Octubre ha sido, como mínimo, un mes lleno de acontecimientos. Meta vuelve a estar en el punto de mira de los reguladores, ya que la Oficina Europea de Protección de Datos prohíbe la publicidad personalizada en Facebook e Instagram; países de todo el mundo siguen avanzando en la regulación de la IA; California aprueba una innovadora ley sobre el derecho de supresión, y mucho más. Ah, ¿y hemos mencionado una de las peores violaciones de datos de la historia?
- La JEPD prohíbe la publicidad personalizada para Meta.
- Se confirma una filtración de datos genéticos a gran escala
- Un mes caliente para la regulación de la IA
- La autoridad alemana de competencia falla contra Facebook
- Amazon lanza su nube europea
- El Reino Unido aprueba la polémica Ley de Seguridad en Línea
- Rechazado el primer recurso contra el marco de transferencia de datos
- El Congreso estudia la reautorización temporal de la FISA
- Novedades en la legislación sobre privacidad de California
- Argentina avanza hacia una nueva ley de protección de datos
La JEPD prohíbe la publicidad personalizada para Meta.
El 27 de octubre, el Consejo Europeo de Protección de Datos emitió una decisión urgente y vinculante que deberá aplicar el organismo irlandés de control de la privacidad. Aunque la decisión aún no se ha publicado, del comunicado de prensa de la Junta se desprende claramente que equivale prácticamente a una prohibición en toda la UE de la publicidad personalizada en Facebook e Instagram.
Desde hace casi un año, Meta se esfuerza por justificar su modelo de negocio basado en los datos, la elaboración de perfiles de usuario y la publicidad personalizada. Dos versiones diferentes de la política de privacidad de Meta fueron anuladas por los reguladores de la UE por cuestiones relacionadas con la publicidad personalizada en Facebook e Instagram, y la autoridad noruega de protección de la intimidad emitió posteriormente una prohibición temporal de la publicidad dirigida a los usuarios noruegos. Por fin, la decisión urgente de la JEPD convirtió la prohibición noruega en una prohibición permanente a escala de la UE que la autoridad irlandesa de protección de datos emitirá en un futuro próximo.
Por otro lado, Meta ha anunciado recientemente que pondrá a disposición de los usuarios europeos suscripciones de pago a Facebook sin publicidad como alternativa a sus actuales suscripciones gratuitas con publicidad. Sospechamos que esta controvertida medida está motivada en gran medida por la necesidad de legitimar el actual modelo de negocio con respecto a los usuarios que no pagan, que con toda probabilidad representarán la inmensa mayoría de la base de usuarios de Facebook en el futuro.
Se confirma una filtración de datos genéticos a gran escala
La empresa estadounidense de pruebas genéticas 23andMe ha sufrido una filtración de datos a gran escala. Se desconoce el alcance total de la filtración, pero los primeros informes indican que se filtraron datos genéticos de al menos 4 millones de usuarios.
A principios de este mes, un pirata informático anunció que había pirateado y filtrado los datos en la Dark Web. 23andMe anunció primero que estaba analizando los datos filtrados para verificar las afirmaciones. Más tarde, la empresa envió correos electrónicos de advertencia a los usuarios afectados, confirmando implícitamente que los datos filtrados son auténticos.
Las filtraciones de datos genéticos son especialmente arriesgadas, ya que afectan no sólo a las personas a las que pertenecen los datos filtrados, sino también a sus familiares, tanto si utilizan servicios de pruebas genéticas como si no. En el caso de filtraciones de datos a gran escala de servicios disponibles comercialmente, pueden verse afectados incluso familiares lejanos de los usuarios.
Un mes caliente para la regulación de la IA
Octubre fue un mes agitado para la regulación de la IA. La ONU creó un consejo asesor mundial sobre IA; el G7 acordó un código de conducta para el desarrollo de la IA; la cumbre sobre seguridad de la IA celebrada en el Reino Unido alcanzó importantes resultados, entre ellos un acuerdo sobre pruebas de IA entre 27 gobiernos; y el Presidente de EE.UU. firmó una orden ejecutiva que aborda los problemas de seguridad y privacidad de la IA.
En cuanto a la UE, Euractiv informa de que podría estar a punto de alcanzarse un acuerdo sobre la Ley de Inteligencia Artificial. El borrador final de la Ley intenta asegurar un acuerdo encontrando un término medio entre el Parlamento y la Comisión: el Parlamento podría estar dispuesto a dejar un poco de espacio para la identificación biométrica en tiempo real en el contexto de la aplicación de la ley, a cambio de una lista más larga de aplicaciones de IA prohibidas.
La autoridad alemana de competencia falla contra Facebook
Tras una investigación del regulador alemán de la competencia (Bundeskartellamt), Google se comprometió a dar a los usuarios más control sobre el uso cruzado de datos entre distintos servicios de Google, así como sobre la combinación de datos recogidos a través de aplicaciones y servicios de terceros. En otras palabras, los consumidores tendrán ahora la opción de excluirse del uso cruzado de datos cuando no sea necesario.
La autoridad anunció que hay investigaciones similares pendientes contra otras Big Tech.
Esta decisión está relacionada con la reciente sentencia del Bundeskartellamt del Tribunal de Justicia de la UE, una decisión importante de la que hablamos ampliamente en este blog.
Amazon lanza su nube europea
Amazon acaba de anunciar AWS European Sovereign Cloud, un nuevo servicio en la nube basado en la UE. El servicio pretende ayudar a las empresas y organismos públicos a cumplir las normas de privacidad y localización de datos.
Amazon no es el único gigante que apuesta por la localización de datos: en enero Microsoft puso en marcha el programa EU Data Boundary para su servicio Microsoft Cloud. Estos servicios hacen de Microsoft y Amazon proveedores atractivos para gobiernos, organismos públicos y empresas que manejan grandes cantidades de datos sensibles.
El Reino Unido aprueba la polémica Ley de Seguridad en Línea
La Ley de Seguridad en Línea del Reino Unido se convirtió en ley el 26 de octubre. La Ley incluye obligaciones de moderación de contenidos para las plataformas y entrará en vigor gradualmente a medida que la autoridad británica de telecomunicaciones despliegue la nueva regulación.
La Ley también obliga a los proveedores de servicios de mensajería a escanear los archivos de imágenes para identificar y marcar el material de abuso sexual infantil. Esto obliga a algunos proveedores a incorporar puertas traseras en la encriptación de extremo a extremo, lo que puede socavar la privacidad y la seguridad de las comunicaciones. Los defensores de la privacidad criticaron duramente el proyecto de ley en la fase de redacción, mientras que Whatsapp y Signal amenazaron con abandonar el mercado británico si se aprobaba la ley.
Rechazado el primer recurso contra el marco de transferencia de datos
El Tribunal General de la Unión Europea denegó la petición de Philippe Latombe de suspender la decisión de adecuación para EE.UU. por cuestiones de procedimiento. Según la Asociación Internacional de Profesionales de la Privacidad, el Sr. Latombe recurrió la decisión del Tribunal.
La decisión de adecuación de la Comisión Europea para EE.UU. es el último paso en el esfuerzo conjunto de EE.UU. y la UE por resolver los antiguos problemas jurídicos de las transferencias de datos. El Tribunal de Justicia de la UE invalidó dos marcos de transferencia de datos UE-EE.UU. en la última década. El marco actual -al que se refiere la decisión de adecuación- seguramente se enfrentará a más desafíos legales en el futuro.
El Congreso estudia la reautorización temporal de la FISA
A medida que las negociaciones en torno a la reautorización de la FISA se ralentizan en el Congreso de EE.UU., algunos congresistas están considerando una reautorización temporal como forma de evitar un estancamiento.
La Ley de Vigilancia de la Información Extranjera (FISA) es una ley estadounidense que regula las actividades de vigilancia de las agencias de inteligencia estadounidenses sobre ciudadanos extranjeros. El futuro de la FISA podría tener un impacto importante en las transferencias de datos entre la UE y EE.UU., ya que los amplios poderes de vigilancia conferidos por la ley fueron una cuestión jurídica crucial en las sentencias Schrems I y II del Tribunal de Justicia de la UE.
Novedades en la legislación sobre privacidad de California
El 11 de octubre, el gobernador de California promulgó la Ley Delete. La ley Delete refuerza el derecho de supresión de los residentes de California diseñando un sistema de ventanilla única para las solicitudes de supresión dirigidas a los corredores de datos. Así, los residentes de California podrán exigir a todos los corredores de datos que supriman su información personal remitiendo una única solicitud.
La Ley de Supresión es una ley ambiciosa e innovadora, y probablemente tendrá un impacto significativo en el mercado de la publicidad digital, así como en otros mercados impulsados por la información personal disponible comercialmente. Analizamos la Ley con más detalle en este blog.
El Estado también modificó la Ley de Privacidad del Consumidor de California (CCPA) para garantizar una mejor protección de los datos sobre el estado de inmigración y la salud reproductiva.
Argentina avanza hacia una nueva ley de protección de datos
El Gobierno argentino presentó el Proyecto de Ley de Protección de Datos Personales. El nuevo proyecto se basa en un borrador de la autoridad argentina de privacidad y debería sustituir a la actual ley de protección de datos del país. La propuesta prevé el alcance extraterritorial de las normas de privacidad, similar a regulaciones como el GDPR, la LGPD brasileña y la CCPA californiana.
Cabe señalar que Argentina es uno de los pocos países para los que existe una decisión de adecuación en virtud de la legislación de la UE. Por lo tanto, los datos personales de personas en la UE y el Espacio Económico Europeo pueden enviarse fácilmente al país.