Cooperación entre las Autoridades de Control: ¿Me espía mi SmartTV?

El Reglamento General de Protección de Datos (RGPD) contiene un mandato para que las Autoridades de Control actúen de forma coordinada, no sólo en lo referente a la tramitación de las denominadas reclamaciones transfronterizas sino también mediante la selección de casos estratégicos para investigar aquellos tratamientos que tengan una mayor relevancia. Analizamos el realizado por varias Autoridades de Control sobre el posible tratamiento de datos que efectúan las populares “Smart TVs”.

En el año 2020, el Comité Europeo de Protección de Datos (EDPB) aprobó el documento sobre el “Marco de aplicación coordinada del RGPD” con la finalidad de facilitar actuaciones conjuntas de manera, como indica su denominación, coordinada por las Autoridades de Control, en base a lo dispuesto tanto en el artículo 61.1 como 57.1.g de la norma europea.

Así, el primero se refiere a la prestación de asistencia mutua asegurando una “efectiva cooperación entre todas ellas”, abarcando “las solicitudes de información y las medidas de control, como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones”; y el segundo, lo relativo a la cooperación consistente en compartir la “información con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento”. Estos preceptos se completan con el artículo 62 que regula las operaciones conjuntas de investigación.

Fruto de todo ello, es la capacidad del CEPD de decidir un tema de actuación coordinada de forma anual, para realizar un estudio o investigación que se considere relevante, y sin que en principio su finalidad sea activar el mecanismo de ventanilla único aplicable a las denominadas reclamaciones transfronterizas. El documento cita algunos ejemplos de este marco conjunto de cooperación como pueden ser la realización de una encuesta o campañas de sensibilización efectuadas de manera coordinada. Así, podemos citar la que se ha realizado con la finalidad de conocer la situación de los delegados/as de protección de datos a la vista de lo regulado en los artículos 37 a 39 del RGPD, y que muchos hemos respondido a través de un cuestionario que remitió la propia AEPD.

Con posterioridad, en el año 2022, tras un encuentro de alto nivel celebrado en abril en Viena, el CEPD, continuando con la línea iniciada anteriormente, dio un paso más con la adopción del documento sobre “Selección de casos estratégicos”, con la finalidad de determinar cuándo estamos ante lo que podríamos denominar “tratamientos de datos de gran impacto o relevancia”, que requieren una actuación conjunta por parte de las Autoridades de Control.

Para ello, se establecen una serie de criterios como son que afecte a ciudadanos de varios países de la Unión y que constituya un problema también en varios de ellos, que se hayan recibido un gran número de reclamaciones, y que suponga de alto riesgo porque trata categorías especiales de datos, de colectivos vulnerables como menores, o supuestos en que sea necesario una evaluación de impacto de protección de datos. A su vez, el CEPD seleccionará cada año tres casos prioritarios con estas características y cuya investigación no debe superar los dos años, siendo varias las Autoridades de Control que pueden participar, preferiblemente no más de cuatro.

Asimismo, en el Plan Estratégico 2024-2027 del CEPD se contempla en el “Pilar 2” cuyo objetivo consiste en reforzar la cooperación entre las Autoridad de Control continuar con la selección y posterior investigación en los casos relevantes, así como también la creación de los conocidos como “Task forces”.

Entre éstos, podemos citar el creado para investigar a ChatGPT así como el denominado 101, conocido por este nombre porque se interpusieron reclamaciones precisamente contra 101 responsables por el uso principalmente de “Google Analytics” y “Facebook Business Tools” transfiriendo datos a Estados Unidos sin cobertura legal para ello, puesto que el Tribunal de Justicia de la Unión Europea había anulado el Privacy Shield.

Tras esta introducción describiendo en líneas generales la posible actuación coordinada de las Autoridades de Control, abordamos los aspectos más relevantes de la investigación realizada al amparo del citado artículo 62 del RGPD, sobre el tratamiento de datos personales que pueden realizar las populares “Smart TVs”, que se ha realizado de manera coordinada por las Autoridades de Protección de Datos de Holanda, Hungría, Italia y Liechtenstein, habiendo publicado un informe final al respecto. Esta investigación fue propuesta siguiendo los criterios del documento que hemos analizado con anterioridad de “Selección de casos estratégicos”, por la Autoridad Holandesa.

Si tienes una “Smart TV” posiblemente al instalarla te haya salido una primera pantalla con los términos y condiciones de uso y con la política de privacidad, y no hayas podido rechazar nada.

Para llevar a cabo esta investigación, las Autoridades de Control auditaron tres “Smart TVs” de diferentes fabricantes, los más populares, si bien el documento no indica cuáles son. Se analizó el tráfico de internet entre el aparato y el router en cuatro momentos: la instalación, modo “stand-by”, uso, y finalmente su apagado. Entre todas las Autoridades de Control compartieron los resultados y también solicitaron información adicional a los fabricantes.

A este respecto, el documento contiene las conclusiones obtenidas entre las que se encuentran el tráfico de datos en las cuatro fases citadas, así como la participación de diferentes posibles responsables como son los citados fabricantes, desarrolladores de aplicaciones, proveedor del sistema operativo, así como también redes publicitarias y comerciantes de datos de visualización, siendo complejo determinar las responsabilidades de cada uno de ellos, o la posible existencia de una corresponsabilidad. Además, se señala que, como ya hemos adelantado, en ocasiones, los usuarios no tienen más remedio que tener que aceptar tanto los términos y condiciones como la política de privacidad, encontrando también aplicaciones preinstaladas que no se pueden eliminar.

El documento concluye que, dados los resultados de la investigación, así como el hecho de que las respuestas de los fabricantes diferían, para la siguiente etapa ya no resulta necesario el marco de actuación conjunta. También se señala que los investigados están fuera de la Unión Europea por lo que no se aplica el mecanismo de ventanilla única. Aunque no se expresa claramente, da a entender una investigación más profunda sobre estos fabricantes, incluso con la facultad de ejercer la potestad sancionadora.