- Un diputado francés impugna el marco de transferencia de datos entre la UE y EE.UU.
- Google pagará 93 millones de dólares por un acuerdo sobre datos de localización
- Multa de 345 millones de euros a TikTok por tratamiento indebido de datos de menores
- La vigilancia extranjera en el Reino Unido viola el CEDH
- Google y X se enfrentan a demandas colectivas en los Países Bajos
- Google Privacy Sandbox ya está ampliamente disponible
- EDPB se ocupará del caso de la publicidad Meta
- Prohibición de la publicidad de vigilancia propuesta en el Congreso de EE.UU.
- La Ley Europea de Gobernanza de Datos ya es aplicable
- El proyecto de ley de seguridad en línea del Reino Unido se convertirá en ley
- El PCLOB opina sobre la FISA
- La APD finlandesa autoriza la transferencia de datos de una empresa rusa
Un diputado francés impugna el marco de transferencia de datos entre la UE y EE.UU.
El 6 de septiembre, el diputado francés y miembro de la CNIL Philippe Latombe presentó ante el Tribunal de Justicia de la UE una solicitud de anulación del marco de protección de datos entre la UE y Estados Unidos, según informó en primer lugar Político.
Dado el turbulento historial jurídico de las transferencias de datos entre la UE y EE.UU., era de esperar que se emprendieran acciones legales contra el nuevo marco transatlántico de protección de datos. Sin embargo, no está claro si el Tribunal examinará el fondo del asunto, ya que los requisitos procesales para la acción directa son bastante estrictos.
Comentamos esta noticia con más detalle en nuestro blog.
Google pagará 93 millones de dólares por un acuerdo sobre datos de localización
Google ha llegado a un ** acuerdo de 93 millones de dólares** con el Departamento de Justicia de California por las acusaciones de recopilación ilegal de datos de localización de los usuarios. También se ha ordenado a la empresa que demuestre una mayor transparencia en el tratamiento de los datos de localización.
Google supuestamente rastreaba y almacenaba datos de localización para la elaboración de perfiles y con fines publicitarios sin el consentimiento del usuario. Según el Abogado General Rob Bonta, la empresa también ignoró las preferencias de los usuarios que desactivaron la configuración del "historial de localización" de sus dispositivos y optaron por no recibir publicidad selectiva basada en la ubicación.
Multa de 345 millones de euros a TikTok por tratamiento indebido de datos de menores
El 1 de septiembre, la autoridad irlandesa de protección de datos (APD) multó a TikTok con 345 millones de euros por su gestión de los datos de usuarios menores de edad. El Consejo Europeo de Protección de Datos intervino directamente, como suele ocurrir cuando el CPD trata con las grandes tecnológicas.
Según el CPD, TikTok no tuvo en cuenta el impacto en la privacidad de su configuración por defecto para las cuentas de menores. Además, la función de emparejamiento familiar de la plataforma creó graves riesgos para los usuarios menores de edad, ya que se implementó sin un proceso de verificación.
La vigilancia extranjera en el Reino Unido viola el CEDH
El 12 de septiembre, el Tribunal Europeo de Derechos Humanos (TEDH) condenó al Reino Unido por llevar a cabo la vigilancia de ciudadanos extranjeros sin permitir la reparación judicial.
En el caso que nos ocupa, el Reino Unido vigiló digitalmente a dos periodistas extranjeros. Ambos llevaron el caso ante el Investigatory Powers Tribunal del Reino Unido, pero no fueron oídos porque no eran residentes británicos. En su sentencia, el TEDH sostuvo que el Reino Unido violó el Convenio Europeo de Derechos Humanos al denegar la acción a los periodistas.
La falta de un sistema eficaz de reparación es un aspecto problemático de las transferencias de datos personales entre la UE y Estados Unidos, y una de las principales razones por las que el Tribunal de Justicia de la UE invalidó en el pasado dos marcos de transferencia de datos con Estados Unidos. ¿Podría esta falta de compensación convertirse también en un problema para las transferencias de datos entre la UE y el Reino Unido?
Google y X se enfrentan a demandas colectivas en los Países Bajos
Google se enfrenta a una demanda colectiva en los Países Bajos por supuestas violaciones de la privacidad. El caso fue presentado por la asociación de consumidores neerlandesa Consumentenbond y el grupo de defensa de la privacidad Privacy Protection foundation.
Según se indica en un comunicado de prensa conjunto, las denuncias incluyen la transferencia ilegal de datos personales fuera de la UE, la recopilación ilegal de datos de localización y el uso deliberado de patrones oscuros para manipular a los usuarios para que den su consentimiento a prácticas de recopilación de datos muy invasivas.
X Corp (antes conocida como Twitter) también se enfrenta a una demanda colectiva por recopilación ilegal de datos, dirigida por la organización holandesa sin ánimo de lucro SDBN.
Según SDBN, la aplicación Twittter (ahora X) y la plataforma de aplicaciones móviles MoPub (actualmente propiedad de otra empresa) recogían datos personales sin recabar el consentimiento informado. Cabe señalar que los rastreadores MoPub están integrados en un enorme número de aplicaciones gratuitas, incluidos servicios tan extendidos como Shazam, Duolingo y Grindr.
Google Privacy Sandbox ya está ampliamente disponible
En septiembre, la API de Google Privacy Sandbox se puso a disposición de los desarrolladores. El lanzamiento de la API es un paso importante en la estrategia anunciada por Google para eliminar gradualmente las cookies de terceros de su propio entorno.
El Sandbox de Privacidad de Google utiliza la información de navegación para clasificar a los usuarios en grupos en función de su ubicación, datos demográficos e intereses. La idea central del Sandbox es que compartir datos sobre estos grupos, y nada más, permite una publicidad dirigida eficaz con un impacto menor en la privacidad del usuario en comparación con las estrategias tradicionales de seguimiento basadas en cookies.
El Sandbox de Privacidad es un sistema de preservación de la privacidad que ha sido recibido con cierto grado de crítica. Veamos si el Sandbox cumplirá realmente sus promesas o resultará ser una mera pintura para el modelo de negocio altamente invasivo de Google.
EDPB se ocupará del caso de la publicidad Meta
El 28 de septiembre, la autoridad noruega de protección de datos solicitó a la Junta Europea de Protección de Datos una decisión vinculante sobre la publicidad dirigida en Facebook e Instagram. La autoridad busca confirmación para una prohibición temporal de los anuncios personalizados de Meta impuesta hace meses mediante un procedimiento de urgencia. Poco antes de la prohibición, el Tribunal de Justicia de la UE declaró ilegal el modelo publicitario de Meta.
En el fondo, el caso trata de la falta de consentimiento del usuario para la elaboración de perfiles y la publicidad personalizada. Merece la pena seguir el caso de cerca, ya que puede dar lugar a prohibiciones en otros países europeos, y puede afectar ampliamente al modelo de negocio de pago por datos que impulsa muchas plataformas en línea.
Para más información, no dude en consultar nuestro blog sobre la sentencia del Bundeskartellamt del Tribunal de Justicia.
Prohibición de la publicidad de vigilancia propuesta en el Congreso de EE.UU.
Representantes demócratas presentaron el 18 de septiembre en el Congreso de Estados Unidos la Ley de Prohibición de la Publicidad Vigilada.
El proyecto de ley pretende prohibir la publicidad basada en información comprada a intermediarios de datos, así como en información protegida como la raza y la religión. En palabras de la representante Anna Eshoo, la publicidad basada en la vigilancia es "un modelo de negocio tóxico que causa daños irreparables a los consumidores, las empresas y la democracia estadounidense".
La situación de la privacidad en Estados Unidos dista mucho de ser halagüeña. El Congreso trató de impulsar una regulación federal de la privacidad (la ADPPA), pero las negociaciones en torno a la propuesta se han ralentizado hasta la saciedad. La Ley de Prohibición de la Publicidad Vigilada podría desempeñar un papel crucial en la protección de los derechos de privacidad hasta que llegue (esperemos) la ADPPA.
La Ley Europea de Gobernanza de Datos ya es aplicable
La Ley de Gobernanza de Datos (DGA) de la UE entró en vigor en septiembre tras un periodo de gracia de 15 meses.
La Ley pretende fomentar el espacio de datos de la UE permitiendo a las empresas y organismos públicos compartir datos personales y no personales con intermediarios de confianza, que luego pondrán los datos a disposición de otras entidades en determinadas condiciones. Por ejemplo, los fabricantes podrían confiar
Sin embargo, la DGA no crea ninguna obligación de compartir datos para las organizaciones. Con toda probabilidad, el éxito del Espacio Digital de Datos dependerá de la capacidad de la Comisión para convencer a las grandes empresas de que compartan sus datos.
El proyecto de ley de seguridad en línea del Reino Unido se convertirá en ley
El controvertido proyecto de ley de seguridad en línea del Reino Unido fue votado por el Parlamento el 19 de septiembre y pronto se convertirá en ley. El proyecto de ley incluye obligaciones de moderación de contenidos para las plataformas en línea y medidas contra la difusión de pornografía infantil (denominada material de abuso sexual infantil o CSAM, por sus siglas en inglés) a través de plataformas de mensajería personal.
La polémica en torno al proyecto de ley gira en torno a la obligación de las plataformas de mensajería personal de identificar y retirar los contenidos ilegales, incluido el CSAM. Esta obligación podría obligar a las empresas a romper el cifrado de extremo a extremo mediante la implementación de escaneado del lado del cliente para sus servicios, lo que plantea problemas de privacidad y seguridad. Los grupos de defensa de la privacidad y varias plataformas de mensajería se han opuesto firmemente al proyecto de ley, y Whatsapp y Signal han llegado a anunciar que abandonarían el mercado británico si se aprobaba.
El PCLOB opina sobre la FISA
En noticias relacionadas, laJunta de Supervisión de la Privacidad y las Libertades Civ iles de Estados Unidos revisó las actividades de vigilancia en el extranjero llevadas a cabo por la NSA en virtud de la sección 702 de la FISA, una de las leyes que autorizan la vigilancia de ciudadanos extranjeros. El informe de la Junta destaca que ciertas formas de operaciones de recopilación de datos -en concreto, las "consultas a personas estadounidenses" y las "consultas por lotes"- son potencialmente muy intrusivas y podrían limitarse sin que ello repercutiera gravemente en la eficacia de la vigilancia exterior.
La reautorización de la ley FISA está prevista en breve en el Congreso y el informe del Consejo puede influir en el proceso de negociación. Merece la pena seguir de cerca la situación, ya que las operaciones llevadas a cabo en el marco de la FISA están en el centro de problemas jurídicos de hace una década con las transferencias de datos entre la UE y Estados Unidos.
La APD finlandesa autoriza la transferencia de datos de una empresa rusa
El 27 de septiembre, la autoridad finlandesa de protección de datos suspendió una prohibición temporal de transferencia de datos impuesta en agosto a Yango, una aplicación rusa de transporte por Internet.
La decisión original giraba en torno a una nueva ley rusa que permite a los organismos de vigilancia solicitar datos personales a determinadas empresas. Tras un examen más detallado, la autoridad finlandesa consideró que la ley rusa no se aplicaba a los servicios de transporte por carretera.