Instala una video cámara en su coche para ahuyentar posibles vándalos y acaba multado por protección de datos

Instala una video cámara en su coche para ahuyentar posibles vándalos y acaba multado por protección de datos
El pasado 9 de septiembre Facebook y Ray-Ban anunciaron su alianza en el lanzamiento de sus primeras gafas inteligentes, las Ray-Ban Stories.
Con un coste de 299 $, las lentes estarán disponibles inicialmente para su venta en Estados Unidos, Australia, Canadá, Irlanda, Italia y Reino Unido.
«La nueva forma de capturar, compartir y escuchar». Bajo este lema han presentado el primer producto que surge de la asociación de Facebook con el gigante de la óptica EssilorLuxottica.
A pesar de que esta primera versión no cuenta con un sistema de realidad virtual y aumentada, la compañía tiene como objetivo liderar este sector.
«Durante mucho tiempo hemos pensado que las gafas serán una parte importante de la construcción de la próxima plataforma informática y abrirán nuevas experiencias para las personas». «No tendrás que elegir entre interactuar con el dispositivo e interactuar con el mundo que te rodea». – explicó durante la presentación Mark Zuckerberg, fundador y CEO de Facebook.
Con una cámara dual de 5 megapíxeles cualquier usuario podrá realizar fotografías o grabar vídeos de manera manual o mediante comandos de voz. Bajo la orden «Hey, Facebook, haz una foto/vídeo» el dispositivo se encargará de iniciar la captura automáticamente.
Para alertar de que las lentes están grabando o capturando imágenes, las Ray-Ban Stories cuentan con una luz LED. Esta se encenderá automáticamente para advertir de que su sistema de captura de imagen y audio está siendo utilizado.
Cualquier usuario podrá importar, editar y compartir su contenido a través de la aplicación Facebook View. Gracias a esta app, las gafas se vinculan con el teléfono del usuario permitiéndole compartir sus fotografías o vídeos a través de sus redes sociales.
Para las funciones de audio, el dispositivo también cuenta con dos altavoces controlados por un panel táctil para escuchar música o realizar llamadas telefónicas.
Esta novedad tecnológica redunda en el fenómeno del lifelogging (bitácora de vida). Una tendencia que consiste en registrar audiovisualmente nuestras experiencias diarias y que se ha visto potenciado por el uso de smartphones y redes sociales. Un estilo de vida, por tanto, que lleva a las personas a compartir todo aquello que experimentan permitiendo a los wearables almacenar una gran cantidad de información personal.
«Desde el principio, diseñamos Ray-Ban Stories teniendo en cuenta la privacidad, agregando numerosas funciones integradas para brindar control y tranquilidad tanto a los propietarios de dispositivos como a los transeúntes.»
Atendiendo a las declaraciones ofrecidas por Facebook, las Ray-Ban Stories han sido diseñadas pensando en la privacidad. Para ello, han puesto a disposición del usuario distintos mecanismos para proteger sus datos personales. Desde protecciones de hardware (luz LED) a opciones de configuración de usuario (datos personales, asistente de voz, transcripciones automáticas, conexiones con otras aplicaciones, etc.).
Nada más presentarse, las gafas inteligentes han suscitado dudas a las autoridades de control de protección de datos irlandesa e italiana. Dos de los países europeos donde se han puesto a la venta las gafas y donde se aplicaría el Reglamento General de Protección de Datos (RGPD).
En un comunicado conjunto, ambas autoridades manifestaron su preocupación por la exposición de terceros a través de un sistema de grabación que tan solo alerta mediante una pequeña luz LED. Un sistema que a ojos de estos organismos evidencia que no se han realizado las pruebas necesarias para respetar la privacidad.
Y es que, las lentes permiten grabar imágenes en cualquier lugar pudiendo captar imágenes de terceros sin consentimiento y ser publicadas en diferentes redes sociales.
Recordemos que el tratamiento de datos personales para uso doméstico está permitido. Sin embargo, el problema es cuando ese material trasciende la esfera personal en el momento en el que es compartido, por ejemplo, a través de una red social. En ese caso, el tratamiento deberá regirse por lo establecido en el RGPD.
Con el objetivo de evaluar si las Ray-Ban Stories son compatibles con la normativa de protección de datos, la autoridad italiana en coordinación con la comisión irlandesa solicitó, entre otros, que se detallase:
Sigue esta y otras noticias a través de nuestro canal de Telegram
El Comité Europeo de Protección de Datos (CEPD) o European Data Protection Board (EDPB) ha presentado este mes su informe anual de actividad. Un informe que ofrece un balance detallado del trabajo desarrollado por el Comité durante el 2020.
Resumimos, desde la visión del Comité, los aspectos más relevantes de un año caracterizado por el coronavirus.
Al inicio de la pandemia, todos los países comenzaron a tomar medidas con el objetivo de mitigar la propagación del virus.
Entre estas medidas se encontraban los respectivos estados de alarma con sus correspondientes restricciones de derechos, la aparición de aplicaciones para la localización e identificación de posibles infectados, los tratamientos de datos de salud con fines de investigación científica, etc.
A raíz de este tipo de tratamientos, el CEPD emitió una serie de directrices, declaraciones y comentarios. A través de ellos, el Comité insistió en que los principios de protección de datos debían respetarse en todo momento. La actual legislación ya contaba, según la CEPD, con las operaciones de tratamiento de datos que eran necesarias en la lucha contra el virus.
Estos han sido algunos de los documentos publicados:
La anulación, en el mes de julio, del «Escudo de privacidad» supuso un nuevo escenario para aquellas empresas que transferían datos personales desde cualquier país del Espacio Económico Europeo (EEE) a Estados Unidos.
Ante tal inestabilidad, el CEPD emitió varios documentos con la intención de arrojar luz a las implicaciones de la sentencia del Tribunal de Justicia de la Unión Europea. A esta sentencia se la conoce comúnmente como caso Schrems II.
Así, el Comité puso a disposición de autoridades de control y responsables interesados los siguientes documentos:
En este sentido, recordemos que este mes la Comisión Europea publicó dos conjuntos de cláusulas contractuales tipo para facilitar las transferencias.
El Comité Europeo de Protección de Datos tiene entre sus funciones «garantizar la aplicación uniforme del Reglamento en todo el Espacio Económico Europeo». Bajo esta premisa, el artículo 60 del Reglamento General de Protección de Datos (RGPD) establece que la autoridad de control principal deberá cooperar con las restantes autoridades de control interesadas.
Una cooperación que se da en aras de alcanzar un consenso entre las distintas autoridades y que se materializa a través de:
Tan solo en 2020 se registraron 628 casos transfronterizos que demandaron la cooperación entre los distintos países y autoridades. El mecanismo de ventanilla única exige de esa cooperación y juega un papel crucial.
Una colaboración que en el pasado año se vio comprometida debido a un proceso sancionador que tenía como protagonista a la red social Twitter.
En diciembre, se publicaba la multa impuesta por la autoridad de control irlandesa (Data Protection Commissioner -DPC) a la red social con 450.000 €. Una sanción aplicada como consecuencia de no haber notificado una brecha de seguridad en tiempo y forma a la DPC.
La brecha afectó a miles de europeos de distintos países. Este alcance exigió que la DPC, como autoridad de control principal, se coordinase con el resto de autoridades. Sin embargo, fruto de esa cooperación surgieron discrepancias entre los distintos países a la hora dictaminar las infracciones y el importe de la multa.
A raíz de esta disputa, se hizo uso por primera vez del artículo 65 del RGPD relativo a la resolución de conflictos por parte del Comité. La norma establece que, en casos concretos y con el fin de garantizar una aplicación correcta del RGPD, el CEPD deberá adoptar una decisión vinculante.
Así, el 9 de noviembre, el Comité publicó su Decisión 01/2020 criticando la labor realizada por la autoridad de control irlandesa:
El CEPD también dejó de manifiesto su disconformidad con la propuesta inicial de multa de la autoridad irlandesa (entre 150 y 300.000 dólares estadounidenses). Una sanción que para el Comité no era disuasoria ni proporcionada (artículo 83.1 del RGPD), fijándose finalmente en 450.000 euros.
Para garantizar una aplicación coherente del RGPD en todos los países que conforman el EEE, el Comité publica distintas directrices y orientaciones generales. De esta forma, tanto responsables como autoridades de control disponen de un punto de referencia para cumplir la normativa de protección de datos.
En este sentido, el CEPD ha adoptado a lo largo del pasado año diez directrices relativas principalmente al coronavirus, las nuevas tecnologías y las transferencias de datos.
A lo largo del 2020, se publicaron también un par de recomendaciones del CEPD. Ambas relacionadas con las transferencias internacionales de datos a raíz de los «casos Schrems».
En cumplimiento del RGPD, se emitieron además dictámenes y opiniones como respuesta a la solicitud de aprobación de distintos mecanismos reflejados en el RGPD. Solicitudes realizadas por las autoridades de control con respecto a códigos de conducta, organismos de certificación, normas corporativas vinculantes, entre otros.
En su informe de actividad, el Comité ha definido su estrategia para estos próximos cuatro años bajo cuatro pilares fundamentales:
A principios de este año, el Comité adoptó su programa de trabajo 2021-2022 detallando sus prioridades desde el enfoque de los cuatro pilares u objetivos mencionados. Objetivos que pretende afrontar bajo el lema que encabeza el informe «Asegurando los derechos de protección de datos en un mundo en cambio».
Sigue esta y otras noticias a través de nuestro canal de Telegram
Europa articula estas nuevas herramientas para facilitar las transferencias de datos permitiendo que los datos fluyan con protección
La Comisión Europea ha publicado la semana pasada dos conjuntos de cláusulas contractuales tipo (CCT o SCC, por sus siglas en inglés). Una enfocada para la relación entre responsables y encargados del tratamiento y otra para la transferencia de datos personales a terceros países.
«En nuestro mundo digital moderno, es importante que los datos se puedan compartir con la protección necesaria, dentro y fuera de la UE. Con estas cláusulas reforzadas, estamos dando más seguridad y certeza jurídica a las empresas para las transferencias de datos. Después de la sentencia Schrems II, era nuestro deber y prioridad crear herramientas fáciles de usar en las que las empresas pudieran confiar plenamente. Este paquete ayudará significativamente a las empresas a cumplir con el RGPD.»
– expuso Didier Reynders, comisario europeo de Justicia.
Estas nuevas herramientas ofrecerán una mayor protección a las empresas europeas y ayudarán a garantizar el cumplimiento de los requisitos para una transferencia segura. Parches necesarios ante la inestabilidad ocasionada por el caso Schrems II.
Recordemos que en julio del pasado año, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó el acuerdo de protección de datos personales entre la UE y EE.UU. Este acuerdo era conocido como «Escudo de privacidad» o «Privacy Shield».
Este «escudo de protección» nació a raíz de la anulación del esquema de transferencias internacionales que se mantuvo en vigor hasta 2015, conocido como «Puerto Seguro» (Safe Harbor). Un mecanismo que permitía a las empresas estadounidenses certificar que cumplían con los estándares europeos en lo referente a la protección de datos personales y facilitar, así, la transferencia de datos a sus servidores y centros en EE.UU.
Un acuerdo que fue anulado por el TJUE tras estimar una denuncia del austríaco Maximiliam Schrems, que acusaba a Facebook de ceder los datos de sus usuarios al gobierno y agencias de seguridad americanas sin respetar las garantías y derechos de los ciudadanos europeos.
Como alternativa, la Comisión Europea decidió en 2016 aprobar el mencionado Escudo de privacidad. Este mecanismo declaraba válidas las transferencias de datos personales entre ambas potencias siempre y cuando las empresas americanas se acogiesen a este nuevo esquema.
Sin embargo, fue el pasado año cuando Europa anuló también este nuevo esquema de transferencias a raíz de una nueva reclamación del austríaco (conocido como caso Schrems II). En ella, Schrems argumentaba que el acuerdo no garantizaba la seguridad y protección de los datos cuando eran transferidos a EE.UU.
Tras la anulación inmediata y sin período de gracia del Escudo de privacidad, las empresas que lo estuviesen utilizando se vieron obligadas a implementar otro sistema.
Las transferencias internacionales de datos constituyen una transmisión de datos personales desde nuestro país a terceros ubicados fuera del EEE. Dentro del Espacio Económico Europeo se encontrarían todos los países de la Unión Europea y se incluyen a Liechtenstein, Islandia y Noruega.
Los responsables y encargados de tratamiento podrían llevar a cabo este tipo de transferencias sin necesidad de una autorización de la autoridad de control bajo los siguientes supuestos:
Con respecto a los mecanismos anteriores, destacamos las normas corporativas vinculantes y las CCT. Según el dictamen del TJUE, ambas no serían suficientes dado que la legislación estadounidense (Section 702 FISA and EO 12333) primaría sobre ellas ocasionando una situación de indefensión a la hora de garantizar un nivel de protección de datos adecuado.
Analizando la situación, en resumidas cuentas, no se podría transferir datos a no ser que contemos con el consentimiento explícito del interesado.
Atendiendo a esta inseguridad, es ahora cuando la Comisión Europea ha aprobado dos conjuntos de cláusulas. Estas nuevas CCT han tenido en cuenta la opinión conjunta del Consejo Europeo de Protección de Datos, del Supervisor Europeo de Protección de Datos, los comentarios recibidos de la consulta pública realizada y la opinión de los representantes de los Estados miembros.
Estas cláusulas son, en esencia, contratos formalizados entre quien transfiere los datos (exportador) y el tercero que los recibe (importador). Ambos ubicados, en este caso, en países diferentes.
Estos contratos detallan las medidas técnicas y organizativas que permitan legitimar la transferencia y proporcionen las garantías necesarias.
Estas nuevas cláusulas contractuales tipo sustituirían a las anteriores de 2001 y 2010. Con respecto a sus antecesoras, las nuevas CCT ofrecen un nuevo enfoque modular expandiendo su ámbito de aplicación adaptándose a una nueva realidad.
Así, hablaremos de distintos módulos en función de la relación entre el responsable y el encargado de tratamiento en las transferencias:
Atendiendo al tipo de flujo de datos que nos encontremos, la Comisión enumera una serie de aspectos y medidas que deberán detallarse en los contratos. Entre ellas, por ejemplo, nos encontraríamos con las siguientes:
Estas nuevas cláusulas establecen los derechos y obligaciones de los responsables y encargados del tratamiento que intervienen en la transferencia. Por parte de un responsable a un encargado, pero también de un encargado a un subencargado para cuando así se dé el caso.
En su cláusula 9, se establece como posibilidad que un encargado pueda contar con una autorización para contratar a un subencargado. De esta manera, no sería necesario que el responsable efectúe el contrato con este nuevo tercero.
Adaptándose a la complejidad de este flujo de datos, se regulan las transferencias posteriores que se deriven de la principal efectuada.
Sin embargo, se requiere de una diligencia activa por parte de los intervinientes para asegurar que la continuidad de la protección esté siempre garantizada.
Destaca el principio de transparencia por el que están compuestos los derechos del interesado.
En su cláusula 10 se establece que los titulares de los datos tendrán derecho a solicitar, entre otros:
La Comisión incide en que corresponde principalmente al exportador y al importador de los datos supervisar en todo momento la transferencia o transferencias realizadas. Ambos deberán cooperar en cualquier procedimiento destinado a garantizar el cumplimiento de las cláusulas suscritas.
Ante la transferencia a terceros países, las partes deberán confirmar que no exista un impedimento legal que impida al importador cumplir con sus obligaciones. Sería el caso de EE.UU., por ejemplo.
Así, las figuras que intervengan analizarán las circunstancias en las que se celebran las transferencias, las distintas leyes y prácticas que puedan afectar en dicho país, las medidas organizativas y técnicas, las medidas de seguridad aplicables, etc.
De igual forma, atendiendo a un posible acceso a la información, el importador se compromete a notificar al exportador estas circunstancias. Por ejemplo, si recibe una solicitud jurídicamente vinculante de comunicación de datos personales o si tiene conocimiento que las autoridades públicas han tenido acceso directo a los datos.
Otra de las novedades es la batería de medidas técnicas y organizativas incluida en el modelo de nuevas cláusulas contractuales tipo.
Las plantillas ofrecen una serie de medidas para garantizar la seguridad de los datos, entre las que se incluyen los siguientes ejemplos:
Tras la publicación de las nuevas cláusulas, Europa proporciona un plazo de tres meses para aquellas transferencias que hayan utilizado sus versiones anteriores. Transcurridos estos meses, se abre otro período de quince meses para que tanto importadores como exportadores suscriban las nuevas cláusulas.
Se trata de una ampliación de seis meses con respecto a los bocetos iniciales de las nuevas CCT publicadas. Una prórroga que pretende ofrecer margen suficiente a importadores y exportadores para regularizar sus transferencias con las garantías necesarias.
Sigue esta y otras noticias a través de nuestro canal de Telegram
Imagen de dimitrisvetsikas1969 en Pixabay
La AEPD sanciona con 4.000 euros a una gestoría que cedió los datos personales de su cliente sin consentimiento.