Los cines y teatros están cerrados pero el espectáculo debe continuar, como dicen. Y el espectáculo continúa. Hay televisión, por supuesto, pero también servicios de streaming como Netflix o Amazon
Los servicios de streaming son astutos y divertidos... y generan muchos datos sobre qué películas o canciones se consumen cuándo y dónde. Sin embargo, a menudo explican de manera descuidada a los usuarios lo que sucede con sus datos, independientemente de que se financien con publicidad o con suscripciones de pago
La Cámara de Trabajo de Austria (Kammer für Arbeiter und Angestellte, abreviado Arbeiterkammer o AK) y noyb investigaron las prácticas de información de ocho servicios de streaming contra las disposiciones del Reglamento General de Protección de Datos (GDPR): Amazon Prime (música y vídeo), Apple Music (música), DAZN (vídeo), Flimmit (vídeo), Netflix (vídeo), SoundCloud (música), Spotify (música) y YouTube (vídeo).
El GDPR exige a los proveedores que den información sobre el uso de los datos personales y los derechos de protección de datos de los usuarios "de forma precisa, transparente, comprensible, fácilmente accesible y en un lenguaje sencillo".
La prueba muestra: Lo que sucede con los datos de los clientes a menudo permanece en la oscuridad. AK y Noyb evaluaron once requisitos de la GDPR. Los requisitos y lo que esperábamos se enumeran a continuación. Todos los elementos de información son generalmente de igual importancia.
Nombre y datos de contacto del controlador
El nombre y los datos de contacto del controlador (es decir, la empresa que procesa los datos personales), idealmente incluyen la cobertura de diferentes métodos de comunicación, como el número de teléfono, el correo electrónico, la dirección postal, etc. Considerado a la luz del principio de equidad del PIBR, pero también interpretado en contra del artículo 5.1.c) de la Directiva sobre comercio electrónico (2000/31/CE), esperábamos datos de contacto electrónicos porque los servicios investigados son de naturaleza digital. Sólo proporcionar una dirección postal sería insuficiente, por ser injusto en el contexto de un servicio de streaming. También creemos que un mero formulario de contacto en línea es insuficiente. Para empezar, un formulario es un método de contacto y no un dato de contacto. Por otro, impide artificialmente que el usuario se ponga en contacto con el controlador en un método de su elección.
Datos de contacto del encargado de la protección de datos
Los datos de contacto del responsable de protección de datos (RPD), cuando corresponda (no todos los controladores están obligados a nombrar un RPD). Facilitar los datos de contacto del RPD debe facilitar a los titulares de los datos y a las autoridades de supervisión la posibilidad de ponerse en contacto con el RPD, por ejemplo, a través de una dirección postal, un número de teléfono específico y/o una dirección de correo electrónico específica. Considerado a la luz del principio de equidad de la RDP, esperábamos datos de contacto electrónicos porque los servicios investigados son de naturaleza digital. Proporcionar sólo una dirección postal sería insuficiente, ya que es injusto en el contexto de un servicio de streaming. También creemos que un mero formulario de contacto en línea es insuficiente. Para empezar, un formulario es un método de contacto y no un dato de contacto. Por otro, impide artificialmente que el usuario se ponga en contacto con el controlador en un método de su elección.
Fines y fundamento jurídico del tratamiento, vinculando cada fin con su respectivo fundamento jurídico y las categorías de datos personales tratados, e indicando cuál es el interés legítimo cuando se invoca como fundamento jurídico
Los fines para los que se procesan los datos personales, así como la base jurídica pertinente en virtud del artículo 6 de la Ley de Protección de Datos y, cuando se procesen categorías especiales de datos, una base jurídica adicional en virtud del artículo 9 de la Ley de Protección de Datos. Cuando el responsable del tratamiento se base en intereses legítimos como fundamento jurídico del tratamiento, también deberá informar al interesado sobre los intereses y poder demostrar que el tratamiento es necesario y proporcionado. También se evaluó si el responsable del tratamiento vinculaba cada finalidad a un fundamento jurídico y a categorías específicas de datos personales. Este requisito se deriva de las obligaciones de transparencia de la RBP y es la única manera de que un usuario controle realmente las actividades de tratamiento del controlador
Destinatarios de los datos personales
Los receptores podrían ser otros controladores pero también proveedores de servicios. Esperábamos los nombres de los receptores y las categorías de datos personales compartidos con cada uno de ellos. Como mínimo, si por alguna razón no se podían nombrar todos los destinatarios, esperábamos que el responsable del tratamiento indicara las categorías de destinatarios e indicara las actividades que realizan, su industria, sector y subsector, y su ubicación.
Transferencias fuera de la UE/EEE
En el caso de las transferencias de datos a países fuera de la UE/EEE, se deben nombrar los países y se deben especificar las salvaguardias en las que se basa (por ejemplo, la decisión de adecuación en virtud del artículo 45 de la PIBR, las cláusulas contractuales estándar, las excepciones, etc.). Además, el controlador debe prever los medios para acceder a los documentos pertinentes u obtenerlos.
Período de retención
Los períodos de retención deben ser específicos para la categoría de datos personales de que se trate o, por lo menos, deben permitir al usuario evaluar la duración de la retención en lo que se refiere a ellos. Si un controlador declaró que los datos se retienen para cumplir una obligación legal, esperábamos que especificara la obligación legal.
Información sobre los derechos de la RPI
Información sobre los derechos del usuario a acceder, rectificar, borrar, restringir el procesamiento, objetar el procesamiento y la portabilidad, así como el derecho a retirar el consentimiento en cualquier momento y el derecho a presentar una queja ante una autoridad de supervisión. En sentido estricto, no basta con informar sobre la existencia de esos derechos, sino que el controlador debe explicar el significado de los mismos y la forma de ejercerlos. Asimismo, el derecho a presentar una denuncia debe explicar que se puede presentar una denuncia ante la autoridad de supervisión de un Estado miembro de su residencia habitual, de su lugar de trabajo o de una presunta infracción de la RPI
La existencia de la toma de decisiones automatizada, incluyendo la elaboración de perfiles
Una explicación clara y sencilla de cómo funciona el perfil o el proceso automatizado de toma de decisiones. Además, el responsable del tratamiento deberá informar sobre la importancia y las consecuencias previstas de ese tratamiento para el interesado.
Apple y YouTube fueron todos "sólo parcialmente" o "no satisfactorios". Flimmit y SoundCloud obtuvieron la mejor puntuación, seguidos por Spotify. De las 85 evaluaciones individuales, 23 fueron "satisfactorias", 40 fueron "sólo parcialmente satisfactorias" y 22 "no satisfactorias".
En general, la información a menudo no es clara o simplemente no se proporciona. Por ejemplo, se declaró que los períodos de retención eran "tan largos como sea necesario" y que "los datos pueden ser transmitidos a terceros". Esas frases vacías no proporcionan ninguna información concreta sobre lo que sucede realmente con los datos personales procesados
En cuanto a la transferencia de datos personales a los destinatarios, una categoría sobre la que muchos usuarios sienten curiosidad, sólo Flimmit declaró qué datos personales se transfieren a qué categoría de destinatarios y con qué propósito, aunque aquí también faltaban en su mayoría los destinatarios específicos
Otra crítica es que a menudo hay poca información sobre la forma en que se personalizan las ofertas mediante recomendaciones individuales. Sólo SoundCloud declaró qué categorías de datos se utilizan para este tipo de personalización. Sin embargo, un punto positivo fue que todos los servicios, excepto el de Apple, proporcionaron una información clara de que los consumidores pueden retirar cualquier consentimiento concedido.
En resumen: los servicios fallan en su mayoría en el cumplimiento de uno de los requisitos más básicos de la RPI, a saber, que los usuarios estén informados sobre lo que sucede con sus datos.
Alrededor del 92 por ciento de los austriacos utilizan los servicios de streaming en la red - en promedio por poco menos de media hora al día, los jóvenes ya por alrededor de una hora y media al día (statista.com 2018). Es probable que estas cifras sean muy similares en otros Estados Miembros. Netflix y Amazon Prime tienen cada uno más de 150 millones de clientes en todo el mundo. Cada interacción con el servicio puede ser registrada y analizada para obtener información sobre el usuario. Por ejemplo, ¿podría una repentina preferencia por la música melancólica indicar una separación?
Lea el informe completo en alemán aquí
Para más información de la Cámara de Trabajo de Austria (AK), haga clic aquí
La asociación sin fines de lucro noyb está comprometido con la aplicación legal de las leyes europeas de protección de datos. Más de 3.200 miembros de apoyo hacen posible el trabajo de Noyb. Hasta la fecha, la ONG ya ha presentado más de 25 procedimientos por numerosas violaciones deliberadas de las leyes de protección de datos - contra empresas como Google, Apple, Facebook y Amazon.
Para más información y consultas de los medios de comunicación
Por correo electrónico media@noyb.eu
Por teléfono: +43 660 2678622
