TikTok multada

TikTok, multada por la autoridad de control de Holanda

 

TikTok se enfrenta a una multa de la autoridad de control de Holanda por no proporcionar a sus usuarios información traducida.

 

TikTok ha sido multada recientemente por la autoridad de control de Holanda, según informa el CEPD. Tras una investigación efectuada sobre aplicaciones de uso común entre los menores, se descubrió que la información proporcionada por TikTok en el momento de la descarga e instalación, entre lo que se incluye la política de privacidad, se encontraba en inglés. En consecuencia, la falta de una version en el idioma holandés viola los derechos de los usuarios, pues no se les está ofreciendo información clara y comprensible sobre el tratamiento de sus datos personales, lo que es en sí mismo una infracción de la normativa de protección de datos. La multa impuesta a TikTok por estos hechos asciende a 750.000€, la cual ya ha sido recurrida por la compañía.

 

TikTok, multada por la autoridad de control de Holanda y ahora también investigada por la autoridad de control de Irlanda tras establecer allí su sede.

 

Esta multa inicial fue impuesta por la autoridad de control de Holanda en un momento en el que TikTok no tenía sede en Europa. Ahora, con ésta operativa en Irlanda, será la autoridad de control de Irlanda quien tendrá que llevar a cabo cualquier investigación sucesiva derivada de estos hechos. La autoridad de control de Holanda sólo puede ya evaluar la infracción relacionada con la traducción de la política de privacidad, que ya había sido solventada cuando se estableció la sede en Irlanda. Cuando las empresas no cuentan con oficinas en Europa, cualquier Estado Miembro puede supervisar sus actividades, pero desde el momento en que se establece una sede en un país europeo, la responsabilidad recae sobre la autoridad de control de dicho territorio.

 

TikTok ha realizado cambios en su aplicación para hacerla más segura para sus usuarios menores de edad.

 

Desde el pasado octubre, cuando la autoridad de control de Holanda presentó sus resultados de la investigación, TikTok ha realizado algunos cambios para proteger a sus usuarios menores de 16 años. Mientras que estas modificaciones no ofrecen una protección absoluta dado que los usuarios aún pueden crear una cuenta con información falsa, la autoridad de control recibe de forma positiva estos ajustes por parte de TikTok para reducir el riesgo en menores. Los padres podrán ahora gestionar las cuentas de sus hijos a través de sus propios perfiles o mediante la funcionalidad “Emparejamiento Familiar”. Esta novedad no evitará que los menores se expongan ellos mismos a riesgo si mienten sobre su edad, pero sí ofrecerá a los padres el poder de revisar las cuentas de sus hijos y ofrecer mayor seguridad sobre las mismas.

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD, la LOPDGDD y la LSSI subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

 

Nuevo litigio entre Schrems y Facebook

Nuevo litigio entre Schrems y Facebook

Facebook se enfrenta a un nuevo litigio contra el abogado Max Schrems tras un conjunto de preguntas remitidas por parte del Tribunal Supremo de Austria al TJUE. 

 

El abogado y activista austriaco Max Schrems protagoniza de nuevo los titulares tras aceptar el Tribunal Supremo de Austria su solicitud para remitir ciertas cuestiones clave sobre Facebook al TJUE. En este caso, la acusación central de Schrems se construye sobre el argumento de que Facebook viola los derechos de los usuarios bajo el RGPD en relación al consentimiento, y el hecho de que la empresa emplea el consentimiento como un contrato que les permite reproducir publicidad dirigida. Según algunos informes recientes, esta larga batalla entre Facebook y Max Schrems cuestiona las bases legales de Facebook para tratar los datos de sus usuarios europeos. 

Facebook ha estado tratando datos de sus usuarios bajo el RGPD sobre la base de contrato en lugar de consentimiento.  

 

Desde que el RGPD comenzó a aplicarse en 2018, Facebook ha mantenido la postura de que sus usuarios están sujetos a un contrato para recibir publicidad personalizada, en lugar de recabar consentimiento para tratar los datos con dicha finalidad. El RGPD establece los requisitos necesarios para un consentimiento válido, y este movimiento de Facebook se percibió como un intento de operar de manera paralela a estas normas y evitar la necesidad de obtener el consentimiento libre e informado de sus usuarios.  

 

Max Schrems afirmó que “Facebook ha intentado despojar a sus usuarios de muchos derechos que el RGPD les garantiza simplemente ‘reinterpretando’ el consentimiento como un contrato civil”. 

 

También se acusó a Facebook de no adherirse al principio de minimización de datos del RGPD. 

 

Se acusó a Facebook de recoger más datos de los necesarios, especialmente mediante el botón “Like”, presente en diversas páginas web, entre ellas Facebook.com. En consecuencia, se remitieron al TJUE cuestiones de esta naturaleza así como otras relacionadas al tratamiento de datos de categoría sensible por parte de Facebook (por ejemplo, afiliación política u orientación sexual) con finalidades de publicidad dirigida. Schrems considera que estas preguntas son cruciales: “Podría quedar prohibido para Facebook emplear los datos con finalidades de publicidad, incluso cuando cuenta con consentimiento válido. De la misma manera, podría tener que filtrar datos de categoría sensible como opiniones políticas o la orientación sexual“.

 

Max Schrems recibió 500 € como compensación por los daños derivados de las técnicas de obstrucción que Facebook empleó contra él.  

 

Facebook fue acusado de crear una “caza de los huevos de Pascua” cuando Max Schrems le solicitó acceso completo a sus datos. Conforme al Tribunal, Max Schrems no recibió sus datos primarios y tampoco información muy básica sobre el tratamiento, como la base legal sobre la que se tratan sus datos. Como resultado, se le ofreció una compensación simbólica de 500€ por los daños causados por las técnicas de obstrucción de información de Facebook. Ahora se han remitido varias cuestiones esenciales al TJUE por parte del Tribunal Superior de Justicia de Austria, en relación al presunto no cumplimiento del gigante tecnológico con el RGPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte. Infórmate aquí.

cesión de datos entre Facebook y WhatsApp

El CEPD determina que se requiere más investigación sobre la cesión de datos entre Facebook y WhatsApp

La autoridad de control de Irlanda deberá realizar una investigación adicional antes de tomar la decisión final sobre el tratamiento de datos de usuarios de WhatsApp por parte de Facebook. 

 

El CEPD ha adoptado una decisión vinculante urgente conforme al artículo 66 del RGPD, por la cual solicita a la autoridad de control de Irlanda que lleve a cabo una investigación en lugar de tomar medidas finales, tras un reciente cambio en los Términos del Servicio y la Política de Privacidad de WhatsApp. La autoridad de control ha iniciado una serie de medidas provisionales frente a Facebook Irlanda y ha ordenado que la compañía deje de tratar datos de WhatsApp para finalidades propias. Sin embargo, el CEPD considera que se precisa una mayor investigación para arrojar claridad sobre las actividades de tratamiento en cuestión. 

 

El CEPD concluye que la situación no requiere medidas finales debido a que no se han cumplido las condiciones para demostrar la existencia de infracción o urgencia. 

 

Tras examinar las pruebas presentadas, el CEPD estableció que por ahora no es necesario que la autoridad de control defina medidas finales. Uno de los motivos que alega el CEPD es que existe una alta probabilidad de que los datos de los usuarios de WhatsApp ya estén siendo tratados por Facebook Irlanda sobre la base de corresponsabilidad, con la finalidad de integridad y seguridad de todas las compañías de Facebook, incluido Whatsapp. Sin embargo, el CEPD no es capaz de determinar con certeza qué operaciones están efectivamente teniendo lugar y de qué manera se desarrollan. Esta situación se deriva de ciertas ambigüedades en la información que WhatsApp ofrece a sus usuarios. En consecuencia, se requieren investigaciones adicionales sobre dichas condiciones antes de poder alcanzar decisiones finales, sobre todo dada la ausencia de indicaciones de infracciones evidentes o la necesidad de urgencia en esta materia. 

 

El CEPD indica que la autoridad de control de Irlanda deberá llevar a cabo una mayor investigación para determinar si Facebook Irlanda actúa como encargado o corresponsable con WhatsApp Irlanda.  

 

A pesar de que es probable que Facebook esté operando como corresponsable del tratamiento en relación a los datos de los usuarios de WhatsApp, el CEPD considera que esto aún debe clarificarse, y con dicho propósito insta a la autoridad de control de Irlanda a investigar en mayor detalle si se trata realmente de corresponsabilidad o de una relación responsable y encargado. La información con la que se cuenta actualmente es insuficiente para elaborar un juicio al respecto, pues no especifica cómo se tratan los datos entre las varias empresas de Facebook con finalidades de marketing. También se deberá arrojar luz sobre si existe una base legítima para dichas actividades bajo el RGPD.  

 

La decisión vinculante oficial se publicará en la página web del CEPD una vez que se haya evaluado esta situación de forma completa, para asegurar que se edita la información confidencial. Sin embargo, todas las autoridades de control involucradas y también Facebook Irlanda y WhatsApp Irlanda han sido ya informadas de la decisión del CEPD. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de Datos. Podemos ayudarte . Infórmate aquí.

Se impone una multa

Se impone una multa a una página web por vulnerabilidades en su seguridad

Se impone una multa a una página web de registro de nuevos pacientes de ortodoncia por vulnerabilidades en la seguridad de la misma.

Una página web destinada al registro de pacientes de servicios de ortodonci ha sido multada por someter datos personales a un alto riesgo de exposición derivado de vulnerabilidades de seguridad. Según el informe de la autoridad de control de Holanda, se recogían diversos campos de datos personales obligatorios bajo una conexión insegura, lo que podría haber derivado en una brecha de seguridad que desembocase en un fraude con un gran número de afectados, incluidos menores. De haber sido así, información perteneciente a categorías especiales de datos personales se habría visto también comprometida. La autoridad de control holandesa ha impuesto en consecuencia una multa de 12.000€ al médico ortodoncista.

Se empleaba una conexión no segura para recoger información personal de provisión obligatoria sobre nuevos pacientes que se registraban para recibir servicios de ortodoncia.

La página web con conexión insegura empleada para recoger información de nuevos pacientes incluía un formulario que contenía varios campos donde se requería de manera obligatoria la introducción de determinados datos personales, entre los que se encontraba información sobre los padres de los pacientes, el médico, seguros y número de la seguridad social, que eran después enviados a través de una conexión no cifrada. Esta circunstancia cobra especial importancia por el hecho de que los interesados confiaban en que sus datos personales estarían protegidos al ser compartidos con el médico. Además, la mayoría de sujetos afectados se encontraban en franjas de edad que abarcaban desde niños hasta jóvenes adultos, de manera que las vulnerabilidades de seguridad habrían alcanzado también a datos de menores, para los cuales la normativa de protección de dato impone garantías adicionales por ser considerados un grupo vulnerable.

La multa se impuso tras las interposición de una queja sobre una infracción de seguridad.

En consecuencia, se presentó una queja ante la autoridad de control de Holanda en relación a una infracción de privacidad, la cual fue analizada con especial seriedad debido a que se encontraba vinculada con medidas de seguridad insuficientes en el sector de la salud, sobre el que se aplican requisitos especialmente estrictos. Monique Verdier, Vicepresidenta de la autoridad de control, afirmó que “Cuando te registras con un médico ortodoncista, le confías tus datos personales. Se trata de datos necesarios para la prestación de servicios, pero sobre los cuales los delincuentes también pueden tener intereses. Cuidar de manera debida a tus pacientes incluye proteger sus datos personales. Esto se aplica a todo el personal del sector salud, no sólo a grandes instituciones”. Es responsabilidad de la empresa asegurar que su página web cumple con el RGPD y proteger así los datos personales de sus clientes en prevención de posibles brechas de seguridad, phishing y otros delitos. Se ha impuesto una multa de 12.000€ al médico ortodoncista por esta infracción.

Se presentó una objeción a la queja y la autoridad de control la declaró infundada.
La multa impuesta al médico ortodoncista no es definitiva, y fue recurrida. Sin embargo, la autoridad de control ha declarado la objeción infundada. Ahora se podrá someter a revisión judicial si se pretende que se revoque. Si así procede el médico ortodoncista, la decisión final quedará en manos de los tribunales del distrito correspondiente.

¿Has implementado todas las medidas de protección de datos en cumplimiento con el RGPD, la LSSI y la LOPDGDD? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD, la LSSI y la LOPDGDD , y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.