Masters of Privacy Newsroom: verano de 2023
Estamos de vuelta con el Newsroom de Masters of Privacy (podcast), y ahora también en castellano. Aquí va una versión escrita de lo sucedido en el verano que ahora despedimos, en cinco apartados, con ligeros cambios con respecto a trimestres previos:
- ePrivacy y novedades legales
- MarTech y AdTech
- Inteligencia Artificial, competencia y mercados digitales
- PETs y Zero-Party Data
- Futuro de los medios
(Suscríbete a Masters of Privacy para escuchar este Newsroom en tu reproductor favorito de podcasts).
ePrivacy y novedades legales
Multas y sanciones
Spotify recibió una multa de 5 millones de euros por usar una política de privacidad insuficiente (reflejo directo del principio fundamental de transparencia en el artículo 5 del RGPD). Según la DPA (IMY) sueca, la Política de Privacidad de Spotify “no informa con suficiente claridad sobre cómo utiliza los datos personales de sus clientes”. El IMY añadió que Spotify debería ser más transparente “sobre cómo y con qué fines se tratan”. Esta sanción tuvo su origen en la queja de NOYB sobre el incumplimiento por parte de Spotify de los derechos de acceso (al responder a las solicitudes de acceso de los interesados), pero la agencia no ha dado la razón a NOYB sobre este tema en particular.
También en Suecia, Tele2 y otros han tenido la peor fortuna posible en términos de timing. El operador de telecomunicaciones recibió una multa de 1 millón de euros el 3 de julio por utilizar Google Analytics (es decir, enviar datos a los Estados Unidos sin suficientes garantías adicionales para complementar las cláusulas contractuales tipo en las que se basó la plataforma después de que Schrems II invalidara el programa PrivacyShield — una misión imposible debatida durante mucho tiempo). Siete días después, la Comisión consideró que tales transferencias eran adecuadas según el nuevo Marco de Privacidad de Datos UE-EE.UU (Data Privacy Framework).
Meta y Criteo sufrieron importantes reveses relacionados con sus respectivos roles en el mercado de publicidad programática comportamental. El 4 de julio, Noruega exigió al propietario de Facebook dejar de procesar datos personales en el país basándose en una necesidad contractual o un interés legítimo para la personalización de su publicidad, mientras que la CNIL impuso una multa de 40 millones de euros a este último por: a) No verificar que se había obtenido un consentimiento válido de los aproximadamente 370 millones de personas residentes en la UE cuyos datos había estado procesando; b) Utilizar una política de privacidad incompleta en la que ciertos fines del procesamiento estaban ausentes y otros “se expresaban en términos vagos y genéricos”; c) No agregar disposiciones clave relativas al ejercicio de los derechos de los usuarios en sus acuerdos de corresponsabilidad con socios; d) No respetar los derechos individuales de acceso, supresión y retirada del consentimiento.
Paralelamente, Meta ha tomado algunas decisiones importantes con relación a las sanciones que tanto nos han entretenido en últimos meses: WhatsApp adoptó el interés legítimo como base legal (para su procesamiento de datos personales) el 17 de julio, mientras que Facebook e Instagram volverán al consentimiento (dejando atrás la necesidad contractual que adoptaron en los meses anteriores a la llegada del RGPD). Aparte de esto, Meta optó por no lanzar Threads, su alternativa a X-Twitter, en la UE, evitando lo que algunos empezaban a calificar de una nueva pesadilla normativa.
Novedades legislativas, jurisprudencia y directrices
Por si las multas derivadas del GDPR no fueran suficientes, se esperan aguas revueltas en el el ecosistema de publicidad programática a la vista de: a) La normativa de protección de datos específica de cada estado en Estados Unidos; B) La agenda específica de la FTC, bastante obsesionada con este particular frente; C) El Reglamento de Servicios Digitales de la UE o DSA; D) El Reglamento de Mercados Digitales de la UE o DMA.
En particular:
- Las normativa reciente aplicable en Colorado, Connecticut, Utah y Virginia impone una opción de exclusión voluntaria de publicidad personalizada que se puede cumplir siguiendo un proceso similar a la opción “No vender ni compartir mi información personal” exigida en California. Esto incluye el procesamiento obligatorio de las señales de Global Privacy Control de los navegadores que lo soportan. El umbral para la mayoría de las empresas (aquellas que no se ganan la vida “vendiendo” datos personales) es de 100.000 visitantes únicos (o “procesando datos de aproximadamente 100.000 personas en cada estado”), una métrica que pocos podrán obtener en ausencia de cookies y geolocalización basada en IP.
- La FTC está examinando de cerca el uso de categorías especiales de datos el la elaboración de perfiles compartidos con espacios publicitarios o medios sociales (tratamos esto en mayor profundidad en el Newsroom de primavera).
