solicitado. Color Car Sales Limited, Solarwave, and LTH Holdings han sido sancionadas por varias infracciones, incluyendo la realización de llamadas no solicitadas y el envío de mensajes de texto de spam. Muchos de los sujetos que recibieron las llamadas interpusieron quejas donde alegaban que sus números se encontraban en el registro público de oposición a este tipo de comunicaciones, el TPS, y que por tanto no deberían recibirlas. En todos los casos, las empresas carecían del consentimiento necesario para enviar marketing directo a los interesados, lo cual supone una infracción de la normativa nacional que implementa la Directiva ePrivacy, la PECR en este caso, que sería equivalente a la LSSI en España. Bajo la PECR, el ICO tiene el poder de imponer una multa de hasta 580.000€ a un responsable por incumplimiento con las obligaciones de derechos de privacidad en relación a las comunicaciones electrónicas.

En el caso de Colour Car Sales Ltd, se descubrióque enviaban mensajes de texto de spam que redirigían a los usuarios a varias páginas de financiación de vehículos.

Conforme a la investigación de la autoridad de control de Reino Unido, la ICO, Colour Car Sales limited, una intermediaria financiera para coches de segunda mano, envió una gran cantidad de mensajes de texto de spam entre octubre de 2018 y enero de 2020. La finalidad de los mensajes era redirigir a los usuarios a diversas páginas definanciación. En consecuencia, el ICO recibió varias quejas interpuestas por los receptores de dichos mensajes de texto. El ICO concluyó que se trataba de una violación del artículo 22 de la PECR, el cual se aplica al envío de comunicaciones electrónicas no solicitadas por medio de email. Esta ley prohíbe el envío de comunicaciones comerciales a través de correo electrónico u otros medios equivalentes, salvo que exista una relación contractual previa, bajo las siguientes condiciones: 1) el prestador ha obtenido de forma lícita los datos de contacto del destinatario; 2) dichos datos son empleados para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente y 3) el prestador ha ofrecido al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. El artículo equivalente en la normativa española sería el Artículo 21 de la LSSI.

Solarwave Ltd fue multada por realizar llamadas de publicidad no solicitadas sobre mantenimiento de paneles solares a números que se habían opuesto a la recepción de las mismas mediante su registro en el TPS

Solarwave Limited, una compañía de energía solar de Essex, ha sido en su caso multada por realizar alrededor de 73.000 llamadas de marketing no solicitadas, entre enero y octubre de 2020. Las llamadas se hicieron a personas que no deberían haberlas recibido, cuyos números se encontraban en el registro público de oposición, el TPS. Esta lista contiene a los sujetos que han ejercido de manera legítima su derecho de oposición en relación a la recepción de llamadas de marketing, y es obligatorio para los responsables del tratamiento adherirse a la misma. Se interpusieron así varias quejas contra esta empresa, que narraban que la compañía no casaba en su práctica e incluso ignoraba las solicitudes de los interesados. El ICO determinó que se había infringido el Artículo 21 del RGPD. Sólo se pueden realizar llamadas de marketing a números registrados en el TPS si se cuenta con el consentimiento oportuno.

 

LTH holdings también efectuó llamadas de marketing no solicitado a números registrados en el TPS con el objetivo de vender planes funerarios.

Entre mayo de 2019 y mayo de 2020 LTH Holdings, una empresa de marketing telefónico, efectuó 1,4 millones de llamadas. El ICO recibió 41 quejas contra esta compañía y ha informado de que sus técnicas de marketing se habían vuelto persuasivas, agresivas y coercitivas, lo cual despertó gran preocupación, y en particular el hecho de que el mercado objetivo era normalmente personas que pertenecían a grupos vulnerables de población. LTH Holdings infringió así el artículo21 de la PECR. El ICO mantiene un lista de números registrados que pertenecen a suscriptores que han notificado su deseo de no recibir llamadas no solicitadas, bajo el artículo 26 de la PECR.El TPS opera bajo las instrucciones del ICO para el mantenimiento de dicho registro. Las empresas que deseen realizar llamadas de marketing pueden suscribirse al TPS a cambio de una cuota y recibir actualizaciones sobre la lista para asegurar que sus prácticas cumplen con la normativa correspondiente. .

Las empresas fueron multadas con más de 480.000€ en total por las diversas infracciones cometidas.

Tras recibir varias quejas sobre malas prácticas contra estas tres empresas, el ICO emitió requerimientos donde les solicitaba paralizar tales comunicaciones hasta que contasen con los debidos consentimientos. Colour Car Sales Limited fue multada con casi 200.000€ por los mensajes de spam y Solarwave y LTH Holdings con 115.000€ y 170.000€ respectivamente por las llamadas de marketing no solicitadas. La cantidad total asciendea más de 480.000€. Bajo la PECR, la ICO puede imponer a los responsables sanciones de hasta 580.000€ a cada empresa.

 

¿Tienes tus campañas de marketing bajo control? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, el RGPD y la LSSI? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA, evaluaciones de impacto detransferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Alemania adopta una nueva ley

Alemania adopta una nueva ley sobre protección de datos y privacidad electrónica

Alemania adopta una nueva ley sobre protección de datos y privacidad electrónica en los sectores de telecomunicaciones y servicios de la sociedad de la información.

 

El Parlamento alemán adoptó el mes pasado una nueva ley sobre protección de datos y privacidad en los sectores de telecomunicaciones y servicios de la sociedad de la información. Las leyes que hasta el momento habían regulado estas materias contenían provisiones parciales y contradictorias, lo cual generaba incertidumbre en muchos aspectos. Anteriormente, la regulación de protección de datos y privacidad electrónica se encontraba dividida en dos leyes, la Ley de Servicios de la Sociedad de la Información y la Ley de Telecomunicaciones, hasta el pasado 20 de mayo, cuando se aprobó la Ley de Protección de Datos, que pretende unificar la normativa del país en este ámbito y alinearla con el RGPD. Esta ley, conocida como TTDSG, podría sin embargo ser sustituida pronto por el Reglamento ePrivacy, cuyas negociaciones se encuentran en proceso. 

 

La nueva ley implementa la Directiva ePrivacy en relación al uso de cookies en Alemania. 

 

La Directiva ePrivacy, aprobada en 2002 y modificada en 2009, establece que las páginas web están obligadas a recoger el consentimiento informado de los usuarios antes de instalar y utilizar cookies. Así, la nueva normativa alemana implementa estas normas europeas sobre cookies que datan de 2009, y lo hace en consonancia con el RGPD y la jurisprudencia del TJUE del 2019 en Planet49, Caso C-673/17. La ausencia de consentimiento en el uso de cookies es incompatible con la normativa europea, tal y como demuestran diversas sentencias tanto del TJUE como de los tribunales alemanes. Cabe destacar que las últimas modificaciones de la Ley de Telecomunicaciones han sido cuestionadas por la oposición, que alegan que no contiene provisiones suficientes de protección de datos. 

 

El uso y desarrollo de fibra óptica en Alemania se beneficiará de esta nueva ley. 

 

Actualmente Alemania se encuentra a la cola de la mayoría de países europeos en lo que respecta a la implementación de fibra óptica, pues tan sólo el 4.7% de su banda ancha está representado por conexiones de fibra óptica. Muchos países europeos como Suecia, Lituania y España cuentan con unos porcentajes de conexiones de fibra óptica que oscilan entre el 69% y el 75% de la banca ancha. Es importante recordar que la fibra óptica un ancho de banda dedicado, que no se comparte con ningún otro cliente, de forma que generalmente es más rápida y fiable. La Ley de Telecomunicaciones establece claros estándares en lo relativo a los derechos de acceso a internet, basados en “80% de la velocidad de Internet empleada en subida de contenido e información y descargas”, conforme a MP Falko Mohrs. Las modificaciones de la ley no sólo reafirman el derecho de acceso a internet, sino que también contienen una lista de otros servicios, entre los que se incluyen las videoconferencias sin interferencias, que se consideran necesarias para garantizar la capacidad de los ciudadanos a fin de participar en el mundo digital. Con la introducción de este índice de referencia, que se fija y revisa de manera anual en colaboración con la agencia de red del país, Mohrs confía en que se acelerará la implementación de la fibra óptica en Alemania. 

  

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. ¿Operas de manera internacional y necesitas ayuda con la normativa nacional de cada país? Podemos ayudarte . Infórmate aquí.

La CNIL da luz verde

La CNIL da luz verde a un concierto experimental en París

La CNIL da luz verde a un concierto experimental en París tras una solicitud de autorización, dado al tratamiento de datos de categoría sensible. 

 

A medida que los gobiernos de todo el mundo centran sus esfuerzos en reabrir e impulsar las economías afectadas por la pandemia del COVID-19, se están también intentando retomar la celebración de eventos masivos, algo que se ha prohibido en muchos países desde el inicio de la crisis sanitaria. El mes pasado publicamos la opinión de la CNIL sobre el uso de los pasaportes COVID para la admisión a eventos masivos. La autoridad de control abordó así los aspectos de privacidad y protección de datos que serían necesarios para que esta actividad se retome de manera funcional. Debido al gran volumen de datos personales que se tratarían, se solicitó autorización a la CNIL para la celebración del concierto, y estudiar de este modo el riesgo de propagación del COVID-19. La CNIL ha mostrado su total apoyo a la realización de este proyecto con fines de investigación, y ha reiterado la importancia de asegurar complimiento con el RGPD y la normativa nacional de protección de datos. 

 

Este concierto experimental es parte de un ensayo clínico que estudia el riesgo de infección por COVID-19 en multitudes.

 

El ensayo clínico consiste en dos grupos de personas, un grupo experimental de 5000 componentes que asistió al concierto y otro, denominado grupo de control y compuesto por 2500 participantes, que no lo hizo. El objetivo del estudio es analizar la transmisión del COVID-19 en una reunión a gran escala o en un evento de multitudes en una habitación cerrada, con la aplicación de los protocolos de salud. El concierto, que estaba programado para el 29 de mayo, se considera el primer intento de recuperar los conciertos con público de pie en Francia. Se han llevado a cabo experimentos similares en otros países europeos como España, y se espera que estas pruebas aporten información sobre cómo de seguro es reintroducir los eventos masivos en el día a día de una sociedad tras la pandemia.  

 

Dado el volumen de datos personales tratados para el desarrollo de este ensayo clínico, se solicitó autorización a la CNIL. 

 

La investigación llevada a cabo por el promotor del concierto experimental implicaba el tratamiento de datos personales de categoría especial de un gran número de sujetos. Durante el estudio, los participantes tuvieron que realizarse numerosas pruebas COVID-19, cuyos resultados se almacenaron de forma centralizada. Asimismo se les concedió la opción de presentar una prueba reciente de resultado negativo, bien de forma online o física. Además, los componentes del grupo experimental fueron grabados durante el proceso, mediante cámaras inteligentes, en un esfuerzo de evaluar las circunstancias bajo las cuales los asistentes a estos eventos son menos propensos a respetar la normativa sobre las mascarillas. Para ello, se informó a cada participante individualmente sobre la manera en la que se iba a realizar el estudio, y se recogió su consentimiento por escrito de manera previa, con la confirmación de que éste era libre, específico e informado. Se les solicitó consentimiento para participar en la investigación en general y también para ser grabados. A su vez, el mismo podía ser retirado en cualquier momento sin justificación. 

 

La CNIL apoyó completamente la iniciativa, y concedió la autorización el mismo día en que recibió la solicitud.  

 

La CNIL, en consideración de los retos a los que se han enfrentado los profesionales del entretenimiento en Francia durante la pandemia, ha otorgado su completo apoyo a este concierto experimental. La autoridad de control destacó la importancia de cumplimiento con el RGPD y el resto de la normativa de protección de datos, al igual que el hecho de otorgar garantías para la protección de los derechos y libertades individuales. Este concierto es tan sólo uno de los tantos proyectos de investigación que se han beneficiado del apoyo técnico y legal por parte de la CNIL durante la crisis sanitaria. Muchos de ellos se han autorizado en menos de dos días a fin de cumplir con los límites de tiempo establecidos, con un total de 117 autorizaciones de investigación médica emitidas por la CNIL durante la pandemia del COVID-19. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI, también en lo que respecta a los datos de tus trabajadores? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.