Bienvenido a nuestro nuevo blog mensual. Una vez al mes trataremos brevemente algunas de las noticias más importantes sobre privacidad.
¿Qué ocurrió el mes pasado? Averigüémoslo.
- El Parlamento Europeo investiga los programas espía del Estado, el SEPD interviene
- Cómprate un teléfono desechable para el Mundial
- Google paga un acuerdo récord por los datos de localización
- Apple se enfrenta a una demanda sobre privacidad
- El gobierno indio propone una nueva ley de privacidad
- Se retrasa la desaparición de Google Analytics 360
- Demanda colectiva contra el proyecto Github Copilot
- La APD húngara se pronuncia contra el uso de Google Analytics
- El ex Jefe de Seguridad de Uber condenado por obstrucción a la justicia
- El TJUE se pronunciará sobre la indemnización por infracciones del RGPD
El Parlamento Europeo investiga los programas espía del Estado, el SEPD interviene
El 8 de noviembre, una comisión de investigación del Parlamento Europeo publicó un informe sobre el uso de programas espía por parte de los gobiernos europeos.
Según las conclusiones, varios Estados miembros de la UE emplearon Pegasus y otros programas informáticos de vigilancia para vigilar a opositores políticos, periodistas, activistas y figuras destacadas del mundo empresarial y financiero, tanto legal como ilegalmente, normalmente bajo la justificación de la seguridad nacional. La investigación dibuja un panorama desolador y reclama medidas urgentes, entre ellas una moratoria sobre el uso y la difusión de programas espía en la Unión y la creación de un marco jurídico común para su uso.
Poco después de la publicación del informe, el Supervisor Europeo de Protección de Datos pidió una prohibición general de los programas espía de tipo militar en su Dictamen sobre la propuesta de Ley Europea de Libertad de los Medios de Comunicación.
Cómprate un teléfono desechable para el Mundial
Entre el trato inhumano a la mano de obra inmigrante y las acusaciones de corrupción contra funcionarios de la FIFA, no faltan las polémicas en torno al Mundial de Qatar. El espionaje estatal es la guinda del pastel.
El Reino de Qatar exige a los extranjeros que instalen dos aplicaciones en sus teléfonos para asistir al Mundial. Varias autoridades europeas de protección de datos consideraron recientemente que estas apps son muy invasivas y desaconsejaron su uso. Según la DPA alemana, la aplicación procesa muchos más datos de lo que sugieren sus avisos de privacidad, hasta el punto de que pueden controlarse las llamadas del usuario. En otras palabras, las aplicaciones son esencialmente programas espía del Estado. Las autoridades noruegas y francesas se hicieron eco de estas preocupaciones y llegaron a recomendar el uso de teléfonos desechables para asistir a la Copa del Mundo.
Google paga un acuerdo récord por los datos de localización
El 14 de noviembre, Google acordó pagar un acuerdo de 391 millones de dólares por rastrear engañosamente la ubicación de los usuarios en un acuerdo en el que participaron Defensores Generales de 40 Estados de Estados Unidos.
La investigación comenzó en 2018 después de que un artículo de Associated Press indagara sobre el procesamiento de los datos de ubicación de los usuarios por parte de Google. Según los Defensores Generales, Google empleó una interfaz diseñada de forma engañosa que incluía mecanismos de inhabilitación separados y mal explicados para el seguimiento de la ubicación, engañando efectivamente a los usuarios haciéndoles creer que su ubicación no estaba siendo rastreada.
Además del pago récord, Google se comprometió a emplear una interfaz más clara y a proporcionar más información a los usuarios como parte del acuerdo.
Apple se enfrenta a una demanda sobre privacidad
El 10 de noviembre se presentó una demanda contra Apple en un tribunal de distrito de California. La empresa supuestamente vigila la actividad en las aplicaciones de Apple, independientemente de las preferencias del usuario. Dos investigadores de seguridad y empleados de Mysk que utilizaban un iPhone con jailbreak observaron una recopilación sospechosa de datos del dispositivo en la App Store. Según el medio de comunicación Gizmodo, el rastreo afecta a otras aplicaciones, como Apple Music, Apple TV y Stocks.
Este será sin duda un caso interesante. Los datos de origen han sido una prioridad estratégica para Apple desde hace tiempo. ¿Estará Apple procesando estos datos de forma legal? ¿Estará a la altura de su cuidadosamente construida reputación de empresa respetuosa con la privacidad cuando su procesamiento de datos se someta a un escrutinio legal?
El gobierno indio propone una nueva ley de privacidad
La semana pasada, el gobierno indio publicó el proyecto de Ley de Protección de Datos Personales Digitales, una propuesta muy esperada de ley federal de privacidad.
A principios de este año se presentó al Parlamento otro proyecto de ley que posteriormente fue retirado por el gobierno. El nuevo borrador incorpora algunas de las numerosas enmiendas que el Parlamento propuso para el proyecto de ley desechado. El proyecto de ley atraerá sin duda la atención de los profesionales de la privacidad de todo el mundo, ya que India es un nodo importante para las transferencias internacionales de datos.
Se retrasa la desaparición de Google Analytics 360
El 27 de octubre, Google anunció que retrasaría la expiración de las propiedades de Universal Analytics 360 hasta julio de 2024. Las propiedades de Universal Analytics seguirán siendo obsoletas en 2023, como estaba previsto.
Esta es la segunda vez que Google retrasa la desaparición de UA, prevista inicialmente para 2022. A principios de este año, la empresa también amplió la compatibilidad con las cookies de terceros en Google Chrome. UA utiliza cookies de terceros, por lo que el retraso de Universal Analytics probablemente ha estado en la mente de Google desde hace algún tiempo.
Demanda colectiva contra el proyecto Github Copilot
Este mes se ha presentado una demanda colectiva en un tribunal federal de California contra el proyecto Copilot de Github por cuestiones de derechos de autor.
Github es un servicio de alojamiento de desarrollo de software que Microsoft adquirió hace cuatro años. Copilot es un proyecto de IA generativa que escribe código basado en instrucciones en lenguaje natural, lo que permite una compilación más rápida del código. La IA de Copilot se entrena en el código fuente abierto alojado en la base de datos de Github y puede reproducir líneas de código alojadas en Github. Los defensores de la demanda colectiva protestan porque la reproducción de código equivale a una violación de los términos de la licencia de código abierto, ya que Copilot no atribuye el trabajo al desarrollador original.
La APD húngara se pronuncia contra el uso de Google Analytics
En una decisión aún no publicada, la autoridad húngara de protección de datos (NAIH) se pronunció en contra del uso de Google Analytics por problemas de transferencia de datos, siguiendo el ejemplo de las DPA austriaca, francesa e italiana.
Por lo que sabemos hasta ahora, la decisión parece ser similar a los demás precedentes europeos. Gira en torno a la falta de salvaguardias efectivas contra la vigilancia estadounidense sobre datos extranjeros. La decisión sugiere que la tendencia hacia una aplicación estricta de las normas de transferencia de datos puede continuar a pesar de la reciente orden ejecutiva del Presidente de EE.UU. Joe Biden. Escribimos más sobre el tema aquí.
Tenga en cuenta que gdprhub es la única fuente de esta noticia por el momento. gdprhub es un proyecto de noyb, una ONG de defensa de la privacidad directamente implicada en el caso. Consideramos que la información es fiable, pero aún así se debe advertir.
El ex Jefe de Seguridad de Uber condenado por obstrucción a la justicia
El 3 de octubre, el exjefe de seguridad de Uber Joe Sullivan fue condenado por obstrucción a la justicia.
En 2016, la Comisión Federal de Comercio estaba investigando una violación masiva de datos de conductores y clientes de Uber. Un jurado federal determinó que el Sr. Sullivan encubrió la violación de datos y no reveló información a la Comisión Federal de Comercio. Como destaca la IAPP, es la primera vez en la jurisprudencia estadounidense que un CSO es declarado penalmente responsable en relación con una violación de datos. Por tanto, el caso puede sentar un precedente importante.
El TJUE se pronunciará sobre la indemnización por infracciones del RGPD
Hace tres años, el servicio postal austriaco se vio envuelto en un escándalo por elaborar perfiles de ciudadanos y vender los datos a terceros para publicidad y propaganda política. Un ciudadano reclamó una indemnización ante un tribunal austriaco tras ser etiquetado como simpatizante de derechas por el servicio postal. El Tribunal Supremo austriaco planteó tres cuestiones al Tribunal de Justicia.
El Tribunal aclarará si el perjuicio es un requisito para la indemnización por infracciones del RGPD y si la mera molestia por una infracción equivale a un perjuicio. El Tribunal también abordará cuestiones relacionadas con la armonización del Derecho privado de los Estados miembros. La sentencia puede tener implicaciones de gran alcance para la aplicación del RGPD en los tribunales.
El abogado general Campos Sánchez-Bordona presentó sus conclusiones sobre el asunto el mes pasado.