Alemania dice que el GDPR podría colapsar a medida que Irlanda se demora con grandes multas

Irlanda aún no ha emitido una sola multa por una violación de GDPR contra un gigante tecnológico estadounidense. Han pasado dos años desde que se aplicaron las nuevas regulaciones de datos y la espera está haciendo que los reguladores alemanes estén impacientes.

Gracias en parte a un régimen tributario más relajado, gigantes tecnológicos estadounidenses como Facebook y Google basan su sede europea en Irlanda. Una regla GDPR de la UE conocida como el mecanismo de "ventanilla única" significa que las empresas normalmente deben enfrentar la aplicación donde tienen su sede central, en lugar de que varios países traigan casos sobre el mismo tema.

Esos dos puntos significan que el comisionado irlandés de protección de datos (DPC) es el líder de Europa cuando se trata de investigar las violaciones de datos y repartir las fuerzas del orden. Pero si bien ha habido investigaciones de alto perfil, aún no se han emitido fallos o castigos financieros, aunque el informe anual del DPC irlandés ha prometido que los fallos son inminentes.

Y eso ha molestado a algunos en Europa, especialmente a las autoridades alemanas de protección de datos. A principios de este año, el Comisionado Federal de Protección de Datos de Alemania, Ulrich Kelber, dijo que la inacción de Irlanda era "insoportable", y pidió una nueva autoridad de datos en toda la UE para reemplazar la idea de "ventanilla única". El DPC irlandés, Helen Dixon, dijo en respuesta que tales críticas no son justas, ya que los casos son complicados, como lo es la burocracia.

Jon Baines, asesor de protección de datos de la firma de abogados Mishcon de Reya, tiene muchos motivos para la acción lenta: los casos son complejos y requieren trabajar con las autoridades de toda Europa, las empresas tecnológicas se defienden enérgicamente y el DPC irlandés carece de recursos. "No estoy seguro de que alguien esperara investigaciones rápidas", dice. "Dicho esto, es notable que aún no se hayan emitido fallos, y no es útil para las miles de otras organizaciones que buscan a los reguladores para orientarse en estos asuntos, y tampoco es útil para los millones de interesados ​​cuyos derechos son comprometido. "

Otros reguladores no están dispuestos a esperar. Francia impuso a Google una multa de 50 millones de euros por publicidad conductual en 2019, mientras que las autoridades de datos en la ciudad alemana de Hamburgo el año pasado multaron a la subsidiaria local de Facebook con 51.000 euros por no nombrar a un oficial de protección de datos. Irlanda ha dicho que se avecinan multas, aunque han pasado meses desde que se hizo esa promesa.

Es probable que ni las multas de 50 millones de euros ni las de 51.000 euros preocupen mucho a Facebook, y esta última fue descrita en los medios como "simbólica". El regulador de datos de Hamburgo no está de acuerdo con que sea simbólico, pero pretendía la multa como una advertencia. "La multa no fue simbólica, sino real y sustancial", dice un portavoz de la autoridad de protección de datos de Hamburgo, la HmbBfDI. "El carácter de" advertencia "solo puede verse como otras compañías dentro de nuestra jurisdicción que tienen las mismas obligaciones". El portavoz agregó que el monto de la multa habría sido mayor si hubiera sido posible llevar la acción a Facebook, en lugar de a su filial alemana.

Para que eso suceda, el caso tendría que ser manejado en Irlanda, como ha sucedido con uno de los conjuntos de casos más notables que son los presentados por Max Schrems y su grupo afiliado None of Your Business contra Google y Facebook. Si bien inicialmente se presentaron en diferentes países, cada uno de esos casos ha sido llevado al DPC de Irlanda. Ninguno de esos casos aún tiene que ver una decisión, aunque la investigación de Facebook se terminó el verano pasado y según Politico está atrapado en un proceso de revisión. El DPC irlandés no respondió a la solicitud de comentarios.

Esas revisiones y negociaciones son una de las razones por las cuales Irlanda aún debe repartir la aplicación de GDPR contra los gigantes tecnológicos. Tales casos son complicados, atraviesan las fronteras y causan demoras, y las compañías tecnológicas tienen los fondos y los abogados para tratar cada ángulo de desafío legal.

Daragh O Brien, director gerente de la consultora Castlebridge, argumenta que el DPC irlandés es lento en hacer cumplir la ley por precaución, ya que estos casos se ven separados por una revisión judicial después del hecho. Si un caso se desafía con éxito, agrega, "es incómodo si se trata de un caso interno, es una vergüenza significativa si se trata de una investigación multinacional". Por ejemplo: Facebook apeló una multa de £ 500,000 impuesta por el regulador de protección de datos del Reino Unido por el escándalo de Cambridge Analytica. La pareja llegó a un acuerdo en el que la multa, emitida bajo las reglas previas al GDPR, finalmente se pagó, pero Facebook no admitió ninguna culpa o responsabilidad.

La cultura y la política también impactan la aplicación de la ley. "En general, Alemania siempre ha tenido reguladores de protección de datos activos y posiblemente activistas", dice Baines. A pesar de eso, solo ha habido un puñado de grandes multas de GDPR en Alemania. “La mayoría de las multas han sido relativamente pequeñas y por infracciones de nivel relativamente bajo. Esto cuenta otra historia: algunas autoridades de supervisión, en particular, Irlanda y el Reino Unido, no consideran que su papel implique la emisión de pequeñas multas por infracciones menores, mientras que otras sí. "

La autoridad de datos de Hamburgo dice que utiliza reprimendas y órdenes formales para empujar a las empresas a comportarse correctamente, pero las multas siguen siendo necesarias. "La aplicación de la ley sin multas no tiene dientes", dice un portavoz, señalando que GDPR incluye la capacidad de multar porque la privacidad de los datos es muy importante. “Cada empresa que está violando los derechos de protección de datos debe enfrentar fuertes sanciones financieras por multas. Este palo pesado en el fondo solo puede crear efectos disuasivos contra las violaciones de la ley. "

Otra preocupación importante, y un punto de acuerdo entre los DPC irlandeses y alemanes, es la falta de recursos. Irlanda tiene la tarea de investigar la protección de datos en toda Europa, pero sin el personal y los fondos para hacerlo; el año pasado, el DPC irlandés solicitó 5,9 millones de euros adicionales al año, pero solo recibió 1,9 millones de euros adicionales, lo que elevó su presupuesto a 16,9 millones de euros. "El DPC actualmente recibe menos fondos que el Irish Greyhound Board", dice O Brien. "Eso no tiene sentido."

Esa es una cuestión central para todos los países debido al modelo de "ventanilla única", aunque Irlanda es la más afectada porque hay muchos gigantes tecnológicos allí. "El principal problema para cualquier autoridad de supervisión es que la protección de datos es un tema tan generalizado que deben vigilar las actividades de casi todas las empresas en su jurisdicción, y es dudoso si alguna autoridad de supervisión cuenta con los recursos adecuados para esto", dice Baines. "Y en algunos casos, Irlanda es un ejemplo clave, los organismos que regulan son enormemente ricos, con enormes presupuestos legales disponibles para resistir y desafiar". Gracias a su sistema federal, agrega Baines, Alemania tiene una red de autoridades regionales de protección de datos, lo que significa que el país en su conjunto tiene más recursos para tales investigaciones.

Si bien las muchas razones detrás de la lenta aplicación de Irlanda son válidas, eso no reduce las tensiones ni mitiga las preocupaciones sobre el futuro de la protección de datos de la UE. "Las (autoridades de supervisión) europeas hasta ahora no están alcanzando un enfoque común y uniforme con respecto a las sanciones", dice el portavoz de la autoridad de protección de datos de Hamburgo. "Si bien esto podría cambiar en el futuro, es inminente el riesgo de crear permanentemente distintos regímenes de supervisión en diferentes países de la UE". Eso no ayuda, agrega el vocero, debido a la burocracia que consume mucho tiempo y las estructuras legales ineficientes.

Una mejor cooperación es una respuesta, ya que los Estados miembros agrupan recursos y herramientas para trabajar en casos específicos, en lugar de depender del apoyo del gobierno local. Pero para que eso funcione, los países necesitan mejores mecanismos de cooperación, en particular el intercambio de datos confidenciales a través de las fronteras. “Tenemos que preocuparnos por las estructuras deficientes y redirigir nuestro enfoque. Especialmente la configuración legal para la aplicación de la ley en GDPR debe ser reconsiderada y cambiada ”, dice el portavoz de la autoridad de protección de datos de Hamburgo. Sin tales cambios, el RGPD corre el riesgo de no aplicarse contra las principales empresas tecnológicas internacionales, lo que lo hace inútil. "El proyecto del faro de GDPR está al borde del colapso".

Cobertura de coronavirus de Mundo Informático

? ¿Cómo comenzó el coronavirus y qué sucede después?

❓ El esquema de licencia de retención de trabajo del Reino Unido, explicado

? ¿Puede Universal Basic Income ayudar a combatir el coronavirus?

? Los mejores videojuegos y juegos de mesa para parejas autoaisladas

? Siga Mundo Informático en Gorjeo, Instagram, Facebook y LinkedIn