Arrancamos el año 2024 con otro mensual sobre privacidad, y en esta ocasión, Google acapara la atención. El gigante de Silicon Valley perdió un importante caso antimonopolio sobre su Play Store, tuvo que resolver una demanda colectiva de privacidad sobre el modo Incógnito de Chrome y debe hacer frente a un importante (y aún no parcheado) exploit en su sistema de autorización OAuth ampliamente utilizado. Además de Google, la UE está a punto de finalizar la Ley de Inteligencia Artificial, Meta encripta (por fin) los chats de Messenger, ¡y mucho más!
- Grandes problemas para Google
- La Ley de Inteligencia Artificial casi ultimada
- Messenger ahora cifrado por defecto
- El Congreso prorroga temporalmente la FISA 702
- El Consejo Europeo de Protección de Datos debate el planteamiento de "pagar o aceptar" en materia de privacidad
- Sentencias históricas del TJUE sobre la calificación crediticia
- X bajo investigación de la ASD
- Noyb denuncia a X por publicidad política
- Morgan Stanley llega a un acuerdo por una vergonzosa filtración de datos
Grandes problemas para Google
En diciembre, Google llegó a un acuerdo en una demanda colectiva sobre el seguimiento del modo Incógnito. La demanda reclamaba ** 5.000 millones de dólares** por daños y perjuicios, pero el importe del acuerdo no se ha revelado. Hemos escrito más sobre la metedura de pata del modo Incógnito de Google aquí.
Mientras tanto, la autoridad de privacidad islandesa multó a varios municipios por utilizar Google Workspace y otros servicios de Google Cloud en las escuelas. Aunque Google no es responsable de ninguna infracción, la decisión sugiere que algunos de sus servicios podrían ser demasiado invasivos para su uso en un entorno educativo.
En noticias no relacionadas con la privacidad, Google perdió un importante pleito antimonopolio contra Epic Games sobre Google Play Store. Si Google perdiera en apelación, el caso podría crear un peligroso precedente para Google y debilitar el lucrativo monopolio de Play Store sobre la distribución de aplicaciones en la plataforma Android.
Por si los problemas legales no fueran suficientes, un investigador de seguridad reveló recientemente una importante vulnerabilidad en los sistemas OAuth de Google. Un descuido en el sistema de vinculación de correo electrónico para las cuentas de Google permite a los antiguos empleados conservar el acceso a los proveedores de servicios de sus organizaciones después de que se haya desactivado la cuenta de Google de su empresa. Esta vulnerabilidad podría dar lugar a filtraciones de datos personales, así como de información empresarial de valor incalculable, incluidos secretos comerciales.
El investigador informó a Google en agosto y no hizo públicos los detalles hasta que Google no solucionó la vulnerabilidad. Los principales proveedores de servicios, como Slack, fueron informados de la vulnerabilidad con antelación para limitar las consecuencias negativas de la revelación. Hasta la fecha, Google no ha mencionado esta vulnerabilidad en su blog ni ha anunciado una solución.
La Ley de Inteligencia Artificial casi ultimada
Tras un maratón negociador de tres días, los legisladores de la UE alcanzaron un acuerdo provisional sobre la Ley de Inteligencia Artificial.
El acuerdo fue posible gracias a las concesiones mutuas entre el Parlamento y el Consejo: por ejemplo, el Parlamento aceptó establecer pequeñas excepciones para el uso de la identificación biométrica en tiempo real en las fuerzas del orden, a cambio de la prohibición de la tecnología de reconocimiento de emociones en lugares de trabajo y escuelas.
Es probable que la Ley se ultime pronto, ya que los legisladores de la UE pretenden apretar el acelerador antes de que se elija un nuevo Parlamento.
Messenger ahora cifrado por defecto
Meta ha anunciado el despliegue del cifrado de extremo a extremo en Messenger. El cifrado de extremo a extremo de Messenger utiliza el mismo protocolo Signal que el de WhatsApp.
El cifrado de extremo a extremo ya estaba disponible desde 2016 a través de la configuración del usuario, pero ahora será predeterminado. Más vale tarde que nunca, supongo.
El Congreso prorroga temporalmente la FISA 702
El Congreso de Estados Unidos prorrogó cuatro meses la Sección 702 de la FISA, posponiendo la propuesta de reforma de la ley, muy debatida. Las reformas propuestas pretenden limitar la "reverse targeting", una forma de vigilancia sin orden judicial que elude algunas de las protecciones que la ley otorga a los ciudadanos estadounidenses.
La FISA es muy relevante para la legislación de la UE sobre privacidad. Al permitir una amplia vigilancia de los datos europeos, la Sección 702 crea un riesgo para la privacidad en las transferencias de datos entre la UE y Estados Unidos. Una reforma de la Sección 702 podría tener importantes consecuencias para las transferencias de datos y para el futuro del nuevo marco de privacidad de datos entre la UE y EE.UU.
El Consejo Europeo de Protección de Datos debate el planteamiento de "pagar o aceptar" en materia de privacidad
En diciembre, el Consejo Europeo de Protección de Datos (es decir, el organismo europeo que reúne a todas las autoridades de protección de datos del EEE) debatió el enfoque pay-or-ok de la privacidad y su compatibilidad con el RGPD. El Consejo aún no ha publicado ningún documento sobre el tema.
Aunque pay-or-ok no es en absoluto una cuestión nueva, se convirtió en un tema candente después de que Meta empezara a ofrecer suscripciones de pago sin publicidad como parte de su nueva (y controvertida) estrategia de cumplimiento para la publicidad dirigida. La historia es larga y ya escribimos sobre ella aquí.
Sentencias históricas del TJUE sobre la calificación crediticia
El Tribunal de Justicia de la UE ha dictado dos sentencias sobre las prácticas de calificación crediticia. Dado el uso cada vez más extendido de la calificación crediticia, estas sentencias podrían desempeñar un papel importante en el futuro.
La principal conclusión es que las personas afectadas por la calificación crediticia disfrutan de derechos y salvaguardias específicos en virtud del RGPD (en concreto, los previstos para determinadas formas de toma de decisiones automatizada en el artículo 22). El Tribunal también sostuvo que una agencia de calificación crediticia no puede almacenar información sobre insolvencia durante más tiempo que los registros públicos.
X bajo investigación de la ASD
El 18 de diciembre, la Comisión Europea empezó a investigar el cumplimiento por parte de X de la Ley de Servicios Digitales, un Reglamento reciente que impone obligaciones de moderación de contenidos a las principales plataformas en línea.
No es de extrañar. X (que entonces aún se llamaba Twitter) abandonó el código de buenas prácticas de la UE sobre desinformación en junio de 2023, justo antes de que entrara en vigor la DSA. De hecho, la plataforma dio la espalda a compromisos voluntarios que se convertirían en obligaciones legales en cuestión de meses. Este confuso movimiento convirtió a la plataforma en un objetivo obvio para la aplicación de la DSA y suscitó las críticas de la Comisión Europea.
En resumen, la investigación era de esperar y X ha empezado con mal pie.
Noyb denuncia a X por publicidad política
En otras noticias relacionadas con X, la ONG noyb presentó una denuncia por la publicidad política selectiva realizada por X en nombre de la Comisión Europea. Esta denuncia es continuación de otra reciente contra la propia Comisión.
Noyb afirma que a un ciudadano holandés se le mostraron anuncios basados en palabras clave relacionadas con la política, incluidos nombres de destacados políticos de derechas. Las organizaciones creen que esta estrategia de segmentación constituye una violación tanto del GDPR como de la Ley de Servicios Digitales (y estamos de acuerdo, por si sirve de algo).
En resumen, la Comisión** incurre en las mismas prácticas que la UE intenta prohibir**. Este caso es bastante embarazoso para la Comisión, independientemente del resultado.
Morgan Stanley llega a un acuerdo por una vergonzosa filtración de datos
El gigante financiero Morgan Stanley ha llegado a un acuerdo de 6,5 millones de dólares por una filtración de datos. La demanda fue interpuesta por una coalición de varios estados después de que la empresa pusiera en peligro datos personales al no borrarlos de los dispositivos dados de baja.
Morgan Stanley subcontrató el desmantelamiento a una empresa de mudanzas sin conocimientos informáticos. El resultado fue que los ordenadores y servidores de la empresa se vendieron en el mercado con datos de la empresa y datos personales aún disponibles en la memoria del dispositivo, a veces sin cifrar.