Bienvenido a la edición mensual de privacidad de enero de 2023. Una vez al mes cubriremos brevemente algunas de las noticias más importantes sobre privacidad.
¿Qué ocurrió el mes pasado? Averigüémoslo.
- La Comisión Europea elabora un proyecto de decisión de adecuación
- La UE firma una declaración de derechos digitales
- Más problemas legales para Meta
- Eslovenia aprueba la Ley de Protección de Datos Personales
- Office 365 no cumple el RGPD según los organismos de control alemanes
- El Senado de EE.UU. vota a favor de prohibir TikTok en los dispositivos del gobierno federal
- Meta prohíbe las empresas de vigilancia por encargo
- Acuerdos récord para Epic Games
- El organismo de control británico denuncia a las empresas por violación de datos
La Comisión Europea elabora un proyecto de decisión de adecuación
El 13 de diciembre, la Comisión Europea publicó un proyecto de decisión de adecuación para EE.UU.. El siguiente paso del procedimiento será un dictamen no vinculante del Consejo Europeo de Protección de Datos. Por último, el proyecto será votado por los Estados miembros y adoptado formalmente por la Comisión.
La aprobación del proyecto es prácticamente segura, dadas las largas negociaciones entre la UE y EE.UU. sobre el marco transatlántico de protección de datos. Sin embargo, también es prácticamente seguro que la próxima decisión de adecuación se enfrente al escrutinio jurídico del Tribunal de Justicia. El TJUE ya invalidó dos marcos de transferencia de datos en los casos Schrems I y II, y es difícil saber cómo se desarrollará un caso "Schrems III", pero el Consejo Europeo de Protección de Datos puede darnos alguna pista en su próximo dictamen.
La UE firma una declaración de derechos digitales
El 15 de enero, la Comisión Europea, el Consejo de Europa y el Presidente del Parlamento Europeo firmaron la Declaración sobre derechos y principios digitales en Europa. El objetivo de la declaración es promover una transición digital basada en una visión centrada en el ser humano.
La declaración se basa en seis principios (las personas en el centro, la solidaridad y la inclusión, la libertad de elección, la participación, la seguridad y la sostenibilidad) y pretende complementar la estrategia digital de la UE. En la práctica, la declaración no es vinculante, pero puede servir de inspiración y punto de referencia para la interpretación del RGPD y del marco de protección de datos de la UE en general.
Más problemas legales para Meta
El 22 de diciembre, Meta Platforms aceptó un ** acuerdo de 725 millones de dólares** por una demanda colectiva sobre el caso Cambridge Analytica. La Comisión Federal de Comercio de EE.UU. ya impuso a Facebook una multa de 5.000 millones de dólares por el escándalo, además de pagar una multa de 500.000 libras al organismo británico de control de la privacidad.
Además, el 4 de enero, el organismo de control irlandés multó a Meta Platforms Ireland con un total de 390 millones de euros por dirigirse ilegalmente a los usuarios de Facebook e Instagram con publicidad personalizada. La multa es consecuencia de una decisión de la Junta Europea de Protección de Datos en virtud del mecanismo de resolución de litigios del RGPD. En nuestro blog tratamos más a fondo la decisión de la JEPD.
Por último, el Tribunal de Justicia de la UE desestimó un recurso de Whatsapp Ireland, filial de Meta, contra una decisión de la JEPD. El procedimiento se refiere a una multa de 225 euros impuesta por el CPD en 2021. El recurso se desestimó por motivos de procedimiento, ya que la decisión del EDPB solo es vinculante para el CPD y no afecta directamente a Whatsapp.
Eslovenia aprueba la Ley de Protección de Datos Personales
El 15 de diciembre, la Asamblea Nacional de la República de Eslovenia aprobó la Ley de Protección de Datos Personales.
Eslovenia está sujeta al GDPR desde su entrada en vigor, ya que la normativa de la UE es directamente aplicable. Sin embargo, el RGPD exige la aplicación nacional de normas específicas, y la falta de aplicación hacía que su cumplimiento fuera problemático. Con la nueva ley, Eslovenia se convierte finalmente en el último Estado miembro de la UE en aplicar el GDPR en su legislación nacional.
Office 365 no cumple el RGPD según los organismos de control alemanes
La Conferencia Alemana de Protección de Datos ha destacado en un informe reciente que el paquete Office 365 de Microsoft no cumple determinadas disposiciones clave del RGPD.
La Conferencia Alemana de Protección de Datos (DSK) es un comité formado por la autoridad federal de protección de datos de Alemania y por las autoridades de protección de datos de los distintos estados alemanes. El informe se publicó a finales de noviembre y es el resultado de dos años de consultas entre un grupo de trabajo de la DSK y la propia Microsoft. El informe pone de relieve varios problemas de cumplimiento, como la insuficiencia de salvaguardias para las transferencias de datos UE-EE.UU., la falta de políticas de conservación de datos y una falta general de claridad sobre el papel de Microsoft como responsable o encargado del tratamiento en relación con las operaciones individuales de tratamiento de datos.
Microsoft anunció recientemente que pondría en marcha su Programa de Límites de Datos de la UE en 2023 con el fin de reducir las transferencias de datos a la UE. La medida de Microsoft podría ser clave para el cumplimiento del RGPD. Sin embargo, las nuevas políticas de Microsoft para los datos europeos seguramente requerirán escrutinio, ya que algunas transferencias de datos a los EE.UU. probablemente seguirán siendo necesarias en ciertos escenarios.
El informe del grupo de trabajo está disponible en el sitio web de la DSK (solo en alemán).
El Senado de EE.UU. vota a favor de prohibir TikTok en los dispositivos del gobierno federal
El 14 de diciembre, el Senado de EE.UU. votó por unanimidad un proyecto de ley que prohíbe a los empleados federales descargar la aplicación TikTok en sus dispositivos. Para convertirse en ley, la propuesta aún debe ser aprobada por el Congreso y firmada por el Presidente de EE.UU.
A los políticos estadounidenses de ambos partidos les preocupa que TikTok pueda ser utilizada por el gobierno chino para recabar información de inteligencia. Además, la app está siendo sometida a una revisión de seguridad ante el Comité de Inversiones Extranjeras en Estados Unidos (CFIUS), después de que el propietario de TikTok, ByteDance, comprara la app musical.ly en 2019 y fusionara su base de usuarios con la de TikTok.
Meta prohíbe las empresas de vigilancia por encargo
El 14 de diciembre, Meta anunció que prohibía el acceso a Facebook a siete empresas de vigilancia por encargo, impidiéndoles promocionar sus servicios a través de la red social. La empresa también presentó un documento político en el que instaba a los gobiernos a tomar medidas contra la industria de la vigilancia.
Según Meta, los programas espía y las empresas de vigilancia por encargo constituyen una importante amenaza para la privacidad y la sociedad. Muchas de estas empresas están presentes en Facebook, y algunas de ellas llevan a cabo sus operaciones en la plataforma, utilizando cuentas falsas y enlaces a programas espía para espiar a sus marcas. Aunque Meta ha dado prioridad a las medidas contra el software espía en su plataforma, señala que es necesaria la actuación de los responsables políticos para contrarrestar las amenazas que plantea el negocio de la vigilancia por encargo.
Acuerdos récord para Epic Games
La Comisión Federal de Comercio y Epic Games, creadora de Fortnite, llegaron a dos acuerdos con la Comisión Federal de Comercio por un importe récord de 520 millones de dólares. La suma cubre una multa de 275 M$ por violar la Ley de Protección de la Privacidad Infantil en Línea a través de la configuración de privacidad predeterminada de Fortnite, así como un gran reembolso por compras involuntarias impulsadas por un diseño engañoso. Epic también tendrá que cambiar la configuración de privacidad por defecto de Fortnite, exigiendo un opt-in para el chat de texto y voz en el juego para los usuarios menores de 13 años.
El organismo de control británico denuncia a las empresas por violación de datos
En un movimiento bastante inusual, la autoridad británica de protección de datos (ICO) comenzó a publicar listas completas de empresas amonestadas por violaciones de datos. El Comisario John Edwards explicó los motivos de esta decisión en un discurso reciente, destacando la necesidad de transparencia y certidumbre en la aplicación de las normas, así como la importancia de que las empresas rindan cuentas.