technology privacy: COVID-19 pandemic

Tecnología y privacidad en la lucha contra la pandemia del COVID-19

Con miles de casos nuevos de infectados cada día a nivel global, muchas autoridades de sanidad están optando por la tecnología en esta batalla mundial contra la pandemia. Pero ¿pueden funcionar estas apps sin interferir con la privacidad de los ciudadanos? ¿Cuál es la relación entre tecnología y privacidad en la lucha contra la pandemia del COVID-19?

Muchos países de la Unión Europea han anunciado de manera reciente su intención de emplear una app que permita monitorizar los contactos de todo aquel que haya dado positivo en coronavirus, y así notificar a las personas que por ese medio puedan haberlo contraído también, con lo que parece que hay fuertes vínculos entre tecnología y privacidad en la lucha contra la pandemia del COVID-19. La iniciativa Pan-European Privacy Preserving Proximity Tracing (PEPP-PT) reúne a 130 investigadores de ocho países para desarrollar aplicaciones que desempeñen dicha función. Se espera que este proyecto común se lance el 7 de abril y la idea es que la app indique a la gente si su nivel de riesgo es alto o bajo en función del contacto que hayan tenido con otros individuos que han dado positive en la prueba, y de esta forma instruirles sobre si deberían realizarse el test o guardar el período obligatorio de cuarentena en sus casas. La proximidad con los pacientes infectados se calcula mediante Bluetooth o a través de códigos QR disponibles en espacios públicos. Se pretende que la app también identifique las áreas communes y medios de transporte utilizados por dicha persona, para así informar de la necesidad de desinfección de dichas zonas. La app podría también funcionar como un hub para todos los servicios relacionados con el coronavirus, como las solicitudes de comida o medicamentos. Conforme a un a un artículo publicado en el New York Times, la plataforma se diseñará con respeto a todos los requisitos y principios impuestos por el RGPD. Las conexiones entre dispositivos se guardarán durante dos semanas con fuerte cifrado y, parece que serán sólo las autoridades de sanidad locales, consideradas personas de confianza, las que podrán descargarse tales datos y notificar a los individuos en riesgo.

El Reino Unido lanzará su propia aplicación cerca del levantamiento de la cuarentena. Según Sky News y por fuentes cercanas al proyecto, la app lleva existiendo un tiempo, pero se necesitaba precisar algunos detalles que no se han especificado y acordado hasta ahora por el NHSX, la Unidad del Servicio Nacional de Salud de Reino Unido encargada del proyecto. El NHSX nombrará también a un comité ético para que supervise el proceso, y la app será acorde al RGPD. El uso de la misma será voluntario y requerirá consentimiento. 

En España son tres las medidas que se han desarrollado: una aplicación de auto-evaluación, un chatbot y un estudio de la movilidad a través de los datos recogidos por los operadores de telecomunicaciones. Mientras que estos últimos podrán ser tratados sobre la base de interés público en el área de salud pública, que es una de las bases cubiertas por el RGPD, según el Gobierno español la movilidad se analizará con datos agregados y anonimizados. Sin embargo, ha de tenerse en cuenta que los datos tratados por los operadores de telecomunicaciones son generalmente pseudonimizados, no anonimizados, con lo que el RGPD se seguiría aplicando. De no ser así, por parte del Gobierno se deberían especificar las técnicas empleadas y las medidas de seguridad aplicadas. 

Mientras que el uso de estas apps será opcional por ahora, este estudio elaborado por investigadores del Instituto de Big Data de la Universidad de Oxford concluyó que para dicha tecnología sea efectiva y realmente lleve a la reducción de casos de contagio, debería ser utilizada por al menos el 60% de la población. El Servicio Nacional de Salud de Reino Unido espera que la app sea acogida por el menos el 50% de los ciudadanos. Una herramienta muy similar fue lanzada para combatir el coronavirus en Asia, y en países como China su uso es obligatorio para el público general. Existe por tanto ahora una probabilidad de que se solicite a la gente que demuestren a través de la app que son individuos de bajo riesgo, antes de permitirles entrar en zonas muy concurridas, como restaurantes. También se les podría requerir que usen códigos QR en algunas áreas públicas. 

Esta tecnología podría ayudar a los gobiernos a reducir las medidas impuestas, pero también se deben tener en cuenta las implicaciones para la privacidad. Conforme al Dr Bostjan Makarovic, Socio Gerente de Aphaia, “Mientras que puede resultar necesario reducir los requisitos de privacidad en momentos tan duros como lo es la amenaza de una pandemia, los gobiernos también deberían asegurar a la gente que dichas medidas son proporcionales y temporales”. 

Y tú, ¿qué opinas? ¿Usarías este tipo de apps de manera voluntaria? ¿Qué información te gustaría recibir sobre la manera en que se van a tratar tus datos antes de hacerlo? 

¿Tienes dudas sobre cómo cumplir con la normativa de protección de datos durante el tiempo que dure la pandemia? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

AEDP approved first BCR

La AEPD aprueba las primeras normas corporativas vinculantes (BCRs) bajo el RGPD

La AEPD ha aprobado las primeras normas corporativas vinculantes (BCRs) bajo el RGPD. La AEPD ha ejercido como autoridad líder y ha recibido el informe positivo del Comité Europeo de Protección de Datos (CEPD). 

La AEPD ha publicado su opinión final en relación al borrador de las primeras normas corporativas vinculantes presentado por el Grupo Fujikura Automotive Europe, dos meses después de que el CEPD las aprobase. El documento se incluirá en el registro de decisiones que han estado sujetas al mecanismo de consistencia, e implica que Fujikura Automotive Europe Group podrá, de ahora en adelante, utilizar dichas BCRs para la transferencia de datos a miembros del grupo en terceros países, con las garantías adecuadas. 

¿Qué son las BCRs?

El RGPD define las normas corporativas vinculantes como las “políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

Una vez aprobadas por la autoridad de control competente, las BCRs son consideradas un instrumento válido para para la transferencia de datos personales a terceros países con las adecuadas garantía de seguridad. 

¿Cuál es el proceso de aprobación de las BCR?

En primer lugar, la autoridad de control líder se encarga de comprobar que el borrador de las BCRs incluye todos los requisitos recogidos en el artículo 47.2 RGPD. Entonces, y conforme al mecanismo de consistencia previsto en los artículos 63 y 64.1 RGPD, el CEPD emite su opinión, tras la cual, de nuevo la autoridad de control líder es la que debe comunicar su decisión final, la cual, de ser positiva, concluirá con la inclusión de las normas en el registro correspondiente. 

How did the process apply to this case?

En virtud del considerando 110 RGPD, “Todo grupo empresarial o unión de empresas dedicadas a una actividad económica conjunta debe tener la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de la Unión a organizaciones dentro del mismo grupo empresarial siempre que tales normas corporativas incorporen todos los principios esenciales y derechos aplicables con el fin de ofrecer garantías adecuadas para las transferencias”.

De vuelta al caso que nos ocupa, el borrador de BCRs fue en primer lugar preparado por Fujikura Automotive Europe Group y la AEPD se encargó de revisarlo como autoridad de control líder. En consecuencia, la AEPD proporcionó su decision inicial al CEPD que, a principios de este año, lanzó su informe, por el cual consideraron que las BCRs contenían, efectivamente, una serie de medidas que aseguraban una protección de los datos personales equivalente a aquella garantizada por el RGPD. Ahora, dos meses después, la AEPD las ha aprobado y ha comunicado su decisión final al CEPD. 

¿Necesitas asesoramiento en relación a las medidas de seguridad que deberían aplicarse a las transferencias internacionales de datos? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

Memorandum of understanding

La ICO y la autoridad de control australiana firman un Memorando de Entendimiento

La ICO y la autoridad de control australiana (OAIC) han firmado un Memorando de Entendimiento para facilitar la cooperación y la colaboración entre ambas.

La ICO y la autoridad de control australiana han firmado un Memorando de Entendimiento dados sus roles similares en cuanto a funciones y deberes en sus respectivos países. Ambas partes han acusado la necesidad de incrementar la cooperación transfronteriza y las cesiones de datos más allá de los límites de cada nación. Con la firma de este Memorando de Entendimiento, las partes han asentado los principios de su colaboración futura y el marco legal, que gobierna el intercambio de información relevante e inteligencia entre las dos.

Resumen del alcance del Memorando de Entendimiento.

Este Memorando de Entendimiento firmado por las partes el mes pasado no debe entenderse como un requisito para cooperar con la otra, pues no hay obligación de actuar de manera conjunta si hacerlo supusiese actuar en contra de sus responsabilidades individuales. Al contrario, este acuerdo persigue profundizar en sus relaciones preexistentes y desarrollarlas con mayor consistencia, en un esfuerzo de propiciar el intercambio y el apoyo en la ejecución de las leyes de protección de datos. El objetivo es trabajar de manera conjunta y compartir know-how, experiencia y mejores prácticas, cooperar en investigaciones y proyectos específicos y compartir información e inteligencia para reforzar su trabajo tanto individual como colectivo. Esta colaboración se establece sin ninguna intención de compartir datos personales. Si en algún momento esto fuese necesario, cada una de las partes tendrá que cumplir con sus respectiva normativa de protección de datos nacional y elaborar un acuerdo al respecto. Conforme a la sección 132(1) de la DPA 2018 (normativa nacional británica de protección de datos), la ICO sólo podrá compartir información si tiene una base legítima para ello.

Revisión del Memorando de Entendimiento .

La ICO y la OAIC realizarán un seguimiento del Memorando y lo revisarán anualmente, aunque cualquier de las partes puede solicitar una revisión antes del vencimiento de dicho período. Se ha designado un punto de contacto para ambas partes en caso de que surjan dudas o desavenencias al respecto. El Memorando se podrá modificar con un acuerdo por escrito de las partes y la firma de ambas.

Como se señala más arriba, el Memorando de Entendimiento entre la ICO y la OAIC no afecta a la transferencia internacional de datos personales entre ambos países. Actualmente no hay una decision de adecuación para las transferencias de datos a Australia, con lo que estas deberán realizarse bajo alguna de las garantías previstas en el RGPD, como las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes. Además, es importante recordar que Australia aprobó hace dos años su ley anti-cifrado, que obliga a las empresas australianas a construir puertas traseras de acceso a la información que se encuentren disponibles para el Gobierno, sin informar a sus clientes de ello, lo cual entra en conflicto directo con el RGPD.

¿Tienes dudas sobre cómo puede afectar este nuevo acuerdo a tu empresa? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

statement on privacy implications of mergers

El CEPD lanza un informe sobre las implicaciones de privacidad de las fusiones

El Comité Europeo de Protección de Datos ha publicado un informe sobre las implicaciones de privacidad de las fusiones.

El CEPD ha mostrado su preocupación sobre las implicaciones de privacidad de las fusiones tras conocer la intención de Google LLC de adquirir Fitbit Inc. El Comité ha explicado que este hecho situaría a una de las grandes empresas tecnológicas en la posición de adquirir incluso más datos personales sobre la población en Europa, y esto podría suponer un alto riesgo para los derechos y la protección de datos personales. El CEPD ya había indicado que en estos casos es obligatorio evaluar las implicaciones a largo plazo en los derechos y privacidad de los consumidores. El CEPD recuerda a las partes de dicha fusión evaluar y mitigar cualquier posible riesgo en este sentido antes de notificar la fusión a la Comisión Europea.

«El CEPD recuerda así a las partes de la potencial fusión, de acuerdo al principio de accountability, sus obligaciones bajo el RGPD, entre las que se encuentra llevar a cabo una evaluación completa y transparente de los requisitos de protección de datos y las implicaciones de privacidad”. El Comité considerará por sí mismo las implicaciones que la fusión puede tener para la protección de los datos personales en el Área Económica Europea y, aunque permanecerá alerta en casos similares en el futuro, se muestra dispuesto a contribuir con su asesoramiento a la Comisión si ésta así lo solicita.

En un comunicado de 2018, a raíz de la adquisición de Shazam por Apple, el CEPD avisó que el incremento de la concentración en los mercado digitales podría potencialmente amenazar el nivel de protección de datos y libertad del que disfrutan los consumidores, y aconsejó que autoridades de control independientes ayudasen a evaluar el impacto en el consumidor o en la sociedad. También añadieron que “Esta evaluación, al igual que la identificación de las condiciones o remedios para mitigar impactos negativos en la privacidad o libertad de otros, puede ser independiente o estar integrado en el análisis llevado a cabo por las autoridades competentes bajo la Ley de Competencia”.

En lo que se refiere a la cesión de datos en este contexto, las fusiones son una forma propicia de proceder, porque la entidad responsable de los datos no cambia. Cualquier otra vía tendría que ser extremadamente transparente y ofrecer a los consumidores la opción de oponerse al tratamiento. Sin embargo, si el responsable pasa a ser parte de un grupo corporativo, los datos podrían ser cedidos entre las empresas del grupo con base en el interés legítimo, tras llevar a cabo la correspondiente Evaluación de Interés Legítimo (LIA). Esto deberá hacerse caso por caso en cualquier circunstancia, pues no es seguro que dicha evaluación vaya siempre a superar el test de proporcionalidad.

Conforme a Cristina Contero Almagro, Socia de Aphaia, “le evaluación de los requisitos de protección de datos y las implicaciones de privacidad de la fusión deberán incluir, como uno de sus principales elementos, una evaluación completa de las medidas de seguridad implementadas en la otra empresa, no sólo en el momento actual sino también durante los últimos años. La brecha de seguridad que experimentó Marriott el año pasado es un buen ejemplo que muestra la importancia de comprobar de manera correcta las medidas de seguridad antes de llevar a cabo una fusión o adquisición”.

¿Tienes dudas sobre cómo una fusión o adquisición podría impactar la protección de datos en tu empresa? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.