Resumen Secuoyer del salseo de enero en privacidad y protección de datos

por

El 2023 en el ámbito de la protección de datos en la UE ha empezado pisando fuerte. No cabe duda que la apertura del año erregepedero por parte de la autoridad irlandesa de protección de datos, y luego de la CNIL -el mismo 4 de enero- nos pilló todavía con el confeti en la cabeza. Pero oye, maravilloso, nada como 3 sanciones a 2 grandes tecnológicas para hacer que se nos pasara la resaca de fin de año.

Y eso no es todo, el mes ha estado plagado de múltiples sanciones y publicaciones de distintas autoridades de la Unión, entre ellas obviamente nuestra AEPD. Así que bueno, como buenos Secuoyers hemos decidido hacer un resumen para que entre tanta polvadera no se nos pierda lo importante. Si queréis añadir algo no dudéis en hacerlo en los hilos de twiter contestando a la publicación.

Aviso: esto no es un post corto, es un post COMPLETO. Tiene todo lo crítico que se ha pasado en él ambito de la PD, en la UE y algo de al otro lado del charco, en enero, así que si no quieres perderte nada  llega hasta el final, y si recibimos un buen feedback igual hacemos lo mismo para el mes siguiente… ¡quién sabe (que es mucho curro)!

Primer imagen que generamos los secuoyers con IA (Stable Diffusion)

Sanciones más importantes

En este apartado listaremos las sanciones que he considerado más importantes, y para ello las he elegido en relación a la cuantía, la entidad sancionada, o la novedad/disrrupción/salseo del criterio aplicado.

  1. El 4 de enero supimos que la @CNIL multó a Apple distribution international con 8 millones de euros por no recabar el consentimiento de los usuarios franceses de iPhone (versión iOS 14.6) antes de depositar y/o escribir identificadores únicos utilizados con fines #publicitarios en sus móviles https://t.co/P8ylFq7yGI. Uno de los resúmenes más aplaudidos por los secuoyers antes que cualquiera de nosotros sacara uno fue el de Michael Veale https://twitter.com/mikarv/status/1610713474421919744?s=20&t=lIQvclKEfmnhjxdqgT_uPg , los de los secuoyers podéis verlos en sus perfiles.
  2. Sanción del 4 de enero a Meta por partida doble, una para Facebook y otra para Instagram. El mismo 4 de enero conocimos 2 decisiones del DPC publicadas tras el proceso del EDPB (en aplicación del sistema de resolución de conflictos del art. 65 RGPD) por a incumplimiento del RGPD en relación al tratamiento de datos usando en la base jurídica del contrato, cuando se considera que la aplicable es el consentimiento.

Esta sentencia es salseo puro, de palomitas con mantequilla y sal… ¡Pues no va el EDPB y le dice a la DPA Irlandesa, en adelante DPC, que le toca replantearse su propuesta de que el contrato era base legitima para tratar los datos publicitarios, y además que “Qué hubo” con los datos sensibles, que se ponga y investigue más! Aquí el enlace a decisión vinculante del EDPB https://t.co/jBA5Z45Uq0 . Pero claro, la DPC que tuvo que hacer un poco de caso ha dicho que “muy bien, pero que el EDPB se está extralimitando y lo llevará al TJUE”… Vivir para ver, y del criterio unificado y tal para después. Total, la cosa fue así:

    • Multa de 210 millones para Facebook y de 180 millores para Instagram.
    • Meta no puede tratar datos para su publicidad comportamental, o no, con base en el contrato.
    • Meta tendrá 3 meses para que el tratamiento de datos se conforme al RGPD.
    • Habrá una nueva investigación sobre datos de categorías especiales en Meta… esa que el DPC dijo que no sabía porqué el EDPB pedía que se iniciara, pero que se mencionaba en la denuncia de Noyb…jum.

Sobre esto tenemos 3 fuentes hileras estupendas, la de Joe Jones @JoeGTJones https://twitter.com/JoeGTJones/status/1613192122848485377?s=20&t=lIQvclKEfmnhjxdqgT_uPg la de nuestro Secuoyer @jgarciaherrero https://twitter.com/jgarciaherrero/status/1610663527026507781?s=20&t=PK5hWa7mLkK9e5OZveZZvg y la de Robert Bateman @RobertJBateman https://twitter.com/RobertJBateman/status/1610658856383782916?s=20&t=lIQvclKEfmnhjxdqgT_uPg

