La Agencia de Protección de Datos de Francia (CNIL) ha sancionado a la empresa “NS Cards France” (NS), por incumplir la normativa en materia de privacidad y las normas sobre cookies y rastreadores. Esta empresa publica el sitio web neosurf.comy su app “Neosurf” le permite realiza pagos en línea después de registrarse en el servicio. En este sentido, a finales de 2021, la CNIL inició de oficio dos investigaciones para verificar el cumplimiento de NS de la normativa vigente. Una de las investigaciones se llevó a cabo de forma presencial en las instalaciones de la empresa y la otra sobre el sitio webneosurf.com. 

Al finalizar las investigaciones, la CNIL identificó fallos en los plazos de conservación de cuentas; en el tratamiento de información de los usuarios; en la seguridad de los datos y en la modalidad de depósito de cookies y rastreadores en los terminales de los usuarios. Por ello, la CNIL ha tomado la decisión de sancionar a NS por diversos motivos. En primer lugar, por disponer de una inadecuada política de conservación de datos, ya que la empresa no eliminaba los datos de las cuentas de sus usuarios. En segundo lugar, por incumplir el deber de informar a sus usuarios, tanto en el sitio web como en la aplicación de Neosurf. Además, la empresa contaba con una política de privacidad incompleta y obsoleta. En tercer lugar, se corrobora el incumplimiento de su obligación de garantizar la seguridad de las contraseñas. La investigación de la CNIL ha concluido que las reglas de complejidad de las contraseñas no eran lo suficientemente robustas y que la base de datos en la que se almacenaban estaba obsoleta en materia de ciberseguridad. Por último, NS también ha sido sancionado por incumplir sus obligaciones relacionadas con la política de cookies y el uso de rastreadores. En concreto, la empresa empleaba cookies de Google Analytics que se instalaban en el dispositivo del usuario sin consentimiento. Además, NS utilizaba un mecanismo de Google que recopilaba información de los dispositivos y aplicaciones de los usuarios, sin informar ni obtener consentimiento.

Por todo ello, la CNIL ha sancionado a “NS Cards France” con 105.000 euros por diversos incumplimientos del RGPD y de la normativa de cookies. Cabe señalar que la CNIL era competente para sancionar por la infracción de cookies. Sin embargo, en materia de incumplimiento del RGPD, la CNIL ha contado con la cooperación de 17 Agencias de Protección de Datos europeas, debido a que la web en cuestión tiene visitantes en varios países de la UE.

Más información: https://www.cnil.fr/fr/paiement-electronique-la-cnil-inflige-une-amende-de-105-000-euros-ns-cards-france

La Autoridad de Protección de Datos (DPA) de Austria ha publicado una sección de preguntas frecuentes (FAQS) sobre el uso de cookies en relación con la protección de datos personales. 

En este sentido, se trata de una recopilación de catorce preguntas y respuestas en las que la DPA incluye algunas aclaraciones. En especial, la DPA señala que (i) las cookies, en sí mismas, no son consideradas datos personales, sino que depende de las circunstancias de cada caso individual, y, en particular, depende de la información que las cookies contengan y de la combinación que se pueda realizar con la misma. (ii) En relación con el color que deben tener los botones de otorgar el o rechazar el consentimiento dentro del banner de cookies, la DPA especifica que, en este sentido, no se puede hacer ninguna declaración general sobre qué colores debe tener un botón dentro dicho banner. (iii) En cuanto al muro de pago “pagar o aceptar”, la DPA aclara que realizar esto está fundamentalmente permitido dado que el pago por el acceso a un sitio web puede representar una alternativa al consentimiento, pudiendo cada operador de sitio web decidir si el acceso al contenido de su sitio web es de pago.

En línea con lo anterior, la DPA señala que, al utilizar “pagar o aceptar” se deben tener en cuenta al menos (i) el cumplimiento de todas las normas en materia de protección de datos para el tratamiento realizado en base al consentimiento; (ii) se debe proporcionar una granularidad del consentimiento; (iii) las autoridades, organismos públicos o proveedores de servicios universales no pueden utilizar el muro de pago; (iv) el precio debe ser apropiado y justo para la alternativa de pago; y (v) si un usuario accede al sitio web mediante la alternativa de pago, no se podrán tratar datos personales con fines publicitarios.

Más información: https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html

La Autoridad de Protección de Datos francesa (CNIL) ha publicado unborrador de “Guía sobre Evaluaciones de Impacto de las Transferencias Internacionales” (Transfer Impact Assessment, por sus siglas en inglés “TIA”). En línea con las recomendaciones del EDPB sobre medidas adicionales que complementan los instrumentos de transferencia, esta Guía recoge una metodología cuyo objetivo es que las organizaciones adopten las medidas de protección necesarias a la hora de realizar una transferencia de datos fuera del Espacio Económico Europeo (EEE).

El exportador de datos es quien, con la colaboración del importador, debe realizar una TIA sobre la transferencia fuera del EEE, siempre que el país de destino de los datos no esté cubierto por una Decisión de Adecuación de la Comisión Europea. El borrador de Guía de la CNIL está organizado en seis puntos a seguir en la realización de TIAs. En primer lugar, es imprescindible (i) conocer toda la información relativa a la transferencia. Para ello, la guía facilita un cuadro a rellenar con información interna preexistente, tales como el registro de actividades de tratamiento o el contrato que regula la transferencia. En segundo lugar, se recomienda (ii) documentar la herramienta de transferencia utilizada con el fin de confirmar la necesidad o no de realizar un TIA. Para ello, el exportador tiene que basarse en una decisión de adecuación de la Comisión o en alguna de las herramientas o excepciones recogidas en el RGPD. Posteriormente, habría que (iii) evaluar la legislación del país de destino con el fin de conocer el cumplimiento de la legislación de dicho país y comprobar que no impidan el cumplimiento de las obligaciones que se le atribuyen al exportador de datos. El paso siguiente es (iv) identificar y adoptar las medidas complementarias que fueran necesarias para garantizar el cumplimiento del nivel establecido por el RGPD. Con el objetivo de contribuir en este paso, la CNIL ha creado un anexo con una lista de medidas técnicas, contractuales y organizativas. Para (v) implementar las medidas complementarias y tomar las medidas procesales necesarias, se facilita una tabla con las acciones a tener en consideración. Por último, la CNIL recuerda la necesidad de (vi) reevaluar el nivel de protección de datos cada cierto tiempo. 

El borrador de guía estará en periodo de consulta pública hasta febrero de 2024. Durante este plazo, todos los actores que transfieran datos fuera del EEE pueden realizar aportaciones que serán tenidas en cuenta por la CNIL de cara a realizar la futura guía sobre TIA.

Más información: https://www.cnil.fr/en/transfer-impact-assessment-tia-cnil-consults-you-draft-guide-0

El departamento de servicios financieros del supermercado francés Carrefour ha sufrido un ciberataque el pasado mes de diciembre en el que se han visto expuestos los datos personales de sus usuarios, lo que ha dado lugar a una brecha en la seguridad. Tras lo ocurrido, Carrefour comunicó a los clientes afectados lo sucedido, informando que los datos que se habían visto expuestos sobre algunos de sus clientes fueron sus datos identificativos (nombre y apellidos y DNI), y datos de contacto (número de teléfono y correo electrónico).

Y, por otro lado, en lo relativo a los datos económicos, Carrefour reitera en esta carta que, en ningún caso, se han visto afectadas las claves de acceso a sus servicios financieros. Sin embargo, no se menciona su producto económico más utilizado, la tarjeta Pass. Es importante conocer qué datos de la tarjeta Pass se han visto afectados, ya que, mediante la misma, los clientes pueden comprar a plazos, obtener descuentos en las compras del supermercado y pueden obtener préstamos de hasta 30.000 euros.

Pese a que los ciber-atacantes no han obtenido contraseñas ni datos bancarios, si han tenido acceso a datos identificativos, los cuales pueden ser empleados para cometer diferentes delitos de estafa. Carrefour ha emitido una recomendación indicando en tener cuidado con las llamadas, correos o SMS donde no se identifique claramente al interlocutor.

Más información: https://www.genbeta.com/actualidad/carrefour-sufre-ciberataque-servicios-financieros-que-expone-datos-personales-usuarios

La Agencia Española de Protección de Datos (AEPD) ha sancionado a la “Asociación contra la Corrupción y en Defensa de la Acción Pública” (ACODAP) por publicar en su página web una nota de prensa junto a un auto judicial con datos personales. Precisa señalar que las sentencias y resoluciones de los Juzgados y Tribunales deben ser anonimizadas previa publicación en portales o sitios web, no habiendo adoptado la ACODAP las medidas de seguridad adecuadas. En este sentido, se vio vulnerada la confidencialidad de los datos identificativos (datos del denunciado) y datos sobre infracciones penales (delito objeto de denuncia). Los afectaron fueron quienes denunciaron los hechos que dieron lugar a la vulneración en materia de protección de datos.

Durante la investigación iniciada por la AEPD, se le solicitó a ACODAP la eliminación del auto en el que se contenían datos personales, alegando la ACODAP no haber lugar a dicha eliminación dado el carácter de noticia de interés general en la medida en que se acordaba el inicio de una investigación penal contra personajes de proyección pública, sin embargo, dicha alegación fue desestimada. 

Por la comisión de la infracción del principio de limitación de la finalidad, la AEPD ha considerado la imposición de una multa de 10.000 a la ACODAP, considerando como agravantes la (i) duración de la infracción y la (ii) intencionalidad a la hora de publicar los datos personales.

Más información:  https://www.aepd.es/documento/ps-00540-2022.pdf

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa que ofrece cursos de formación con 3.500 euros, por vulnerar el principio de licitud del tratamiento recogido en el RGPD. En este caso, una exalumna presentó una reclamación ante la AEPD por considerar vulnerada la normativa en materia de protección de datos al acceder al portal de la web de la empresa y comprobar que, al introducir sus datos de DNI, se podían visualizar otros datos personales concernientes a su persona. 

La AEPD inició una investigación comprobando que, introduciendo el DNI de un particular que había realizado el curso, automáticamente, el sistema mostraba todos los datos personales que la empresa había recopilado sobre él (en concreto, mostraba su nombre, apellidos, población, móvil, dirección de email, año de nacimiento, sexo y entidad en la que había realizado el curso). Al comunicarle tales hechos a la empresa, esta defendió, por un lado, que almacenaba los datos para facilitar la cumplimentación de futuras inscripciones por parte de sus alumnos; y, por otro lado, la empresa señalaba que los interesados podían revocar la autorización de la muestra de sus datos personales a través del DNI en cualquier momento. Por último, respecto a la conservación de los datos personales de los alumnos para futuras inscripciones, la AEPD comprobó que no se establecía un plazo exacto de conservación de los mismos. La empresa únicamente informaba al interesado de la conservación de sus datos personales desde que se otorga el consentimiento hasta que se revoque o se solicite la limitación del tratamiento.

La AEPD ha sancionado a la entidad Gestió Inscripcions I Control Curses SL con 3.500 euros por (i) vulnerar el principio de licitud del tratamiento y (ii) por no establecer las medidas técnicas y organizativas adecuadas para el tratamiento de los datos. En el caso de que la empresa decida reconocer su responsabilidad, la sanción será de 2.800 euros.

Más información: https://www.aepd.es/documento/ps-00389-2023.pdf

La Agencia Española de Protección de Datos (AEPD) ha sancionado a la compañía aérea EasyJet por incumplir el deber de información que se establece en el RGPD. Un particular realizó una solicitud de acceso a sus datos en el marco de una reclamación por incumplimiento del RGPD, la cual fue desatendida por la compañía.

En su investigación, la AEPD detectó, por un lado, incoherencias con la información de la web de Easy Jet. En este sentido, existía un formulario para el ejercicio de los derechos del RGPD en el que se ponía a disposición de los usuarios una dirección de correo electrónico. Sin embargo, cuando el particular solicitó el acceso a sus datos a través de ese formulario, la compañía se comunicó con él mediante otra dirección de correo electrónico. Además, la compañía únicamente remitió una respuesta en la que informaba al particular que, debido al periodo vacacional, la tramitación de su solicitud de derecho de acceso se iba a retrasar. El particular no recibió más contestación a su reclamación poniéndose tres meses después en contacto con la compañía, cuya respuesta fue que no se había dado traslado de su petición al equipo de privacidad. Por otro lado, el particular también realizó los trámites para exigir una indemnización por denegarle el embarque y, cuando recibió contestación sobre su derecho de acceso, la compañía confundió la reclamación de la indemnización con la solicitud de acceso.

Finalmente, en su resolución, la AEPD tiene en consideración como agravantes (i) la duración de la infracción y (ii) la vinculación de la actividad de la aerolínea con el tratamiento de datos personales. Por todo ello, la Agencia impone una sanción a Easy Jet de 10.000 euros por no atender correctamente el derecho de acceso de un particular. 

Más información:  https://www.aepd.es/documento/ps-00026-2023.pdf

La Agencia Española de Protección de Datos (AEPD) ha sancionado a Telefónica Móviles España (Telefónica) por tratar de forma ilícita los datos personales de un cliente. En concreto, el particular denuncia que un tercero solicitó a Telefónica el cambio de titularidad de su línea móvil y la empresa realizó dicha gestión sin hacer ninguna comprobación.

El particular tuvo conocimiento del cambio en la titularidad de su línea una semana después de la solicitud, porque, como la compañía dio de baja su tarjeta SIM, para poder seguir usando la misma línea necesitaba una SIM nueva. El particular reclama ante la AEPD que, debido a ese cambio no autorizado en la titularidad de la línea, el tercero utilizó la información contenida su móvil para acceder a sus datos bancarios y realizar sustracciones fraudulentas de dinero de su cuenta. En su investigación, la AEPD ha concluido, en primer lugar, que en la grabación de la llamada relativa al cambio de titularidad, el tercero manifestó que tenía el consentimiento del titular para realizar el cambio de nombre de la línea y (i) facilitó el nombre, los apellidos y el DNI de ambos. Sin embargo, no se comprobaron esos datos, ya que las dos letras finales de ambos DNI indicados por el tercero eran erróneas. En segundo lugar, la AEPD contactó con Telefónica para obtener más información sobre la segunda llamada de comprobación, la cual está establecida de forma obligatoria en la política interna de la empresa para estos supuestos. En su respuesta, Telefónica indicó que (ii) el agente comercial solo realizó la grabación del cambio en la titularidad de la línea, por lo que se deduce que no siguió el procedimiento. Por último, la AEPD reprocha a la compañía (iii) el no establecimiento de la diligencia necesaria para esta gestión, ya que contar con las medidas de seguridad apropiadas evitaría este tipo de estafas y vulneraciones del RGPD.

Por todo ello, la AEPD ha impuesto a Telefónica una multa de 70.000 euros, debido a que, por su conducta negligente, se han tratado los datos personales de un particular sin su consentimiento. Además, se ha causado un perjuicio económico al mismo, ya que debido a este acceso no autorizado a sus datos se han conseguido las claves de sus cuentas bancarias.

Más información:  https://www.aepd.es/documento/ps-00261-2023.pdf

Los reguladores parte del Foro de Reguladores de Plataformas Digitales (DP-REG) -la Comisión Australiana de Competencia y Consumidores (ACCC), la Autoridad Australiana de Comunicaciones y Medios (ACMA), la Oficina del Comisionado de eSafety y la Oficina del Comisionado de Información de Australia (OAIC)-, en calidad de miembros, han preparado un documento orientativo sobre los daños y riesgos de los algoritmos y grandes modelos de lenguaje como una guía integrada por orientaciones generales.

Este trabajo parte de una amplia gama de intervenciones regulatorias por parte del gobierno australiano para ayudar a proteger a los australianos en relación con las actividades realizadas online, permitiendo a los reguladores compartir información y colaborar en cuestiones y actividades transversales sobre la regulación de las plataformas digitales; (i) la competencia; (ii) la protección al consumidor; (iii) la privacidad; (iv) la seguridad en línea; y (v) los datos. La ACMA es la autoridad responsable de regular los medios y las comunicaciones en Australia, donde la mayoría de las entidades que regula utilizan algoritmos para mostrar contenido y publicidad a los ciudadanos, lo que conlleva beneficios, riesgos y desafíos. Por una parte, los algoritmos son cruciales para moderar contenidos y recomendar noticias, ayudan a las emisoras y servicios de streaming a ofrecer publicidad personalizada dirigida a los usuarios. En cambio, los algoritmos también pueden difundir y amplificar contenidos dañinos y propagar desinformación. 

La ACMA toma medidas para responder a otros desafíos específicos del sector de los algoritmos como (i) monitorizar las soluciones tecnológicas para reducir la incidencia de estafas; (ii) interactuar con las partes interesadas para comprender la relevancia en la publicidad dirigida; y (iii) realizar investigaciones de consumidores para obtener información sobre el entorno cambiante. El objetivo de este estudio tiende a apoyar la educación y concienciación comunitaria, reconociendo la importancia de mejorar la alfabetización digital y algorítmica y ofrecer a las personas las habilidades y la confianza necesarias para controlar sus experiencias en línea, mediante el desarrollo de programas de educación y capacitación para crear conciencia sobre los daños potenciales asociados a los sistemas de recomendación y las herramientas para administrarlos. 

Más información: https://dp-reg.gov.au/publications/working-paper-1-literature-summary-harms-and-risks-algorithms

La Agencia Española de Protección de Datos (AEPD) ha sancionado al restaurante Begin Restaurantes SL por incluir en su página web un banner de cookies que no se ajusta a la normativa sobre la información y comercio electrónico (LSSICE). En concreto, un particular realizó una reclamación ante la AEPD en la que informaba que en la web del establecimiento no se permitía el rechazo ni la configuración de las cookies de la página web.

La AEPD en su investigación detectó diversas irregularidades. En primer lugar, (i) sobre la utilización de cookies antes de que el usuario preste su consentimiento, la web empleaba cookies que no eran técnicas o necesarias. En particular, la página web del restaurante utilizaba cookies de rendimiento, que son las que permiten cuantificar el número de visitas y las fuentes de tráfico y para las que es necesario consentimiento. En segundo lugar, (ii) en relación al banner de información sobre cookies de la primera capa, si el usuario deseaba clicar para rechazar las cookies, la web se congelaba y no proporcionaba respuesta. Sin embargo, si el usuario clicaba en aceptar las cookies, la página web si funcionaba. Por último, (iii) sobre la información que se suministra en la Política de Cookies, la AEPD considera que esta es insuficiente. En la Política de Cookies de la web del restaurante se redirige al usuario a una nueva página sin presentar información sobre las finalidades de las cookies ni sobre la fuente (propia o de terceros) de las cookies que se instalan, vulnerando así normativa sobre información y comercio electrónico.

Por ello, la AEPD resuelve imponiendo una sanción de 2.000 euros a Begin Restaurantes SL por las irregularidades encontradas en su política de cookies, las cuales infringen la normativa sobre la información y el comercio electrónico. 

Más información: https://www.aepd.es/documento/ps-00405-2023.pdf