Desde el inicio de la Reglamento General de Protección de DatosLos tribunales de la UE han seguido avanzando en el establecimiento de estándares innovadores para la privacidad de datos. El 1 de agosto de 2022, el Tribunal de Justicia de la UE (TJUE) publicó un caso importante relacionado con la legislación anticorrupción de Lituania. Esta decisión establece normas más estrictas en torno al término “datos sensibles” lo que volverá a impactar directamente en la industria publicitaria, las plataformas en línea y el uso de la segmentación para la personalización.
Analicemos las implicaciones de este fallo y el impacto más amplio que tendrá en todo el ecosistema de privacidad de datos.
Artículo 9: Las categorías especiales de datos sensibles
El RGPD establece el marco legal que rige la recopilación, gestión y compartición de datos en la UE y para cualquier empresa que procese datos de la UE. El artículo 9 detalla la prohibición general del tratamiento de categorías especiales de datos personales, que pueden ser cualquier dato que pueda interpretarse de forma amplia o información sensible que pueda inferirse de la recopilación. Estas categorías incluyen datos que revelen preferencias políticas, origen étnico, afiliaciones religiosas, orientación o estilo de vida sexual, datos genéticos y datos biométricos que identifican de forma única a una persona.
Esta nueva decisión podría tener un amplio impacto en lo que se considera “categorías especiales” de datos y cómo se utilizan en relación con la publicidad en línea, las aplicaciones de citas, las preferencias alimentarias, los pasatiempos, el estilo de vida y los datos de ubicación vinculados a lugares como clínicas e iglesias.
¿Se pueden inferir los datos?
En el caso lituano, el TJUE evaluó si los datos que revelan indirectamente la orientación sexual de una persona deben estar amparados por la protección de la privacidad. Parte de este caso giró en torno a si la publicación del nombre del cónyuge se consideraría una categoría especial de datos según el artículo 9. En consecuencia, los tribunales establecieron en la sentencia que los datos personales que pueden revelar indirectamente la orientación sexual de una persona se consideran datos de categoría especial según el RGPD.
En un artículo reciente de TechCrunch, el Dr. Lukasz Olejnik, investigador y asesor en privacidad, declaró a TechCrunch que la sentencia constituye «la interpretación única, más importante e inequívoca del RGPD hasta la fecha». Como resultado, ahora queda claro que los datos inferidos se consideran oficialmente datos personales.
En respuesta al fallo, la Dra. Gabriela Zanfir-Fortuna, vicepresidenta de Privacidad Global del Foro sobre el Futuro de la Privacidad, afirma: “También plantea enormes complejidades y dificultades prácticas para catalogar los datos y crear diferentes vías de cumplimiento”.
Cuando estas correlaciones con la identidad se entrelazan tanto con los datos sensibles, las organizaciones deben dar un paso atrás y evaluar cómo los identificadores podrían representar potencialmente un riesgo para la privacidad.
Seguimiento y personalización de anuncios
Esta sentencia probablemente transformará el ecosistema de la publicidad digital en lo que respecta a los datos de comportamiento recopilados sobre las personas. Antes del veredicto, la mayoría de las empresas consolidaban la información para crear un perfil; los datos inferidos no se consideraban datos personales.
El impacto es amplio, ya que la mayoría de las organizaciones utilizan algún tipo de seguimiento de anuncios. Las empresas extraían varias conclusiones y luego desarrollaban la personalización de la segmentación publicitaria basándose en esos conjuntos de datos. Estos conjuntos de datos no se aplicaban al Artículo 9 ni al RGPD; solo a los datos proporcionados directamente por una persona.
Algunos ejemplos de inferencias incluyen usar el hecho de que a una persona le haya gustado la página de la BBC para inferir que tiene opiniones políticas liberales, vincular la membresía a un gimnasio para promocionar productos de salud y bienestar, o la compra de una cuna o un cochecito, lo que perfila a la persona como un futuro padre. De igual manera, si una persona reseña teléfonos T-Mobile en YouTube, probablemente recibirá anuncios de accesorios T-Mobile, como fundas, auriculares, protectores de pantalla, etc.
Está claro que las inferencias pueden construirse simplemente a través de la correlación, lo que aumenta la complejidad del descubrimiento de datos, la clasificación y la estrategia general de privacidad.
El consentimiento explícito es aún más necesario
En lugar de optar por no recibir publicidad dirigida, que ha sido el modelo de facto durante años, la sentencia del TJUE probablemente exigirá el consentimiento explícito para las recomendaciones personalizadas, dadas las implicaciones de este tipo de datos. Las organizaciones deben demostrar que se solicitó el consentimiento explícito para que los datos de comportamiento no se filtren en el procesamiento sensible o se enfrenten a multas insalvables.
Cómo pueden evolucionar las empresas junto con el Artículo 9
Todas las industrias que procesan grandes cantidades de datos deben empezar a prestar atención. Esta sentencia impone requisitos estrictos sobre la base legal para el procesamiento de datos, el consentimiento explícito y la información sobre el inventario de datos para encontrar datos personales relacionados y correlacionados.
¿Por dónde empezar? Con BigID, las organizaciones pueden:
- Automáticamente encuentre, clasificar y inventario Información personal basada en la relación, el contexto y las capacidades de aprendizaje automático
- Identificar a los interesados cuyo consentimiento no es válido, actualizado o coherente con el propósito de uso y la política de privacidad relacionada
- Alinearse con los requisitos regulatorios, incluidos políticas, clasificadores, y flujos de trabajo para el artículo 9 del RGPD
- Identificar y reducir los riesgos asociados con el procesamiento de datos en función del nivel de riesgo y la actividad
- Crea fácilmente información reglamentaria cumplir los requisitos de protección de la intimidad
Es fundamental que los profesionales de la privacidad y los riesgos presten mucha atención a estas leyes de la UE y se mantengan al tanto de las actualizaciones de privacidad que pueden garantizar que su empresa mantenga una programa de privacidad consistente y satisface las demandas de los nuevos requisitos de cumplimiento. Consigue un Demostración 1:1 para ver BigID en acción.
Autor
