Autores: ANDREA ACCUOSTO, CESCOM and IFCA Certified in Corporate Compliance, [email protected]; SANTIAGO NADAL, Lawyer Specialized in IP Law Director, [email protected], SN Abogados, www.snabogados.com, Barcelona, Spain.
EJEMPLOS REALES: DESAFÍOS REALES A CORTO PLAZO
Muchos casos nos hacen pensar que las dificultades para adaptarse al RGPD pueden ser enormes. Aquí mencionamos solo algunos ejemplos significativos, de una amplia variedad de sectores, que nos llevan a esta incertidumbre.
El escándalo ruso de Facebook
Cambridge Analityca es la consultora política que trabajó en la Campaña de Donald Trump, en 2016. Steven Bannon, jefe de la campaña, es uno de los socios de Cambridge, así como también el partidario republicano, el millonario Robert Mercer.
Supuestamente, Cambridge Analityca habría robado datos personales de casi 50 millones de usuarios, para ser utilizados a favor de la candidatura presidencial de Donald Trump, a través de la aplicación “thisismydigitallife”, desarrollada por el profesor de la Universidad de Cambridge, Aleksandr Kogan.
Kogan obtuvo permiso de Facebook para extraer datos a través de la aplicación que creó. Informó que utilizó estos datos solo para fines académicos. La aplicación fue una prueba de personalidad de los usuarios de Facebook. Sin embargo, para responder al cuestionario, los usuarios tenían que consentir el acceso a los perfiles de Facebook, de ellos y de sus amigos.
Más de 270.000 personas usaron la aplicación, respondieron el cuestionario, y dieron su consentimiento para que la aplicación tuviera acceso a los perfiles de sus amigos, recopilando datos de más de 50 millones de personas.
Parece claro que, en cualquier caso, Facebook conservó, sin ninguna protección, datos de los 50 millones de usuarios que no autorizaron su procesamiento de datos personales ni su transferencia.
A pesar del fortalecimiento de los mecanismos y leyes de protección de datos, su vulnerabilidad es cada vez más evidente.
Facebook / WhatsApp
En 2014 Facebook adquirió WhatsApp. Desde 2016, WhatsApp anunció que comenzaría a transferir los nombres y números de teléfono de sus usuarios a Facebook.
Francia bloqueó la transferencia de datos. El Grupo de Trabajo del Artículo 29 (WP29), Comisión que supervisa los asuntos de regulación de datos en toda la Unión Europea, declaró “seriamente deficiente” el consentimiento recogido en el proceso de compartir los datos del usuario entre WhatsApp y Facebook.
Facebook ha sido condenado a pagar $ 122 millones por engañar a las autoridades europeas.
Italia, Alemania, Francia, España, Bélgica y los Países Bajos han abierto procedimientos de infracción de datos contra Facebook y WhatsApp. Algunos casos, han concluido con serias multas. Reino Unido ha impedido que WhatsApp transfiera datos personales a Facebook hasta que la empresa cumpla con el RGPD.
Facebook y WhatsApp tienen que proponer una política segura de protección de datos para los usuarios europeos a la Oficina de Protección de Datos irlandesa, ya que sus oficinas centrales en Europa están establecidas en Irlanda. El acuerdo no está resuelto todavía.
Google Street View
Google ha enfrentado sanciones en Europa, ya que almacenó datos personales, sin consentimiento, entre 2008 y 2010. El procedimiento seguido por diferentes organismos reguladores europeos contra Google declaró la existencia de una infracción importante contra la protección de datos. Por ejemplo, España impuso una multa a Google de 300.000 euros Con la nueva regulación de la UE, las multas podrían ser de hasta el 4% de la facturación global anual total de la empresa infractora.
El Tribunal recomendó a los gobiernos europeos estar alerta contra las infracciones a la RGPD. Sugirió que las empresas usen sistemas que no infrinjan la privacidad para monitorear a los empleados.
Detrás de este caso, podemos encontrar el dilema entre privacidad y control en el lugar de trabajo. El artículo 8 de la Convención Europea de Derechos Humanos garantiza el derecho a respetar la vida privada y familiar, la privacidad del domicilio y la correspondencia.
Listas de pasajeros
El Tribunal de Justicia de la Unión Europea emitió un dictamen, 26 de julio de 2017, en un caso sobre la validez del acuerdo de intercambio de datos de nombres de pasajeros (PNR), entre la UE y Canadá.
El Tribunal entiende que el acuerdo no cumple con los derechos fundamentales de los europeos a la privacidad, la protección de datos y la no discriminación.
El Tribunal proporciona una lista de medidas, que deberían incluirse en el acuerdo entre la UE y Canadá, para proteger los datos de los pasajeros europeos. Establece que: “tomados en conjunto, los datos pueden revelar, entre otros, un itinerario de viaje completo, hábitos de viaje, relaciones existentes entre pasajeros y la situación financiera de los pasajeros, sus hábitos dietéticos o estado de salud. Incluso, pueden proporcionar información confidencial sobre esos pasajeros”.
La conclusión fue que la Unión Europea no podía firmar el acuerdo en su forma actual.
Paternidad
En junio de 2010, una mujer que se alojó con un hombre en una habitación de hotel en Halle (Alemania), sostuvo que quedó embarazada durante esa cita romántica y, en consecuencia, solicitó a un tribunal alemán que obligara al hotel a proporcionarle el nombre completo de su pareja, a quien solo conocía como Michael.
El hotel se negó a identificar al hombre que pagó la habitación o a proporcionar su dirección. Había cuatro hombres registrados bajo el nombre de Michael durante esos días.
La mujer tenía la intención de reclamar la manutención del niño al hombre que ella creía que era el padre de su hijo, nacido nueve meses después, en marzo de 2011.
El tribunal apoyó al hotel y dijo que el hombre tenía derecho a controlar sus propios datos personales, por encima del derecho de la mujer a solicitar el pago de manutención infantil.
Security Shield EEUU / UE
La Directiva de política presidencial 28 US-EU Privacy Shield, es el acuerdo entre el gobierno de EEUU y la Comisión Europea que permite flujos continuados de datos comerciales de Europa a los Estados Unidos.
La aprobación de la administración del presidente Trump, en la primera orden ejecutiva de inmigración, una cláusula que prevalece sobre las regulaciones que aplican la Ley federal de privacidad a personas fuera de Estados Unidos, ha generado preocupación internacional sobre si el Presidente estaba anulando las regulaciones para extender la protección de la privacidad de las personas en Europa. La preocupación de los europeos se ha incrementado por los registros de teléfonos celulares en la frontera y cuentas de redes sociales. La acción del Congreso, firmada por el presidente Trump, que deroga las regulaciones de privacidad de la Comisión Federal de Comunicaciones, que fluyeron de la aplicación de sus regulaciones del Título II, añadió una mayor preocupación sobre los principios de neutralidad de la red.
ID Face iPhone
La tecnología ID Face integrada en el iPhone X aporta el poder del reconocimiento facial. También podría generar nuevos riesgos en la protección de datos biométricos, que podrían convertirse en amenazas a la privacidad, ya que esta información se almacena y puede ser compartida por Apple.
Apple prohíbe a desarrolladores de aplicaciones usar estos datos para publicidad o marketing, identificar usuarios anónimos o vender información a terceros. Pero no hay garantía legal de que las disposiciones de Apple no sean violadas por terceros.
La edad de los usuarios o la validez de su consentimiento no pueden garantizarse mediante un dispositivo al que puedan acceder personas de todas las edades.
SITUACIÓN ACTUAL
El 19 de abril de 2018, el Consejo de la Unión Europea aprobó el Anexo 8088/18 J del RGPD, solo 36 días antes de su fecha de entrada en vigor.
Este Anexo introduce cambios sustanciales en todas las versiones e idiomas, y es una prueba clara de la variedad de criterios sobre las posibles interpretaciones del texto.
Por ejemplo, algunas versiones del texto, como la versión en inglés, aplicaron el RGPD a todas las personas dentro de la UE; pero otras versiones, como la española o la portuguesa, la aplicaron a todos los residentes de la UE.
A pesar de que el RGPD es un Reglamento Europeo de aplicación directa, muchos países europeos, como Alemania (abril de 2017 Bundesdatenschutzgesetz), Italia (167/2017 Código en materia de protección de datos personales), Francia (Proyecto de Loi relatif à la protection des données personnelles ), España (Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal), entre otros, han cambiado o están en proceso de cambiar su legislación interna sobre protección de datos, para armonizarla con las nuevas reglas. Estos cambios legales traerán nuevos puntos de vista e interpretaciones de las mismas reglas supranacionales generales.
COMENTARIOS FINALES
En nuestro mundo rápido y global, las decisiones importantes se basan en los perfiles, las estadísticas y los estándares. La protección de la intimidad, la privacidad y el reconocimiento de la dimensión humana de los datos como un derecho fundamental, es esencial. Es la forma de mantener el control en manos humanas y protegernos de abusos e infracciones gubernamentales o corporativas.
Los casos antes comentados muestran que es demasiado pronto para concluir la dimensión real de los efectos del nuevo RGPD. Todavía quedan muchos desafíos por descubrir en los próximos meses y años. Necesitamos ver los efectos de las nuevas leyes de los Estados miembros de la UE, la futura jurisprudencia que desarrollará el RGPD y los efectos del Brexit, entre otros.
Pero el problema más importante a enfrentar, es la forma en que todas estas reglas coexistirán con el vertiginoso desarrollo tecnológico irreversible.
