Regulador europeo se desespera por falta de cumplimiento – POLITICO


Más de 18 meses después de que la Unión Europea comenzó a implementar la ley de privacidad más estricta del mundo, la capacidad del bloque para controlar a Big Tech está cada vez más en duda en medio de la creciente frustración por la falta de acciones de aplicación y la débil cooperación en las investigaciones.

Aprobado en mayo de 2018, el Reglamento General de Protección de Datos (GDPR) fue visto en gran medida como un modelo para los Estados Unidos y otras naciones que luchan por encontrar límites efectivos en la recopilación de datos por parte de las empresas de tecnología.

No cabía duda de que, dada la amplitud de la ley y las numerosas presuntas violaciones cometidas por empresas tecnológicas mundiales, pronto habría fuertes multas o, al menos, sanciones que obligarían a Big Tech a cambiar sus métodos operativos.

Pero esa promesa no se ha cumplido. Además de una multa de 50 millones de euros que el regulador de privacidad de Francia impuso a Google en enero, no ha habido multas o recursos impuestos a un gigante estadounidense desde que entró en vigencia el GDPR. Y las dos naciones más directamente responsables de vigilar el sector tecnológico, Irlanda y Luxemburgo, donde las firmas tecnológicas más grandes tienen su sede europea, aún no han concluido una sola investigación de cualquier magnitud sobre una empresa estadounidense.

Ahora, el regulador irlandés que supervisa Google, Facebook, Microsoft y Twitter, entre otros gigantes, dice que su primera decisión no se entregará hasta principios del próximo año, lo que se suma a los retrasos anteriores.

Las investigaciones llevan tiempo porque la ley europea no ha sido probada y los casos deben ser objeto de escrutinio de las 28 naciones de la UE, así como en los tribunales nacionales.

Irlanda y Luxemburgo se han enfrentado a un escrutinio especial porque muchas compañías tecnológicas de EE. UU. Se han establecido en esas pequeñas naciones, que los han cortejado activamente gracias a una combinación de tasas impositivas corporativas bajas y una regulación favorable para las empresas. Esas relaciones cercanas han creado un fuerte grado de dependencia económica, particularmente en el caso irlandés, lo que plantea dudas sobre si estos países son los más adecuados para regular la Big Tech.

Ahora, los reguladores de otros países están expresando sus dudas. La autoridad de protección de datos de Hamburgo dice que el actual sistema de "ventanilla única", en el que las autoridades llevan a cabo muchas investigaciones importantes en Dublín o Luxemburgo, crea serios cuellos de botella y una situación "insatisfactoria" para millones de usuarios de la web.

"Después de casi un año y medio, debemos admitir que tenemos un gran problema con la aplicación del procesamiento transfronterizo, especialmente por parte de las empresas que actúan a nivel mundial", dijo a POLITICO un portavoz de la autoridad, uno de los 16 en Alemania. concierne a usuarios web en más de un país. "Es absolutamente insatisfactorio ver que las presuntas violaciones de protección de datos más grandes de los últimos 15 meses con millones de personas (preocupadas) están lejos de ser sancionadas".

El regulador de Luxemburgo rechazó numerosas solicitudes de comentarios. La jefa de privacidad irlandesa, Helen Dixon, insistió en una entrevista en que los retrasos tienen que ver con la complejidad de hacer cumplir una nueva ley.

Los críticos señalan una serie de problemas en el sistema de privacidad del bloque, incluido un bloqueo burocrático que ha retrasado la acción sobre docenas de quejas, incluidas presuntas violaciones de GDPR en el seguimiento de ubicación de Google y fallas de privacidad | Denis Charlet / AFP a través de Getty Images

Las investigaciones llevan tiempo porque la ley europea no ha sido probada y los casos deben ser objeto de escrutinio de las 28 naciones de la UE, así como en los tribunales nacionales. "Va a tomar todo el tiempo necesario para hacerlo correctamente", dijo, haciendo eco de los puntos hechos por otros altos funcionarios europeos de protección de datos.

Pero la explicación de Dixon no es lo suficientemente buena para otros reguladores, abogados, defensores de la privacidad y grupos de protección del consumidor en toda Europa. Argumentan que cuanto más demore Europa en hacer cumplir sus reglas de privacidad contra las compañías más grandes del mundo que padecen datos, más Silicon Valley aprovechará el margen de maniobra, circulará en torno a los reguladores y socavará el espíritu de la ley de la UE.