Y claro, ¿cómo no? Los comentarios de Max y Noyb https://t.co/hSOGcZ4YRU

  1. A medidados de enero nos enteramos que el 29 de diciembre de 2022, la CNIL sancionó a la red social TIKTOK por un importe total de 5 millones de euros por dos motivos: los usuarios de «tiktok.com» no podían rechazar las cookies tan fácilmente como las aceptan. Asimismo, no fueron informados de forma suficientemente precisa de las finalidades de las distintas cookies. https://www.cnil.fr/en/cookies-cnil-fines-tiktok-5-million-euros
  2. Y como no, también en enero la CNIL impuso una sanción de 3 millones de euros contra VOODOO (operador de telefónia) por haber utilizado un identificador esencialmente técnico para publicidad sin el consentimiento del usuario https://t.co/5c6SzosZOf
  3.  Y ya para completar la triada a servicios principales de Meta, el 19 de enero la Autoridad Irlandesa, DPC, sancionó a WhatsApp con 5,5 millones de euros. Siguiendo la estela de las dos anteriores sanciones a Meta, fue por el tratamiento de datos sin base legitimadora adecuada. Aquí la DPC acata en parte la decisión del EDPB y considera que se necesita consentimiento para gran parte de los tratamientos pero no en lo relativo a seguridad  que si se puede entender como parte del contrato. De todo lo que he leído hasta ahora esta es de las 3 sentencias a Meta,  la más jugosa porque el DPC coge carrerilla a partir de donde lo dejo en las 2 sentencias anteriores y ahonda en la cuestión del análisis de la aplicación de las bases legitimadoras en los distintos servicios. Muy interesante https://t.co/SxQmww0IL2  (Spoiler: WhatsApp apelará… la DPC apelará… ¡traigan las palomitas!)

La decisión vinculante del EDPB sobre este caso https://edpb.europa.eu/news/news/2023/edpb-publishes-binding-decision-concerning-whatsapp_en

El mejor hilo de todos los tiempos analizando este tema es de Robert Bateman https://twitter.com/RobertJBateman/status/1618210041496240130?s=20&t=s9FvM7vXt2hkuPds8kpr-A aunque confieso que después de leer sus conclusiones se me quiten las ganas de palomitas y me pregunte ¿cómo es que seguimos saber a dónde van los datos?. En fin… A ver qué pasa con todo el rollo DPC- Meta- EDPB que la verdad es que a la DPC puede que se la haya ido un poco la olla, todo sea dicho.

  1. La DPA finlandesa impuso una sanción administrativa a la empresa (Polar, de relojes deportivos) por infringir el Reglamento General de Protección de Datos ya que el tratamiento de datos de salud (índice de masa corporal, consumo de oxigeno) forma parte de la actividad principal de la empresa. Además, el Defensor de la Protección de Datos ordenó a la empresa que rectifique sus prácticas de solicitud de consentimiento. https://tietosuoja.fi/en/-/administrative-fine-imposed-on-company-for-processing-health-information-without-the-appropriate-consent Vía Luis Montezuma @montezumachavez, e  Hilo de @abenitorodero https://twitter.com/abenitorodero/status/1616411807488544768?s=20&t=s9FvM7vXt2hkuPds8kpr-A

Sanciones nacionales relevantes

PS-00342-2022 (2.01.2023) Sanción a Sindicato por revelar información y datos de carácter personal a terceros, sin base legitimadora, de los miembros del comité de huelga. https://aepd.es/es/documento/ps-00342-2022.pdf  vía @caty_pou en twitter

AI-00050-2022 (9.01.2023) archivo de actuaciones. NO vulnera la normativa en materia de protección de datos la creación de grupos de WhatsApp por parte del empleador para la organización y desarrollo del trabajo particular. (Existe legítimación)  https://aepd.es/es/documento/ai-00050-2022.pdf vía @caty_pou en twitter

PS-00469-2022 (12.01.2023) Otra resolución sobre WhatsApp Multa 5000€ (reducción por pago voluntario 3000€) a empresa por difundir la notificación de embargo de nómina de una trabajadora, sin su consentimiento, a un familiar de la misma. https://aepd.es/es/documento/ps-00469-2022.pdf  vía @caty_pou en twitter

NOTA: Ojito con lanzarse a recomendar whatsApp a diestra y siniestra, seguimos sin saber porqué el EDPB pide que se anlicen los datos sensibles que trata la plataforma… como decía el Sr. Bateman, «… será que es que el cifrado de extremo a extremo no lo es tanto…» Es poco dudoso que el EDPB pida una investigación adicional solo sobre suposiciones. Y si no fuera poco  lo anterior, recordemos que los empleados no están obligados a facilitar determinados datos de contacto, así que o nos han dado los datos de forma voluntaria, o les damos dispositivos de empresa… ¡Uy, lo qué he dicho!

Doctrina del TJUE /CJUE

  • C-154/21 (Österreichische Post): El derecho de acceso del interesado a los datos personales (artículo 15 del RGPD) implica el derecho a obtener información sobre la identidad de los destinatarios de los datos personales que fueron (inicialmente) recopilados y tratados por el responsable del tratamiento al que se solicita acceso. Esto implica la identidad, no solo la categoría de datos. Hay excepciones recogidas. Aquí la sentencia de la Gran Sala del TJUE https://www.dpcuria.eu/case?reference=C-154/21 Vía @fjavier_sempere
  • Sentencia del Tribunal de Justicia en el asunto C-205/21 | Ministerstvo na vatreshnite raboti Registro de datos biométricos y genéticos por la Policía: La recogida sistemática de datos biométricos y genéticos de cualquier imputado para su inscripción en un registro policial es contraria a la exigencia de garantizar una protección reforzada en relación con el tratamiento de datos personales. https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-01/cp230016es.pdf vía @jeimyPove pero el mini resumen en hilo corre a cargo de Michael Veale https://twitter.com/mikarv/status/1618541798175002625?s=20&t=s9FvM7vXt2hkuPds8kpr-A
  • Sentencia del TEDH de 13/12/2022, sobre geolocalización de trabajadores mediante GPS: caso Florindo De Almeida Vasconcelos Gramaxo. Vía @gonzalez_espada https://t.co/39rOTI3Uec

Recursos publicados

  • El 17/01/23 el EDPB adopto el informe que resume las conclusiones del grupo de trabajo responsable de coordinar las respuestas a las preguntas planteadas por las quejas de la asociación NOYB https://edpb.europa.eu/our-work-tools/our-documents/report/report-work-undertaken-cookie-banner-taskforce_en . En palabras de Cristina Santos “… Finalmente, más claridad sobre la interfaz de usuario #darkpatterns en los banners de cookies: sin botones de rechazo, casillas pre-marcadas, uso de enlaces para rechazar cookies y otros rastreadores, colores, uso de intereses legítimos, cookies no esenciales clasificadas incorrectamente y icono de no retirar…” ¿Será que esta vez queda más claro? ¿Ustedes qué opinan?

Y claro, sobre este tema Eduardo Ustaran siempre tendrá algo valioso que decir, aquí su hilo https://twitter.com/EUstaran/status/1618200900195213312?s=20&t=s9FvM7vXt2hkuPds8kpr-A

Temas a los que seguir la pista

  1. DT, Orange, Telefónica y Vodafone notificaron a la Comisión su plan para crear una empresa conjunta con fines de identificación #adtech https://t.co/ak0zRRvxFi vía @kkomaitis e hilo de @PrivacyMatters que avisa que no es una cosa nueva y está relacionado con la iniciativa TrustPid que tiene como fin identificarnos vía operador de telefonía, nuestras SIM cards y esas cosas… leñe…. https://twitter.com/PrivacyMatters/status/1513902344148238343?s=20&t=lIQvclKEfmnhjxdqgT_uPg
  2. El Bundeskartellamt ha iniciado una investigación (remite su Declaración de “objeciones”) contra los términos de procesamiento de datos de Google. “…El Bundeskartellamt asume que las nuevas disposiciones para las grandes empresas digitales (Sección 19a de la Ley de competencia alemana, GWB) son aplicables y, por lo tanto, Google tiene que cambiar sus términos de procesamiento de datos y sus prácticas asociadas…” Ahí es nada, que se prepare que así, y ahí, empezó la cosa para Microsoft… Enlace al comunicado de Bundeskartellamt https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2023/11_01_2023_Google_Data_Processing_Terms.html y a un hilo estupendamente útil de Jason Kint @jason_kint https://twitter.com/jason_kint/status/1613163526108880896
  3. Le hemos preguntado a ChatGTP por Secuoya, y bueno…. Nos ha dejado con ganas de aclararle un poco la cosa (y lo haremos 😉 ) https://twitter.com/SecuoyaGroup/status/1613463751222611969?s=20&t=lIQvclKEfmnhjxdqgT_uPg
  4. La DPA de Finlandia emite una reprimenda contra las ciudades de Helsinki, Espoo, Vantaa y Kauniainen por utilizar las tecnologías de seguimiento de Google. Vía @montezumachavez https://t.co/062ZYgdHOi.
  5. El plan estratégico de la CNIL para los dos próximos añitos se centrará en la recogida de datos que hacen aplicaciones móviles https://cnil.fr/fr/collecte-de-donnees-dans-les-applications-mobiles-la-cnil-lance-une-consultation-publique-sur-les vía nuestro secuoyer @abenitorodero
  6. ¿Puede #algoritmo establecer los tiempos de espera del paciente? Solicitud de información del Garante Privacy (DPA Italiana) a la región de Veneto para verificar el cumplimiento de la legislación de privacidad de una resolución, según la cual los médicos generales ya no podrían elegir la clase de prioridad del servicio solicitado para el paciente, sino un sistema basado en inteligencia artificial. Sería esencialmente un algoritmo para establecer los tiempos de espera de los servicios prescritos. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9845106 A ver qué pasa, por los lares canarios estamos muy muy interesados en saber cómo se desarrolla esto.
  1. TSJ Galicia 23/11/2022 “…No vulnera el derecho a la desconexión digital enviar mensajes por un grupo de Whatsapp fuera de la jornada laboral, al estar integrado por trabajadores con distintos horarios de trabajo y no estar obligados a responderlos inmediatamente…” vía @NMartinChange. No hemos podido conseguir enlace a la St. Igual hay que hacer una actualización en regulación del derecho a la protección de datos para los señores jueces y magistrados… no lo digo yo,  lo dijo un Secuoyer de quién no revelaré el nombre… Yo lo que dije es que igual si el juez viviera la misma situación de una persona que muy seguramente está en el grupo de WhatsApp porque le toca, y aunque no conteste debe hacer lo que por ahí le digan… pues oye, igual lo veía de otra manera.
  2. El Departamento de Justicia de US demanda a Google por monopolizar las tecnologías de publicidad digital. A través de adquisiciones en serie y manipulación de subastas anticompetitivas, Google subvirtió la competencia en tecnologías de publicidad en Internet. https://t.co/0bwDlmWXaPv Vía @Cellular_PP . Uuuuu Google… Ahí es nada.
  3. El BOE del 13 de enero contenia la  Orden ISM/2/2023, de 11 de enero, por la que se modifica la Orden ESS/1187/2015, de 15 de junio, por la que se desarrolla el Real Decreto 625/2014, de 18 de julio, por el que se regulan determinados aspectos de la gestión y control de los procesos por incapacidad temporal en los primeros trescientos sesenta y cinco días de su duración. En palabras de los tuiteros «…el fin de obligación de los trabajadores de entregar los partes de baja por #IT a sus empresas. Eso sí, no entrará en vigor hasta 1 abril…» https://t.co/8hyfsB7IoH . Aquí Maria del Mar Crespí @MmarCrespi en este hilo arroja luz sobre lo que supone este cambio.  https://twitter.com/MmarCrespi/status/1610969497170591744?s=20&t=E7hUI6hbA70U8uTSdgDGTw

Eventos pasados que puedes ver en diferido

Fue la semana de la privacidad, o #privacyweek como rezaba el hastag, y se hicieron mogollón de eventos. Muchos de ellos gratuitos y online, ¡GRACIAS!. Gracias a organizadores, profesionales de la privacidad, instituciones y organismos que hacen eventos online o híbridos y nos dan la oportunidad de aprender y actualizarnos desde la distancia. Sigan así, el conocimiento debe ser de todos para mejorar en conjunto nuestro entorno.

Aquí van algunos de los eventos que podéis ver en diferido:

Privacy Camp de EDRI:  Enlace a sala 1. https://t.co/Zot7p0ZaT0  Enlace a sala 2. https://t.co/8YnzqbMMfp Gracias a @FusterGloria por su ayuda para tener ambos.

Office of the Privacy Commissioner of Canada ha publicado varios vídeos muy útiles. Y tiene su eHealt event online en diferido. @PrivacyPrivee

WireWheel: Europe and the Next Wave of Privacy Regulations. https://www.youtube.com/watch?v=pKU9LxH33f4 con Karolina Mojzesowicz, Jefa Adjunta de la Unidad de Protección de Datos, Comisión Europea.

Y hasta aquí lo que se daba…

Y con esto y un bizcocho, y mucho café o té os damos las gracias por leer, y las denadas por ahorraros trabajo de búsqueda y consulta. Si os ha gustado contádnoslo en redes, nos gusta escuchar vuestra opinión. Por cierto, si sale algo el 30 o 31, no está aquí, vuelvan el siguiente mes ;).