Decir que abril ha sido un mes caliente, bien podría ser quedarse corto. En el Congreso de EE.UU. hay muchas noticias, como una legislación sin precedentes contra Tiktok y un nuevo proyecto de ley bipartidista sobre privacidad. Mientras tanto, Apple ha cedido a la presión reguladora en China y la EDPB se ha posicionado en contra de Meta en una batalla legal clave y de alto perfil.
Hay mucho que debatir, así que vamos a ello.
- El Congreso de EE.UU. debate un proyecto de ley federal sobre privacidad y prohíbe TikTok
- Más información sobre el Congreso: FISA 702 reautorizada, la 4ª Enmienda no está en venta
- Los datos personales no son una mercancía, dice EDPB
- Apple retira los servicios cifrados de la App Store china
- Fuga masiva de datos en EE.UU.
- ByteDance suspende el programa TikTok Rewards en Europa
- El gobierno de EE.UU. endurece las normas de la HIPAA para los datos de salud reproductiva
- Google vuelve a retrasar la eliminación de las cookies.
- Grindr se enfrenta a una demanda por sus datos sobre el VIH
- Google paga 62 millones de dólares por los datos de localización
- La IA sigue planteando problemas de privacidad
El Congreso de EE.UU. debate un proyecto de ley federal sobre privacidad y prohíbe TikTok
Un proyecto de ley federal bicameral sobre privacidad fue propuesto inesperadamente en el Congreso. El proyecto de ley, denominado American Privacy Right Act (APRA), incluye un amplio conjunto de protecciones de la privacidad, como requisitos de minimización y transparencia de datos, nuevos derechos de los consumidores y un derecho de acción privado sujeto a ciertas limitaciones.
Es probable quela primacía estatal sea un tema espinoso en futuras negociaciones. Algunos Estados ya ofrecen sólidas protecciones de la privacidad a sus ciudadanos y no verán con buenos ojos que la legislación federal las socave.
Mientras tanto, el Congreso ultimó una legislación sin precedentes que obliga al gigante chino ByteDance a desprenderse de la propiedad de TikTok bajo amenaza de prohibición del mercado estadounidense. Según Reuters, ByteDance está dispuesta a impugnar la constitucionalidad de la ley, pero preferiría abandonar el mercado estadounidense antes que desprenderse de la propiedad si se diera el caso.
Más información sobre el Congreso: FISA 702 reautorizada, la 4ª Enmienda no está en venta
En otras noticias del Congreso de EE.UU., la Sección 702 de la FISA fue finalmente reautorizada por dos años en el último momento.
La FISA autoriza la vigilancia de ciudadanos extranjeros, pero en el pasado se ha abusado de ella para vigilar las comunicaciones de los estadounidenses sin orden judicial. Los defensores de la privacidad y los derechos civiles llevan mucho tiempo criticando las débiles salvaguardias que rodean a la ley y no se alegran de verla prorrogada sin ninguna enmienda.
Una noticia más positiva es la aprobación en la Cámara de Representantes de la Ley de la 4ª Enmienda, que prohíbe a las fuerzas del orden y a los servicios de inteligencia comprar información personal a intermediarios de datos sin garantías de seguridad(algo que hacen constantemente). Esperamos que se convierta en ley.
Los datos personales no son una mercancía, dice EDPB
En su esperadísimo dictamen sobre pay-or-ok, la Oficina Europea de Protección de Datos aclaró que los datos personales no son una mercancía y adoptó una postura clara contra la extracción de datos de Meta. Con toda probabilidad, el Tribunal de Justicia tendrá la última palabra en la larga saga de cumplimiento del RGPD por parte de Meta, pero el dictamen de la JEPD es, no obstante, una muy buena señal.
Se trata de un asunto realmente importante para la privacidad, ya que muchos servicios monetizan los datos de los usuarios de forma similar a Meta. Consulta nuestro blog para saber más sobre el dictamen de la EDPB, la historia que hay detrás y su posible impacto en la privacidad de los ciudadanos de la UE.
Apple retira los servicios cifrados de la App Store china
Apple ha retirado cuatro aplicaciones de la versión china de la App Store por orden de las autoridades chinas. La lista incluye la plataforma Threads y tres populares apps de mensajería cifrada de extremo a extremo (WhatsApp, Telegram y Signal).
No es la primera vez que el Gobierno chino ordena a Apple que deje de disponer de software: la compañía ya se vio obligada a retirar una app de VPN en 2017. Resulta superfluo destacar los posibles perjuicios para los usuarios cuando se eliminan apps que preservan la privacidad del entorno cerrado de iOS, especialmente en un país como China.
Como dijo un portavoz de Apple al WSJ, la compañía debe cumplir las leyes aunque no le gusten. Sin embargo, nada de esto habría sucedido si simplemente se hubiera permitido a los usuarios chinos de iOS la carga lateral de aplicaciones, como pueden hacer los usuarios de la UE en virtud de la Ley de Mercados Digitales. Al optar por mantener el control total sobre el entorno iOS en China, Apple se está poniendo a sabiendas en una posición en la que puede ser intimidada por el gobierno para perjudicar a sus usuarios.
Fuga masiva de datos en EE.UU.
La Comisión Federal de Comunicaciones multó a varios operadores de telefonía móvil estadounidenses por revelar de forma no consentida los datos de localización de sus clientes a intermediarios de datos. Las multas ascienden a un total de ** 200 millones de dólares** entre Verizon, AT&T, T-Mobile y Sprint (ahora propiedad de T-Mobile).
Se trata de una fuga de datos de proporciones catastróficas. Las operadoras sancionadas por la FCC son algunas de las mayores del mercado estadounidense, y sólo Verizon cuenta con casi 150 millones de clientes.
ByteDance suspende el programa TikTok Rewards en Europa
Por si el ultimátum del Congreso a TikTok no fuera suficiente, la Comisión Europea anunció una investigación sobre el programa de recompensas de TikTok Lite por posibles infracciones de la Ley de Servicios Digitales. La investigación llevó a ByteDance a suspender el programa en el mercado de la UE.
El "Programa de Tareas y Recompensas" de TikTok Lite recompensa a los usuarios por participar en la plataforma y realizar determinadas tareas, como dar "me gusta" a contenidos e invitar a amigos a unirse a TikTok. La Comisión señala que ByteDance no evaluó adecuadamente los riesgos de Task and Reward, y sospecha que el programa podría tener efectos adictivos y causar daños mentales al público de la plataforma (en su mayoría bastante joven) .
El gobierno de EE.UU. endurece las normas de la HIPAA para los datos de salud reproductiva
El Departamento de Salud y Servicios Humanos emitió nuevas normas para restringir la divulgación de datos en virtud de la HIPAA con el fin de proteger a las mujeres que buscan atención sanitaria reproductiva en Estados santuarios. La nueva norma prohíbe la divulgación de datos con el fin de investigar los servicios de salud reproductiva prestados legalmente.
La confidencialidad de los datos sobre salud reproductiva se convirtió en una cuestión clave de derechos humanos en 2022, cuando la sentenciadel caso Dobbs contra Jackson abrió las compuertas a la legislación antiabortista en los Estados conservadores. El fortalecimiento de la HIPAA es un paso en la dirección correcta, pero enormes cantidades de datos de salud siguen quedando fuera del estrecho ámbito de la ley y pueden ser utilizados por las fuerzas del orden y otros actores de maneras que perjudican a las mujeres y a los proveedores de atención médica.
Google vuelve a retrasar la eliminación de las cookies.
Google ha vuelto a retrasar la eliminación de las cookies de terceros. El anuncio se produjo días después de que el Washington Post informara sobre el rechazo normativo al Sandbox debido a las vulnerabilidades en materia de privacidad.
Para obtener más información sobre la noticia y el Privacy Sandbox, visita nuestro blog.
Grindr se enfrenta a una demanda por sus datos sobre el VIH
Grindr se enfrentará a una demanda colectiva en el Reino Unido por la divulgación no consentida de datos sensibles, incluidos datos sobre el VIH. La demanda implica a cientos de usuarios y gira en torno a la divulgación de datos personales entre 2018 y 2020.
Grindr, una popular aplicación de citas dirigida al público queer, ya fue multada en Noruega por compartir datos sensibles con anunciantes de forma no consentida. Según la propia política de Grindr, este tipo de divulgaciones se siguen produciendo, aunque con el consentimiento del usuario (o, con toda probabilidad, bajo una ficción de consentimiento, como suele ser el caso de las aplicaciones de citas).
Google paga 62 millones de dólares por los datos de localización
Deténganme si han oído esto antes, pero Google ha firmado un acuerdo sobre los datos de localización.
Ya conoces la historia: A Google le gusta "dar al usuario el control" sobre sus datos vinculando la recopilación de datos de localización a múltiples configuraciones poco claras que se encuentran en todo tipo de lugares diferentes en los dispositivos Android. Esto puede o no hacerse para evitar que los usuarios desactiven por completo la recopilación de datos de localización. Los ajustes de Google son tan intencionadamente obtusos que ni siquiera un ingeniero de Google fue capaz de desactivar el rastreo.
La IA sigue planteando problemas de privacidad
Un informe reciente del New York Times describe cómo OpenAI, Google y Meta saquean Internet en busca de datos de entrenamiento para desarrollar sus IA de vanguardia. Mientras compiten entre sí para crear modelos más grandes y potentes, estos gigantes extraen datos de todo tipo de fuentes, incluidos contenidos de Facebook y Youtube.
El NYT tiene un hacha que afilar con OpenAI, pero aún así plantea algunos puntos justos. El raspado de datos en la Red por parte de las grandes tecnológicas elude las políticas de las empresas, se aprovecha de las lagunas en la legislación sobre derechos de autor y plantea graves problemas de privacidad que aún no se han abordado. El organismo italiano de control de la privacidad planteó problemas similares en su investigación pendiente sobre Open AI y en una investigación paralela sobre Sora, la herramienta de conversión de texto en vídeo de OpenAI.
Mientras tanto, el defensor de la privacidad noyb presentó una denuncia contra OpenAI por no haber corregido la información personal falsa facilitada por ChatGPT. La denuncia plantea una cuestión espinosa: según el GDPR, OpenAI tiene la obligación de garantizar que los datos personales sean exactos, lo que implica garantizar que los resultados de ChatGPT sean exactos. Buena suerte con eso.