Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

¿Susto o trato?

¿Susto o trato?
31/10/2020 06:46
|
Actualizado: 01/11/2020 20:37
|

En esta noticia se habla de:

El 31 de octubre expiró el plazo que dio la Agencia Española de Protección de Datos (AEPD) en la actualización del pasado mes de julio de su Guía de Cookies.

Son casualidades de la vida, pero el plazo finaliza en la noche de Halloween, y comienza la posibilidad real de ser sancionado por incumplimiento del Reglamento General de Protección de Datos (GDPR), de la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico y de la LO 3/2018 de Protección de Datos y Garantía de los Derechos Digitales.

Llevo ya más de un par de años trabajando en profundidad la técnica jurídica del “website review compliance” o adecuación de las páginas web a la legalidad, y puedo afirmar que la situación global es absolutamente desoladora.

Las últimas investigaciones llegadas de Europa permiten afirmar que el 99% de las páginas web españolas pueden ser multadas por incumplir la ley desde la hora bruja de Halloween.

En definitiva, se presenta “susto” para los responsables jurídicos y «Compliance Officers» de las compañías mercantiles españolas.

Y es que la semana pasada Techcrunch divulgó que había accedido al informe preliminar de la Autoridad de Protección de Datos belga (APD-GBA) frente a IAB Europe que determina que el Marco de Transparencia y Consentimiento [TCF] no cumple el Reglamento General de Protección de Datos (RGPD).

El TCF afecta a más del 80%-90% de los avisos de cookies que se comercializan en España[i].

Al parecer, los hallazgos de la APD-GBA evidencian que no cumple con los principios de transparencia, equidad y responsabilidad del RGPD y con la legalidad del tratamiento, incidiendo además que no contienen reglas adecuadas para el tratamiento de datos de categorías especiales (información de salud, orientación sexual, afiliación política, etc.).

Esto significa que todos los operadores del mercado que utilizan el Protocolo TCF operan fuera de la Ley y, por ende, cualquiera que utilice el TCF, está infringiendo la ley y se expone a multas y sanciones. Para hacernos la idea del grado de incumplimiento de IAB Europe, esta organización ni siquiera había designado un Delegado de Protección de Datos, no tenía un registro de actividades de tratamiento y su política de privacidad era deficiente.

Eso sí, firman la Guía de Cookies de la AEPD.

Lo anterior es más grave si cabe, cuando tal como ha denunciado la ICCL (Consejo Irlandés para las Libertades Civiles), el sistema RTB (Real Time Bidding)[ii] que utiliza el TCF y su Big Data como intercambio de información de la industria AdTech realiza también prácticas ilegales.

El pasado mes se publicó un informe del ICCL que señala que mediante el RTB, Google envía los datos perfilados a 968 empresas; que hay una empresa de corretaje de datos que con estos datos ha influido en las elecciones parlamentarias polacas de 2019; que un perfil creado por un Agencia de datos permite a los usuarios del sistema de Google dirigirse a 1200 personas en Irlanda perfiladas en la categoría de «Abuso de sustancias»; que el sistema ha perfilado a 1300 personas en Irlanda en la categoría «SIDA y VIH»;  que existen otros perfiles como «Trastornos del sueño», «Incesto y apoyo al abuso», «Tumor cerebral», «Incontinencia» y “Depresión”. Se puede ver la plantilla de datos de la industria publicitaria (IAB Content-Taxonomy) que incluye características de perfilación como infertilidad, diabetes, dolor crónico o menopausia, así como  las posiciones políticas y clasificaciones de individuos por religión.

El sistema RTB también monitoriza y geolocaliza a personas para el COVID-19, o a los manifestantes del Black Lives Matters.

El informe, ICCL estima que solo tres intercambios de anuncios (OpenX, IndexExchange y PubMatic) han realizado alrededor de 113.900 millones de transmisiones en tiempo real en el último año. El volumen de datos intercambiados es enorme y las infracciones muy graves.

Y es que la estimación del intercambio de datos del sistema RTB se prevé que alcance la cifra 35 zettabytes [iii] en el año 2020.

Esto supone que los datos privados de los residentes de la Unión Europea son intercambiados sin validez legal alguna (más aún tras la declaración de nulidad del escudo de privacidad –Schrems ii-).

LA RECOPILACIÓN DE DATOS PERSONALES NO CUMPLE EL REQUISITO DE TRANSPARENCIA

En general, el problema es que la recopilación de datos personales no cumple el requisito de lealtad y transparencia que exige el RGPD tal como exponía la guía del consentimiento publicada el 4 de mayo por el Comité Europeo de Protección de Datos (EDPB).

A modo de ejemplo, La Autoridad de Control irlandesa tiene una investigación abierta a Quantcast porque las fuentes de recopilación y la preconfiguración de la instalación de cookies y la combinación de datos no cumplen con el RGPD.

Con las investigaciones de la APD-GBA y de la ICCL tampoco su transmisión posterior.

Cuando llegue la hora bruja del 1 de noviembre de 2020 debemos ser conscientes que cualquier persona puede denunciar a un editor de una página web ante la AEPD si incumple la ley. Y la solución se presenta de forma alternativa: o se aplica el principio de minimización, eliminación diría yo mejor, de cookies y scripts de terceros nocivos, o se hace un configurador de «cookies» con políticas de privacidad y de «cookies ad-hoc», leales y trasparentes que respeten escrupulosamente la legalidad.

No hay en el mercado, producto que cumpla la legalidad en materia de aviso de cookies y obtención del consentimiento de forma lícita, leal y transparente. Lex Program Online, S.L.[iv] está trabajando en un producto llamado “Lex Legal” que aportará al ecosistema de servicios digitales un cumplimiento escrupuloso del RGPD y estandarizado para cumplir el conjunto de normas internacionales en materia de privacidad.

Pero, este producto no estará disponible hasta el 23 de noviembre.

Recomiendo pues, en estos últimos días revisar vuestra web y apostar por el «Trato», y es que el panorama es más bien de susto. Además de las sanciones de hasta el 4% de la facturación, ya comienzan a vislumbrarse acciones colectivas (Class Action) multimillonarias como las que “The Privacy Collective” ha dirigido en Holanda contra Salesforce y Oracle. Este colectivo ya ha señalado que está trabajando futuras demandas a Spotify, Reddit, Dropbox, BBC, Comparethemarket, Booking, Thesaurus, Urban Dictionary, The Student Room, Rotten Tomatoes, IMDB, Matalan, Ikea, Barclaycard, Amazon y otras.

Por otra parte, en el Reino Unido han demandado por 2.500 millones de libras a Youtube por violar las leyes de protección infantil y finalmente, he de comentar que ya comienzan a aparecer en el mercado las empresas de financiación de este tipo de litigios.

Esta es la pregunta: ¿Susto o trato?

——————————————-

[i] Estos configuradores aparentemente diseñados para legitimar el tratamiento de datos con la base legal del consentimiento o el interés legítimo contienen un déficit de cumplimiento de la información previa y se preconfiguran incumpliendo el RGPD con infracción del derecho fundamental a la intimidad.

[ii]  El Sistema RTB de asignación de anuncios publicitarios se despliega cuando un usuario visita una página web. En ese momento, las cookies instaladas recogen los datos de navegación del visitante y con ellos se crea un perfil relevante. Los anunciantes y las empresas de AdTech reciben una oferta de venta del espacio publicitario para ese perfil y los anunciantes pujan para que aparezca su anuncio en la página web. Una vez recibidas las ofertas el editor selecciona la oferta que más le interesa y se introduce el anuncio en la página web del ganador de la puja. Esas cookies instaladas comunican no sólo los datos de navegación sino también, la IP, el nombre y apellidos rellenados en formularios, direcciones, email, datos de categoría especial como salud, identidad y orientación sexual, religiosa o política, compras e incluso contraseñas.

[iii] Un Zettabyte es un trillón de gigabytes, es decir, 10²¹ bytes.

[iv] He de señalar mi participación en este proyecto. Ello no ha impedido que la redacción del presente artículo sea objetiva y sin interés particular alguno, al objeto de divulgar información relevante en esta materia.

Otras Columnas por Iñaki Jáuregui Navarro:
Estas son mis políticas; si eres europeo o californiano tengo otras
Necesitamos herramientas dinámicas para garantizar el derecho a la privacidad
Hacia un mundo sin «cookies» ni «scripts»: Avanzando en el derecho a la privacidad
Avanzando en el derecho a la privacidad: hacia un mundo sin «cookies» y «scripts»
Últimas Firmas
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano