¿Susto o trato?

 In Uncategorized

El 31 de octubre expiró el plazo que dio la Agencia Española de Protección de Datos (AEPD) en la actualización del pasado mes de julio de su Guía de Cookies.

Son casualidades de la vida, pero el plazo finaliza en la noche de Halloween, y comienza la posibilidad real de ser sancionado por incumplimiento del Reglamento General de Protección de Datos (GDPR), de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico y de la LO 3/2018 de Protección de Datos y Garantía de los Derechos Digitales.

Llevo ya más de un par de años trabajando en profundidad la técnica jurídica del “website review compliance” o adecuación de las páginas web a la legalidad, y puedo afirmar que la situación global es absolutamente desoladora.

Las últimas investigaciones llegadas de Europa permiten afirmar que el 99% de las páginas web españolas pueden ser multadas por incumplir la ley desde la hora bruja de Halloween.

En definitiva, se presenta “susto” para los responsables jurídicos y “Compliance Officers” de las compañías mercantiles españolas.

Y es que la semana pasada Techcrunch divulgó que había accedido al informe preliminar de la Autoridad de Protección de Datos belga (APD-GBA) frente a IAB Europe que determina que el Marco de Transparencia y Consentimiento [TCF] no cumple el Reglamento General de Protección de Datos (RGPD).

El TCF afecta a más del 80%-90% de los avisos de cookies que se comercializan en España[i].

Al parecer, los hallazgos de la APD-GBA evidencian que no cumple con los principios de transparencia, equidad y responsabilidad del RGPD y con la legalidad del tratamiento, incidiendo además que no contienen reglas adecuadas para el tratamiento de datos de categorías especiales (información de salud, orientación sexual, afiliación política, etc.).

Esto significa que todos los operadores del mercado que utilizan el Protocolo TCF operan fuera de la Ley y, por ende, cualquiera que utilice el TCF, está infringiendo la ley y se expone a multas y sanciones. Para hacernos la idea del grado de incumplimiento de IAB Europe, esta organización ni siquiera había designado un Delegado de Protección de Datos, no tenía un registro de actividades de tratamiento y su política de privacidad era deficiente.

Eso sí, firman la Guía de Cookies de la AEPD.

Lo anterior es más grave si cabe, cuando tal como ha denunciado la ICCL (Consejo Irlandés para las Libertades Civiles), el sistema RTB (Real Time Bidding)[ii] que utiliza el TCF y su Big Data como intercambio de información de la industria AdTech realiza también prácticas ilegales.

El pasado mes se publicó un informe del ICCL que señala que mediante el RTB, Google envía los datos perfilados a 968 empresas; que hay una empresa de corretaje de datos que con estos datos ha influido en las elecciones parlamentarias polacas de 2019; que un perfil creado por un Agencia de datos permite a los usuarios del sistema de Google dirigirse a 1200 personas en Irlanda perfiladas en la categoría de “Abuso de sustancias”; que el sistema ha perfilado a 1300 personas en Irlanda en la categoría “SIDA y VIH”;  que existen otros perfiles como “Trastornos del sueño”, “Incesto y apoyo al abuso”, “Tumor cerebral”, “Incontinencia” y “Depresión”. Se puede ver la plantilla de datos de la industria publicitaria (IAB Content-Taxonomy) que incluye características de perfilación como infertilidad, diabetes, dolor crónico o menopausia, así como  las posiciones políticas y clasificaciones de individuos por religión.

El sistema RTB también monitoriza y geolocaliza a personas para el COVID-19, o a los manifestantes del Black Lives Matters.

El informe, ICCL estima que solo tres intercambios de anuncios (OpenX, IndexExchange y PubMatic) han realizado alrededor de 113.900 millones de transmisiones en tiempo real en el último año. El volumen de datos intercambiados es enorme y las infracciones muy graves.

Y es que la estimación del intercambio de datos del sistema RTB se prevé que alcance la cifra 35 zettabytes [iii] en el año 2020.

Esto supone que los datos privados de los residentes de la Unión Europea son intercambiados sin validez legal alguna (más aún tras la declaración de nulidad del escudo de privacidad –Schrems ii-).

LA RECOPILACIÓN DE DATOS PERSONALES NO CUMPLE EL REQUISITO DE TRANSPARENCIA

En general, el problema es que la recopilación de datos personales no cumple el requisito de lealtad y transparencia que exige el RGPD tal como exponía la guía del consentimiento publicada el 4 de mayo por el Comité Europeo de Protección de Datos (EDPB).

A modo de ejemplo, La Autoridad de Control irlandesa tiene una investigación abierta a Quantcast porque las fuentes de recopilación y la preconfiguración de la instalación de cookies y la combinación de datos no cumplen con el RGPD.

Con las investigaciones de la APD-GBA y de la ICCL tampoco su transmisión posterior.

Cuando llegue la hora bruja del 1 de noviembre de 2020 debemos ser conscientes que cualquier persona puede denunciar a un editor de una página web ante la AEPD si incumple la ley. Y la solución se presenta de forma alternativa: o se aplica el principio de minimización, eliminación diría yo mejor, de cookies y scripts de terceros nocivoso se hace un configurador de “cookies” con políticas de privacidad y de “cookies ad-hoc”, leales y trasparentes que respeten escrupulosamente la legalidad.

No hay en el mercado, producto que cumpla la legalidad en materia de aviso de cookies y obtención del consentimiento de forma lícita, leal y transparente. Lex Program Online, S.L.[iv] está trabajando en un producto llamado “Lex Legal” que aportará al ecosistema de servicios digitales un cumplimiento escrupuloso del RGPD y estandarizado para cumplir el conjunto de normas internacionales en materia de privacidad.

Pero, este producto no estará disponible hasta el 23 de noviembre.

Recomiendo pues, en estos últimos días revisar vuestra web y apostar por el “Trato”, y es que el panorama es más bien de susto. Además de las sanciones de hasta el 4% de la facturación, ya comienzan a vislumbrarse acciones colectivas (Class Action) multimillonarias como las que “The Privacy Collective” ha dirigido en Holanda contra Salesforce y Oracle. Este colectivo ya ha señalado que está trabajando futuras demandas a Spotify, Reddit, Dropbox, BBC, Comparethemarket, Booking, Thesaurus, Urban Dictionary, The Student Room, Rotten Tomatoes, IMDB, Matalan, Ikea, Barclaycard, Amazon y otras.

Por otra parte, en el Reino Unido han demandado por 2.500 millones de libras a Youtube por violar las leyes de protección infantil y finalmente, he de comentar que ya comienzan a aparecer en el mercado las empresas de financiación de este tipo de litigios.

Esta es la pregunta: ¿Susto o trato?

Fuente: www.confilegal.com

Noticia completa

Recent Posts

Dejar un comentario

Contacto

No estamos aquí en este momento. Pero puede enviarnos un correo electrónico y nos comunicaremos con usted lo antes posible.

Not readable? Change text. captcha txt

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies