El principal regulador de datos de Europa emitió su primera sanción a una institución de la UE: tomó medidas coercitivas contra el parlamento europeo por su uso de la empresa de campañas digitales con sede en EE. UU., NationBuilder, para procesar los datos de los votantes de los ciudadanos antes de las elecciones de primavera.
El proveedor de software NationBuilder es un veterano en el espacio de las campañas digitales; de hecho, cubrimos a la empresa por primera vez en 2011, que se ha convertido en una herramienta casi omnipresente para las campañas digitales en algunos mercados.
Pero en los últimos años, los reguladores de privacidad europeos han planteado dudas sobre si todas sus actividades de procesamiento de datos cumplen con las normas regionales de protección de datos, en respuesta a la creciente preocupación sobre la integridad de las elecciones y la manipulación en línea de los votantes alimentada por datos.
El Parlamento Europeo había utilizado NationBuilder como procesador de datos para una campaña de participación pública para promover la votación en las elecciones de primavera, que se llevó a cabo a través de un sitio web llamado thistimeimvoting.eu.
El sitio web recopiló datos personales de más de 329 000 personas interesadas en la campaña electoral de la UE, datos que NationBuilder procesó en nombre del parlamento.
El Supervisor Europeo de Protección de Datos (EDPS), que inició una investigación en febrero de 2019, actuando por iniciativa propia y “teniendo en cuenta la controversia anterior en torno a esta empresa” como su presione soltar lo dice: encontró que el parlamento había contravenido las regulaciones que rigen cómo las instituciones de la UE pueden usar datos personales relacionados con la selección y aprobación de subprocesadores utilizados por NationBuilder.
Los subprocesadores en cuestión no se nombran. (Hemos pedido más detalles).
“El problema que tuvo el SEPD fue la falta de conocimiento por parte del Parlamento del alcance del procesamiento realizado por terceros y la falta de autorización previa, por parte del Parlamento como controlador de datos, otorgada antes del procesamiento”, nos dijo un portavoz del SEPD. .
El parlamento recibió una segunda reprimenda del SEPD después de que no publicara una Política de privacidad compatible para el sitio web thistimeimvoting dentro del plazo establecido por el SEPD. Aunque el regulador dice que actuó en línea con sus recomendaciones en el caso de ambas sanciones.
El SEPD también tiene una investigación en curso sobre si el uso por parte del Parlamento del sitio web de movilización de votantes y las operaciones relacionadas con el procesamiento de datos personales se realizaron de conformidad con las normas aplicables a las instituciones de la UE (como se establece en Reglamento (UE) 2018/1725).
Las acciones de ejecución no se habían hecho públicas hasta una audiencia a principios de esta semana, cuando el supervisor adjunto de protección de datos, Wojciech Wiewiórowski, mencionó el asunto durante una sesión de preguntas y respuestas frente a los eurodiputados.
Se refirió a la investigación como “uno de los casos más importantes que hicimos este año”, sin nombrar al procesador de datos. “El Parlamento no pudo crear las acciones de auditoría reales en el procesador”, dijo a los eurodiputados. “Tampoco controlan la forma en que se ha hecho el contrato”.
“Afortunadamente, no pasó nada malo con los datos, pero tuvimos que hacer que este contrato terminara porque los datos se borraron”, agregó.
Cuando TechCrunch solicitó al EDPS más detalles sobre este caso el martes, un portavoz nos dijo que el asunto “todavía está en curso” y “se está finalizando” y que lo comunicará pronto.
de hoy presione soltar parece ser el resultado.
Comentarios enlatados proporcionados en el comunicado Wiewiórowski escribe:
Las elecciones parlamentarias de la UE se produjeron a raíz de una serie de controversias electorales, tanto dentro de los Estados miembros de la UE como en el extranjero, que se centraron en la amenaza que representa la manipulación en línea. Las reglas estrictas de protección de datos son esenciales para la democracia, especialmente en la era digital. Ayudan a fomentar la confianza en nuestras instituciones y el proceso democrático, a través de la promoción del uso responsable de los datos personales y el respeto a los derechos individuales. Con esto en mente, a partir de febrero de 2019, el SEPD actuó de manera proactiva y decisiva en interés de todas las personas de la UE para garantizar que el Parlamento Europeo mantenga los más altos estándares al recopilar y utilizar datos personales. Ha sido alentador ver el desarrollo de un buen nivel de cooperación entre el SEPD y el Parlamento Europeo en el transcurso de esta investigación.
Una pregunta que surge es por qué no se emitió una sanción más firme al parlamento europeo, más allá de una reprimenda (ahora pública), unos nueve meses después de que comenzara la investigación.
El portavoz de EDPS nos dijo que se tomó la decisión de no imponer una multa administrativa porque el parlamento cumplió con sus recomendaciones.
Otra pregunta es por qué el asunto no se comunicó de manera más transparente a los ciudadanos de la UE. Sobre eso, el vocero dijo que era porque parte de la investigación está en curso.
“El SEPD sigue investigando con el Parlamento Europeo y recibió pruebas adicionales. Ahora estamos completando nuestro análisis de esa evidencia y anticipamos cerrar la investigación en un futuro cercano”, agregó.
El PR de EDPS dice que “continuará verificando los procesos de protección de datos del parlamento”, revelando que el Parlamento Europeo ha terminado de informar a las personas sobre una intención revisada de retener los datos personales recopilados por el sitio web thistimeimvoting hasta 2024.
“El resultado de estos controles podría conducir a hallazgos adicionales”, también advierte, y agrega que tiene la intención de finalizar la investigación para fines de este año.
Cuando se le preguntó sobre el caso, una portavoz del parlamento europeo nos dijo que la campaña thistimeimvoting tenía como objetivo motivar a los ciudadanos de la UE a participar en el proceso democrático, y que utilizó una combinación de herramientas digitales y técnicas de campaña tradicionales para tratar de llegar tantos votantes potenciales como sea posible.
Dijo que NationBuilder se había utilizado como una plataforma de gestión de relaciones con los clientes para mantenerse en contacto con los votantes potenciales, a través de una oferta a los ciudadanos interesados para registrarse para recibir información del parlamento sobre las elecciones (incluidos eventos e información general).
También se preguntó a los suscriptores sobre sus intereses, lo que permitió al parlamento enviar información personalizada a las personas que se habían registrado.
Algunas de las preocupaciones regulatorias en torno a NationBuilder se han centrado en cómo permite que las campañas relacionen los datos almacenados en sus bases de datos (de personas que se han registrado) con datos de redes sociales que están disponibles públicamente, como una cuenta de Twitter desbloqueada o un perfil público de Facebook.
TechCrunch entiende que el Parlamento Europeo no estaba usando esta función.
En 2017 en Francia, luego de una intervención del organismo nacional de control de datos, NationBuilder suspendió la herramienta de comparación de datos en el mercado.
La misma característica ha llamado la atención de los Comisionado de Información del Reino Unido – que advirtió el año pasado que los partidos políticos deberían proporcionar un aviso de privacidad a las personas cuyos datos se recopilan de fuentes públicas como las redes sociales y se comparan. Sin embargo, no lo son.
“Al ICO le preocupa que los partidos políticos utilicen esta funcionalidad sin que se brinde la información adecuada a las personas afectadas”, dijo el ICO en el reportesin llegar a ordenar la prohibición del uso de la función de coincidencia.
Su investigación confirmó que hasta 200 partidos políticos o grupos de campaña utilizaron NationBuilder durante las elecciones generales del Reino Unido de 2017.
NationBuilder ahora nos ha enviado una declaración en respuesta a la noticia de la acción del regulador. En ella un vocero dijo:
NationBuilder existe para ayudar a las personas a participar en el proceso democrático. Nuestro software está diseñado para escalar relaciones auténticas uno a uno. Como ha explicado el Parlamento Europeo, utilizaron el software de NationBuilder para la gestión de relaciones con los clientes para motivar la participación democrática entre los ciudadanos de la UE en las elecciones al Parlamento Europeo de 2019. Estamos increíblemente orgullosos de haber ayudado a impulsar ese esfuerzo.
NationBuilder se fundó con la creencia de que todos deberían ser dueños de sus propios datos y, como tal, nuestro software incorpora herramientas avanzadas de privacidad y consentimiento que permiten a nuestros clientes cumplir con las leyes de protección de datos pertinentes. La santidad de los datos de los clientes es fundamental para nuestra empresa: no compartimos ni vendemos los datos de nuestros clientes, y cada cliente de NationBuilder tiene una base de datos independiente.
Estamos de acuerdo con el SEPD en que las normas estrictas de protección de datos son esenciales para la democracia, especialmente en la era digital. NationBuilder está, y siempre lo ha estado, comprometido con los más altos estándares de privacidad y protección de datos.
La compañía también cuestiona que se haya rescindido su contrato con el parlamento de la UE, diciendo que llegó a un final natural al concluir las elecciones de primavera.
Este informe se actualizó con un comentario adicional
Source link