- El Reglamento de Servicios Digitales de la UE (en vigor desde el 25 de agosto) ha introducido la prohibición de la publicidad dirigida a niños o basada en categorías especiales de datos personales. También impone mayores niveles de transparencia en términos de parámetros aplicables a la relevancia de un anuncio en particular, y obliga a las “grandes plataformas” (VLOP) y a los “grandes motores de búsqueda” (VLSE) a permitir a los consumidores optar por no recibir publicidad o recomendaciones personalizadas.
- El Reglamento de Mercados Digitales de la UE (con verdaderos colmillos a partir de marzo de 2024) obliga a los “gatekeepers” que estén dispuestos a utilizar datos personales para publicidad personalizada a obtener consentimiento. La semana pasada se publicó una lista inicial de empresas calificadas como tales por la Comisión Europea (sin sorpresas: Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft).
El 10 de julio la Comisión Europea dio luz verde (es decir, encontró “adecuación”) al Marco de Privacidad de Datos (“DPF”) UE-EE.UU. Como se aclaró poco después, esto no eliminará la necesidad de una Evaluación de Impacto de la Transferencia para las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes (que, sin embargo, podrán aprovecharse de las nuevas salvaguardas proporcionadas por el Gobierno de EE.UU.), pero se garantiza una relativa seguridad jurídica para las empresas de la UE que tratan con proveedores estadounidenses que se hayan registrado en el DPF (se especula que una nueva secuela de la saga Schrems tardará unos dos años en arruinar la fiesta, pero un activista francés ya está intentando adelantar al austriaco en esta misma misión).
El Consejo y el Parlamento de la UE han alcanzado a un acuerdo sobre el nuevo Data Act, que mejorará el libre flujo de datos generados por dispositivos IoT y otros productos digitales, ampliando efectivamente los derechos de portabilidad más allá de las dos bases legales requeridas por el GDPR para que dicho derecho se active en el caso de incorporar datos personales (necesidad contractual y consentimiento).
Una nueva sentencia del TJUE ha confirmado que el derecho de acceso podría en ciertos casos incluir la necesidad de conocer la identidad de empleados específicos. del responsable del tratamiento, así como el momento y los casos en que dichos empleados hubieran accedido a los registros individuales del interesado.
La Agencia Española de Protección de Datos ha actualizado sus directrices de consentimiento de cookies, alineándolas por fin con los criterios publicados por el Comité Europeo de Protección de Datos. Ahora deberá ofrecerse un botón de “Rechazar todo” en la primera capa (en lugar de ocultar esta opción en “Configuración”), aunque se abre al mismo tiempo la puerta a “muros de cookies” similares a los utilizados por los editores en Francia o Alemania (consentimiento o pago). Las empresas tienen como fecha límite enero de 2024 para adaptarse.
Se siguen acumulando las leyes relacionadas con la ciberseguridad. Según las nuevas reglas de la SEC estadounidense, las empresas públicas deberán divulgar los incidentes importantes de ciberseguridad dentro de los cuatro días hábiles posteriores a una determinación efectiva de brecha. Además, a finales de junio expiró un plazo ampliado para que las empresas de servicios financieros cumplieran con las disposiciones de la Safeguards Rule de la FTC. Por su parte, las instituciones financieras con sede en la UE tienen hasta enero de 2025 para cumplir con DORA (importando el marco de gestión de riesgos del NIST para la detección, prevención, respuesta y recuperación de incidentes de ciberseguridad).
Martech y AdTech
El 7 de septiembre el Privacy Sandbox anunció su disponibilidad general, como paso previo a la desaparición de las cookies de tercera parte. Este hito ha sido precedido de varias actualizaciones sobre la forma en que la solución cookieless supera en rendimiento al uso de direcciones de correo electrónico encriptadas o cookies de terceros.
TCF 2.2 sigue avanzando gracias a la propia labor de auditoría asumida por Google para las señales de consentimiento que aspiren a conformidad con su propia “Especificación técnica adicional del Consent Mode” antes de la fecha límite del 30 de septiembre (en el Newsroom de primavera dimos más detalles sobre este particular).
Amazon ha ampliado sus anuncios de productos a sitios de terceros (Pinterest, Buzzfeed, Mashable, Life Hacker), acariciando la delgada línea roja de los perfiles o datos compartidos.
La IAB ha publicado una primera versión de sus Directrices para Data Clean Rooms en aras a la interoperabilidad de dichas soluciones (en términos de deduplicación de audiencias cifradas, un área aún gris en lo que respecta a la necesidad de consentimiento específico a ambos lados de la ecuación (nuestra Entrevista con Nicola Newitt de InfoSum entró en estos particulares).
IA, competencia y mercados digitales
A principios de julio, el TJUE dio la razón al Bundeskartellamt alemán (Tribunal Federal en Materia de Competencia Desleal), aceptando que las cuestiones de protección de datos puedan formar parte de las decisiones relacionadas con la competencia. En concreto, el Bundeskartellamt había prohibido a Meta combinar datos de usuarios de varias fuentes sin el consentimiento específico de dichos usuarios.
