El mes de la privacidad vuelve con noticias jugosas: el Consejo Europeo de Protección de Datos se ha metido en asuntos importantes, Google se enfrenta a otra demanda antimonopolio en Estados Unidos y mucho más. Ah, y han robado la lista de exclusión aérea de Estados Unidos... sí, has leído bien.
- Un caso crucial de transferencia de datos llega a la JEPD
- Robo de la lista de exclusión aérea
- Demanda antimonopolio contra Google
- El Departamento de Protección de Datos multa a Meta y anuncia acciones legales contra EDPB
- El grupo de trabajo EDPB toma medidas enérgicas contra los banners de cookies
- La Comisión Europea supervisará el progreso de los casos a gran escala relacionados con el RGPD
- El organismo de control francés no para de multar
- La UE podría reprimir la publicidad política
- El consejero delegado de TikTok testificará ante el Congreso
Entremos en materia.
Un caso crucial de transferencia de datos llega a la JEPD
En un capítulo más de la saga de la transferencia de datos, la Junta Europea de Protección de Datos (la Junta compuesta por todas las autoridades europeas de protección de datos, así como por el Supervisor Europeo de Protección de Datos) tendrá la última palabra sobre la investigación de la autoridad irlandesa de protección de datos sobre las transferencias de datos de Meta Ireland. La autoridad ya redactó una decisión para poner fin a las transferencias de datos de Facebook el pasado mes de julio, pero otras autoridades de protección de datos se opusieron, por lo que la JEPD zanjará el asunto con una decisión vinculante.
Se trata de un caso de gran repercusión en el que ha intervenido la EDPB, por lo que el resultado tendrá seguramente un impacto significativo en la forma en que las DPA tratarán casos similares. La decisión del Consejo será una lectura interesante y nos dará una idea de cuál es la posición de cada APD en la controvertida cuestión de las transferencias de datos.
Los problemas legales de las transferencias de datos son ya una larga historia. Si tiene curiosidad, hemos escrito sobre ello aquí.
Robo de la lista de exclusión aérea
La Administración de Seguridad en el Transporte de EE.UU. está investigando actualmente la filtración de la versión de 2019 de la lista federal de prohibición de vuelos. El robo fue reivindicado por un hacktivista suizo que supuestamente encontró la lista en un servidor no seguro de la aerolínea estadounidense CommuteAir. La hacktivista no publicó la lista, pero dijo que la pondría a disposición de periodistas e investigadores seleccionados.
La lista No Fly es una lista de terroristas conocidos o sospechosos a los que no se permite embarcar en vuelos. La lista es muy controvertida y ha sido muy criticada por su falta de transparencia y su parcialidad contra la minoría religiosa musulmana. Según la hacktivista, la versión que obra en su poder contiene los nombres y lugares de nacimiento de más de un millón de personas, tanto estadounidenses como extranjeras.
Demanda antimonopolio contra Google
El Departamento de Justicia de Estados Unidos y los fiscales generales de ocho Estados presentaron una demanda antimonopolio contra la empresa matriz de Google, Alphabet Inc, con la que pretenden disolver la compañía y reducir su control del mercado de la publicidad digital.
Google no es nueva en los litigios antimonopolio: en 2020, el Departamento de Justicia presentó una demanda por el monopolio de Google en el mercado de las búsquedas en Internet, que fue desestimada. Otras grandes empresas tecnológicas también están en el punto de mira: Meta está implicada en dos juicios por su posición dominante en el mercado de las redes sociales y la propuesta de adquisición de la empresa de realidad virtual Within. Y recientemente la Comisión Federal de Comercio llevó a los tribunales a Microsoft en un intento de detener su adquisición de la empresa de videojuegos Activision Blizzard.
En general, el Departamento de Justicia parece estar adoptando una postura muy proactiva en cuestiones antimonopolio bajo la administración Biden, lo que podría dar lugar a acontecimientos interesantes en el futuro.
El Departamento de Protección de Datos multa a Meta y anuncia acciones legales contra EDPB
Como se informó en el mensual de privacidad de enero, la DPA irlandesa (DPC) multó a Meta Ireland con 390 millones de euros por dirigirse ilegalmente a los usuarios de Facebook e Instagram con publicidad personalizada. Las primeras (y muy laxas) decisiones de la DPC fueron revisadas por la EDPB en el marco del mecanismo de resolución de litigios y en su mayoría fueron anuladas, lo que llevó a la autoridad a emitir nuevas decisiones.
La historia aún no ha terminado. Más tarde, la EDPB resolvió un tercer litigio casi idéntico en torno a Whatsapp. El resultado fue que el 12 de enero el CPD impuso a WhatsApp Ireland, propiedad de Meta, otra multa de 5 millones de euros, una cantidad bastante pequeña si se tiene en cuenta el número de usuarios afectados. El Departamento de Protección de Datos también anunció una acción legal ante el Tribunal de Justicia de la UE, con la que pretende anular la orden de la Oficina Europea de Protección de Datos de seguir investigando las operaciones de tratamiento de datos de Meta. Según el CPD, la orden constituye una violación de su independencia, ya que la JEPD carece de autoridad para dirigir la investigación de una APD.
Todas las decisiones ponen de manifiesto un desacuerdo radical entre el CPD y otras APD, con numerosas autoridades que se oponen a las opiniones del CPD y presionan a favor de una interpretación mucho más estricta del RGPD. Es probable que las acciones legales del CPD aumenten aún más las fricciones con sus homólogos europeos.
El grupo de trabajo EDPB toma medidas enérgicas contra los banners de cookies
Sí, este ha sido un mes ajetreado para la EDPB. El año pasado, la Junta creó un grupo de trabajo sobre banners de cookies para coordinar la respuesta a las numerosas quejas presentadas por la ONG noyb contra los banners de cookies engañosos. El 17 de enero, el grupo de trabajo publicó su informe.
El documento aborda casos comunes de diseño engañoso en los banners de cookies, como obligar al usuario a dar pasos adicionales para rechazar las cookies o hacer que la opción de rechazo sea escasamente visible. El grupo de trabajo coincidió en gran medida en que tales prácticas son ilegales. El documento no es jurídicamente vinculante para las APD, pero en la práctica podría suponer un paso adelante en la represión de los banners engañosos a escala europea.
Si quiere saber más, cubrimos el informe en nuestro blog.
La Comisión Europea supervisará el progreso de los casos a gran escala relacionados con el RGPD
Tras una acción del Consejo Irlandés de Libertades Civiles y un intercambio con el Defensor del Pueblo de la UE, la Comisión Europea se comprometió a supervisar periódicamente la investigación de casos transfronterizos a gran escala relacionados con el RGPD en toda Europa. Las APD de cada Estado miembro informarán cada dos meses de sus avances en tales casos. La Comisión publicará un informe propio sobre la información que reciba, ofreciendo al público una visión del estado de la aplicación del RGPD.
Muchos casos importantes de protección de la intimidad contra grandes empresas tecnológicas tienen su origen en denuncias transfronterizas, y su resolución suele tardar años. Las recientes multas del CPD contra Meta son un buen ejemplo: ¡las reclamaciones fueron multadas en 2018! Esperemos que el nuevo sistema de denuncias acelere las cosas.
El organismo de control francés no para de multar
La DPA francesa (CNIL) ha estado bastante activa últimamente, y han sido malas noticias para las grandes tecnológicas. En el plazo de un mes, tanto TikTok como Microsoft fueron multadas por uso no conforme de cookies y banners engañosos de cookies (por 8 y 60 millones de euros, respectivamente), y Apple fue multada con 8 millones de euros por rastrear ilegalmente a los usuarios de iOS 14.6 con fines publicitarios.
El momento es muy oportuno: las decisiones contra TikTok y Microsoft coinciden perfectamente con el informe publicado recientemente por el grupo de trabajo sobre banners de cookies de la EDPB. La CNIL es una APD influyente y es de esperar que sus decisiones sirvan de ejemplo para que otras autoridades traten con rigor los casos relacionados con las cookies.
La UE podría reprimir la publicidad política
La Comisión de Mercado Interior y Protección del Consumidor (IMCO) del Parlamento Europeo aprobó un proyecto de reglamento para endurecer las normas sobre publicidad política. Los diputados también proponen prohibir que entidades no comunitarias financien publicidad política en la UE.
Si la Unión sigue adelante con el proyecto del IMCO, sólo se permitirán los anuncios políticos basados en datos personales proporcionados expresamente para ese fin específico. Esto acabaría con la publicidad política dirigida en las redes sociales y, a la luz del escándalo de Cambridge Analytica, probablemente sea lo mejor.
El consejero delegado de TikTok testificará ante el Congreso
El consejero delegado de TikTok, Shou Zi Chew, aceptó testificar ante el Comité de Energía y Comercio de la Cámara de Representantes del Congreso de Estados Unidos en marzo. El Sr. Chew intentará tranquilizar al Congreso y rebatir las afirmaciones de que la aplicación pone los datos de los usuarios a disposición del Partido Comunista Chino.
Los supuestos problemas de seguridad de TikTok son un tema controvertido desde hace años. La Administración Trump intentó prohibir TikTok, pero su orden ejecutiva fue impugnada ante los tribunales y posteriormente revocada por la Administración Biden. Los supuestos problemas de seguridad de TikTok han sido un tema candente desde entonces. TikTok está prohibido en 24 Estados y en algunos dispositivos gubernamentales, y el Comité de Asuntos Exteriores de la Cámara de Representantes de Estados Unidos celebrará una votación para prohibir TikTok este mes.