Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.

Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.

Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.

Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.

Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.

¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.

Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):

Publicado en Blog

En nuestros tiempos una parte esencial del mundo de las comunicaciones son las Redes Sociales (RRSS), en las que todo se comparte. Tanto es así, que hay muchos usuarios que no son conscientes de los riesgos a los que quedan expuestos una vez que publican su información en las plataformas sociales, tales como Facebook, Instagram, etc. Uno de los riesgos de esta sobreexposición actual es el hecho de que tanto ciberdelincuentes como las propias multinacionales que se encargan de la gestión de las plataformas intenten aprovechar esos datos de carácter personal y explotarlos en beneficio propio.

Precisamente algo similar ocurrió en el año 2015 cuando un grupo de ciudadanos de la ciudad de Illinois comenzaron a cuestionar las prácticas utilizadas por Facebook. En concreto, en este caso, la red social estaba utilizando una nueva técnica de reconocimiento facial, a través de la cual se identificaba de forma automática a las personas que aparecen en las fotografías como "sugerencias para etiquetar".

¿Cómo funciona esta técnica?

En primer lugar, cuando un usuario de Facebook subía una fotografía gracias al reconocimiento facial se le indicaban las sugerencias de las personas con las que aparecía para poder etiquetarlas directamente, siempre y cuando estas fuesen amigos suyos en la red o amigos de sus amigos.

Una vez que la persona que sube la fotografía decide etiquetar a los usuarios sugeridos éstos recibían una notificación en su perfil de esa etiqueta y de la publicación en su biografía.

Hasta aquí, seguramente esta información resulte muy común dado que es una funcionalidad que todos los usuarios de Facebook conocen y puede resultar hasta “cómoda” y práctica a la hora de etiquetar a las personas con las que compartes tus momentos y fotografías.

Es en este punto donde nos preguntamos: ¿Dónde queda la privacidad de esas personas? ¿Qué normativa se encarga de regularlo?

Para una correcta respuesta, lo primero es determinar qué tipo de datos de carácter personal está tratando Facebook en el supuesto de estudio de este artículo, y tal y como hemos indicado con anterioridad al tratarse de una técnica basada en el reconocimiento facial, estamos por tanto ante un tratamiento de datos biométricos.

Establecido lo anterior, analizaremos brevemente la normativa que nos protege a nosotros junto con la aplicada en el caso concreto de estudio:

  • Normativa a nivel europeo:

El Reglamento General de Protección de Datos europeo (RGPD), define los datos biométricos de la siguiente forma (artículo 4.14):

Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos

A mayor abundamiento, el RGPD, concretamente en su artículo 9, eleva estos datos personales a la característica de “especialmente protegidos”, por lo que se si se quiere realizar el tratamiento de éstos, el responsable ha de cumplir con una de las bases jurídicas indicadas a lo largo del punto 2, que realmente se identifican como excepciones a la prohibición del tratamiento de este tipo de datos.

En el caso que nos atañe y en base a la normativa europea solamente se podría  haber aplicado la excepción del artículo 9.2.a), esto es, contar con el consentimiento explícito del interesado.

  • Normativa de Illinois:

En concreto, en el Estado de la controversia, cuentan con la Ley de Protección de Datos Biométricos (BIPA), que fue aprobada en 2008, precisamente para luchar contra la recogida y almacenamiento ilegal de información biométrica.

La ley referenciada requiere un consentimiento explícito para que las empresas recopilen marcadores biométricos de sus clientes, incluidas las huellas dactilares y los modelos de reconocimiento facial.

En base a la indicada normativa, los usuarios de Facebook y ciudadanos del Estado de Illinois presentaron una demanda colectiva alegando que la plataforma violó la BIPA cuando estaba escaneando imágenes de sus caras, sin su consentimiento, con el fin de utilizarlas para su herramienta de sugerencias para etiquetar.

Finalmente, después de una disputa judicial de casi cinco años, hace unas semanas la compañía que dirige Mark Zuckerberg informó de que se había llegado a un pacto con los demandantes. En dicho acuerdo extrajudicial se les ofrece pagarles 550 millones de dólares por haber usado sus datos biométricos sin permiso para sistemas de reconocimiento facial.

Pero ¿qué está haciendo Facebook actualmente con el reconocimiento facial?

Publicado en Blog

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado el pasado mes de julio (ST TJUE 29.07.19) al respecto. En dicha resolución se ha determinado por parte de la sala que tanto el administrador de un sitio web en el que se incluya el botón “me gusta” de Facebook (o cualquier otra red), como el de la propia red social serán considerados como responsables del tratamiento.

El origen del objeto de la Sentencia surge cuando Fashion ID, empresa dedicada a la venta online de prendas de vestir, decide insertar en su propia página web el famoso botón “me gusta” de la conocida red social Facebook. Este simple hecho, y que vemos en otras muchas páginas web, implica la transmisión de datos del visitante, a dicha red, sin mediar conocimiento ni previo consentimiento por parte del usuario. Ante esta situación, la Asociación de utilidad pública de defensa de los intereses de los consumidores (Verbraucherzentrale NRW,) decidió ejercitar una acción de cesación contra Fashion ID, con el objetivo de que se dejase de realizar la transmisión de datos personales de los visitantes de su sitio web, sin previo consentimiento y sin informarles.

Antes de analizar en profundidad la resolución definiremos tanto la figura de responsable como la de encargado del tratamiento, art.4 RGPD:

  • Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
  • Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Una vez determinadas las figuras que podrían darse en este caso, nos puede surgir la siguiente pregunta: ¿por qué el TJUE considera que tanto Fashion ID como Facebook son responsables del tratamiento?

Publicado en Blog

Hace escasos días, el mundo entero se hacía eco de una noticia relativa a Google y al futuro cierre para los usuarios, no así para las empresas, de su conocida, aunque poco exitosa, red social Google +.

El Gigante de Internet achacó como motivo principal del cierre, la poca interacción de sus usuarios, pese a sus ya 7 años de trayectoria, siendo solamente el 10% de los mismos los que realmente llegaban a hacer auténtico uso de ella.

Este motivo, no exento de importancia, unido a la reciente noticia de un fallo de seguridad en una de sus interfaces de programación de aplicaciones (las llamadas API), han sido el detonante para la decisión definitiva del cierre de la red social en agosto del próximo año.

Este fallo de seguridad permitió que 438 aplicaciones tuvieran acceso durante 3 años a todos los datos de carácter personal de cerca de medio millón de usuarios de la red social. Entre tales datos que quedaron al descubierto, se encontraban: el nombre y apellidos del usuario, su fecha de nacimiento, sexo, relación sentimental, lugares donde la persona ha residido, dirección de correo electrónico, habilidades…

El error fue detectado en el pasado mes de marzo, pero, dada la relevancia de las sanciones y procedimientos a seguir que establece el actual marco normativo en materia de protección de datos, liderado por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) a continuación voy a proceder a explicar cuáles hubieran sido las consecuencias si dicho suceso se hubiera producido a partir del 25 de mayo del presente año, cuando el RGPD empezó a desplegar sus plenos efectos.

Antes de proceder al propio análisis, en primer lugar, se debe determinar si este incidente se corresponde o no con una violación de la seguridad de los datos, término que contempla y desarrolla el RGPD

El artículo 4.12 del RGPD define la violación de la seguridad de los datos como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Publicado en Blog

En las últimas fechas los escándalos de Facebook sobre la protección de datos se han convertido en un tema recurrente, más aún con la reciente plena aplicación del Reglamento Europeo de Protección de Datos. Al margen de la repercusión social, las prácticas de la popular red social no son una novedad para los tribunales europeos, en concreto el Tribunal de Justicia de la Unión Europea (TJUE) ya ha tenido la oportunidad de pronunciarse en varias ocasiones acerca de la legitimidad de los tratamientos de datos que realiza Facebook.

La última cuestión en la que la compañía estaba implicada ha sido resuelta el pasado 5 de Junio. La novedad de esta sentencia radica en que se considera al administrador de una web corresponsable junto con Facebook del tratamiento de datos que a través de la página se llevan a cabo.

Los hechos que fundan la decisión del TJUE parten de la gestión de una página de fans por la sociedad privada alemanda Wirtschaftsakademie. La página alojada en Facebook recopilaba estadísticas anónimas sobre los visitantes mediante una herramienta gratuita que Facebook facilitaba, Facebook Insight. El problema llegó porque no se informaba del uso de cookies ni del posterior tratamiento de los datos, por ello la autoridad de control de protección de datos alemana (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein), en adelante UDL, al conocer la situación ordenó a Wirtschaftsakademie que desactivara la página. La resolución del ULD fue recurrida por la empresa sin éxito.

Wirtschaftsakademie acudió a los tribunales contencioso-administrativos alegando que no le era imputable el tratamiento de datos personales realizado por Facebook y que no había encargado a Facebook ningún tratamiento de datos, por lo que el ULD debió dirigirse directamente contra Facebook y no contra ella. El órgano jurisdiccional dio la razón a la sociedad alemana. El asunto fue pasando a estancias superiores a medida que el ULD recurría las decisiones desfavorables, hasta llegar al Tribunal Supremo Contencioso-Administrativo de Alemania. El ULD exponía que se había vulnerado el apartado quinto del artículo 38 de la BDSG al no dar curso a la orden que esta misma autoridad había emitido. Dicha orden se fundaba en subsanar una infracción cometida por la sociedad: “había encargado la realización, el alojamiento y el mantenimiento de un sitio de Internet a un proveedor (concretamente, Facebook Ireland) que resultaba inadecuado por no haber respetado el Derecho aplicable a la protección de datos.”

El Tribunal Supremo alemán no consideraba a la sociedad Wirtschaftsakademie responsable del tratamiento en el sentido del artículo 2, letra d), de la Directiva 95/46. No obstante entiende que debe interpretarse en sentido amplio el derecho a la intimidad. A ello se suman las dudas del tribunal acerca de la incidencia, a efectos del ejercicio de los poderes de intervención del ULD, de las apreciaciones realizadas por la autoridad de control a la que está sujeta Facebook Ireland en cuanto a la legalidad del tratamiento de los datos personales en cuestión.

El órgano jurisdiccional decidió plantear al TJUE varias cuestiones prejudiciales solicitando que interpretara la Directiva 95/46 sobre la protección de datos:

- ¿Se puede considerar responsable de tratamiento al administrador de una página de fans alojada en una red social?
- ¿Es competente la autoridad de control de protección de datos para intervenir ante infracciones en esta materia cometidas por un tercero responsable del tratamiento que tiene su domicilio en un Estado miembro distinto del de la autoridad de control?

    ¿Qué ha dicho el TJUE?

Publicado en Blog

A finales de agosto de 2016, el servicio de mensajería Whatsapp envió un mensaje a sus usuarios solicitando la aceptación de los nuevos términos de servicio pero también su consentimiento para compartir datos con Facebook, que en 2014 había procedido a la compra de la famosa app. Sin embargo, la forma en la que se solicitaba este consentimiento y su legitimidad, ha sido objeto de controversia, tal y como veremos en este artículo.

El mensaje al que hacíamos referencia y que aparecía ante todo usuario ya registrado a la App era:

“En WhatsApp estamos actualizando nuestros Términos de Servicio y nuestra Política de Privacidad para reflejar la integración de nuevas funciones, como Llamada WhatsApp. Lee los Términos y la Política de Privacidad para aprender más acerca de tus opciones. Por favor acepta los Términos y la Política de Privacidad antes del 19 de octubre de 2016 para continuar usando WhatsApp”.

Este consentimiento se solicitaba mediante una casilla premarcada y en una ventana que se mostraba a los usuarios de forma opcional.

Por su parte y para los nuevos usuarios, al instalar la aplicación, se podía acceder a un enlace de “Política de Privacidad” donde se recogía lo siguiente:

Publicado en Blog
Jueves, 18 Mayo 2017 18:11

La multa de la Comisión a Facebook

Hoy mismo la Comisión Europea ha confirmado su decisión de imponer una multa a Facebook por vulnerar el Reglamento comunitario de concentraciones (Reglamento (CE) 139/2004 del Consejo sobre el control de las concentraciones entre empresas).

Se sanciona a Facebook por proporcionar información engañosa en relación a la adquisición de WhatsApp. Concretamente, Facebook informó de que no disponía de medios fiables para vincular automáticamente las cuentas de usuario de Facebook y las de WhatsApp. Sin embargo, la actualización de la política de privacidad de la compañía americana en 2016 incluyó el cruce de información de cuentas de Facebook y WhatsApp, revelando la investigación de la Comisión que el personal de Facebook ya conocía en 2014 los medios que posibilitarían vincular las cuentas de las dos plataformas.

La cuantía de esta multa asciende a 110 millones de euros, calculada en base a un 1% del volumen de negocio agregado de las compañías, y atendiendo a varios atenuantes entre los que destaca la total colaboración de Facebook con las autoridades.

Publicado en Blog
Miércoles, 07 Septiembre 2016 10:22

¿Qué información compartes en WhatsApp?

WhatsApp (en adelante W) es la App que más datos tuyos trata. Pese a que nos confiamos y mantenemos conversaciones privadas que podrían arruinar nuestra carrera política, hay claroscuros en la información que proporcionan. ¿Sabes qué saben de ti? Te lo contamos:

Unión con Facebook.
Si no has tocado nada, compartes los datos entre ambas por defecto desde la última actualización de condiciones.

Una vez conectados, Facebook te sugiere contactos tanto de la agenda y del chat de W. Además, te ofrecerá guardar solicitudes de amistad para la gente que tienes en la Agenda de W pero que aún no tiene Facebook. Para mí es una comodidad, pero tendrás solicitudes de amistad de compromiso.

¿Quieres quitarlo? Hayas o no conectado las dos cuentas, vete a los tres puntitos de arriba a la derecha, luego a AJUSTES, luego a CUENTA y por último desmarca la casilla "compartir info de cuenta".

desactivar union facebook y whatsapp

Publicado en Blog

El Tribunal Supremo ha dado por válido, como prueba en juicio, unos mensajes privados aportados por una madre de una menor de 15 años, que ésta recibió en la red social Facebook.

La madre, ante la sospecha de que su hija pudiese estar siendo objeto de un delito de acoso sexual (ciberacoso), accedió a la cuenta de su hija en la red social Facebook, sin que conste que ésta otorgase su permiso para acceder.

Éste hecho, hizo que el acusado en su recurso, ante la Sala Penal del Tribunal Supremo, solicitase que anulasen la prueba aportada por la madre donde constaban las conversaciones mantenidas con la menor en la red social, pues entendía que la madre había accedido a dichas conversaciones, sin la autorización de la menor, vulnerando el derecho a la intimidad de los comunicantes.

Publicado en Blog

Ya os adelantábamos la semana pasada que era altamente previsible que la Gran Sala siguiera la misma línea que había sido manifestada por el Abogado General hace escasas dos semanas.

Indicamos algunos de los argumentos sobre los que se basa el TJUE en su Sentencia para fundamentar la invalidación de la Decisión de la Comisión:

1. Que los principios de puerto seguro son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios.

2. Que la Decisión se refiere únicamente a la adecuación de la protección proporcionada en EEUU con arreglo a los principios de puerto seguro y su aplicación de conformidad a fin de ajustarse a los requisitos del artículo 25.1 de la Directiva 95/46, sin contener no obstante las constataciones suficientes sobre las medidas con las que EEUU garantiza un nivel de protección adecuado. Sin olvidar que esos principios pueden limitarse por exigencias de seguridad nacional, interés público y cumplimiento de la ley de Estados Unidos. Esto significa que las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas, sin limitación, a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias. En consecuencia, una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas, lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por la Carta de los Derechos Fundamentales de la Unión Europea.

3. Que no se respeta el derecho fundamental a la tutela judicial efectiva de los ciudadanos europeos, en el mismo momento en que la normativa interna de EEUU no prevé posibilidad alguna al afectado de ejercer acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión.

4. Sentencia el TJUE que además la Comisión no manifestó en la Decisión 2000/520 que EEUU garantizase efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales..

Publicado en Blog
Página 1 de 2

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal