Los organismos de control de la privacidad en Europa están considerando una denuncia contra Apple presentada por una exempleada, Ashley Gjøvik, quien alega que la empresa la despidió después de que ella planteara una serie de preocupaciones, interna y públicamente, incluso sobre la seguridad en el lugar de trabajo.
Gjøvik, exgerente sénior del programa de ingeniería de Apple, fue despedida de la compañía en septiembre pasado después de que expresó su preocupación por el enfoque de su empleador hacia la privacidad del personal, algunas de las cuales fueron cubiertas por The Verge en un informe en agosto de 2021.
En ese momento, Apple había puesto a Gjøvik en licencia administrativa después de expresar su preocupación por el sexismo en el lugar de trabajo y un entorno de trabajo hostil e inseguro que había dicho que estaba investigando. Posteriormente, presentó quejas contra Apple ante la Junta Nacional de Relaciones Laborales de EE. UU.
Esas quejas anteriores se vinculan con la queja de privacidad que envió a los organismos internacionales de supervisión ahora porque Gjøvik dice que quiere un escrutinio de las prácticas de privacidad de Apple después de que le dijo formalmente al gobierno de los EE. invasiones de la privacidad”, como ella dice, acusando a Apple de usar sus preocupaciones sobre su enfoque de la privacidad del personal como pretexto para despedirla. para informar preocupaciones de seguridad más amplias y organizarse con otros empleados sobre preocupaciones laborales.
La Oficina del Comisionado de Información del Reino Unido (ICO) y la CNIL de Francia confirmaron la recepción de la queja de privacidad de Gjøvik contra Apple.
Un portavoz de la ICO le dijo a TechCrunch: “Somos conscientes de este asunto y evaluaremos la información proporcionada”.
La CNIL de Francia también envió una confirmación de que está analizando la denuncia de Gjøvik.
“Hemos recibido esta queja que actualmente está siendo investigada”, nos dijo un portavoz de la CNIL, y agregó: “No puedo comunicar más detalles en este momento”.
El desarrollo fue cubierto primero por el Telégrafo — que informó ayer que es pensaba que era la primera vez Gjøvik ha tratado de presionar su queja de privacidad contra Apple en el Reino Unido
La Comisión de Protección de Datos de Irlanda (DPC), que es el principal regulador de protección de datos de Apple en la Unión Europea para el Reglamento General de Protección de Datos (GDPR) de la UE, y que, bajo el mecanismo de ventanilla única del reglamento, probablemente tomaría la iniciativa. papel en cualquier consulta relacionada con una queja de GDPR que también se haya presentado ante otros reguladores de privacidad de la UE (como la CNIL de Francia), se negó a comentar. El DPC tampoco confirmaría ni negaría haber recibido la denuncia de Gjøvik.
Un portavoz de la DPC dijo: “La DPC no puede comentar sobre casos individuales. Todas las consultas que se presentan ante el DPC se evalúan y avanzan de acuerdo con las funciones de manejo de quejas del DPC, cuando sea apropiado hacerlo”.
Irlanda tiene una serie de investigaciones de GDPR en curso sobre las prácticas de procesamiento de datos de Apple, incluidas las políticas de privacidad de la compañía, pero el DPC aún no ha emitido ninguna decisión en relación con esas investigaciones de varios años.
Si el DPC decidiera que esta queja amerita abrir una nueva investigación sobre Apple, probablemente llevaría años llegar a un resultado público dada la gran acumulación de archivos de casos de GDPR del regulador irlandés.
En una conclusión a la denuncia, Gjøvik insta a los reguladores a “investigar los asuntos que planteé y abrir una investigación más amplia sobre estos temas dentro de las oficinas corporativas de Apple en todo el mundo”, alegando además: “Apple afirma que los derechos humanos no difieren según la ubicación geográfica, sin embargo, Apple también admite que los gobiernos francés y alemán nunca le permitirían hacer lo que está haciendo en Cupertino, California y otros lugares”.
Aplicación Face ID Gobbler
Él 54 páginas “denuncia de invasión de la privacidad”, que Gjøvik dice que se presentó a los reguladores europeos a principios de este mes, plantea problemas con el enfoque de la empresa sobre la privacidad de los empleados, lo que plantea preocupaciones sobre una serie de prácticas, incluido un programa interno de Apple para recopilar datos biométricos del personal que utiliza una aplicación llamada “Gobbler” (más tarde “Glimmer”), aparentemente como parte del proceso de desarrollo de productos para Face ID.
En términos más generales, la queja se centra en la amplitud de las políticas de secreto y “privacidad anti-empleado” de Apple, así como en lo que Gjøvik alega que son NDA “ilegalmente restrictivas”.
Se contactó a Apple para comentar sobre la queja, pero al momento de escribir, la compañía no había respondido.
El enfoque del gigante tecnológico de invitar a los empleados a participar en pruebas de productos, que a veces implicaba capturar datos biométricos, dejó a Gjøvik sintiendo que su participación era obligatoria, según la denuncia y, en un caso que ella detalla, describe cómo respondió a lo que pensó que era un “evento social obligatorio” que resultó implicar probar manualmente Face ID usando la aplicación Gobbler mientras estaba encerrado en un recinto seguro al aire libre a pleno sol.
Según la denuncia, la información que Apple proporcionó internamente al personal sobre Gobbler instó a los empleados a cargar datos de la aplicación capturados en sus hogares.
“Apple estaba presionando a los empleados para que cargaran sus ‘datos de huellas faciales’ en los servidores internos de Apple, capturando fotografías y videos secretos de los empleados, y les dijo a los empleados que los registros relacionados con las caras se cargaban automáticamente desde sus iPhones todos los días”, alega Gjøvik.
“No estaba muy claro qué datos se cargaban automáticamente, cómo y cuándo”, afirma también. “Mis preguntas abiertas incluían si mis datos personales estaban estar respaldado en las copias de seguridad de iCloud de los empleados, sincronizado a través de iCloud, y/o accedido/copiado por los perfiles MDM corporativos de Apple, o otro Vigilancia de seguridad global de los teléfonos de los empleados. También me molestó que la aplicación estuviera tomando fotos/videos sin ninguna notificación (sonido, señal, etc), lo que me hizo pensar que Apple, si quería, podía activar las cámaras de mi dispositivo y mirarme sin Yo sabiendo en cualquier momento también. Hablé con otros empleados, incluidos los gerentes, con preocupaciones similares”.
Gjøvik cita una declaración pública de Apple de que se usaron más de mil millones de imágenes en el desarrollo de su algoritmo Face ID, alegando que la compañía nunca respondió las preguntas planteadas por el senador Al Franken, quien le preguntó de dónde provenían esas imágenes luego del lanzamiento de Face ID. . “Qué [Apple VP Craig] Federighi no dijo que esas imágenes provenían de empleados como yo, quisiera compartirlas o no”, sugiere.
Según la denuncia, Apple informó al personal de las restricciones sobre los empleados que cargan datos en Gobbler en países fuera de los EE. UU., aunque la denuncia también cita un correo electrónico de un gerente de Apple que afirma que uno de esos estudios se estaba realizando en “los EE. UU., Brasil, Tel Aviv”. , y la UE “pero no Francia o Alemania”.
“También vi en las notas que la aplicación estaba prohibida en Japón y China, pero luego, en algún momento, Apple decidió recopilar algunos registros allí de todos modos”, sugiere Gjøvik.
Apple tiene oficinas en Europa, incluso en el Reino Unido, Francia, Irlanda y otros lugares de la región, por lo que al menos es posible que los empleados en esos lugares usaran la aplicación Gobbler para cargar sus datos biométricos. Si eso sucediera, podría involucrar consideraciones de protección de datos, como sobre el fundamento legal en el que Apple podría confiar para procesar estos datos. Pero aún está por verse si los reguladores europeos que han recibido su queja deciden que hay algo aquí para que investiguen.
Según el RGPD, el consentimiento es uno de varios motivos legales posibles para procesar datos personales. Sin embargo, para que el consentimiento sea una base legal válida, debe ser informado, específico y otorgado libremente, e incluso dejando de lado las preguntas sobre si el personal recibió la información adecuada sobre lo que se haría con sus datos biométricos, una dinámica de poder empleador-empleado podría socavar su capacidad de consentir libremente (es decir, en lugar de sentir que deben participar en dichas pruebas porque es su empleador quien lo solicita). Así que podría haber razones para un escrutinio más detenido.
La queja de Gjøvik también se dirigió al Supervisor Europeo de Protección de Datos (EDPS), aunque un portavoz del organismo confirmó que el EDPS no investigaría tal asunto ya que su función de supervisión se centra en las propias instituciones, organismos o agencias de la UE.
La denuncia también enumera a la Oficina del Comisionado de Privacidad de Canadá como otro organismo al que se ha presentado, junto con los grupos de derechos digitales EFF y Big Brother Watch.
Más allá de la aplicación Gobbler/Glimmer, Gjøvik expresa su preocupación sobre la posibilidad de que el sistema de informes de errores/boletos de desarrollo de software de Apple recopile datos personales sin que el personal esté debidamente informado, afirmando que el sistema comparte informes de forma predeterminada con todas las funciones de ingeniería de software de la empresa (potencialmente decenas de miles de personas). También dice que estos tickets podrían pedir a los empleados que incluyan archivos de diagnóstico, lo que Gjøvik sugiere que podría dar como resultado que los datos personales adicionales del dispositivo personal de un empleado, como sus iMessages, por ejemplo, se transfieran a Apple sin que el empleado se dé cuenta por completo.
En el artículo de The Verge del año pasado, que citaba a Gjøvik y a varios otros empleados de Apple, se informó que al personal de la empresa se le decía rutinariamente que vinculara su ID de Apple personal a su cuenta de trabajo.
“La confusión de las cuentas personales y laborales ha dado lugar a algunas situaciones inusuales, incluida la presunta obligación de Gjøvik de entregar fotos comprometedoras de sí misma a los abogados de Apple cuando su equipo se vio envuelto en una disputa legal no relacionada”, informó The Verge, antes de hacer referencia a lo que describió. como un “acuerdo de empleo estricto que otorga a Apple el derecho de realizar una vigilancia exhaustiva de los empleados, incluida la ‘vigilancia física, de video o electrónica’, así como la capacidad de ‘buscar en su espacio de trabajo, como archivadores, escritorios y oficinas (incluso si están cerradas ), revisar los registros telefónicos o buscar cualquier propiedad que no sea de Apple (como mochilas, carteras) en las instalaciones de la empresa’”.
Otra política de Apple que destacó el informe de The Verge fue la prohibición de que el personal borre cualquier dispositivo antes de devolverlo a la empresa, incluso si se van de Apple o cuando lo hagan, lo que sugiere que los empleados que han vinculado su ID de Apple personal a sus cuentas de trabajo están potencialmente exponiendo datos de privacidad a la empresa. empresa cuando devuelven dispositivos corporativos.