Digital Newsflash

En este Digital Newsflash de marzo se recoge un resumen de las noticias recientes más relevantes relacionadas con la regulación legal del entorno digital:

Declaración del Comité europeo de protección de datos sobre uso de datos personales en la lucha contra Covid-19

Se aprobaba el 19 de marzo y se refiere expresamente a aplicaciones que “permiten localizar a las personas o enviar mensajes de salud pública a las de una zona específica por teléfono o por mensaje de texto”. Las valida por supuesto cuando los datos de localización sean agregados de forma anónima, pero su gran novedad radica en que el Comité abre la puerta a que estas aplicaciones traten asimismo datos que permitan determinar la identidad personal, siempre que: el Estado en cuestión lo previese legislativamente con el fin de “salvaguardar la seguridad pública”, debiendo entenderse que “la salvaguardia de la salud pública está comprendida en la de la seguridad pública”; que se proporcione a los usuarios “el derecho a un recurso judicial”; y siempre que, conforme al principio de proporcionalidad, se dé prioridad a las soluciones menos intrusivas, lo que sin embargo no impedirá medidas como el "seguimiento" de personas “en circunstancias excepcionales y en función de las modalidades concretas del tratamiento”, con la condición de que se controle muy estrictamente su duración, alcance y finalidad. Un valiente aunque sólido acierto, en cuanto hace posible usar herramientas del siglo XXI en este empeño, preservando al tiempo la esencia de la privacidad.

Informe de la AEPD sobre tratamiento de datos en relación con Covid-19

El Informe se publicaba el 12 de marzo y se centra en dos cuestiones: salud pública y relaciones laborales. La idea clave es que, en la medida en que RGPD contiene los elementos necesarios para equilibrar debidamente salud pública y privacidad (tratamiento en interés público por salud pública, obligaciones laborales y de Seguridad Social, diagnóstico médico e intereses vitales del interesado), en ningún caso debe utilizarse la privacidad como justificación para obstaculizar la actuación de las autoridades contra la epidemia. El Informe repasa las potestades de las Administraciones sanitarias en este contexto (que pueden llegar al control personal, conforme a la normativa sanitaria), así como las facultades de los empleadores, con el fin de salvaguardar la salud en el entorno laboral. Y, sin perjuicio de lo anterior, concluye instando al necesario respeto de los principios de la normativa de datos, aun en esta excepcional situación. De nuevo una más que razonable muestra de equilibrio, nacional esta vez, entre salud pública y privacidad.

Propósito británico de regular la responsabilidad de plataformas de redes sociales por contenidos perjudiciales

La nueva legislación, anunciada el 12 de febrero por el Gobierno del Reino Unido, al amparo de su Libro Blanco sobre daños en línea, investirá de poderes en esta materia al actual regulador de comunicaciones electrónicas en ese país (Ofcom), sin crear un nuevo ente específico. Ofcom no exigirá la eliminación de contenidos concretos, ni investigará ni juzgará quejas individuales, lo que implica que serán las plataformas en línea quienes de antemano y mediante códigos de conducta, declararán cuál será el tipo de contenido que resultará aceptable en sus sitios. Las plataformas tendrán que asegurar que el contenido ilegal se elimine rápidamente y que el riesgo de que reaparezca se reducirá al mínimo. Esta regulación sólo se aplicará a las empresas que prestan servicios web que faciliten el intercambio de contenido generado por los usuarios o las interacciones entre usuarios, por ejemplo, mediante comentarios, foros o el intercambio de vídeos. Se trata de una propuesta muy ponderada, que a la vez que responde a la inquietud social por la generalización de contenidos dañinos, salvaguarda al máximo la libre expresión y la transparencia, al depositar la máxima responsabilidad al respecto a las plataformas, si bien con arreglo a criterios públicos y previamente establecidos.

La AEPD promueve iniciativas de código abierto para facilitar el consentimiento en uso de datos

Como se sabe, RGPD ha elevado muy sustancialmente los estándares de exigencia a los responsables del tratamiento de datos, en cuanto que los consentimientos que recaben para usarlos como base habrán en todo caso de ser “libres, específicos, informados e inequívocos”. A la vez, el responsable, en aplicación de las exigencias de proactividad, deberá estar en condiciones de demostrar ante la autoridad de control que el interesado lo prestó de manera válida. Por eso resulta de interés que la AEPD promueva algunas "herramientas que ofrecen garantías a los distintos intervinientes en el proceso de consentimiento y les permitan gestionar éste". En concreto, la Agencia se ha hecho eco de la iniciativa Kantara, una alianza, sin ánimo de lucro, que reúne a varias de las compañías mundiales que trabajan en este ámbito y que trabaja en el proyecto “Consent Receipt 1.0 (CR 1.0)”, basado en un formato común, estructurado, abierto e interoperable, que genera un "recibo" para el usuario de los tratamientos que ha consentido, al tiempo que proporciona al responsable un soporte digital fehaciente de todo ello. Aunque existen en la industria múltiples ejemplos de estas herramientas, el hecho de que algunas operen de modo abierto confiere a estas últimas un particular interés, máxime cuando la propia Agencia de datos ha optado por promoverlas.

La Agencia Española de Protección de Datos (AEPD) publica un modelo de informe de Evaluación de Impacto (EIPD) 

Está dirigido al sector privado, con el fin de facilitar la realización de estas evaluaciones y que son obligadas cuando resulte probable que los datos que un determinado responsable se propone tratar suponen un alto riesgo para los derechos y libertades de las personas. El modelo recopila todos los aspectos que deben ser tenidos en cuenta a este efecto, entre los que se encuentra la descripción del tratamiento, su finalidad o la base jurídica que lo justifica, así como las medidas para la reducción del riesgo, un plan de acción y un apartado de conclusiones y recomendaciones. Este modelo permite que las empresas tengan la tranquilidad de que su informe EIPD cubrirá todos los aspectos exigidos por la legalidad y por la propia Agencia y que figuran en las guías sobre la materia que la propia institución ha ido poniendo a disposición pública. Una encomiable iniciativa, que sin duda facilita mucho esta obligada labor para las empresas a ella sujetas, ya que el modelo detalla con exhaustividad todos y cada uno de los puntos que un informe de esta índole debe contener.

Multa de la Agencia de datos británica (ICO) a la aerolínea taiwanesa Cathay Pacific

Hecha pública a comienzos de marzo, se eleva a nada menos que 545,000 euros (la máxima cuantía imponible) y castiga a dicha empresa después de que sus prácticas de privacidad dejaran en manos de ciberatacantes los datos de casi 9 millones y medio de clientes. Los hechos tuvieron lugar entre octubre de 2014 y mayo de 2018 y se produjeron a raíz de que la empresa incumplía gravemente la mayoría de los estándares básicos de ciberseguridad establecidos en la normativa británica. Entre los fallos se contaban archivos de respaldo no protegidos con contraseña, servidores no protegidos pese a estar conectados a Internet, el empleo de sistemas operativos sin soporte técnico o medidas inadecuadas de protección antivirus. Suerte para Cathay, eso sí, que la multa se evaluó con los criterios previos a RGPD, pues de haber sido aplicables los baremos de sanción en éste previstos, se habría elevado a algo más de 511 millones de euros (4% de la facturación anual global de esta compañía); una cantidad sin duda inmensa, casi mil veces superior a la multa impuesta, que habría lastrado gravemente los resultados de Cathay durante largo tiempo. Tómese pues nota, a fin de tener siempre a punto la ciberseguridad de la organización, conforme a las pautas de proactividad previstas en RGPD.

Declaración del Comité europeo de protección de datos sobre la posible adquisición de Fitbit por Google

Emitida el pasado 19 de febrero, constituye una muestra palpable de la clara convergencia de problemas legales relativos a áreas tradicionalmente bien definidas, como son las de consumo, competencia y protección de datos. A ello se añade el carácter especialmente protegido de muchos de los datos (biométricos y de salud) recogidos por Fitbit, en cuanto se refieren a las actividades de entrenamiento físico de sus usuarios. En coherencia con ello, el Comité recuerda a las partes sus obligaciones de proactividad en el marco de RGPD, y concretamente les insta a llevar a cabo de manera transparente una completa evaluación de los requisitos en materia de protección de datos que la fusión propuesta deberá satisfacer, así como a mitigar los posibles efectos negativos en este campo. El Comité advierte a las partes que seguirá con atención las ulteriores fases administrativas de autorización de la fusión, a fin de hacer valer estas indicaciones. Como también lo hará respecto de futuros casos similares. Vistos casos de este tipo, no ha de extrañar el cada vez mayor relieve de quienes defienden una coordinación de las autoridades europeas competentes en estas tres áreas: consumo, competencia y privacidad.