A finales del mismo mes, el regulador de competencia de Francia presentó una acción contra Apple por aplicar diferentes estándares de seguimiento a sus propios servicios después de que la aplicación del estándar “App Tracking Transparency” (ATT) hiciera más difícil para terceros utilizar identificadores únicos de dispositivos (IDFA).
El mencionado Reglamento de Mercados Digitales de la UE (DMA) alcanzó la fecha de designación de “gatekeepers” el 6 de septiembre. Entre otras cosas, Meta, Apple, Google, TikTok, Microsoft y Amazon deberán introducir ciertos niveles de interoperabilidad (así como compartir datos con empresas que operan en sus plataformas) antes de marzo de 2024.
La resaca de la gran entrada de OpenAI en el discurso público continuó haciendo estragos en las iniciativas regulatorias existentes: la incorporación de último minuto del artículo 28b al Reglamento de IA de la UE (a través de una enmienda en el Parlamento) introdujo una larga lista de obligaciones para los modelos fundacionales, posicionando a las soluciones abiertas de IA generativa (Hugging Face, EleutherAI, etc.) frente a los gigantes comerciales (Bard de Google, OpenAI, Anthropic). Un equipo de la Universidad de Stanford ha expuesto la forma en que las herramientas a ambos lados del debate podrían cumplir con los diversos tipos de requisitos.
Una avalancha de estándares de gobernanza de la IA está dificultando las decisiones empresariales para adoptar el modelo más adecuado. Dos investigadores de la Universidad de Georgetown han publicado una matriz para ayudar con la selección.
Los derechos de autor se han colado en el centro del mismo debate sobre IA generativa. Si bien muchos en la industria consideran que la extracción de datos de contenido público es una excepción de “uso justo” (o “trato justo”, en Reino Unido) a la protección de los derechos de autor según los marcos legales existentes, y con Google y otros introduciendo cambios en sus términos de uso para dejar en claro que emplearán dichos datos disponibles públicamente para fines de entrenamiento de sus propios algoritmos, Adobe dejó en claro que su generador de imágenes (Firefly) se apoya únicamente en imágenes de archivo de su propia titularidad, y un grupo de autores ha demandado a OpenAI por el uso de sus obras para entrenar a ChatGPT. Desde entonces, la compañía ha ayudado a los propietarios de sitios web a introducir señales de exclusión de sus contenidos (incluyendo GPTBot en el muy manido archivo “robots.txt” que permite excluir ciertos contenidos de indexación por parte de herramientas de búsqueda), pero lo más probable es que la nueva tendencia afiance a quienes ya han indexado los vastos confines de Internet. Microsoft, por su parte, ha ofrecido protección legal a los clientes de sus productos Office360 o GitHub Copilot que opten por crear contenido o código con sus propias herramientas — basadas en OpenAI.
Más allá de las obras protegidas por derechos de autor, la posibilidad muy real de arrastrar información personal disponible públicamente, a menudo en el contexto de redes sociales semipúblicas, a “datasets” de entrenamiento ha provocado una declaración conjunta por múltiples agencias de protección de datos que exigen el cumplimiento de los marcos de protección de datos ya vigentes.
Una posibilidad aún más preocupante de emplear datos personales no públicos para dichos fines de capacitación resultó en nueva polémica. Zoom se convirtió en su objetivo inicial después de introducir esta posibilidad en sus Términos de servicio, antes de revertir a la exigencia de consentimiento previo del usuario.
El mayor caso antimonopolio en unos veinte años ha arrancado esta semana, con el Departamento de Justicia de Estados Unidos enfrentado a Google por su posición dominante en el mercado de búsquedas.
PETs y Zero-Party Data
La ICO del Reino Unido ha emitido nuevas pautas para alentar a las empresas a adoptar tecnologías de mejora de la privacidad (Privacy Enhancing Technologies). El uso de PET es algo que el gobierno de EE. UU. también ha estado impulsando desde al menos 2021 y, de hecho, ambos países han unido fuerzas para otorgar premios específicos a empresas innovadoras en este espacio.
Google y Meta han lanzado sendos asistentes de Inteligencia Artificial (Dueto yAI Personas respectivamente), mientras que el fundador de LinkedIn, Reid Hoffman, ayudó a lanzar Inflection AI, la empresa creadora de Pi, un nuevo asistente personal impulsado por igualmente por IA. Queda por ver si alguno de ellos puede cumplir la promesa de verdadero control por parte de sus usuarios.
Futuro de los medios
Google ha alcanzado acuerdos con más de 1.500 publicaciones en 15 países bajo la Directiva de Copyright de la UE.
Meta ha decidido dejar de enviar tráfico a editores canadienses después de un cambio legal reciente (similar a la reciente iniciativa de Australia) condicionando dichos “links” a una compensación económica obligatoria. La plataforma consideró que no merece la pena el esfuerzo, ya que los editores obtienen más valor de ese tráfico de lo que Facebook o Instagram puedan generar por las noticias que lo conforman en un mundo de contenido infinito y gratuito (actualizaciones de los propios usuarios).
Eso es todo, amigos. Por ahora.
