¡Bienvenidos de nuevo a nuestro mensual sobre privacidad! Abril ha sido un mes repleto de acontecimientos en materia de privacidad: el caso ChatGPT ha causado sensación en toda Europa, Meta se arriesga a un apagón de Facebook en toda Europa, la comisión LIBE del Parlamento Europeo ha presionado contra el marco de transferencia de datos entre la UE y EE.UU., y mucho más.
- Un mes caliente para ChatGPT
- Los eurodiputados de la UE presionan contra la decisión de adecuación de EE.UU.
- La OEPP investiga el uso de Pegasus en Grecia
- ¿Se avecina un apagón de Facebook?
- La Comisión Europea publica la primera serie de servicios afectados por el ASD
- ¿Cambridge Analytica 2.0?
- Francia ratifica el Convenio 108
- La EDPB publica un informe de la plantilla sobre las reclamaciones de Google Analytics
- Meta cambia sus políticas de privacidad tras la decisión del EDPB
- TikTok vuelve a tratar mal los datos de los niños
- Los residentes en EE.UU. pueden solicitar el acuerdo con Facebook
Un mes caliente para ChatGPT
La popular IA ChatGPT de OpenAI ha estado últimamente en el centro del debate sobre la privacidad. El 30 de marzo, la autoridad italiana de protección de datos bloqueó provisionalmente ChatGPT por cuestiones de privacidad(como explicamos en detalle). Desde entonces, Open AI ha introducido algunos cambios en el tratamiento de datos de ChatGPT, lo que llevó a la autoridad italiana a levantar la prohibición el 28 de abril. Sin embargo, la autoridad sigue llevando a cabo una investigación en profundidad y podría tomar nuevas medidas si fuera necesario.
El caso puso en marcha un efecto dominó en toda la UE. El Consejo Europeo de Protección de Datos (CEPD) creó un grupo de trabajo para examinar las cuestiones jurídicas planteadas por ChatGPT y coordinar el planteamiento entre las autoridades. Con toda probabilidad, las repercusiones del trabajo del grupo de trabajo irán más allá de ChatGPT y afectarán a la regulación de la IA generativa. Mientras tanto, las autoridades de protección de datos francesas y alemanas están llevando a cabo sus propias investigaciones sobre ChatGPT.
Por último, pero no por ello menos importante, el Parlamento Europeo aprobó un nuevo borrador de la propuesta de Ley de IA que clasifica las IA generativas como ChatGPT como de alto riesgo, sometiéndolas a normas más estrictas de gestión de riesgos y gobernanza de datos.
Los eurodiputados de la UE presionan contra la decisión de adecuación de EE.UU.
El 13 de abril, la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo votó por unanimidad en contra de la próxima decisión de adecu ación de la Comisión Europea para Estados Unidos. La resolución no es vinculante para la Comisión, pero es probable que influya en el debate sobre el nuevo marco de transferencia de datos entre la UE y EE.UU., sobre todo teniendo en cuenta la sorprendente unanimidad de la votación.t
La resolución reconoce que el Marco Transatlántico de Protección de Datos supone una mejora con respecto al Escudo de Privacidad, pero pone de relieve cuestiones como los criterios para la recogida masiva de datos, las normas de conservación de datos y la transparencia del mecanismo de recurso.
Todavía es probable que el proyecto de decisión de adecuación se apruebe en la Comisión. Con toda probabilidad, el previsible recurso ante el Tribunal de Justicia será la prueba de fuego para el nuevo marco de transferencia de datos.
La OEPP investiga el uso de Pegasus en Grecia
A petición de miembros del Parlamento Europeo, la Fiscalía Europea inició una investigación sobre el uso y la venta del programa espía de uso militar en Grecia.
El uso de programas espía de tipo militar (especialmente Pegasus) por parte de agentes estatales es un tema candente a escala europea y ha sido ampliamente criticado por las organizaciones de derechos humanos. El año pasado, la Comisión PEGA del Parlamento Europeo publicó un informe que pinta un panorama preocupante del uso de programas espía en la UE. Poco después, el Supervisor Europeo de Protección de Datos pidió la prohibición de los programas espía de tipo militar en su Dictamen sobre la Ley Europea de Libertad de los Medios de Comunicación.
Grecia se encuentra actualmente en el centro del escándalo de los programas espía. Al parecer, el gobierno griego utilizó el programa espía Predator para vigilar a políticos y periodistas, y vendió licencias de Predator a países extranjeros (entre ellos Sudán, ahora inmerso en una guerra civil).
¿Se avecina un apagón de Facebook?
Según la IAPP, el Comisario irlandés de Protección de Datos podría suspender en breve las transferencias de datos de Facebook entre la UE y Estados Unidos, lo que podría llevar a un apagón de Facebook en toda la UE.
La decisión será un paso más en una larga batalla legal sobre las normas de transferencia de datos del RGPD en la que participan la ONG de protección de la privacidad noyb y el Consejo Europeo de Protección de Datos. La Junta ya resolvió el litigio el 13 de abril con una decisión aún no publicada. Se espera que la Comisaria, que está legalmente vinculada por la decisión del Consejo, publique su propia decisión final el 12 de mayo. En caso de que se suspendan las transferencias de datos, Meta impugnará sin duda la decisión ante los tribunales irlandeses.
Numerosas empresas estadounidenses tienen sus filiales europeas en la República de Irlanda, entre ellas gigantes tecnológicos como Meta, Google y Apple. Por consiguiente, la decisión del Comisario podría tener importantes repercusiones en las transferencias de datos entre la UE y Estados Unidos.
La Comisión Europea publica la primera serie de servicios afectados por el ASD
El 25 de abril, la Comisión Europea publicó una primera serie de plataformas en línea y motores de búsqueda considerados "muy grandes" a efectos de la Ley de Servicios Digitales.
Entre estos servicios figuran Facebook, la App Store de Apple, TikTok y varios servicios de Google, como Google Search y Youtube. Wikipedia es el único servicio de la lista prestado por una organización sin ánimo de lucro.
En virtud de la Ley, las grandes plataformas en línea y los motores de búsqueda están sujetos a normas más estrictas en materia de transparencia, publicidad dirigida, moderación de contenidos y protección de menores.
¿Cambridge Analytica 2.0?
La ONG de defensa de la privacidad noyb presentó una serie de denuncias contra los principales partidos políticos de Alemania, alegando que habían dirigido ilegalmente publicidad política a los electores a través de Facebook durante las elecciones federales de 2021.
En palabras de Felix Micolash, miembro de noyb, "cualquier dato sobre las opiniones políticas de una persona está protegido de forma particularmente estricta por el GDPR. Tales datos no solo son extremadamente sensibles, sino que también permiten la manipulación a gran escala de los votantes, como ha demostrado Cambridge Analytica".
En un caso reciente de gran repercusión en el que estuvo implicada la ONG, la EDPB dictaminó que la publicidad dirigida en Facebook era ilegal (como explicamos en nuestro blog). Este precedente podría dar ventaja a Noyb en las denuncias.
La elaboración de perfiles a partir de datos sensibles en las redes sociales es un problema de privacidad urgente y del que se ha ocupado recientemente el Tribunal de Distrito de Ámsterdam en un caso civil (del que hablamos en profundidad). Independientemente del resultado y los méritos de la acción legal de noyb, es motivo de preocupación que el microtargeting político al estilo de Cambridge-Analytica haya tenido lugar en Europa después de la GDPR.
Casualmente, tanto el Parlamento Europeo como el Supervisor Europeo de Protección de Datos pidieron la prohibición del microtargeting político en la propuesta de Reglamento para la transparencia y la orientación de la publicidad política. ¿Tendrán algo que ver?
Francia ratifica el Convenio 108
El 30 de marzo, Francia, que ya era parte del Convenio 108, ratificó el Convenio 108 modernizado (más conocido como Convenio 108+).
El Convenio original y el modernizado son tratados del Consejo de Europa, pero también están abiertos a Estados no pertenecientes al Consejo. Hasta la fecha, los convenios son los únicos acuerdos jurídicamente vinculantes en materia de protección de datos con arreglo al Derecho internacional. El Convenio 108 ha sido ratificado por 55 Estados de todo el mundo (la mayoría europeos), pero no todos han firmado y ratificado el Convenio 108+.
La EDPB publica un informe de la plantilla sobre las reclamaciones de Google Analytics
En 2021, la EDPB formó un grupo de trabajo para tramitar 101 reclamaciones de ONG noyb contra las transferencias de datos de Google relacionadas con Google Analytics. El 28 de marzo se publicó un informe sobre el trabajo del grupo operativo, tras un retraso sorprendentemente largo.
El informe tiene un tono algo prudente, pero subraya que las cláusulas contractuales estándar para la transferencia de datos a Estados Unidos deben integrarse mediante medidas complementarias, tal y como declaró el Tribunal de Justicia en la sentencia Schrems II. También destaca que la opción de anonimización de IP de Google Analytics y el cifrado (no de extremo a extremo) de datos de Google no bastan para mantener la confidencialidad de los datos personales.
Esto no es nada nuevo, ya que varias APD ya han declarado lo mismo en sus sentencias (examinamos la cuestión en profundidad en nuestro blog). En última instancia, el futuro de las transferencias de datos entre la UE y EE.UU. sigue dependiendo de la próxima sentencia Schrems III sobre el Marco Transatlántico de Protección de Datos.
Meta cambia sus políticas de privacidad tras la decisión del EDPB
El 5 de abril, Meta modificó las políticas de privacidad de sus plataformas Facebook e Instagram. Con arreglo a las nuevas políticas, la base jurídica de Meta para ofrecer publicidad dirigida es el interés legítimo. Además, los usuarios de la UE tienen ahora la opción de rechazar la publicidad dirigida.
La medida llega después de que el organismo irlandés de control de la privacidad multara a la empresa con un total de 390 millones de euros por dirigir ilegalmente publicidad personalizada a los usuarios de ambas plataformas. Las multas fueron el resultado de un polémico y sonado caso en el que se vio implicada la EDPB (como explicamos en nuestro blog).
Noyb se muestra escéptica sobre la nueva base jurídica de Meta (creemos que con razón) y ha anunciado su intención de seguir desafiando a Meta en este asunto. También ofrecen una herramienta de exclusión voluntaria para ayudar a los usuarios de Facebook e Instagram a rechazar la publicidad dirigida de las plataformas.
TikTok vuelve a tratar mal los datos de los niños
El 4 de abril, el organismo británico de control de la privacidad (ICO) impuso a TikTok una multa de 12,7 millones de libras por tratamiento ilícito de datos de menores. Según la ICO, la plataforma social hizo muy poco para verificar la edad de los nuevos usuarios y eliminar las cuentas existentes de menores de 13 años.
No es la primera vez que TikTok se mete en problemas con las autoridades de protección de datos por sus insuficientes políticas de verificación de la edad. En 2021, la GPDP italiana suspendió tres veces las actividades de TikTok en relación con usuarios menores de edad. Un año después, el GPDP irlandés redactó una decisión para multar a la plataforma por infracciones similares y la presentó a sus homólogos europeos. En la actualidad, el procedimiento sigue pendiente.
Los residentes en EE.UU. pueden solicitar el acuerdo con Facebook
El pasado diciembre, Meta acordó pagar 725 millones de dólares para resolver una demanda colectiva relacionada con el escándalo de Cambridge Analytica. Según las acusaciones, Meta (entonces Facebook Inc.) reveló datos personales a Cambridge Analytica sin el consentimiento de los usuarios, lo que permitió a la ahora desaparecida empresa británica dirigirse a los electores estadounidenses en las elecciones presidenciales de 2016.
Los usuarios de Facebook tienen ahora derecho a solicitar el acuerdo, siempre que hayan sido residentes en Estados Unidos en cualquier momento entre 2007 y 2022.