En entrevistas con funcionarios y especialistas en privacidad de toda Europa, los críticos señalaron una serie de problemas en el sistema de privacidad del bloque, que incluyen:

– Un estancamiento burocrático que ha retrasado la acción sobre docenas de quejas, incluidas presuntas violaciones de GDPR en el seguimiento de ubicación de Google y fallas de privacidad en nombre de Facebook, Amazon, Apple, Twitter y otros, lo que provocó que los activistas de privacidad amenacen con acciones legales;

– Las principales autoridades supervisoras a cargo de regular algunas de las compañías tecnológicas más poderosas del mundo que se inclinaron fuertemente hacia el "compromiso", o que brindaron consejos sobre cómo mantenerse legales, sobre las investigaciones y la aplicación;

– La falta de transparencia y cooperación entre las autoridades europeas de protección de datos que deben trabajar de la mano para hacer cumplir las normas, pero terminan siendo obstaculizados por sistemas legales nacionales divergentes, diferencias culturales y un sistema de intercambio de información anticuado;

– Diferencias cada vez más evidentes en cómo los perros guardianes de la UE están interpretando las reglas y, a veces, rompiendo el sistema de ventanilla única para crear lo que parece un mosaico de regímenes de privacidad en lugar de un solo paisaje europeo.

Pocos dudan de que se tomarán decisiones consecuentes en 2020. Pero cuando se hacen las primeras grandes llamadas en Google, Facebook y otros grandes jugadores, los críticos advierten que solo será el comienzo de argumentos legales, ya que es probable que los reguladores europeos se enfrenten entre sí. sobre multas y recursos en argumentos que podrían demorar años en desenredarse, y que solo pueden resolver los jueces del Tribunal de Justicia de las Comunidades Europeas en Luxemburgo.

Para comprender la creciente frustración, dicen los críticos, es útil revisar algunas de las quejas más importantes que se han acumulado desde que entró en vigencia el RGPD y siguen sin resolverse John Thys / AFP a través de Getty Images

La ironía, argumentan estos mismos críticos, es que después de mucho alardear sobre el enfoque integral de la privacidad en Europa, es en los Estados Unidos, donde los reguladores han golpeado a Facebook con una multa de $ 5 mil millones por el escándalo de Cambridge Analytica, que la aplicación ha sido la más rápida en intimidad.

"Europa tiene grandes leyes sobre el papel. Pero, ¿dónde están las fuerzas del orden? ¿Dónde está la carne?" dijo Thomas Shaw, un abogado estadounidense de privacidad con sede en Irlanda que es autor de varios libros sobre protección de datos.

* * *

Para comprender la creciente frustración, dicen los críticos, es útil revisar algunas de las quejas más importantes que se han acumulado desde que entró en vigencia el RGPD y siguen sin resolverse, lo que lleva a varias partes a considerar acciones legales que obligarían a los reguladores a actuar.

El día en que entró en vigencia la ley, el abogado austriaco de privacidad Max Schrems presentó cuatro demandas contra Facebook, Google, Instagram y WhatsApp, respectivamente, por la idea de que estaban "obligando" a los usuarios a aceptar que se recopilen sus datos personales para poder ser recolectados. capaz de usar los servicios. Estas demandas, que se presentaron por primera vez ante los reguladores en Francia, Alemania, Austria y Bélgica, se enviaron posteriormente a la Comisión de Protección de Datos de Irlanda, que se convirtió en el regulador "líder" de Europa para todas las empresas involucradas durante la noche, para su posterior procesamiento.

Un año y medio después, Schrems y los otros abogados de su grupo "Nada de su negocio" (noyb.eu) todavía esperan decisiones, y están considerando acciones legales que incitarían al regulador irlandés a avanzar en sus reclamos.

Irlanda "completó" una investigación sobre una de sus quejas contra Facebook durante el verano, pero aún está estancada en un proceso de revisión entre noyb.eu y los abogados de Facebook, según Gaëtan Goldberg, uno de los asociados de Schrems. Cuando se le pidió una actualización sobre el estado de esa queja, el jefe de privacidad irlandés Dixon dijo que aún no había llegado a su escritorio y que por el momento estaba fuera de su competencia legal como Comisionado de Protección de Datos de Irlanda.

Otro punto doloroso es qué tan bien o qué tan mal están los europeos trabajando juntos para hacer cumplir una regulación de privacidad en todo el bloque que pretende ser un estándar de oro para el mundo.

Schrems y sus colegas dicen que están sujetos a las reglas de confidencialidad y que no pueden discutir el informe de 66 páginas sobre la investigación de Irlanda, que analiza si los usuarios de Facebook dieron a los usuarios una opción real sobre la recopilación de sus datos si querían usar la plataforma. Pero las personas familiarizadas con su pensamiento dicen que están menos que satisfechos con el resultado y que podrían presentar objeciones a través del sistema judicial austriaco.

En todas las quejas de noyb.eu, incluida una descarga adicional contra Amazon y Apple presentada en enero de este año, no hay un final claro a la vista.

Schrems dijo que el ritmo lento encaja con lo que él describe como el historial del regulador irlandés de evitar la aplicación.

Él señala a un caso en curso ante el máximo tribunal de Europa, que comenzó en 2013. Schrems se quejó en ese momento ante el regulador irlandés de que los datos de los usuarios europeos de Facebook no estarían a salvo de espiar si se enviaban a los Estados Unidos. En lugar de pronunciarse sobre el asunto, las autoridades irlandesas lo presentaron ante el Tribunal de Justicia de la Unión Europea en Luxemburgo, que debe emitir una resolución final en el caso el próximo verano, siete años después de la denuncia original. En una audiencia sobre el caso a principios de este año y una opinión de su abogado general en diciembre, el tribunal criticó la decisión irlandesa de transmitir el caso.

"Todos los casos siguen estancados con los irlandeses, algunos sin respuesta desde hace más de 1,5 años", dijo Schrems, quien estuvo detrás de una demanda que trajo un importante acuerdo de flujo de datos transatlántico, Safe Harbor, que se derrumbó y también es un denunciante en procedimientos contra su sucesor, Privacy Shield.

El ritmo lento encaja con un historial de trato fácil de Facebook desde antes de la era GDPR, cuando el regulador irlandés tenía un poder casi nulo para sancionar a las empresas, dicen Schrems y otros críticos.

Después de otorgarle al gigante de las redes sociales una declaración de salud limpia sobre la privacidad luego de una auditoría de tres meses en 2011, la Comisión de Protección de Datos de Irlanda asesoró a Facebook sobre cómo cumplir con el GDPR en el período previo a la entrada en vigencia de la ley, Varias personas familiarizadas con el asunto dijeron, incluso sobre temas controvertidos como su herramienta de reconocimiento facial para hacer coincidir fotos en línea, que otros reguladores han señalado como problemáticos según las normas de la UE.

Los críticos también se quejan de la falta de transparencia y cooperación entre las autoridades europeas de protección de datos que deben trabajar mano a mano para hacer cumplir las normas, pero terminan siendo obstaculizados por los sistemas legales nacionales divergentes Kena Betancur / AFP a través de Getty Images

El regulador de Luxemburgo es, en todo caso, menos transparente que su homólogo irlandés.

Ubicado en "rue du Rock 'n' Roll" en una ciudad lejos del centro administrativo del país, el regulador que vigila Amazon, eBay y Paypal en la Unión Europea no respondió a múltiples solicitudes de comentarios y no proporcionó información sobre investigación de esas compañías en sus declaraciones públicas.

"Tenemos una situación de bloqueo", agregó Goldberg, colega de Schrems, en una conversación telefónica, refiriéndose al mecanismo de ventanilla única del GDPR que otorgó la autoridad de supervisión principal a Irlanda y Luxemburgo debido a la elección de las empresas de ubicar su establecimiento principal en esos países. "Mi temor es que este (cuello de botella) finalmente tendrá un efecto escalofriante en las personas que buscan hacer valer sus derechos de privacidad".

Otra fiesta de larga espera es La Quadrature du Net, un grupo francés de derechos digitales que presentó no menos de siete demandas contra cinco compañías de Big Tech solo unos días después de que GDPR entró en línea. Uno de los casos, relacionado con el sistema operativo móvil Android de Google, resultó en que el regulador francés de la CNIL golpeó al gigante de las búsquedas con una multa de 50 millones de euros en enero de 2019 por violar el GDPR al no obtener el consentimiento legalmente válido para recopilar sus datos para la personalización de anuncios.

Otros permanecen en el limbo. La autoridad de protección de datos de Luxemburgo se ha comunicado con Amazon por la queja de La Quadrature, confirmó la compañía a POLITICO, pero las decisiones aún parecen ser una perspectiva lejana.

"Tenemos muy poca información sobre cómo están progresando las cosas", dijo Arthur Messaud, abogado del grupo francés.

* * *

Después de una serie de quejas iniciales que apuntaban al corazón del modelo de recolección de datos de Silicon Valley, otros han seguido ese objetivo en diferentes aspectos de las prácticas de privacidad de Big Tech.

Un grupo paraguas de organizaciones europeas de protección al consumidor, BEUC, presentó una queja en noviembre pasado contra Google por supuestas fallas de privacidad en la forma en que rastrea la ubicación de los usuarios, mientras que Johnny Ryan, un ejecutivo del navegador web Brave, se quejó ante el regulador de privacidad de Irlanda en septiembre, 2019, sobre lo que llamó una "solución alternativa GDPR" que permitía al gigante de la búsqueda recopilar datos sobre los usuarios sin un consentimiento válido.

"En un mundo digital en constante movimiento, no podemos esperar años para ver a Google tomar medidas para corregir las prácticas abusivas" – Finn Lützow-Holm Myrstad, Director de Política Digital de la agencia de protección al consumidor de Noruega.

Ambos casos están pendientes, y varios demandantes le dijeron a POLITICO que estaban considerando nuevas acciones legales para obligar a las autoridades de protección de datos a moverse a través de lo que se llama un "procedimiento de urgencia" en el GDPR. Hablando a la Gran Comité Internacional sobre Desinformación y Noticias FalsasEn una reunión de políticos celebrada en Dublín en noviembre, Ryan dijo que podía demandar a los reguladores para que avanzaran.

Los representantes de Noyb.eu dijeron que también habían estado considerando acciones legales adicionales, mientras que BEUC, que representa a 42 grupos de consumidores en 32 países, escribió en una carta abierta redactada a fines de noviembre que las autoridades de protección de datos de Europa necesitan moverse.

"Cuando las empresas infringen la ley, los consumidores deben poder confiar en los organismos encargados de hacer cumplir la ley para que se respeten sus derechos", escribió la directora general del grupo, Monique Goyens, en una referencia poco velada al organismo de aplicación irlandés que investiga las quejas del grupo.

Finn Lützow-Holm Myrstad, Director de Política Digital de la agencia de protección al consumidor de Noruega, dijo que después de que se publicó la carta, el regulador de privacidad de Irlanda invitó a miembros de BEUC a Dublín para discutir los cambios que dijo que el gigante de búsqueda había hecho en respuesta a la queja. Pero estos cambios aún no se han hecho públicos, y el caso tardó casi un año en abordarse, demasiado tiempo, dijo Lützow-Holm Myrstad, en el mundo de hoy.

"En un mundo digital en constante movimiento, no podemos esperar años para ver a Google tomar medidas para corregir las prácticas abusivas", escribió en respuesta a preguntas enviadas por correo electrónico.

Dixon de Irlanda, quien dijo al Congreso de los EE. UU. En mayo que era probable que las compañías de Silicon Valley hubieran violado el GDPR, reconoce la impaciencia. Después de haber dicho que entregaría un primer borrador de decisión en un caso relacionado con WhatsApp en diciembre, Dixon ahora dice que esa decisión no se tomará hasta "a principios del año nuevo".

"Todos estamos impacientes", dijo. El problema era que no había nada que su oficina pudiera hacer para acelerar el tiempo de los procedimientos legales que otorgaban a las empresas un derecho de respuesta.

En el caso de la investigación de WhatsApp, en la que se sospecha que la empresa no ha brindado a los usuarios suficiente información sobre cómo se compartieron sus datos personales con la empresa matriz Facebook, los abogados de la firma habían planteado objeciones, que debían tenerse en cuenta .

"Nos preocupamos de citar los plazos y mencionar 'fin de año, comenzará el próximo mes', porque simplemente no es un proceso que controlemos de principio a fin", dijo en noviembre al margen de una conferencia de privacidad en Bruselas. "Este es un procedimiento nuevo y novedoso que vamos a seguir a nivel de la UE, donde un controlador plantea una preocupación legítima, o pone algo sobre la mesa que decir … Tenemos que hacer una pausa y responder esas preguntas con cuidado".

A fines de noviembre, Dixon dijo que aún no había decidido si WhatsApp había infringido el GDPR. Si lo hace, es probable que su primera decisión someta al sistema de aplicación de la privacidad de Europa a su primera prueba de estrés real porque otros reguladores tendrán que evaluar las decisiones que conciernen a millones de usuarios de la web y se espera que rechacen el fallo irlandés.

Hasta ahora, los desacuerdos abiertos se han mantenido al mínimo. Según la organización paraguas que reúne a todos los reguladores de privacidad de la UE, los reguladores han tomado decisiones en 70 casos que conciernen a interesados ​​en más de un país, o lo que se conoce como "casos transfronterizos" en el bloque de 28 miembros de la Unión Europea. Pero cada caso se resolvió mediante una decisión consensuada, que nunca activó un mecanismo de resolución de disputas en el GDPR que permitiría que un perro guardián exprese su preocupación.

Los comentarios más recientes de Hamburgo, citando retrasos "inaceptables", sugieren que la frustración por WhatsApp y otros asuntos pendientes de protección de datos está llegando a un punto de ebullición Amy Osborne / AFP a través de Getty Images

Para Andrea Jelinek, el jefe de privacidad austriaco que preside el grupo paraguas de reguladores de privacidad de la UE, el registro ininterrumpido de decisión por consenso equivale a demostrar que el sistema de aplicación de la ley de Europa está funcionando. Esos casos "no eran tan glamorosos pero eran importantes".

Pero si los reguladores de Europa han cantado desde una hoja de himnos, también podría ser que esas decisiones tuvieran un alcance más limitado y no afectaran a una poderosa compañía tecnológica. Es probable que eso cambie cuando Dixon transmita su proyecto de decisión en el caso de WhatsApp.

Si la decisión de Dixon se percibe como demasiado amigable para la compañía, el primer rechazo podría provenir de Hamburgo. El regulador en el norte de Alemania ha subrayado en repetidas ocasiones las preocupaciones sobre WhatsApp y Facebook, citando dos decisiones judiciales que ordenan a las dos entidades que dejen de compartir datos.

"Después de que se detuvo la transmisión de datos de usuarios entre WhatsApp y Facebook, ellos (Facebook) tomaron la entrada en vigor del GDPR como una oportunidad para volver a su práctica anterior", dijo el jefe del regulador a POLITICO el año pasado.

Los comentarios más recientes de Hamburgo, citando retrasos "inaceptables", sugieren que la frustración por WhatsApp y otros asuntos pendientes de protección de datos está llegando a un punto de ebullición. Y Hamburgo no está solo, ya que Ulrich Kelber, el jefe del regulador federal de privacidad de Alemania, expresó su preocupación en noviembre de que Irlanda pueda carecer de fondos suficientes para llevar a cabo su misión de primera línea para regular Big Tech. En noviembre, según heise.de, advirtió sobre la "miseria" en el regulador de protección de datos de Irlanda y ofreció proporcionar a Irlanda ayuda formal de las autoridades alemanas.

Un portavoz del regulador irlandés dijo que los dos países habían acordado mejorar su cooperación, pero la escasez de fondos del regulador irlandés es real. En 2020, el presupuesto aumentó en solo 1,6 millones de euros a 16,9 millones de euros, "menos de un tercio de los fondos que el DPC solicitó en su presentación de presupuesto" al gobierno irlandés, se quejó Dixon en octubre. El déficit fue particularmente problemático a la luz de la carga de trabajo del perro guardián, que incluyó más de 7,000 quejas, casi 5,000 notificaciones de incumplimiento y más de 40,000 solicitudes de orientación de organizaciones en 2019, decía su declaración.

En su entrevista con POLITICO, Dixon subrayó que el déficit presupuestario no afectaría las investigaciones o la capacidad del regulador para llevar a cabo litigios costosos contra compañías de Big Tech conocidas por "inundar la zona" con batallones de abogados, ahogando a los reguladores en acciones procesales.

Bajo el nuevo presidente, Ursula von der Leyen, el brazo ejecutivo del bloque se ha comprometido a afirmar la "soberanía digital" de Europa, un concepto que implica el uso de la ley antimonopolio para analizar cuestiones de monopolios de datos.

Pero los observadores de las normas de privacidad europeas están preocupados, y señalan que incluso si el presupuesto del litigio está acordonado, la falta de fondos para una actualización crucial de los sistemas de TI obsoletos y las operaciones de recursos humanos podría tener un impacto en el funcionamiento del regulador en su conjunto.

En una queja enviada a la Comisión Europea en octubre, Daragh O'Brien, un consultor de privacidad con sede en Dublín, instó a las autoridades de la UE a intervenir para asegurarse de que las normas de privacidad se apliquen adecuadamente. "Es su función (la Comisión Europea) supervisar cómo los Estados miembros están implementando la ley de la UE", escribió en un entrada en el blog.

Entre otros problemas, subrayó que el regulador irlandés necesitaba urgentemente actualizaciones, y señaló "restricciones de tamaño de archivo y la incapacidad de administrar las capacidades básicas para compartir archivos".

"Para el correo electrónico y la gestión de casos están utilizando la misma tecnología básica que comencé mi carrera administrando en una empresa de telecomunicaciones en 1997", agregó.

O'Brien no respondió a las solicitudes de comentarios.

* * *

Otro punto doloroso es qué tan bien o qué tan mal están los europeos trabajando juntos para hacer cumplir una regulación de privacidad en todo el bloque que pretende ser un estándar de oro para el mundo. Según el sistema actual, cualquier investigación que concierna a usuarios en más de un país puede solicitar asistencia investigativa de otros países. Pero el sistema que conecta a los reguladores, el IMI o el Sistema de Información del Mercado Interior no está a la altura de la tarea de gestionar la cooperación transfronteriza, se quejaron varios funcionarios.

Con más de 20 años, fue concebido originalmente para compartir información sobre el mercado interno de Europa, y no es adecuado para manejar el gran volumen de quejas que viene con el GDPR. "Esta es realmente la tecnología de ayer, que ralentiza todo", dijo un funcionario alemán de protección de datos que pidió no ser identificado.

Aun así, los reguladores insisten en que están colaborando bastante.

Un portavoz de la autoridad francesa de protección de datos habló de "cooperación activa" en las investigaciones. El regulador irlandés citó una lista de modos de colaboración en curso con otros reguladores, incluidas reuniones mensuales de autoridades de privacidad en Bruselas, intercambios de información bilateral, visitas in situ a Dublín por parte de reguladores en terceros países y una incipiente colaboración con el regulador español en una investigación.

Y, sin embargo, un portavoz de los irlandeses dijo que ni el regulador irlandés ni ningún otro habían lanzado una "investigación conjunta", un proceso formal que implicaría el envío de funcionarios de un regulador para ayudar a otro en el sitio, y podría permitir a los reguladores con mejores recursos. , como la Oficina del Comisionado de Información en Londres, para prestar potencia de fuego legal e investigativa a los irlandeses.

Bajo el nuevo presidente Ursula von der Leyen, el brazo ejecutivo del bloque se ha comprometido a afirmar la "soberanía digital" de Europa Thierry Roge / AFP a través de Getty Images

Las razones invocadas para no hacerlo incluyen barreras de idioma, disparidades entre los sistemas judiciales en diferentes países de la UE y restricciones legales en algunos estados.

Pero Bojana Bellamy, Presidenta del Centro de Liderazgo de Políticas de Información, ofreció otra: las diferencias culturales.

Los reguladores liberales en los países del norte de la UE, como Irlanda, no se verían cara a cara con sus colegas alemanes más legalistas o sus estatistas franceses y, por lo tanto, no querrían que miraran por encima de sus hombros. Y aunque tales diferencias han existido por mucho tiempo, se están volviendo más pronunciadas.

"Se rompieron algunas líneas y hay desconfianza" entre los reguladores, dijo Bellamy, cuyo grupo cuenta con Google y Facebook como miembros.

En ausencia de una fuerza centralizadora, los reguladores están comenzando a seguir adelante con sus propias acciones nacionales, lo que aumenta la posibilidad de tomar decisiones remotas que el GDPR intentó evitar con la disposición de "ventanilla única" que designaba al país sede de cada empresa como líder regulador.

La autoridad de Hamburgo en agosto dio el raro paso de activar un procedimiento de urgencia para proteger los derechos de privacidad de sus ciudadanos en un caso relacionado con el asistente de voz de Google. La medida, que llevó al regulador alemán a suspender temporalmente el procesamiento humano de las grabaciones de voz por parte de Google, sugirió que Hamburgo no podía esperar a que la autoridad supervisora ​​principal, en este caso Irlanda, actuara.

En otro caso, el regulador de privacidad de Bélgica solicitó al tribunal superior de Europa que aclare cuándo un regulador nacional puede avanzar con una investigación que preocupa a las personas en el país. El caso se remonta a 2015, cuando la autoridad belga ordenó a Facebook que dejara de usar una herramienta para rastrear a los usuarios en sitios web de terceros, solo para ver la decisión revocada por un tribunal que argumentó que Irlanda, no Bélgica, era el principal puerto regulador de la empresa. de convocatoria en Europa.

Al apelar ante el Tribunal de Justicia de las Comunidades Europeas, Bélgica quiere saber hasta qué punto se extiende su propia autoridad bajo la ventanilla única.

En Francia, el Reino Unido, Alemania, España y otros lugares, los reguladores están implementando diferentes posiciones en asuntos como las pautas de multas de GDPR, los límites en las cookies del navegador web y el reconocimiento facial.

Los críticos señalan con el dedo a la Junta Europea de Protección de Datos (EDPB), que está destinada a coordinar la acción entre los reguladores, ya que es necesario intensificar. En su revisión anual del GDPR, la Comisión Europea dijo que el EDPB debería asumir un papel de supervisión más fuerte para forjar posiciones de política común, una posición que el Consejo de la Unión Europea, que reúne a todos los estados de la UE, se hizo eco en diciembre.

Cuando se le preguntó si era hora de reevaluar la ventanilla única, un funcionario del regulador de la CNIL de Francia dijo que esa pregunta surgiría después de que se tomaran las primeras decisiones importantes.

Pero Jelinek dijo que su oficina no tiene mandato legal para hacer más. En última instancia, el problema podría aterrizar a las puertas del creador del GDPR, la Comisión Europea. Bajo el nuevo presidente, Ursula von der Leyen, el brazo ejecutivo del bloque se ha comprometido a afirmar la "soberanía digital" de Europa, un concepto que implica el uso de la ley antimonopolio para analizar cuestiones de monopolios de datos.

Pero ya, los funcionarios europeos de protección de datos están molestos por pisotear su territorio. En una conversación con POLITICO, el Supervisor Europeo de Protección de Datos, Wojciech Wiewiórowski, quien está a cargo de vigilar a las instituciones de la UE, envió una clara señal de que los reguladores de privacidad querían que los agentes antimonopolio permanecieran en su parche.

Eso deja a las agencias decidir entre ellas mismas si es necesaria una reforma de los estatutos actuales del GDPR y si se deben tomar medidas para impulsar a las autoridades principales. Los jugadores más grandes están cubriendo sus apuestas. Cuando se le preguntó si era hora de reevaluar la ventanilla única, un funcionario del regulador de la CNIL de Francia dijo que esa pregunta surgiría después de que se tomaran las primeras decisiones importantes.

"Estos procedimientos serán una ocasión para evaluar los mecanismos de cooperación previstos por la regulación y cualquier necesidad de mejorarlos", dijo el funcionario.

Quiere más análisis de POLITICO? POLITICO Pro es nuestro servicio de inteligencia premium para profesionales. Desde servicios financieros hasta comercio, tecnología, ciberseguridad y más, Pro ofrece inteligencia en tiempo real, información profunda y primicias que necesita para mantenerse un paso adelante. Email [email protected] para solicitar una prueba gratuita.



LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *