Las nuevas gafas inteligentes Ray-Ban Stories, en el punto de mira de la privacidad

Las nuevas gafas inteligentes Ray-Ban Stories, en el punto de mira de la privacidad

El pasado 9 de septiembre Facebook y Ray-Ban anunciaron su alianza en el lanzamiento de sus primeras gafas inteligentes, las Ray-Ban Stories.

Con un coste de 299 $, las lentes estarán disponibles inicialmente para su venta en Estados Unidos, Australia, Canadá, Irlanda, Italia y Reino Unido.

«La nueva forma de capturar, compartir y escuchar». Bajo este lema han presentado el primer producto que surge de la asociación de Facebook con el gigante de la óptica EssilorLuxottica.

A pesar de que esta primera versión no cuenta con un sistema de realidad virtual y aumentada, la compañía tiene como objetivo liderar este sector.

«Durante mucho tiempo hemos pensado que las gafas serán una parte importante de la construcción de la próxima plataforma informática y abrirán nuevas experiencias para las personas». «No tendrás que elegir entre interactuar con el dispositivo e interactuar con el mundo que te rodea». – explicó durante la presentación Mark Zuckerberg, fundador y CEO de Facebook.

Funciones y características

Con una cámara dual de 5 megapíxeles cualquier usuario podrá realizar fotografías o grabar vídeos de manera manual o mediante comandos de voz. Bajo la orden «Hey, Facebook, haz una foto/vídeo» el dispositivo se encargará de iniciar la captura automáticamente.

Para alertar de que las lentes están grabando o capturando imágenes, las Ray-Ban Stories cuentan con una luz LED. Esta se encenderá automáticamente para advertir de que su sistema de captura de imagen y audio está siendo utilizado.

Cualquier usuario podrá importar, editar y compartir su contenido a través de la aplicación Facebook View. Gracias a esta app, las gafas se vinculan con el teléfono del usuario permitiéndole compartir sus fotografías o vídeos a través de sus redes sociales.

FACEBOOK – Imagen de Facebook View

Para las funciones de audio, el dispositivo también cuenta con dos altavoces controlados por un panel táctil para escuchar música o realizar llamadas telefónicas.

Esta novedad tecnológica redunda en el fenómeno del lifelogging (bitácora de vida). Una tendencia que consiste en registrar audiovisualmente nuestras experiencias diarias y que se ha visto potenciado por el uso de smartphones y redes sociales. Un estilo de vida, por tanto, que lleva a las personas a compartir todo aquello que experimentan permitiendo a los wearables almacenar una gran cantidad de información personal.

«Desde el principio, diseñamos Ray-Ban Stories teniendo en cuenta la privacidad, agregando numerosas funciones integradas para brindar control y tranquilidad tanto a los propietarios de dispositivos como a los transeúntes.»

Atendiendo a las declaraciones ofrecidas por Facebook, las Ray-Ban Stories han sido diseñadas pensando en la privacidad. Para ello, han puesto a disposición del usuario distintos mecanismos para proteger sus datos personales. Desde protecciones de hardware (luz LED) a opciones de configuración de usuario (datos personales, asistente de voz, transcripciones automáticas, conexiones con otras aplicaciones, etc.).

Las Ray-Ban Stories, ¿un problema para la privacidad?

Nada más presentarse, las gafas inteligentes han suscitado dudas a las autoridades de control de protección de datos irlandesa e italiana. Dos de los países europeos donde se han puesto a la venta las gafas y donde se aplicaría el Reglamento General de Protección de Datos (RGPD).

En un comunicado conjunto, ambas autoridades manifestaron su preocupación por la exposición de terceros a través de un sistema de grabación que tan solo alerta mediante una pequeña luz LED. Un sistema que a ojos de estos organismos evidencia que no se han realizado las pruebas necesarias para respetar la privacidad.

Y es que, las lentes permiten grabar imágenes en cualquier lugar pudiendo captar imágenes de terceros sin consentimiento y ser publicadas en diferentes redes sociales.

Recordemos que el tratamiento de datos personales para uso doméstico está permitido. Sin embargo, el problema es cuando ese material trasciende la esfera personal en el momento en el que es compartido, por ejemplo, a través de una red social. En ese caso, el tratamiento deberá regirse por lo establecido en el RGPD.

Con el objetivo de evaluar si las Ray-Ban Stories son compatibles con la normativa de protección de datos, la autoridad italiana en coordinación con la comisión irlandesa solicitó, entre otros, que se detallase:

  • La base legal en relación con la cual la red social procesa datos personales.
  • Las medidas adoptadas para proteger a las personas que son captadas de manera ocasional y, en particular, a menores.
  • Cualquier sistema adoptado para anonimizar los datos recopilados.
  • Las características del asistente de voz conectado a las lentes, ya que recopila y transcribe la información.

Sigue esta y otras noticias a través de nuestro canal de Telegram

El Comité Europeo de Protección de Datos presenta su informe anual

El Comité Europeo de Protección de Datos presenta su informe anual

El Comité Europeo de Protección de Datos (CEPD) o European Data Protection Board (EDPB) ha presentado este mes su informe anual de actividad. Un informe que ofrece un balance detallado del trabajo desarrollado por el Comité durante el 2020.

Resumimos, desde la visión del Comité, los aspectos más relevantes de un año caracterizado por el coronavirus.

El COVID-19 y la protección de datos personales

Al inicio de la pandemia, todos los países comenzaron a tomar medidas con el objetivo de mitigar la propagación del virus.

Entre estas medidas se encontraban los respectivos estados de alarma con sus correspondientes restricciones de derechos, la aparición de aplicaciones para la localización e identificación de posibles infectados, los tratamientos de datos de salud con fines de investigación científica, etc.

A raíz de este tipo de tratamientos, el CEPD emitió una serie de directrices, declaraciones y comentarios. A través de ellos, el Comité insistió en que los principios de protección de datos debían respetarse en todo momento. La actual legislación ya contaba, según la CEPD, con las operaciones de tratamiento de datos que eran necesarias en la lucha contra el virus.

Estos han sido algunos de los documentos publicados:

Declaración sobre el tratamiento de datos personales en el contexto del brote de COVID-19.
Comentarios del EDPB sobre el borrador de la Guía de la Comisión Europea sobre aplicaciones que apoyan la lucha contra la pandemia de COVID-19.
Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19.
Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19.
Declaración sobre las restricciones de los derechos de los sujetos de datos en el marco del estado de alarma en los Estados miembros.
Declaración sobre el tratamiento de datos personales en el contexto de la reapertura de las fronteras tras el brote de la COVID-19.
Declaración sobre el impacto en la protección de datos de la interoperabilidad de las aplicaciones de rastreo de contactos.

Caso Schrems II

La anulación, en el mes de julio, del «Escudo de privacidad» supuso un nuevo escenario para aquellas empresas que transferían datos personales desde cualquier país del Espacio Económico Europeo (EEE) a Estados Unidos.

Ante tal inestabilidad, el CEPD emitió varios documentos con la intención de arrojar luz a las implicaciones de la sentencia del Tribunal de Justicia de la Unión Europea. A esta sentencia se la conoce comúnmente como caso Schrems II.

Así, el Comité puso a disposición de autoridades de control y responsables interesados los siguientes documentos:

Preguntas frecuentes sobre la sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18 — Comisaria de Protección de Datos vs Facebook Irlanda y Maximillian Schrems.
Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE.
Recomendaciones 02/2020 sobre las garantías esenciales europeas para medidas de vigilancia.

En este sentido, recordemos que este mes la Comisión Europea publicó dos conjuntos de cláusulas contractuales tipo para facilitar las transferencias.

Primera decisión vinculante del Comité

El Comité Europeo de Protección de Datos tiene entre sus funciones «garantizar la aplicación uniforme del Reglamento en todo el Espacio Económico Europeo». Bajo esta premisa, el artículo 60 del Reglamento General de Protección de Datos (RGPD) establece que la autoridad de control principal deberá cooperar con las restantes autoridades de control interesadas.

Una cooperación que se da en aras de alcanzar un consenso entre las distintas autoridades y que se materializa a través de:

  • El intercambio de información necesaria.
  • La comunicación de información entre la autoridad principal y las demás autoridades de control interesadas.
  • La presentación por parte de la autoridad principal al resto de autoridades de un proyecto de decisión con el objeto de que se emita un dictamen.

Tan solo en 2020 se registraron 628 casos transfronterizos que demandaron la cooperación entre los distintos países y autoridades. El mecanismo de ventanilla única exige de esa cooperación y juega un papel crucial.  

Resolución de conflictos entre autoridades de control

Una colaboración que en el pasado año se vio comprometida debido a un proceso sancionador que tenía como protagonista a la red social Twitter.

En diciembre, se publicaba la multa impuesta por la autoridad de control irlandesa (Data Protection Commissioner -DPC) a la red social con 450.000 €. Una sanción aplicada como consecuencia de no haber notificado una brecha de seguridad en tiempo y forma a la DPC.

La brecha afectó a miles de europeos de distintos países. Este alcance exigió que la DPC, como autoridad de control principal, se coordinase con el resto de autoridades. Sin embargo, fruto de esa cooperación surgieron discrepancias entre los distintos países a la hora dictaminar las infracciones y el importe de la multa.

A raíz de esta disputa, se hizo uso por primera vez del artículo 65 del RGPD relativo a la resolución de conflictos por parte del Comité. La norma establece que, en casos concretos y con el fin de garantizar una aplicación correcta del RGPD, el CEPD deberá adoptar una decisión vinculante.

Así, el 9 de noviembre, el Comité publicó su Decisión 01/2020 criticando la labor realizada por la autoridad de control irlandesa:

Decisión 01/2020 del Comité Europeo de Protección de Datos: la autoridad de control «debe buscar el consenso respecto al alcance del procedimiento antes de iniciar el procedimiento formalmente»

El CEPD también dejó de manifiesto su disconformidad con la propuesta inicial de multa de la autoridad irlandesa (entre 150 y 300.000 dólares estadounidenses). Una sanción que para el Comité no era disuasoria ni proporcionada (artículo 83.1 del RGPD), fijándose finalmente en 450.000 euros.

Directrices y recomendaciones publicadas

Para garantizar una aplicación coherente del RGPD en todos los países que conforman el EEE, el Comité publica distintas directrices y orientaciones generales. De esta forma, tanto responsables como autoridades de control disponen de un punto de referencia para cumplir la normativa de protección de datos.

En este sentido, el CEPD ha adoptado a lo largo del pasado año diez directrices relativas principalmente al coronavirus, las nuevas tecnologías y las transferencias de datos.

Directrices 01/2020 sobre el tratamiento de datos personales en el contexto de vehículos conectados y aplicaciones relacionadas con la movilidad.
Directrices 2/2020 relativas a la aplicación del artículo 46.2.a, y del artículo 46.3.b del RGPD con respecto a las transferencias de datos.
Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19.
Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19.
Directrices 05/2020 sobre el consentimiento en virtud del Reglamento 2016/679.
Directrices 06/2020 sobre la interacción de la Segunda Directiva de servicios de pago y el RGPD.
Directrices 07/2020 sobre los conceptos de responsable y encargado del RGPD.
Directrices 8/2020 sobre la orientación de usuarios de redes sociales.
Directrices 9/2020 sobre la objeción pertinente y motivada en virtud del Reglamento (UE) 2016/679.
Directrices 10/2020 sobre las restricciones en relación al art. 23 del RGPD.

A lo largo del 2020, se publicaron también un par de recomendaciones del CEPD. Ambas relacionadas con las transferencias internacionales de datos a raíz de los «casos Schrems».

Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE.
Recomendaciones 02/2020 sobre las garantías esenciales europeas para medidas de vigilancia.

En cumplimiento del RGPD, se emitieron además dictámenes y opiniones como respuesta a la solicitud de aprobación de distintos mecanismos reflejados en el RGPD. Solicitudes realizadas por las autoridades de control con respecto a códigos de conducta, organismos de certificación, normas corporativas vinculantes, entre otros.

El futuro. Estrategia 2021-2023

En su informe de actividad, el Comité ha definido su estrategia para estos próximos cuatro años bajo cuatro pilares fundamentales:

  1. Fomentar la armonización y facilitar el cumplimiento de la normativa a través de la promoción de herramientas de cumplimiento y sensibilización.
  2. Apoyar la aplicación efectiva y cooperación entre las distintas autoridades de control. Para ello se establecerán mecanismos para facilitar la colaboración de autoridades y la creación de un grupo de expertos de apoyo.
  3. Promoción de los derechos fundamentales de cara al uso de nuevas tecnologías. El comité se encargará de evaluarlas y reforzar la protección de datos desde el diseño y por defecto, así como el principio de responsabilidad proactiva.
  4. Consecución de objetivos a través del desarrollo de acciones clave. Entre ellas, el fomento y concienciación sobre el uso de herramientas de transferencia de datos que aseguren una protección equivalente al exigido por el RGPD.

A principios de este año, el Comité adoptó su programa de trabajo 2021-2022 detallando sus prioridades desde el enfoque de los cuatro pilares u objetivos mencionados. Objetivos que pretende afrontar bajo el lema que encabeza el informe «Asegurando los derechos de protección de datos en un mundo en cambio».

Sigue esta y otras noticias a través de nuestro canal de Telegram

La Comisión Europea publica las nuevas cláusulas contractuales tipo (CCT)

La Comisión Europea publica las nuevas cláusulas contractuales tipo (CCT)

Europa articula estas nuevas herramientas para facilitar las transferencias de datos permitiendo que los datos fluyan con protección

La Comisión Europea ha publicado la semana pasada dos conjuntos de cláusulas contractuales tipo (CCT o SCC, por sus siglas en inglés). Una enfocada para la relación entre responsables y encargados del tratamiento y otra para la transferencia de datos personales a terceros países.

«En nuestro mundo digital moderno, es importante que los datos se puedan compartir con la protección necesaria, dentro y fuera de la UE. Con estas cláusulas reforzadas, estamos dando más seguridad y certeza jurídica a las empresas para las transferencias de datos. Después de la sentencia Schrems II, era nuestro deber y prioridad crear herramientas fáciles de usar en las que las empresas pudieran confiar plenamente. Este paquete ayudará significativamente a las empresas a cumplir con el RGPD.»

– expuso Didier Reynders, comisario europeo de Justicia.

Estas nuevas herramientas ofrecerán una mayor protección a las empresas europeas y ayudarán a garantizar el cumplimiento de los requisitos para una transferencia segura. Parches necesarios ante la inestabilidad ocasionada por el caso Schrems II.

Origen del conflicto

Recordemos que en julio del pasado año, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó el acuerdo de protección de datos personales entre la UE y EE.UU. Este acuerdo era conocido como «Escudo de privacidad» o «Privacy Shield».

Este «escudo de protección» nació a raíz de la anulación del esquema de transferencias internacionales que se mantuvo en vigor hasta 2015, conocido como «Puerto Seguro» (Safe Harbor). Un mecanismo que permitía a las empresas estadounidenses certificar que cumplían con los estándares europeos en lo referente a la protección de datos personales y facilitar, así, la transferencia de datos a sus servidores y centros en EE.UU.

Un acuerdo que fue anulado por el TJUE tras estimar una denuncia del austríaco Maximiliam Schrems, que acusaba a Facebook de ceder los datos de sus usuarios al gobierno y agencias de seguridad americanas sin respetar las garantías y derechos de los ciudadanos europeos.

Como alternativa, la Comisión Europea decidió en 2016 aprobar el mencionado Escudo de privacidad. Este mecanismo declaraba válidas las transferencias de datos personales entre ambas potencias siempre y cuando las empresas americanas se acogiesen a este nuevo esquema.

Sin embargo, fue el pasado año cuando Europa anuló también este nuevo esquema de transferencias a raíz de una nueva reclamación del austríaco (conocido como caso Schrems II). En ella, Schrems argumentaba que el acuerdo no garantizaba la seguridad y protección de los datos cuando eran transferidos a EE.UU.

Tras la anulación inmediata y sin período de gracia del Escudo de privacidad, las empresas que lo estuviesen utilizando se vieron obligadas a implementar otro sistema.

Las transferencias de datos personales a terceros países

Las transferencias internacionales de datos constituyen una transmisión de datos personales desde nuestro país a terceros ubicados fuera del EEE. Dentro del Espacio Económico Europeo se encontrarían todos los países de la Unión Europea y se incluyen a Liechtenstein, Islandia y Noruega.

Los responsables y encargados de tratamiento podrían llevar a cabo este tipo de transferencias sin necesidad de una autorización de la autoridad de control bajo los siguientes supuestos:

  • Los terceros se encuentren dentro un país que haya sido declarado con un nivel de protección adecuado por la Comisión Europea.
  • En caso de no encontrarse entre el listado de países anteriores, para poder transmitir datos personales a otro país deberá ofrecer las garantías adecuadas. Entenderemos como tal disponer de lo siguiente:
    • Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.
    • Normas corporativas vinculantes (BCR por sus siglas en inglés).
    • Cláusulas contractuales tipo de protección de datos adoptadas por la Comisión (CCT).
    • Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión.
    • Códigos de conducta, junto con compromisos vinculantes.
    • Mecanismos de certificación.

Con respecto a los mecanismos anteriores, destacamos las normas corporativas vinculantes y las CCT. Según el dictamen del TJUE, ambas no serían suficientes dado que la legislación estadounidense (Section 702 FISA and EO 12333) primaría sobre ellas ocasionando una situación de indefensión a la hora de garantizar un nivel de protección de datos adecuado.

Analizando la situación, en resumidas cuentas, no se podría transferir datos a no ser que contemos con el consentimiento explícito del interesado.

Nuevas cláusulas contractuales tipo, ¿qué novedades traen?

Atendiendo a esta inseguridad, es ahora cuando la Comisión Europea ha aprobado dos conjuntos de cláusulas. Estas nuevas CCT han tenido en cuenta la opinión conjunta del Consejo Europeo de Protección de Datos, del Supervisor Europeo de Protección de Datos, los comentarios recibidos de la consulta pública realizada y la opinión de los representantes de los Estados miembros.

Estas cláusulas son, en esencia, contratos formalizados entre quien transfiere los datos (exportador) y el tercero que los recibe (importador). Ambos ubicados, en este caso, en países diferentes.

Estos contratos detallan las medidas técnicas y organizativas que permitan legitimar la transferencia y proporcionen las garantías necesarias.

Enfoque modular

Estas nuevas cláusulas contractuales tipo sustituirían a las anteriores de 2001 y 2010. Con respecto a sus antecesoras, las nuevas CCT ofrecen un nuevo enfoque modular expandiendo su ámbito de aplicación adaptándose a una nueva realidad.

Así, hablaremos de distintos módulos en función de la relación entre el responsable y el encargado de tratamiento en las transferencias:

  1. De responsable a responsable.
  2. De responsable a encargado.
  3. De encargado a encargado.
  4. De encargado a responsable.

Atendiendo al tipo de flujo de datos que nos encontremos, la Comisión enumera una serie de aspectos y medidas que deberán detallarse en los contratos. Entre ellas, por ejemplo, nos encontraríamos con las siguientes:

  • Limitación de la finalidad.
  • Transparencia.
  • Exactitud y minimización de datos.
  • Limitación del plazo de conservación.
  • Seguridad del tratamiento.
  • Datos sensibles.
  • Transferencias posteriores.
  • Documentación y cumplimiento.

Los subencargados

Estas nuevas cláusulas establecen los derechos y obligaciones de los responsables y encargados del tratamiento que intervienen en la transferencia. Por parte de un responsable a un encargado, pero también de un encargado a un subencargado para cuando así se dé el caso.  

En su cláusula 9, se establece como posibilidad que un encargado pueda contar con una autorización para contratar a un subencargado. De esta manera, no sería necesario que el responsable efectúe el contrato con este nuevo tercero.

Las transferencias posteriores

Adaptándose a la complejidad de este flujo de datos, se regulan las transferencias posteriores que se deriven de la principal efectuada.

Sin embargo, se requiere de una diligencia activa por parte de los intervinientes para asegurar que la continuidad de la protección esté siempre garantizada.

Derechos de los interesados

Destaca el principio de transparencia por el que están compuestos los derechos del interesado.

En su cláusula 10 se establece que los titulares de los datos tendrán derecho a solicitar, entre otros:

  • Si se están tratando sus datos personales.
  • Proporcionar una copia de la información incluida en las cláusulas contractuales suscritas.
  • Si los datos han sido o serán transferidos posteriormente.
  • Información sobre los destinatarios o categorías de destinatarios a los que se haya realizado o vaya a realizarle la transferencia posterior.
  • La finalidad de las transferencias posteriores.

Evaluación y diligencia

La Comisión incide en que corresponde principalmente al exportador y al importador de los datos supervisar en todo momento la transferencia o transferencias realizadas. Ambos deberán cooperar en cualquier procedimiento destinado a garantizar el cumplimiento de las cláusulas suscritas.  

Ante la transferencia a terceros países, las partes deberán confirmar que no exista un impedimento legal que impida al importador cumplir con sus obligaciones. Sería el caso de EE.UU., por ejemplo.

Así, las figuras que intervengan analizarán las circunstancias en las que se celebran las transferencias, las distintas leyes y prácticas que puedan afectar en dicho país, las medidas organizativas y técnicas, las medidas de seguridad aplicables, etc.

De igual forma, atendiendo a un posible acceso a la información, el importador se compromete a notificar al exportador estas circunstancias. Por ejemplo, si recibe una solicitud jurídicamente vinculante de comunicación de datos personales o si tiene conocimiento que las autoridades públicas han tenido acceso directo a los datos.

Medidas técnicas y organizativas

Otra de las novedades es la batería de medidas técnicas y organizativas incluida en el modelo de nuevas cláusulas contractuales tipo.

Las plantillas ofrecen una serie de medidas para garantizar la seguridad de los datos, entre las que se incluyen los siguientes ejemplos:

  • Seudonimización y cifrado de los datos personales.
  • Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Incluye una evaluación regular de la eficacia de las medidas.
  • Identificación y autorización de usuarios.
  • Protección de datos durante la transmisión y almacenamiento de los mismos.
  • Medidas para garantizar la seguridad física de los lugares donde se traten los datos, el registro de incidentes y la configuración del sistema.
  • De gobernanza y gestión de la informática y la seguridad informática internas.
  • Para la certificación / garantía de procesos y productos.
  • Medidas para garantizar: la minimización, la calidad, una retención limitada de los datos y la responsabilidad proactiva.
  • Medidas para permitir la portabilidad de los datos y garantizar la supresión.

Período de transición

Tras la publicación de las nuevas cláusulas, Europa proporciona un plazo de tres meses para aquellas transferencias que hayan utilizado sus versiones anteriores. Transcurridos estos meses, se abre otro período de quince meses para que tanto importadores como exportadores suscriban las nuevas cláusulas.

Se trata de una ampliación de seis meses con respecto a los bocetos iniciales de las nuevas CCT publicadas. Una prórroga que pretende ofrecer margen suficiente a importadores y exportadores para regularizar sus transferencias con las garantías necesarias.

Sigue esta y otras noticias a través de nuestro canal de Telegram

Imagen de dimitrisvetsikas1969 en Pixabay