Google el derecho al olvido

Google marca un hito en privacidad al vencer la batalla legal sobre el derecho al olvido

El Tribunal de Justicia de la Unión Europea ha dictaminado que Google no tiene que aplicar de manera global el derecho al olvido garantizado por el RGPD.

El TJUE se ha pronunciado este pasado martes 24 de septiembre sobre un caso que sentará jurisprudencia: los operadores de los motores de búsqueda no tienen la obligación de eliminar en todos los países los enlaces involucrados en un ejercicio del derecho al olvido. Esto significa que empresas como Google sólo tendrán que eliminar, como respuesta a un ejercicio del derecho al olvido, los enlaces que correspondan a resultados de búsqueda en Europa y no en ningún otro sitio.

 

El fallo tiene su origen en un caso iniciado en 2015 entre la autoridad de control de Francia, el CNIL y Google Inc., en el cual el CNIL emitió una notificación a Google donde requería la eliminación de los enlaces de búsqueda en todos los dominios y nombres de sus motores y extensiones. Sin embargo, Google Inc. se negó y únicamente eliminó los resultados que estaban disponibles en los Estados Miembro. En consecuencia, el 10 de marzo de 2016 el CNIL impuso una multa de 100.000€ a Google Inc., quien, solicitó su anulación con el argumento de que el derecho al olvido no implica necesariamente que todos los enlaces deban ser eliminados sin limitación geográfica alguna.

El pasado martes el Tribunal emitió una sentencia a favor de Google Inc. y concluyó que:

Actualmente no hay ninguna obligación bajo la normativa de la UE que imponga a un motor de búsqueda eliminar todas las versiones del mismo los resultados vinculados a un ejercicio del derecho al olvido, aun con un previo requerimiento de una autoridad de control o judicial de un Estado Miembro”.

Sin embargo, la normativa europea sí que impone la obligación de eliminar los enlaces de todas las versiones del motor de búsqueda que se correspondan con los Estados Miembro, y también a implantar todas las medidas necesarias para asegurar la protección efectiva de los derechos fundamentales de los interesados. Por lo tanto, la eliminación de los resultados deberá ir acompañada, donde corresponda, de todas las medidas procedentes para prevenir de manera efectiva o, al menos, disuadir a cualquier usuario de internet de realizar una búsqueda desde un Estado Miembro con la intención de acceder a los enlaces eliminados en su zona geográfica mediante las listas de resultados que se muestran de fuera de la UE”.

El derecho al olvido del RGPD

El artículo 17 del RGPD recoge el derecho de los interesados a solicitar la eliminación de sus datos. Sin embargo, este derecho no es absoluto y se aplica sólo en determinadas circunstancias.

Conforme a la autoridad de control de Reino Unido, la ICO, los interesados tienen derecho al olvido en los siguientes casos:

Los datos personales ya no se tratan con la finalidad para la que fueron inicialmente recogidos.
El tratamiento tiene como base legal el consentimiento y el interesado retira su consentimiento.
El tratamiento tiene como base legal el interés legítimo y el interesado se opone al tratamiento de sus datos, cuando el interés legítimo no prevalece.
El tratamiento se realiza con finalidades de marketing y el interesado se opone a ello.
Se ha realizado un tratamiento ilegítimo de los datos (por ejemplo, en relación al primer caso arriba expuesto).
Es necesario para cumplir con una obligación legal.
El tratamiento se ha realizado para ofrecer servicios de la sociedad de la información a menores.

Bostjan Makarovic, doctor en Derecho y socio gerente de Aphaia, explica que: “Al igual que otros derechos que garantiza el RGPD, no podemos esperar que el derecho al olvido se aplique de manera global sin limitaciones. Este último fallo del TJUE clarifica los límites extraterritoriales del RGPD”.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.

Coches autónomos y RGPD

Coches autónomos y RGPD

Los coches sin conductor son cada vezmás una realidad, ¿pero qué ocurre con sus implicaciones de privacidad y protección de datos? En el artículo de hoy hablamos sobre coches autónomos y RGPD.

¿Qué te viene a la cabeza cuando piensas en coches autónomos? Puedo apostar que ya no es tan solo el KITT de El Coche Fantástico, el Batmóvil u otros vehículos del cine. Después de todo, en esta era digital, los coches autónomos ya no están relegados a películas y series de televisión y cine.

Actualmente Tesla ya asegura que todos sus nuevos coches “vienen con una configuración estándar de hardware capaz de proporcionar funciones de piloto automático hoy en día y de conducción automática en el futuro- a través de actualizaciones de software que mejorarán su funcionalidad con el tiempo” . Asimismo, existen informes de principios de este año que indican que Waymo– una empresa de desarrollo de tecnología de conducción autónoma- ha firmado un trato para fabricar coches autónomos para Francia y Japón.

Estos hechos realmente aportan un nuevo significado a la frase “el futuro es ahora”, ¿o no? Aunque prometedor, también tiene una cara oculta que no podemos ignorar- consecuencias para la protección de datos, riesgos para la privacidad y dilemas éticos.

En nuestro reciente vlog de YouTube “IA, ética y coches autónomos” exploramos algunos de los dilemas éticos que plantean los coches autónomos.

 

Coches autónomos y RGPD

En relación a los riesgos para la protección de datos y privacidad, encontramos que los coches autónomos – mucho más que los actuales coches conectados- se basarán en gran medida en recogida, análisis y cesión de datos. Dado que mucha de esta información estará relacionada con el día a día de los sujetos, alguna de ella será considerada información personal y, según los casos, también probablemente datos de categoría sensible. Por otro lado, si tenemos en cuenta que serán muchos los dispositivos interconectados, un ataque de hacking supone una gran amenaza que pone en jaque la privacidad de los individuos. Todo esto conduce al hecho de que los coches autónomos y su tecnología deben cumplir de manera absoluta con el RGPD y cualquier otra legislación nacional, como es el caso de la LOPDGDD, entre otras, en España.

Los coches autónomos son también un buen ejemplo del uso de IoT, Big Data e IA de manera conjunta, como comentamos en nuestro último video de YouTube.

Según Cristina Contero, socia de Aphaia, si bien los coches autónomos y el RGPD suponen una preocupación en sí mismo debido a sus implicaciones para la privacidad, también debemos tener en cuenta dilemas éticos y la Regulación de Telecomunicaciones. Por un lado, debido a la implementación de IA y, por otro, porque los coches autónomos son uno de los dispositivos interconectados que serán parte de la red inteligente del IoT. Esto significa que también tendrán un rol en la configuración de las smart cities, con lo que diferenciar entre datos personales y datos no personales resulta esencial, pues mientras algunos datos, como aquellos recogidos por audio o por GPS, son claramente datos personales, esta naturaleza habría que concretarla con otro tipo de datos, como los que configuran la información del clima o de las condiciones de las carreteras”.

Si tu empresa está avanzando hacia la Inteligencia Artificial y tecnología similar como aquella de los coches autónomos, resulta necesario realizar una Evaluación de Impacto para asegurar cumplimiento con el RGPD y la LOPDGDD. Además, Aphaia ofrece servicios de consultoría y adaptación al RGPD, Evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

 

 

 

Data sharing code

La ICO lanza un código para la cesión de datos en línea con el RGPD y la DPA 2018

La guía actualizada de la ICO para la cesión de datos proporciona a las empresas unas orientaciones prácticas sobre cómo ceder y compartir la información conforme a la legislación de protección de datos.

En la era actual de eficiencia digital, la cesión de datos juega sin lugar a dudas un papel esencial. De hecho, gran parte de los cambios tecnológicos en cómo se hacen negocios hoy en día presentan razones sobre la necesidad de compartir los datos. Sin embargo, igual de predominantes son los riesgos para la privacidad que de ello se derivan.

Para las organizaciones, tanto las públicas como las privadas, la necesidad de equilibrar la cesión de datos y la protección de los mismos se convierte en un elemento clave, por no mencionar la obligación de cumplir con el RGPD y con el resto de normativa nacional, que en el caso de España sería, entre otras, la LOPDGDD.  

Las buenas noticias es que esta guía de la ICO está prácticamente lista para ser implementada, y puede funcionar como orientación para otros países.

Esta guía ha sido elaborada en conformidad con la sección 121 de la Data Protection Act 2018 (el equivalente en Reino Unido a la LOPDGDD), y, aunque está ahora mismo en fase de borrador, servirá como guía práctica para las empresas de cara a cómo compartir datos en cumplimiento de todos los requisitos de la legislación de protección de datos.

Como se indica en el resumen del borrador del código el documento explica la ley y proporciona recomendaciones prácticas. En este sentido, “cumplir con estas orientaciones de manera conjunta con otras guías de la ICO ayudará a las empresas a gestionar los riesgos, pues establece altos estándares, aclara posibles confusiones que puede haber en torno a la cesión de datos y aporta seguridad para compartir información de manera apropiada y correcta”.

Según la ICO, el código también enfrentará muchos aspectos de la nueva legislación, incluida la transparencia, las bases legales para el tratamiento de los datos, el nuevo principio de “accountability” y el requisito de mantener un registro de todas las actividades de tratamiento.

También es importante tener en cuenta que, en conformidad con la sección 127 de la DPA, la ICO considerará el cumplimiento con este código como variable para medir la adaptación de las empresas a sus obligaciones en relación a la cesión de datos. En concreto, el presidente se guiará por el código cuando valore cuestiones como la justicia, la legitimación, la transparencia y la responsabilidad bajo el RGPD o la DPA. El código puede usarse también como prueba en procedimientos judiciales, y los Tribunales pueden considerar sus cláusulas cuando así lo crean preciso.

La fase de consulta pública que se abrió en julio se cerró este pasado 9 de septiembre. Se espera que el borrador sea aprobado por el Parlamento antes de que se convierta oficialmente en un código de guía práctica.

 

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.

El CNIL impone una multa de 180.000 euros por brecha de seguridad

La aseguradora Active Insurances ha sido multada por el CNIL, la autoridad de control de Francia, con una cantidad de 180.000 euros por “no proteger la información de manera adecuada conforme al artículo 32 del RGPD”.

El incidente fue notificado por primera vez al CNIL por parte de un cliente que afirmaba que era capaz de acceder a los datos personales de otros usuarios, incluidos carnés de conducir, tarjetas y registros bancarios. El CNIL se lo comunicó en consecuencia a la compañía, que aceptó tomar medidas correctivas para proteger los datos de sus consumidores.

Active Insurances informó al CNIL de la aplicación de las medidas necesarias, y la autoridad de control procedió a una inspección de las oficinas, tras lo que concluyó que:

  • las medidas no eran suficientes;
  • los protocolos de contraseñas, impuestos por la empresa, se correspondían con la fecha de nacimiento de cada trabajador, de lo cual se informaba en los mismos manuales;
  • tras la creación de la cuenta de cliente, tanto el usuario como la contraseña eran enviados a los sujetos por email con una indicación expresa.

El CNIL ha considerado que Active Insurances no ha actuado con la diligencia debida para la protección de los datos personales que trata y destacó los siguientes puntos:

  • la compañía debería haber implementado controles de acceso a los documentos;
  • se debería haber cambiado el nombre de los documentos para que no fuesen fácilmente accesibles mediante un motor de búsqueda;
  • se debería haber instado a los usuarios a utilizar contraseñas reforzadas y bajo ninguna circunstancia se deberían haber compartido por email.

La decisión del CNIL toma en cuenta la seriedad de la violación de seguridad debido a la naturaleza de la misma, la sensibilidad de la información personal comprometida y el número de personas afectadas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.