Está bien establecido que la Unión Europea tiene algunas de las leyes de privacidad más estrictas del mundo, amenazando con multas de hasta el 4% de la facturación anual de una empresa. Un hecho menos conocido, y que a las grandes empresas tecnológicas les gustaría mantener en silencio, es que la UE no ha hecho cumplir esas reglas de manera muy estricta.
Desde la introducción de su histórica ley de privacidad conocida como Reglamento General de Protección de Datos (GDPR) en 2018, la UE ha delegado el trabajo de vigilancia de Big Tech a las naciones donde las empresas tienen su sede europea. Eso ejerce una enorme presión sobre países como Irlanda, que alberga varias grandes empresas de Internet que con frecuencia han sido acusadas de violar la ley de privacidad, incluida Meta Platforms Inc. Irlanda ha emitido multas por valor de aproximadamente 1.000 millones de euros ($ 1.100 millones) solo contra Meta en el pasado. cinco meses, pero las sanciones tardaron años en materializarse y, en el último caso, Irlanda se vio obligada por sus pares europeos a aumentarla significativamente. Irlanda ha sido durante mucho tiempo un cuello de botella para la aplicación de la UE debido a la lentitud con la que ha procesado los casos y su interpretación relativamente favorable a las empresas de las normas del RGPD.
Pero eso bien podría cambiar ahora que el brazo ejecutivo de la UE, la Comisión Europea, requerirá que cada nación comparta una descripción general de sus investigaciones de protección de datos seis veces al año. El regulador de un país también deberá brindar a la Comisión una descripción general de todas sus investigaciones transfronterizas a gran escala en virtud del RGPD, incluidos, de manera crítica, todos los pasos procesales clave tomados con cada caso, y todas las medidas de investigación o de otro tipo tomadas, junto con las fechas para cada caso. de estos pasos y medidas, según un documento que detalla la respuesta de la Comisión a las sugerencias del Defensor del Pueblo Europeo, visto por Bloomberg Opinion. Señala una postura de endurecimiento sobre la privacidad, haciendo que los propios reguladores rindan cuentas por investigar a las empresas adecuadamente.(1)
Si bien la Comisión emite un informe cada dos años más o menos sobre el estado general de la aplicación del RGPD, (2) el brazo ejecutivo no ha analizado en profundidad el trabajo del regulador de privacidad de cada nación de una manera tan formal o sistémica. En teoría, si los organismos de control nacionales no cumplen con el nuevo requisito de información, el gobierno de esa nación podría enfrentar acciones legales en el Tribunal de Justicia de la Unión Europea. Los reguladores de la privacidad nunca han tenido los pies en el fuego de esta manera.
en Luxemburgo y Criteo SA, una de las empresas de publicidad en línea más grandes del mundo, está en Francia.
El cambio parece ser el resultado de una queja presentada ante el Defensor del Pueblo Europeo por el Consejo Irlandés para las Libertades Civiles, un grupo de derechos humanos que ha presentado varias objeciones ante la UE sobre cómo el organismo de control de la privacidad de Irlanda ha tratado a Facebook.
“Anteriormente, tenía casos inactivos durante años y la ley de privacidad no se aplicaba”, dice Johnny Ryan, miembro principal de ICCL. “Esto anuncia el comienzo de una verdadera aplicación, y eso significa una aplicación europea seria contra Big Tech”.
El mecanismo de ventanilla única de la UE, que en la jerga burocrática hace que un solo país sea responsable de vigilar a las empresas tecnológicas, ha puesto a los defensores de la privacidad en la posición inusual de presentar quejas no solo contra las empresas sino también contra los propios reguladores por no ser lo suficientemente estrictos.. El activista austríaco por la privacidad Max Schrems ha sugerido que tomará medidas contra el organismo de control de la privacidad de Luxemburgo debido a la larga espera por una queja sobre Amazon, que ha sido acusada de exponer la información del usuario a posibles infracciones y explotación.
El Defensor del Pueblo Europeo, que investiga quejas administrativas sobre la UE, confirmó que la Comisión Europea le había dicho que aumentaría su escrutinio de los organismos de control nacionales.
La Comisión de Protección de Datos de Irlanda ha argumentado que sus casos toman mucho tiempo porque son complejos y que, si bien está inundada de casos con la miríada de empresas tecnológicas bajo su jurisdicción, ha resuelto cientos de quejas transfronterizas en los últimos cuatro años.
Pero el Tribunal de Justicia de la Unión Europea también ha llamado al organismo de control irlandés por “persistente inercia administrativa”. Y a principios de este mes, la Junta de Protección de Datos de Europa obligó al regulador a aumentar sustancialmente una multa contra Meta por el procesamiento ilegal de datos, de 28 millones de euros a 390 millones de euros, después de que inicialmente se puso del lado de Meta en varios aspectos de la queja original que provino de Schrems.
Con la Comisión comprobando los deberes de cada regulador, los organismos de control se verán obligados a trabajar más duro y evitar estancamientos: cualquier retraso de años entre la presentación de una denuncia y la apertura de una investigación estará a la vista de la nave nodriza de la UE, al igual que muchos meses que pasan entre rondas de correspondencia sobre un caso, o denuncias que no conducen a ninguna investigación.
El único inconveniente de este desarrollo es que la Comisión no hará sus auditorías abiertamente; toda la información que compartan los reguladores nacionales de privacidad se mantendrá “estrictamente confidencial”.
Hasta entonces tendremos que conformarnos con lo que sigue siendo un paso en la dirección correcta. El escrutinio renovado no será público, pero al menos sucederá.
Más de la opinión de Bloomberg :
Meta decidirá qué tan doloroso es su Irish Gut Punch: Parmy Olson
Detener el Schadenfreude por los despidos tecnológicos inflados: Lionel Laurent
Esa valla de silicona alrededor de China está casi completa : Tim Culpan
(1) Según el documento, el Departamento de Justicia y Consumidores de la Comisión, dirigido por el Comisionado Didier Reynders, dijo que “solicitaría a todas las autoridades nacionales de supervisión de protección de datos que compartan con la Comisión, cada dos meses y de forma estrictamente confidencial, un resumen de investigaciones transfronterizas a gran escala bajo el RGPD con información sobre los siguientes campos predeterminados: número de caso; Responsable o encargado del tratamiento implicado; Tipo de investigación (de oficio o por denuncia); resumen del alcance de la investigación (incluyendo qué disposiciones del RGPD están en cuestión); DPA en cuestión; Pasos procesales clave tomados y fechas; Medidas de investigación o de otra índole practicadas y fechas.”
(2) El último informe de este tipo de la Comisión se publicó en 2020 y mencionó a Irlanda una vez, diciendo de manera general que los recursos para la aplicación de la privacidad eran « desiguales entre los estados miembros ».
Esta columna no refleja necesariamente la opinión del consejo editorial o de Bloomberg LP y sus propietarios.
Parmy Olson es una columnista de Bloomberg Opinion que cubre tecnología. Exreportera del Wall Street Journal y Forbes, es autora de « We Are Anonymous ».
Más historias como esta están disponibles en bloomberg.com/opinion