La autoridad de control de Portugal ordena al Instituto de Estadística suspender todas las transferencias internacionales de datos en un plazo de 12 horas

A principios de esta semana, la autoridad de control de Portugal ordenó al Instituto de Estadística suspender todas las transferencias de datos a terceros países en un plazo de 12 horas.

La autoridad de control de Portugal (CNPD) ha ordenado al Instituto de Estadística (INE) suspender todas las transferencias internacionales de datos relacionadas con el censo en un plazo de 12 horas por no ofrecer un nivel adecuado de protección para las mismas, conforme informa la IAPP. Tras recibir varias quejas sobre las condiciones de recogida de datos mediante internet, la autoridad de control llevó a cabo una breve investigación, lo que reveló que el INE usaba Cloudfare Inc, una empresa de seguridad estadounidense, para gestionar las encuestas del censo. Dada la naturaleza de los servicios ofrecidos por Cloudfare, la empresa está directamente sujeta a la legislación sobre vigilancia con fines de seguridad nacional.

Aunque las transferencias internacionales se basaban en SCC, se concluyó que los datos no se encontraban debidamente protegidos.

Incluso en los casos en que las transferencias se encontraban cubiertas por Cláusulas Contractuales Tipo, las autoridades de control se ven obligadas a suspender o prohibir las transferencias de datos cuando no existan garantías de que los datos personales quedarán en el país de destino sujetos a un nivel de protección similar al de la Unión Europea. Las autoridades de vigilancia de Estados Unidos imponen a ciertas empresas una obligación legal de conceder a las autoridades estadounidenses acceso ilimitado a los datos que traten sin poder informar a los sujetos afectados al respecto. Dado que CloudfareInc. se encuentra sujeta a dicha normativa y trata grandes cantidades de datos personales de ciudadanos portugueses, la transferencia presentaba un alto riesgo.

La CNPD ordenó al Instituto de Estadística el cese de todas las transferencias internacionales de datos en un plazo de 12 horas debido a la naturaleza sensible de la información recogida.

La recogida de datos por parte del INE con el fin de elaborar el censo comenzó el 19 de abril y se esperaba que estuviese completada para el 3 de mayo. Sin embargo, debido a las quejas recibidas por la CNPD en la primera semana, se ordenó el cese de las transferencias en un plazo de 12 horas. La principal razón para la orden de cese fue, además de la gran cantidad de datos tratados, la naturaleza sensible de los mismos, pues incluía información como creencias religiosas y salud.

En los últimos meses, varias autoridades de control de Europa han lidiado con casos similares.

En los últimos meses otras autoridades de control europeas como España y Alemania han tomado acciones similares en relación a la transferencia de datos sobre la base de Cláusulas Contractuales Tipo. Las transferencias a Estados Unidos o a cualquier otro tercer país que no ha sido reconocido con un nivel adecuado de protección de datos pueden presentar problemas, y el riesgo es especialmente alto cuando se trata de categorías especiales de datos, como en este caso. Cuando se realicen transferencias internacionales de datos es extremadamente importante que se garantice, mediante medidas adicionales, un nivel de protección de datos equivalente al que ofrece la normativa europea.

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Las Cláusulas Contractuales

Las Cláusulas Contractuales Tipo podrían no ser suficiente, tal y como sugiere una resolución reciente de la autoridad de control de Baviera

La autoridad de control de Baviera ha requerido a una empresa alemana que deje de usar Mailchimp, a pesar de estar aplicando Cláusulas Contractuales Tipo. 

 

Son ya varios los ejemplos prácticos que se han derivado de la aplicación del caso Schrems II. Uno de los más recientes se encuentra en Alemania, donde la autoridad de control de Baviera ha requerido a una empresa de publicidad que deje de usar Mailchimp, la popular plataforma estadounidense de email marketing. A pesar de que la transferencia de datos a Mailchimp, y por extensión a Estados Unidos, se basaba en Cláusulas Contractuales Tipo, el tribunal ha considerado que no era legítima. Se determinó que la empresa no había llevado a cabo diligencia debida en relación a la comprobación de que los datos se encontrasen protegidos de manera adecuada de cualquier solicitud de acceso por parte de las autoridades de vigilancia de Estados Unidos.  

 

Mientras que las transferencias de datos realizadas por la empresa alemana se basaban en las Cláusulas Contractuales Tipo, la autoridad de control de Baviera indicó que no se había aplicado la correspondiente diligencia debida. 

 

La queja presentada contra la compañía de publicidad alemana frente a la autoridad de control de Baviera se basaba en su uso ocasional de Mailchimp para la newsletter. Las transferencias de datos a Mailchimp que efectuaba la reclamada se encontraban cubiertas por las Cláusulas Contractuales Tipo. Sin embargo, bajo la ley de vigilancia estadounidense FISA 702, Mailchimp se cataloga como un “proveedor de servicios de comunicaciones electrónicas”, lo que sitúa a las direcciones de email transferidas en riesgo de acceso por parte de los servicios de inteligencia estadounidenses. La autoridad de control de Baviera estableció que se requerían pasos adicionales en lo que respecta a la diligencia debida a fin de identificar qué medidas adicionales deberían adoptarse para asegurar que los datos transferidos a Mailchimp se encuentran protegidos de los programas de vigilancia estadounidenses.  

 

Tras la resolución de la autoridad de control de Baviera, la compañía ha dejado de utilizar Mailchimp con efecto inmediato, a fin de evitar así posibles multas. 

 

La empresa alegó que su uso de Mailchimp era legítimo conforme al Artículo 44 del RGPD. El considerando 102 recoge que “Los Estados miembros pueden celebrar acuerdos internacionales que impliquen la transferencia de datos personales a terceros países u organizaciones internacionales siempre que dichos acuerdos no afecten al presente Reglamento ni a ninguna otra disposición del Derecho de la Unión e incluyan un nivel adecuado de protección de los derechos fundamentales de los interesados”. En este caso, se falló que esta compañía alemana no podía proteger adecuadamente los derechos fundamentales de los sujetos afectados porque no había protegido los datos de manera suficiente frente al potencial acceso de los programas de vigilancia estadounidenses. Así por tanto, la compañía de publicidad cesó inmediatamente en su uso de Mailchimp para la newsletter, con el objetivo de evitar que la autoridad de control de Baviera le impusiese una multa. 

 

Esta resolución de la autoridad de control de Baviera ofrece más contexto sobre la aplicación de Schrems II. 

 

Esta resolución de la autoridad de control de Baviera arroja más luz para aquellas empresas que estén transfiriendo datos con las Cláusulas Contractuales Tipo como mecanismo de protección, pues en ocasiones estas no serán suficientes. Se deberá aplicar diligencia debida para las transferencias de datos fuera de Europa o de Reino Unido. Debido a las leyes de vigilancia de terceros países, que podrían no ser compatibles con aquellas de Europa o de Reino Unido, podrían necesitarse medidas suplementarias para proteger de forma adecuada los datos que se transfieren a proveedores que se encuentren en dichos terceros países. 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

El CEPD publica orientaciones

El CEPD publica orientaciones sobre los asistentes de voz virtuales

El CEPD publicó a mediados de este mes unas orientaciones sobre el uso de los asistentes de voz virtuales en el contexto del RGPD. 

El CEPD busca con estas orientaciones arrojar contexto sobre el uso de los asistentes de voz virtuales. Un asistente de voz virtual (VVA, por sus siglas en inglés) es un sistema que comprende y ejecuta comandos de voz a la vez que se relaciona y trabaja con otros sistemas de IT si es preciso. Actúa como una interfaz entre los usuarios y sus dispositivos o servicios online como motores de búsqueda. Esta herramienta es cada vez más común en los últimos años, especialmente tras la integración de los dispositivos y los hogares inteligentes. Dada la popularidad de estos dispositivos en los hogares, en los vehículos y en el día a día de los usuarios que incluso los llevan consigo, existe un gran acceso a mucha información de los sujetos, a veces de carácter íntimo, lo cual puede amenazar la privacidad de los usuarios. Como resultado, los VVA se han situado en el punto de mira de muchas autoridades de control. Con la publicación de estas orientaciones, el CEPD busca ofrecer recomendaciones sobre la aplicación de estos sistemas en el contexto del RGPD, así como en el de otros marcos legales. 

Los asistentes de voz virtuales utilizan métodos de machine learning que implican la recogida e interpretación de grandes cantidades de datos de voz. 

Los asistentes de voz virtuales se basan en gran medida en métodos de machine learning para desarrollar sus funciones. Estos dispositivos normalmente tienen un comando de activación, por ejemplo mediante un botón o una palabra que accione el sistema para que se ponga en modo de activa escucha. Los VVAs normalmente dependen de grandes cantidades de datos que han de ser recogidos, seleccionados y etiquetados, para lo cual la calidad y la cantidad de datos son igual de importantes y, en consecuencia, son particularmente relevantes los fragmentos que aportan contexto al uso de los dispositivos y su implementación en condiciones reales.  En algunas circunstancias los VVA pueden capturar audio de sujetos que no pretenden usar en ese momento el asistente de voz virtual, de manera que dicha información se recoge por error.  Esto puede ocurrir por ejemplo cuando la expresión del comando de activación se detecta de manera accidental, o cuando ésta ha cambiado y el sujeto lo activa sin así quererlo al no ser consciente de la nueva palabra. Por este motivo, entre otros muchos, los asistentes de voz virtuales deben cumplir con los requisitos del RGPD para el almacenamiento de datos. 

Las orientaciones del CEPD subrayan el marco legal de los asistentes de voz virtuales no sólo en relación al RGPD, sino en algunos casos también la Directiva ePrivacy. 

Dado que los VVAs tratarán inevitablemente grandes cantidades de datos, uno de los marcos legales más relevantes al respecto es el RGPD. Además del RGPD, la Directiva ePrivacy establece un estándar específico para todos aquellos actores que almacenen o accedan a información almacenada en los dispositivos o equipos terminales del usuario. El concepto “equipo terminal” se refiere a cualquier teléfono inteligente, televisión inteligente o dispositivos de IoT similares. Los asistentes de voz virtuales deberían también considerarse equipos terminales cuando se pueda almacenar o acceder a la información en los mismos. En todos estos casos se aplicarán las disposiciones de la Directiva ePrivacy. Las orientaciones sobre los asistentes de voz virtuales publicadas por el CEPD también ofrecen aclaraciones en torno a la identificación de los encargados del tratamiento y las partes implicadas, transparencia, tratamiento de datos de menores, tratamiento de categorías especiales de datos y otros elementos de protección de datos vinculados a los VVAs. 

Las orientaciones del CEPD sobre los asistentes de voz virtuales hacen especial referencia a los mecanismos para ejercer los derechos de los sujetos. 

El CEPD recomienda varios mecanismos para el ejercicio de los derechos de los sujetos, lo cual incluye el derecho de acceso, de rectificación, de supresión y de portabilidad. Los responsables de los datos deben permitir a los usuarios, ya estén estos registrados o no, el ejercicio de tales derechos, y les deben informar al respecto, bien cuando el sujeto active el asistente de voz virtual o, como mínimo, cuando lo utilice por primera vez. Dada que la principal interacción de los VVAs se basa en el uso de comandos de voz, y una parte de los usuarios de los VVAs son personas con capacidades diversas que hacen que necesiten emplear los asistentes de voz virtuales, los diseñadores deben asegurarse de que cualquiera de los derechos puede ser ejercitado mediante comandos de voz. El CEPD recomienda implementar herramientas específicas que ofrezcan modos efectivos y eficientes de ejercitar estos derechos. 

¿Ofreces servicios relacionados con asistentes de voz virtuales o dispositivos inteligentes que los empleen? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

La CNIL multa

La CNIL multa a dos médicos por incumplir la normativa de protección de datos

La CNIL ha multado a dos médicos por sus insuficientes medidas de protección de datos personales y por la falta de notificación de una reciente brecha de seguridad

 

El pasado mes en Francia la CNIL anunció que dos médicos habían incumplido los artículos 32 y 33 del RGPD. Tras una auditoría online que tuvo lugar en septiembre de 2019, se descubrió que ambos médicos contaban con miles de imágenes almacenadas en sus servidores, a las que cualquiera podía acceder. Una investigación más detallada determinó que los dos médicos carecían de una configuración suficiente de las medidas de seguridad en su equipo, especialmente en lo relativo a su software de imágenes, lo cual condujo a dicha brecha de seguridad. Se les impuso una multa de 3.000 € y 6.000 € respectivamente, y aunque el CNIL consideró que no era necesario hacer públicos sus nombres, sí insistió en la importancia de comunicar esta decisión a fin de alertar a los profesionales de la salud sobre sus obligaciones y la relevancia de reforzar la vigilancia de sus medidas de seguridad.  

 

Los médicos multados por la CNIL no protegieron de manera adecuada los datos, violando así el artículo 32 del RGPD

 

Conforme al artículo 32 del RGPD los responsables y los encargados del tratamiento deben implementar medidas técnicas y organizativas apropiadas y acorde al nivel de riesgo, a fin de asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios. Una evaluación de impacto hubiese dado lugar a que los doctores se percatasen con antelación de las faltas en la configuración que derivaron en brecha de seguridad. 

 

El artículo 32.2 del RGPD establece que “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

 

La falta de notificación al CNIL implicó también una brecha del artículo 33 del RGPD por parte de ambos médicos

Conforme al artículo 33 del RGPD los responsables han de notificar cualquier brecha de seguridad sin dilación indebida y, cuando sea posible, dentro de las primeras 72 horas tras descubrirla. Después de descubrir que las imágenes se podían acceder de manera pública, los dos médicos debieron haber realizado las notificaciones oportunas, pero no lo hicieron. El RGPD impone dicho acto como obligatorio “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas”. Esta brecha de seguridad comprometió las imágenes médicas de sus pacientes, infringiendo así directamente sus derechos, lo que hacía necesario notificarlo a la autoridad de control.  

 

La CNIL hizo esta decisión pública a fin de mandar un mensaje a otros profesionales médicos para asegurar cumplimiento con el RGPD

 

Mientras que la CNIL no consideró necesario publicar los nombres de los doctores, sí concluyeron que era importante comunicar el incidente para concienciar a otros profesionales de la salud sobre la importancia de las medidas de seguridad que se deben aplicar sobre los datos personales El objetivo es impulsar a dichos profesionales a que se decanten por aquellas soluciones que ofrezcan mayores garantías en seguridad IT y protección de datos personales. Si no, podrían darse situaciones como las que han conducido a las multas de estos dos médicos, por no desarrollar y configurar los sistemas con las garantías suficientes. La CNIL sugiere que los profesionales utilicen proveedores competentes para asegurar cumplimiento. 

 

¿Has implementado todas las medidas de seguridad necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.