ePrivacy y marco regulatorio
Hemos vivido un invierno cargado de iniciativas regulatorias y multas de gran relevancia. Vamos por partes, empezando con el marco normativo y siguiendo con multas y demandas privadas.
Actualizaciones normativas
En la UE, el Reglamento de Inteligencia Artificial (que hemos cubierto este trimestre en un par de entrevistas de Masters of Privacy) dio un paso importante en el Consejo con su adopción de una posición final. Estos días esto es importante porque el nuevo marco legal diferencia ya entre las medidas que deben adoptar diferentes empresas a lo largo de la cadena de uso de, por ejemplo, un OpenAI (detrás del omnipresente ChatGPT) o un Stability AI.
Al mismo tiempo, en noviembre vieron la luz las nuevas reglas comunes en materia de ciberseguridad con la aprobación de la Directiva NS2 (una versión mejorada de la Directiva de Seguridad de la Información y de las Redes). El marco actualizado cubre la respuesta a incidentes, la seguridad de la cadena de suministro y el cifrado, entre otras cosas.
Por su parte, la Agencia Española de Protección de Datos (AEPD) emitió una decisión sobre el uso de Google Analytics por parte de la Real Academia de la Lengua Española (“RAE”), convirtiéndose en la primera autoridad supervisora de la UE en ver el vaso medio lleno en el uso del extendido servicio de analítica digital (habiendo sido considerado de alto riesgo en Dinamarca, Italia, Francia, los Países Bajos y Austria). Huelga tener en cuenta que la RAE hacía solo uso de la versión más básica de la herramienta, sin integraciones de medición de campañas publicitarias ni perfilado de usuarios individuales, y en este sentido alineado con las pautas de la autoridad supervisora francesa (CNIL) para el uso válido de la herramienta.
Ya en el nuevo año, el Comité Europeo de Protección de Datos (EDPB) publicó sus deliberaciones en dos informes importantes, sobre el consentimiento válido en el contexto de los faldones de cookies (con la esperanza de acordar un enfoque común frente a múltiples quejas de Max Schrems/NOYB en toda la UE), y sobre el uso de servicios basados en la nube por parte del sector público. El primero de ellos concluyó que la gran mayoría de las autoridades supervisoras no aceptan ocultar el botón de "Rechazar todo" en una segunda capa, lo que parece dejar a la AEPD aislada en su empeño. Sí que ha habido unanimidad en la no conformidad de: a) casillas de verificación de consentimiento previamente marcadas en la segunda capa; b) el uso del interés legítimo como base legal; c) el uso de patrones oscuros en el diseño de enlaces o colores/contraste de botones; y d) la imprecisión en la clasificación de cookies esenciales.
El segundo concluyó que los organismos públicos de toda la UE pueden tener dificultades para proporcionar medidas complementarias al enviar datos personales a una nube basada en los Estados Unidos (según los requisitos de Schrems II) en el contexto de algunas implementaciones de Software as a Service (SaaS), lo que sugiere que cambiar a un proveedor de servicios en la nube (CSP, en inglés) basado en el Espacio Económico Europeo resolvería el problema y haría que muchos se preguntaran si también se refiere a los CSP de propiedad estadounidense, lo que dejaría pocas opciones sobre la mesa y ninguna capaz de competir a muchos niveles en términos de funcionalidades o escalabilidad.
Al otro lado del charco, el 1 de enero entraron en vigor las muy esperadas nuevas leyes de protección de datos en California (CPRA) y Virginia (CDPA). Aunque ambas ofrecen un conjunto amplio de derechos en términos de garantizar el control individual sobre los datos personales que se recopilan a través de internet (exclusión voluntaria, acceso, eliminación, corrección, portabilidad...), la de California crea un derecho privado de acción que podría allanar el camino para una nueva avalancha de demandas. En cualquier caso, solo las empresas que alcancen un umbral mínimo en términos de ingresos o la cantidad de consumidores afectados por sus prácticas de recopilación de datos tendrán que preocuparse por las nuevas normas.
Por último, la Privacidad desde el diseño se convertirá en unos días en el nuevo estándar ISO 31700, inaugurando finalmente un proceso estructurado y auditable para cumplir con los siete principios establecidos en su día por Ann Cavoukian, ex directora de la agencia de protección de datos de Ontario (Canadá).
Multas y demandas privadas
Las agencias continentales de protección de datos siguen ordeñando la vaca del cabo suelto de la Directiva ePrivacy (artículo 22.2 de la Ley de Servicios de la Sociedad de la Información en España) con relación a la ventanilla única de GDPR (“One-Stop Shop”). Como muy comentado por estos lares, el tan esperado Reglamento ePrivacy nunca llegó a ver la luz para mantener ambos cuerpos normativos en sintonía, y esto permite que cualquier autoridad supervisora gestione independientemente los casos relativos al consentimiento de cookies y otras tecnologías similares. Este criterio se ha visto reforzado por las recientes conclusiones del Cookie Banner Task Force del Comité Europeo de Protección de Datos (sumadas a las mencionadas anteriormente).
Microsoft fue la última gran víctima de esta particular casuística en el año que ya hemos dejado atrás (después de Meta y Google), recibiendo una multa de 60 millones de euros de la CNIL francesa, que poco después agració a TikTok con otra multa de 5 millones de euros (una vez más, por la ausencia de un botón “Rechazar todo” en su primera capa -o “no siendo tan fácil rechazar las cookies como aceptarlas”). También llegó su turno a Apple a pesar de toda la publicidad gastada en promover su supuesto abanderamiento de la privacidad, con una multa de 8 millones de euros por recopilar identificadores de dispositivos únicos de los visitantes de su tienda de aplicaciones sin previo consentimiento o aviso, con el fin de gestionar su propio sistema publicitario.
La carnicería de sanciones-ePrivacy de la CNIL no se detuvo en las Big Tech. Voodoo, un líder en juegos móviles hiper-casuales (incluyendo Helix Jump, Baseball Boy, Hole, Aquapark o Paper.io - con cinco mil millones de descargas a mediados de 2021), también recibió su ración de jarabe de palo con una multa de 3 millones de euros por falta de consentimiento adecuado al servir un IDFV (identificador único "para proveedores", que Apple permite que los editores de aplicaciones lancen cuando el IDFA, que permite hacer un seguimiento a través de todas las apps, ha sido rechazado por los usuarios como consecuencia del aviso de App Tracking Transparency).
Dejando a un lado la Directiva ePrivacy, y en el dominio puro del RGPD/GDPR, Discord recibió una multa de 800k euros (nuevamente, a manos de la CNIL) sobre la base de: a) la ausencia de un periodo de retención específico; b) la inobservancia de los principios de Privacidad desde el diseño en el desarrollo de sus productos; c) aceptar niveles de seguridad excesivamente bajos para la creación de contraseñas de usuario; y d) no realizar una Evaluación de impacto en materia de protección de datos (dado el volumen de datos que trata y la popularidad de la herramienta entre los menores de edad).
Y, sin embargo, una noticia en particular eclipsó casi todo lo demás en esta categoría: el DPC de Irlanda impuso una multa de 390 millones de euros a Meta, a instancias del EDPB, por confiar en la base legal contractual para servir publicidad personalizada en Facebook e Instagram, en sí misma constituyendo el modelo de negocio que sustenta ambas redes sociales. En Masters of Privacy hemos tenido un debate sobre el asunto y sus consecuencias con ambos, Tim Walters (Inglés) y Alonso Hurtado (español). También hemos publicado un artículo de opinión en nuestro blog.
Este último asunto es una buena transición a los últimos problemas de Twitter. Su nuevo dueño, Elon Musk, no contento con haber despedido a altos ejecutivos clave a cargo del cumplimiento de la privacidad en la UE (incluido su Chief Privacy Officer y DPO), ha sugerido que obligará a sus usuarios del servicio gratuito a dar su consentimiento a la publicidad personalizada. Este tipo de práctica nos ha recordado a los “cookie walls” que el Consejo de Estado francés ha obligado a la CNIL a aceptar en ese país, resultando en las solicitudes de consentimiento con pistola en mano que se han ido propagando por Le Monde y otros grupos editoriales. El DPC irlandés (una vez más, a cargo de su supervisión bajo la regla de ventanilla única o One-Stop Shop) ha solicitado de todos modos a Twitter una reunión con la esperanza de trazar algunas líneas rojas.
Por su parte, la AEPD, que sigue batiendo todos los récords en cuanto a multas mensuales, ha sancionado (70.000 euros) a la empresa de paquetería UPS por hacer un envío de MediaMarkt a un vecino, incumpliendo así su deber de confidencialidad.
Al otro lado del charco, Epic Games y el regulador estadounidense han acordado pagar una multa de 520 millones de dólares por dirigirse directamente a niños menores de 13 años con su juego Fortnite (la configuración predeterminada les permitía además participar en comunicaciones de voz y texto con extraños), así como por usar "patrones oscuros" en las compras de “artefactos” digitales.
En el frente de las demandas privadas (especialmente importante en EEUU), Meta ha acordado pagar $725 millones después de que se presentara una demanda colectiva en California contra su red social Facebook a raíz del siempre presente escándalo de Cambridge Analytica. Además, la Ley de Privacidad de la Información Biométrica de Illinois (BIPA, por sus siglas en inglés) siguió poniendo dinero en los bolsillos de los demandantes y abogados de demandas colectivas, en este caso obligando a Whole Foods (una cadena de supermercados de alimentos orgánicos de lujo propiedad de Amazon) a negociar un pago de 300.000 dólares - por ahí han pasado ya TikTok, Facebook o Snapchat, aunque aquí haya sido el seguimiento, a través de "huellas de voz", de sus propios empleados lo que ha desencadenado la demanda.
Competencia y Mercados Digitales
Google ha recibido una demanda del Departamento de Justicia por abuso de su posición en el mercado abierto de AdTech (o los anuncios que se muestran en la web y más allá de sus propios "jardines amurallados" de Google Search y YouTube), aprovechando su control del mercado de Ad Servers de editores (controlando el inventario publicitario de “display”) y su posición privilegiada como dueño del principal espacio de gestión de pujas (AdX, haciendo el encaje en tiempo real entre demanda y oferta) para bloquear cualquier posible desafío a su dominio del mercado de anunciantes (cada vez más pequeños, menos sofisticados y más necesitados de la simplicidad ofrecida por Google Ads para invertir tanto en anuncios de búsqueda como en publicidad “display”). Entre otras cosas, se ha acusado a Google de manipular artificialmente AdX para favorecer a los editores a expensas de los anunciantes.
Zero-Party Data y el futuro de los medios
(La noticia a continuación nos obliga a compaginar ambas categorías esta temporada)
La BBC ha desplegado su propia versión de SOLID pods (carteras de datos y preferencias) para permitir que sus clientes aprovechen sus propios datos (exportados de Netflix, Spotify y la BBC) para obtener recomendaciones relevantes mientras mantienen el control total de dichos datos en sus dispositivos.
Aquí se acaba nuestra puesta al día, ¡pero no el invierno! No olvides abrigarte… del frío y de los riesgos en el tratamiento de datos personales :)
Podrás encontrar todos los links y referencias en el blog de Masters of Privacy.
Con Cris Moro y Sergio Maldonado