Un nuevo reporte del grupo paraguas europeo de protección al consumidor Beuc, al reflexionar sobre las barreras para la aplicación transfronteriza efectiva del marco de protección de datos insignia de la UE, resulta una lectura incómoda para los legisladores y reguladores regionales que buscan dar forma a las próximas décadas de supervisión digital en todo el bloque.
Los miembros de Beuc presentaron una serie de quejas contra el uso de datos de ubicación por parte de Google en Noviembre de 2018 – pero unos dos años después de plantear preocupaciones sobre la privacidad, no se han resuelto las quejas.
El gigante tecnológico continúa generando miles de millones en ingresos publicitarios, incluso procesando y monetizando los datos de ubicación de los usuarios de Internet. Su supervisor principal de protección de datos, bajo GDPR Mecanismo de ventanilla única para tratar las quejas transfronterizas, la Comisión de Protección de Datos de Irlanda (DPC), finalmente abrió una investigación en febrero este año.
Pero aún podrían pasar años antes de que Google se enfrente a cualquier acción reguladora en Europa relacionada con el seguimiento de su ubicación.
Esto se debe a que el DPC de Irlanda aún no ha emitido alguna decisiones transfronterizas del RGPD, unos 2,5 años después de que comenzara a aplicarse la regulación. (Aunque, como informamos recientemente, un caso relacionado con una violación de datos de Twitter avanza poco a poco hacia un resultado en los próximos días).
Por el contrario, el organismo de control de datos de Francia, la CNIL, pudo completar una investigación de GDPR sobre la transparencia del procesamiento de datos de Google en orden mucho más rápida
Este verano Los tribunales franceses también confirmaron la multa de 57 millones de dólares que emitió, desestimando la apelación de Google.
Pero el caso es anterior a que Google entrara bajo la jurisdicción del DPC. Y el regulador de datos de Irlanda tiene que lidiar con un número desproporcionado de empresas tecnológicas multinacionales, dada la cantidad de empresas que han establecido su base de la UE en el país.
El DPC tiene una gran acumulación de casos transfronterizos, con más de 20 sondas de GDPR que involucran a varias empresas de tecnología, incluidas Apple, Facebook / WhatsApp y LinkedIn. (Google también ha estado bajo investigación en Irlanda por su adtech desde 2019.)
Esta semana, el comisionado del mercado de Internet de la UE, Thierry Breton, dijo que los legis ladores regionales conocen bien “cuellos de botella” de aplicación
Sugirió que la comisión ha aprendí lecciones de esta fricción, afirmando que garantizará que preocupaciones similares no afecten el funcionamiento futuro de un propuesta normativa relacionada con la reutilización de datos que estaba hablando en público para presentar.
La comisión quiere crear condiciones estándar para reutilización respetuosa de los derechos de datos industriales en toda la UE, a través de una nueva Ley de Gobernanza de Datos (DGA), que propone mecanismos de supervisión similares a los involucrados en la supervisión de datos personales de la UE, incluidas las agencias nacionales que monitorean el cumplimiento y un órgano de dirección centralizado de la UE (que planean llamar el European Data Innovation Board como entidad espejo de la European Data Protection Board).
La ambiciosa agenda de la comisión para actualizar y expandir el marco de reglas digitales de la UE significa que la crítica al GDPR corre el riesgo de quitarle brillo a la DGA antes de que la tinta se seque en el documento de la propuesta – poniendo presionar a los legisladores para que encuentren formas creativas de desbloquear el “cuello de botella” de la aplicación del RGPD. (Creativo porque las agencias nacionales son responsables de la supervisión diaria y los estados miembros son responsables de dotar de recursos a las APD).
En una revisión inicial del RGPD este verano, la comisión elogió el reglamento como una “legislación moderna y horizontal” y un “punto de referencia global”, afirmando que ha servido como punto de inspiración para los CCPA y otros marcos emergentes de privacidad digital en todo el mundo.
Pero también admitieron que falta la aplicación del RGPD.
La mejor respuesta a esta preocupación “será una decisión de la autoridad irlandesa de protección de datos sobre casos importantes”, dijo el comisionado de justicia de la UE, Didier Reynders, en junio.
