El principal regulador de datos de Europa emitió su primera sanción a una institución de la UE, tomando medidas de aplicación contra el Parlamento Europeo por el uso de la compañía de campañas digitales con sede en los EE. UU. NationBuilder, procesar los datos de los votantes de los ciudadanos antes de las elecciones de primavera.
NationBuilder es un veterano del espacio de campaña digital; de hecho, primero cubrimos a la compañía en 2011– que se ha vuelto casi omnipresente para las campañas digitales en algunos mercados.
Pero en los últimos años, los reguladores de privacidad europeos han planteado preguntas sobre si todas sus actividades de procesamiento de datos cumplen con las reglas regionales de protección de datos, respondiendo a la creciente preocupación sobre la integridad electoral y la manipulación en línea de los votantes alimentada por datos.
El parlamento europeo había utilizado NationBuilder como procesador de datos para una campaña de participación pública para promover la votación en las elecciones de primavera, que se realizó a través de un sitio web llamado thistimeimvoting.eu.
El sitio web recopiló datos personales de más de 329,000 personas interesadas en la campaña electoral de la UE, datos que NationBuilder procesó en nombre del parlamento.
El Supervisor Europeo de Protección de Datos (SEPD), que inició una investigación en febrero de 2019, actuó por iniciativa propia y "teniendo en cuenta la controversia previa en torno a esta empresa" como su presione soltar
Los subprocesadores en cuestión no tienen nombre. (Hemos pedido más detalles).
El Parlamento recibió una segunda reprimenda del SEPD después de que no pudo publicar una Política de Privacidad conforme para el esta vez sitio web dentro del plazo establecido por el SEPD. Aunque el regulador dice que actuó de acuerdo con sus recomendaciones en el caso de ambas sanciones.
El SEPD también tiene una investigación en curso sobre si el uso por parte del Parlamento del sitio web de movilización de votantes y las operaciones de procesamiento de datos personales relacionadas, estaban de acuerdo con las normas aplicables a las instituciones de la UE (como se establece en Reglamento (UE) 2018/1725)
Las acciones de cumplimiento no se hicieron públicas hasta una audiencia a principios de esta semana, cuando el asistente del supervisor de protección de datos, Wojciech Wiewiórowski, mencionó el asunto durante una sesión de preguntas y respuestas frente a los eurodiputados.
Se refirió a la investigación como "uno de los casos más importantes que hicimos este año", sin nombrar el procesador de datos. "El Parlamento no pudo crear las acciones de auditoría reales en el procesador", dijo a los eurodiputados. "Ninguno controla la forma en que se ha realizado el contrato".
"Afortunadamente, no pasó nada malo con los datos, pero tuvimos que hacer que este contrato rescindiera los datos que se borraban", agregó.
Cuando TechCrunch solicitó al SEPD más detalles sobre este caso el martes, un portavoz nos dijo que el asunto "aún está en curso" y "se está finalizando" y que se comunicará al respecto pronto.
Hoy presione soltar Parece ser el resultado.
El comentario enlatado proporcionado en el lanzamiento de Wiewiórowski escribe:
Las elecciones parlamentarias de la UE se produjeron a raíz de una serie de controversias electorales, tanto dentro de los Estados miembros de la UE como en el extranjero, que se centraron en la amenaza que representa la manipulación en línea. Las normas estrictas de protección de datos son esenciales para la democracia, especialmente en la era digital. Ayudan a fomentar la confianza en nuestras instituciones y el proceso democrático, mediante la promoción del uso responsable de los datos personales y el respeto de los derechos individuales. Teniendo esto en cuenta, a partir de febrero de 2019, el SEPD actuó de manera proactiva y decisiva en interés de todas las personas en la UE para garantizar que el Parlamento Europeo cumpla con los más altos estándares al recopilar y utilizar datos personales. Ha sido alentador ver un buen nivel de cooperación en desarrollo entre el SEPD y el Parlamento Europeo
en el transcurso de esta investigación.
Una pregunta que surge es por qué no se ha emitido una sanción más firme al Parlamento Europeo, más allá de una reprimenda (ahora pública), unos nueve meses después de que comenzara la investigación.
Otra pregunta es por qué el asunto no se comunicó de manera más transparente a los ciudadanos de la UE.
El RP del SEPD enfatiza que sus acciones "no se limitan a las reprimendas", sin explicar por qué los dos agentes hasta ahora no merecían una acción más dura. (Al momento de escribir este documento, el SEPD no había respondido a las preguntas sobre por qué no se han emitido multas hasta el momento).
Sin embargo, puede haber más por venir.
El regulador dice que "continuará verificando los procesos de protección de datos del parlamento", revelando que el Parlamento Europeo ha terminado de informar a las personas de una intención revisada de retener los datos personales recopilados por el esta vez sitio web hasta 2024.
"El resultado de estos controles podría conducir a hallazgos adicionales", advierte, y agrega que tiene la intención de finalizar la investigación para fines de este año.
Cuando se le preguntó sobre el caso, una portavoz del Parlamento Europeo nos dijo que el esta vez La campaña tenía como objetivo motivar a los ciudadanos de la UE a participar en el proceso democrático, y que utilizó una combinación de herramientas digitales y técnicas de campaña tradicionales para tratar de llegar al mayor número posible de votantes.
Dijo que NationBuilder se había utilizado como una plataforma de gestión de relaciones con los clientes para ayudar a mantenerse en contacto con los posibles votantes, a través de una oferta a los ciudadanos interesados para inscribirse para recibir información del parlamento sobre las elecciones (incluidos eventos e información general).
También se preguntó a los suscriptores sobre sus intereses, lo que permitió al parlamento enviar información personalizada a las personas que se habían inscrito.
Algunas de las preocupaciones regulatorias en torno a NationBuilder se han centrado en cómo permite que las campañas hagan coincidir los datos almacenados en sus bases de datos (de personas que se han registrado) con los datos de las redes sociales que están disponibles públicamente, como una cuenta de Twitter desbloqueada o pública Facebook perfil.
TechCrunch entiende que el Parlamento Europeo no estaba usando esta función.
En 2017 en Francia, después de una intervención del regulador nacional de datos, NationBuilder suspendió el herramienta de coincidencia de datos en el mercado.
La misma característica ha llamado la atención del Comisionado de Información del Reino Unido – que advirtió el año pasado que los partidos políticos deberían proporcionar un aviso de privacidad a las personas cuyos datos se recopilan de fuentes públicas como las redes sociales y coinciden. Sin embargo, no lo son.
"La OIC está preocupada por los partidos políticos que utilizan esta funcionalidad sin que se proporcione información adecuada a las personas afectadas", dijo la OIC en el informe, aunque no llega a ordenar la prohibición del uso de la función de coincidencia.
Su investigación confirmó que hasta 200 partidos políticos o grupos de campaña utilizaron NationBuilder durante las elecciones generales de 2017 en el Reino Unido.