Datos y privacidad: conversaciones y tendencias del tercer trimestre de 2015

El tercer trimestre suele ser uno de los más tranquilos, ya que abarca los dos últimos meses del verano y luego, el invariable regreso al trabajo y la escuela.

Pero para la privacidad, el tercer trimestre de 2015 fue en realidad uno de los trimestres más activos del año con desarrollos que afectaron tanto al ecosistema publicitario en general como a la privacidad en particular.

A continuación, se destacan tres de los principales desarrollos que hemos estado siguiendo de cerca.

Acontecimientos de la FTC

La FTC obtuvo una victoria significativa cuando el Tercer Circuito afirmó su derecho a regular la "seguridad de los datos" en el caso de larga data de la agencia contra los Hoteles Wyndham. Ahora el caso ha sido remitido para ver si Wyndham adoptó o no prácticas de seguridad de datos "razonables" después de haber sido violado repetidamente por piratas informáticos rusos. Echa un vistazo a mi publicación reciente en el blog para obtener más detalles.

La FTC también continuó su escrutinio de las empresas que afirman ser parte de los marcos de puerto seguro de EE. UU.-UE o EE. UU.-Suiza para transferir datos personales de la UE a EE. UU. La agencia presentó decretos de consentimiento contra trece empresas que dejaron caducar sus certificaciones de puerto seguro o tergiversaron su estado de puerto seguro por completo.

Después de las acciones de enero y abril de este año, el número total de casos de puerto seguro presentados por la FTC ahora asciende a 27 (para un total de 39 acciones de ejecución en total). ¿Cuántos casos de puerto seguro han sido presentados por los reguladores de la UE? Cero. Y, sin embargo, los reguladores de la UE han estado cuestionando la validez del puerto seguro. De hecho, la semana pasada, un abogado general del Tribunal de Justicia de la UE declaró inválido el puerto seguro para las transferencias de datos personales de la UE a los EE. UU. Más, en nuestro resumen de Safe Harbor más adelante en esta actualización.

FCC emerge como otro Enforcer to Watch

Bajo el liderazgo del presidente Tom Wheeler, la FCC se ha convertido en un regulador dinámico (ya veces temido), uno que claramente compite con la FTC en varios temas de protección al consumidor y aplicación de la privacidad de datos. Caso en cuestión: el jefe de cumplimiento de la FCC, Travis LeBlanc (anteriormente jefe de la división de protección al consumidor en la oficina del Fiscal General de California), ha impuesto casi $500 millones en multas solo este año, incluida una multa de $100 millones contra AT&T por tergiversar el "ilimitado ” naturaleza de sus planes de datos.

En los últimos meses, también hemos visto debates sobre los intentos de la FCC de reclasificar proveedores "perimetrales" como transportistas comunes sujetos a las reglas de la FCC, incluidas las reglas de privacidad de la agencia. Los proveedores perimetrales incluyen empresas que ofrecen servicios y contenido en línea, rastrean la actividad del usuario y recopilan información personal. En particular, este grupo podría incluir a las empresas Apple, Google y Facebook; también podría incluir potencialmente a proveedores B2B basados ​​en SAAS como TUNE. Esto debería generar unos meses interesantes a medida que la FCC intenta impulsar su agenda regulatoria hasta este otoño. Algunos de los supuestos proveedores perimetrales ya están registrados con sus objeciones: eche un vistazo a la presentación de la FCC de febrero de 2015 de Google que argumenta, entre otras cosas, que los proveedores perimetrales no deben clasificarse como operadores comunes o ISP porque, al igual que los usuarios finales, dependen sobre los ISP para la “interconexión”.

Puerto seguro

Y volvamos al puerto seguro, que sigue siendo la forma principal en que muchas empresas estadounidenses (incluida TUNE) transfieren datos personales de manera compatible entre la UE y los EE. UU.

La semana pasada, el Abogado General del Tribunal de Justicia de las Comunidades Europeas ("ECJ") emitió una opinión en la que afirmaba que el puerto seguro era "inválido" en lo que respecta a las transferencias de datos de los EE. UU. a la UE, principalmente debido a la " vigilancia e interceptación masiva e indiscriminada” de datos personales pertenecientes a ciudadanos de la UE. La opinión no mencionó la vigilancia por parte de la UE y otros gobiernos extranjeros, lo que Snowden también ha revelado.

En respuesta, Tony Gardner (Embajador de EE. UU. ante la UE) emitió esta declaración discrepando de la opinión del Abogado General y enfatizando:

“Estados Unidos no participa ni se ha involucrado en la vigilancia indiscriminada de nadie, incluidos los ciudadanos europeos comunes”.

Gardner también le recordó al Abogado General y a otros detractores de Safe Harbor que PRISM en realidad estaba dirigido contra objetivos de inteligencia extranjeros y está sujeto a algún tipo de proceso. También citó desarrollos positivos recientes, como la Ley de Reparación Judicial de 2015, actualmente en el Congreso, que proporcionaría un derecho privado de acción a los ciudadanos de la UE que buscan daños y perjuicios contra las empresas estadounidenses en los tribunales estadounidenses, por violaciones de la privacidad.

No está claro hasta qué punto la opinión del Abogado General influirá en el Tribunal de Justicia Europeo, que actualmente está considerando el caso de Schrems v. Facebook. El ciudadano austriaco Max Schrems está demandando a Facebook por sus prácticas de privacidad, incluida la dependencia de Facebook en Safe Harbor para las transferencias de datos de la UE a los EE. UU. Esa decisión se espera para el 6 de octubre. Puede obtener más información sobre los detalles de la opinión del Abogado General y su impacto potencial en el caso Schrems v. Facebook, en este artículo .

Por ahora, la opinión del Abogado General claramente ha dado un vuelco a las actuales negociaciones entre la UE y los EE. UU. sobre el Puerto Seguro (a principios de este mes, ambas partes predijeron que una resolución era inminente). Lo más preocupante es el razonamiento del dictamen de que las autoridades individuales de protección de datos de la UE tienen “la facultad de ordenar la suspensión de la transferencia de datos cuando exista una violación comprobada o un riesgo de violación de los derechos fundamentales”. Esto significa que los reguladores de protección de datos individuales de la UE pueden, en ciertos casos, bloquear las transferencias de datos de la UE a los EE. UU. No está claro cómo se desarrollará esto; antes de la opinión, no había base para que un país individual de la UE se retirara unilateralmente de lo que es esencialmente un tratado internacional entre la UE y los EE. UU.

Con estos desarrollos en juego, el cuarto trimestre se perfila como particularmente fundamental para la privacidad y la protección de datos en ambos lados del Atlántico. La decisión del Tribunal de Justicia de la Unión Europea sobre Schrems v. Facebook se espera para el 6 de octubre (y con ella, el destino del puerto seguro). Habrá audiencias sobre los intentos de la FCC de reclasificar a los proveedores de borde como "operadores comunes". Se espera una votación sobre la Ley de Intercambio de Información de Seguridad Cibernética (CISA) en algún momento de octubre. Y, el 16 de noviembre, la FTC realizará un importante taller en Washington DC, sobre rastreo entre dispositivos .

Estaremos monitoreando estos desarrollos de cerca y esperamos recapitular y repetir en nuestra actualización del cuarto trimestre y boletines posteriores.

¿Te gusta este artículo? Regístrese para recibir los correos electrónicos de resumen de nuestro blog.