Una nueva ley

Una nueva ley europea impone un tiempo límite a los gigantes tecnológicos para eliminar contenido de internet

Una nueva ley europea impone un límite de una hora para que los gigantes tecnológicos eliminen contenido terrorista. 

 

El mes pasado, el Parlamento Europeo adoptó una nueva ley que obliga a las plataformas de Internet a eliminar contenido terrorista en un plazo de una hora desde el envío de la orden por parte de la autoridad competente. Según informa Euractiv, esta normativa dirigida a frenar la propagación de contenido terrorista en el entorno online ha generado cierta controversia. La Comisión Europea ha elaborado esta ley sobre de varios ataques terroristas que han tenido lugar en el espacio comunitario, de manera que se considera un paso necesario en el combate para impedir que se promulgue contenido terrorista en internet. La Ley entró en vigor el 28 de abril, tras ser aprobada por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior en enero. 

 

La legislación se adoptó sin votación, después de haber sido aprobada por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior. 

 

La Comisión de Libertades Civiles, Justicia y Asuntos de Interior aprobó la nueva normativa el 11 de enero. Hubo 52 votos a favor y 14 en contra. A fin de evitar un nuevo debate en la Cámara, se aprobó la legislación sin necesidad de voto en el Pleno. Desde entonces, la ley ha recibido algunas críticas y ciertos sectores han expresado su disconformidad con su implementación, dado la ausencia de suficiente oportunidad de debate. Las principales reservas en torno a la misma surgen alrededor de la posibilidad de utilizar esta regulación para silenciar debate no terrorista que pueda considerarse controvertido, o de que las plataformas comiencen a monitorizar de manera preventiva el contenido publicado por medio de algoritmos. 

 

Los críticos afirman que un período tan corto podría hacer que las plataformas utilicen más algoritmos. 

 

Algunos críticos han denominado a esta ley “anti-libertad de expresión” y se instó a los europdiputados a que la rechazasen. Antes de la reunion del 28 de abril, 61 organizaciones colaboraron en una carta abierta al legislador europeo donde solicitaron que se opusiesen a la propuesta de ley. Aunque la Comisión ha tratado de calmar algunas de las principales preocupaciones al respecto, aún persisten algunas de las críticas, pues se teme que un plazo de tiempo tan corto para eliminar el contenido terrorista pueda impulsar a las plataformas a desarrollar herramientas de moderación del contenido. Asimismo, destacan que esta ley también podría usarse potencialmente para localizar y silenciar grupos no terroristas. Los detractores de esta ley también afirman que “sólo los tribunales o autoridades administrativas independientes deberían estar capacitados para emitir órdenes de eliminación de contenido”.  

 

Se han añadido nuevas provisionas a la nueva ley en consideración de las críticas recibidas. 

 

Ante las críticas recibidas, el legislador europeo ha añadido una serie de garantías, y ha aclarado de manera específica que esta ley no tiene como objetivo “material difundido con fines educacionales, periodísticos, artísticos, de investigación o para despertar conciencia contra la actividad terrorista”, en un esfuerzo de frenar los intentos oportunistas de utilizar esta ley para actuar en contra de grupos no terroristas y silenciarlos por desacuerdos o malentendidos.  Además, ahora la normativa estipula que “cualquier requerimiento de tomar medidas específicas no deberá incluir una obligación de utilizar herramientas automáticas por parte del proveedor de servicios de hosting”, a fin de lidiar con la posibilidad de que las plataformas sientan que necesitan emplear este tipo de recursos para monitorizar las publicaciones ellas mismas. Por último, también se han añadido obligaciones de transparencia, pero los críticos continúan insatisfechos con estas modificaciones. 

 

¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD y la LSSI? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Novedades sobre las SCCs

Novedades sobre las SCCs y el Privacy Shield, ¿qué podemos esperar?

Las novedades sobre las SCCs y el Privacy Shield son en ambos casos de suma importancia para los flujos de datos transatlánticos, aunque por ahora el foco se sitúa únicamente en las SCCs. 

 

Casi un año después de la sentencia del TJUE sobre el caso “Schrems II”, un nuevo EU-US Privacy Shield podría aun estar lejos. Sin embargo, con las Cláusulas Contractuales Tipo (SCCs) ratificadas como instrumento válido para las transferencias internacionales de datos y su amplio uso a tales efectos, parece que podríamos esperar pronto un nuevo conjunto de SCCs. Conforme a este artículo de la IAPP, unas nuevas SCCs podrían aprobarse en cuestión de semanas.. Bruno Gencarelli, Responsable de Flujos de Datos Internacionales y Protección, afirmó que “Es una cuestión de semanas que adoptemos unas nuevas SCCs modernizadas que estén alineadas con el RGPD y mejor adaptadas a la realidad de la economía digital de hoy en día”.  

 

Se espera que las nuevas Cláusulas Contractuales Tipo estén disponibles pronto, y hasta entonces la Comisión Europea valora el feedback recibido sobre el borrador de las mismas. 

 

A raíz de la sentencia sobre el caso Schrems II, las SCCs fueron ratificadas pero con algunas advertencias. Desde entonces, se han estado empleando para facilitar y cubrir los flujos de datos entre Europa y Estados Unidos, sin embargo no sin algunos incidentes. Mientras que los profesionales de privacidad siguen esperando información más concluyente sobre los flujos de datos a terceros países, se han dado ahora algunos desarrollos de relevancia. Durante el Evento sobre Privacidad Global de la IAPP que tuvo lugar online, Bruno Gencarelli informó de que las Cláusulas Contractuales Tipo se actualizarán pronto. Basándose en el feedback recibido por la Comisión Europea, Gencarelli, ha indicado que el borrador sobre las SCCs ha sido un “enorme éxito” y ha añadido que la Comisión está valorando dicho feedback con mucha seriedad. El proceso que se encuentra en marcha pretende modernizar las SCCs para que se adapten mejor al tamaño y complejidad del contexto actual. 

 

Cristina Contero Almagro, socia de Aphaia, indica que “se trata de una actualización muy esperada que ayudará a unificar el criterio dispar que las autoridades de control europea han estado aplicando tras la sentencia en el caso Schrems II, como hemos visto recientemente con el ejemplo de la autoridad de control de Baviera y la de Francia”.

Se intensifica la negociación sobre el reemplazo del Privacy Shield, pero los avances en este sentido aún están lejos de materializarse.

 

Mientras que existe voluntad por ambas partes para alcanzar un acuerdo sobre un reemplazo del Privacy Shield, se trata de alcanzar un equilibrio entre la privacidad y la seguridad nacional, lo que lo convierte en una situación delicada y compleja. Desde Schrems II, las SCCs están resultando útiles pero no siempre son suficientes. Si bien ambas partes pretenden crear un reemplazo duradero para el Privacy Shield que pueda hacer frente a los desafíos legales y el escrutinio político, se está negociando para encontrar una solución que satisfaga las necesidades de las dos partes en relación a la privacidad y la seguridad nacional. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Se remite el caso de Facebook

Se remite el caso de Facebook al TJUE en relación a las cuestiones sin resolver.

Se remite el caso de Facebook al TJUE tras recurrir la orden de la autoridad de competencia alemana para frenar sus prácticas de recogida de datos. 

 

Facebook se encuentra en el punto de mira por sus prácticas de recogida de datos, las cuales abarcan varias plataformas integradas en la red social. Se ha acusado a la compañía de una elaboración de perfiles masiva y en consecuencia las autoridades alemanas han requerido que deje de combinar datos de los usuarios a través de varias plataformas sin el consentimiento de los mismos. Facebook ha opuesto resistencia al cumplimiento de dicha orden, y como tal la ha recurrido, lo cual ha conducido a las autoridades alemanas a solicitar la opinión del Tribunal de Justicia de la Unión Europea.

 

Se ha acusado a Facebook de abuso de poder por recoger y compartir datos a través de varias plataformas sin el consentimiento de los usuarios. 

 

Existen grandes preocupaciones en torno a las prácticas de Facebook alrededor de la cesión de datos entre sus plataformas, entre las que se incluyen Instagram, Whatsapp, Occulus y también aplicaciones de terceros. Esta situación sumada a la cantidad de datos que Facebook recopila de manera libre sin la necesidad de contar con el consentimiento de los usuarios ha resultado en que se acuse al gigante tecnológico de abuso de poder por parte de las autoridades alemanas. Por su parte, el Tribunal Superior de Düsseldorf muestra una posición opuesta, pues el juez Jürgen Kühnen considera que el uso de los datos por parte de Facebook no resultó en abuso de su posición dominante en el mercado. El dilema surge porque la habilidad de Facebook para construir una base de datos única para cada individuo le otorga una ventaja desleal en relación a otras empresas que no tienen acceso a tantos datos vinculados de los usuarios. El Bundeskartellamt (Oficina Federal de Cárteles de Alemania, FCO) afirma que esta recogida de datos no es legítima bajo el marco europeo, pues en esencia no brinda a los usuarios la oportunidad de decidir. 

 

La autoridad de competencia alemana ha intentado limitar las actividades de recogida de datos de Facebook.  

 

A principios de este año la autoridad alemana de competencia restringió las actividades de tratamiento de datos de Facebook. Se requirió a Facebook dejar de combinar los datos recogidos de WhatsApp y otras aplicaciones de terceros hasta que lo hiciesen conforme al consentimiento voluntario de los usuarios. En consecuencia, Facebook habría tenido que reducir de manera considerable la recogida y combinación de datos de usuarios hasta que cuente con el consentimiento de los usuarios. Bajo los términos y condiciones de Facebook, los usuarios operan en la red social bajo la condición previa de que se van a recoger sus datos. Sin embargo, en febrero de este año el tribunal emitió una orden preliminar y requirió a Facebook dejar de recoger y combinar datos de los usuarios a través de estas plataformas hasta que lo respaldase el consentimiento genuino de los usuarios. Esta sentencia sin embargo no era final y dejaba cabida a que Facebook la recurriese.  

 

Facebook ha recurrido esta decisión y argumenta que sus términos permiten a los usuarios beneficiarse completamente de las ventajas de sus servicios, y como resultado el caso ha sido remitido al TJUE. 

 

Facebook recurrió la decisión de la autoridad de competencia alemana en febrero de este año, cuando afirmó en un blog que: “Mientras que hemos estado cooperando con el Bundeskartellamt durante cerca de tres años y continuamos nuestras conversaciones con ellos, no estamos de acuerdo con sus conclusiones y pretendemos recurrirlas de manera que la gente de Alemania siga beneficiándose de todos nuestros servicios”. La autoridad alemana mantiene que la red social es culpable de cierto nivel de abuso que infringe la normativa europea. Como resultado, se han remitido al Tribunal de Justicia de la UE una serie de cuestiones sobre el caso a fin de alcanzar una conclusión final. 

 

¿Tus actividades de tratamiento de datos personales cumplen con el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Una resolución de un tribunal de Francia arroja más contexto sobre la aplicación del caso “Schrems II” bajo el RGPD.

Una resolución de un tribunal de Francia arroja más orientaciones sobre la aplicación del caso “Schrems II” al considerar que los datos almacenados por una filial de una empresa de Estados Unidos se encuentran suficientemente protegidos. 

 

El más alto tribunal administrativo de Francia emitió a principios de mes una resolución en la que determinaba que una plataforma de reservas para vacunación del COVID-19 alojada en Amazon Web Service, también conocido como AWS, se encontraba suficientemente protegida bajo el RGPD. Inicialmente se plantearon algunas cuestiones en torno a si el uso de los servidores de Amazon Web Services como plataforma para el almacenamiento de los datos era compatible con el RGPD tras la sentencia “Schrems II”, dado que el encargado de tratamiento estaría sujeto a la normativa estadounidense. La resolución final en este caso se basó en el hecho de que el Tribunal considera que existen suficientes garantías técnicas y legales en caso de que las autoridades estadounidenses solicitasen acceso a los datos. Este hecho ofrece contexto alrededor de la aplicación de “Schrems II” y tiene grandes implicaciones para muchas empresas, a la vez que subraya la necesidad de aplicar salvaguardas adicionales cuando los datos son tratados por una filial de una empresa no europea.  

 

Se determinó que si bien se trata de una preocupación común, los datos de salud alojados por una empresa sujeta a la normativa estadounidense se encontraban lo suficientemente protegidos bajo el RGPD.  

 

Los demandantes alegaron en este caso que el almacenamiento de datos por una empresa sujeta a la normativa estadounidense presentaba varios riesgos, no sólo la transferencia de datos a Estados Unidos, sino también el posible acceso a dichos datos por parte de las autoridades estadounidenses si así se solicitase. Los demandantes lo consideraron un asunto sensible y de urgencia dado el nivel de riesgo percibido. Sin embargo, lo que en principio se señaló como una posible brecha del RGPD bajo “Schrems II”, finalmente resultó en cumplimiento con la normativa, pues se valoró que los datos estaban suficientemente protegidos conforme al RGPD en virtud de las extensas medidas legales y técnicas aplicadas por el demandado, Doctolib. Así por tanto, el juez falló en contra de la solicitud de los demandantes para suspender el servicio.

 

La resolución del tribunal de Francia fue el resultado de una detallada evaluación de las medidas técnicas y legales incluidas en el acuerdo entre las partes. 

 

La resolución del tribunal de Francia se emitió tras llevar a cabo una detallada evaluación de las medidas técnicas y legales y de otras garantías acordadas por Doctolib y Amazon Web Services. El análisis determinó que el contrato entre ambas partes incluía varias provisiones en este sentido, y consideraba un procedimiento específico en caso de solicitudes de acceso por parte de un tercer país. La garantía legal aportada aquí consiste en que se cuestionarán y rebatirán todas las solicitudes de acceso que el encargado reciba por parte de las autoridades. El juez también valoró que los datos estuviesen encriptados con la clave en manos de un tercero de confianza y no Amazon Web Services. Además, se observe que los datos transmitidos a Doctolib a través de la campaña de vacunación no contenían información sensible sobre salud que especificase, por ejemplo, que un cierto candidato tiene prioridad para la vacunación debido a determinada condición pre existente. Como medida extra, cualquier dato introducido por los usuarios con la finalidad de identificación para conseguir una cita de vacunación es eliminado como mucho tres meses después de la misma. 

 

El Dr Bostjan Makarovic, Socio Gerente de Aphaia, apunta que: “La resolución deja entrever que hay espacio para la coherencia en la aplicación de Schrems II, lo cual debería en términos generales percibirse como buenas noticias para la industria online”. 

Cristina Contero Almagro, socia de Aphaia, señala que: “Es muy importante que las empresas lleven a cabo un análisis de sus flujos de datos, los países involucrados y las medidas que deben aplicarse según el riesgo identificado; esto es lo que se denomina ‘Evaluación de Impacto de Transferencias de Datos”. 

Este caso destaca la necesidad de contar con garantías técnicas y legales, las cuales deberían aplicarse incluso cuando los datos no se transfieren fuera de la UE. 

 

Uno de los elementos principales de cumplimiento con “Schrems II” reside en las medidas técnicas como la pseudonimización y la encriptación, junto a la confirmación de que el encargado no tiene manera de acceder a la clave de descifrado, especialmente cuando las autoridades podrían acceder a la misma. Las garantías legales, como aquellas tomadas por . Doctolib, son también especiales. Mientras las nuevas Cláusulas Contractuales Tipo recientemente publicadas por la Comisión Europea contienen provisiones similares, se recomienda, en previsión de las mismas, que las empresas incluyan cláusulas alrededor de este tipo de garantías en un anexo específico, incluso en los casos en que no hay transferencia de datos fuera de la UE. 

 

¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de transferencias de datos y subcontratación del Delegado de Protección de DatosInfórmate aquí.