Cinco meses después, los ciudadanos europeos siguen esperando.
Informe de Beuc, que se llama “El camino largo y sinuoso: dos años del RGPD: un caso de protección de datos transfronteriza desde la perspectiva del consumidor” – detalla los obstáculos de procedimiento a los que se han enfrentado sus organizaciones miembros al tratar de obtener una decisión relacionada con las quejas originales, que fueron presentadas ante una variedad de APD de la UE.
Esto incluye las preocupaciones de la DPC irlandesa que hace innecesarios “controles de información y admisibilidad”; además de rechazar las quejas presentadas por una organización interesada alegando que carecen de un mandato según la ley irlandesa, porque no permite la reparación de terceros (sin embargo, la organización de consumidores holandesa había presentado la queja según la ley holandesa que sí…).
El informe también pregunta por qué el DPC eligió abrir su propia investigación voluntaria sobre las actividades de datos de ubicación de Google (en lugar de una investigación basada en quejas), lo que, según Beuc, corre el riesgo de una mayor demora para llegar a una decisión sobre las quejas en sí.
Además, señala que la investigación del DPC sobre Google solo analiza la actividad desde febrero de 2020, no desde noviembre de 2018, cuando se presentaron las quejas, lo que significa que falta una parte del procesamiento de datos de ubicación de Google que ni siquiera se está investigando todavía.
Señala que tres de sus organizaciones miembros involucradas en las quejas de Google habían considerado solicitar una revisión judicial de la decisión de la DPC (NB: otras han recurrió a esa ruta
El informe también señala el desequilibrio inherente del mecanismo de ventanilla única del GDPR que traslada la administración de las quejas a la ubicación de las empresas investigadas, argumentando que, por lo tanto, se benefician de un “acceso más fácil a la justicia” (en comparación con el consumidor común que se enfrenta a emprender procedimientos legales en un país e idioma (probable) diferente).
“Si la autoridad principal está en un país con tradición en el ‘derecho consuetudinario’, como Irlanda, las cosas pueden volverse aún más complejas y costosas”, señala además el informe de Beuc.
Otro problema que plantea es el principal de las quejas de derechos que tienen que luchar contra lo que denomina “un objetivo móvil”, dado que las empresas de tecnología con recursos suficientes pueden aprovechar las demoras regulatorias para modificar (superficialmente) las prácticas, engrasando el abuso continuo con campañas de relaciones públicas engañosas. (Algo de lo que Beuc acusa a Google).
Las APD deben “adaptar su enfoque de aplicación para intervenir más rápida y directamente”. concluye.
“Han pasado más de dos años desde que el GDPR se hizo aplicable, ahora hemos llegado a un punto de inflexión. El RGPD debe finalmente mostrar su fuerza y convertirse en un catalizador para los cambios que se necesitan con urgencia en las prácticas comerciales ”, continúa Beuc en un resumen de sus recomendaciones. “La experiencia de nuestros miembros y la de otras organizaciones de la sociedad civil, revela una serie de obstáculos que dificultan significativamente la aplicación efectiva del RGPD y el correcto funcionamiento de su sistema de aplicación.
“BEUC recomienda a las autoridades nacionales y de la UE pertinentes que realicen un esfuerzo global y conjunto para garantizar la rápida aplicación de las normas y mejorar la posición de los interesados y sus organizaciones representantes, especialmente en el marco de los casos de ejecución transfronteriza “.
Nos comunicamos con la Comisión y la DPC irlandesa con preguntas sobre el informe. Pero al momento de escribir este artículo ninguno había respondido. También le hemos pedido un comentario a Google.
Actualizar: El comisionado adjunto de la DPC, Graham Doyle, nos dijo que el motivo por el que decidió abrir una investigación “prospectiva” sobre las prácticas de ubicación de Google a principios de 2020 era que quería poder investigar “en tiempo real” en lugar de intentar volver atrás y replicar cómo eran las cosas.
Doyle también dijo que las quejas de Google relacionadas con la ubicación se habían presentado ante diferentes DPA en momentos diferentes, lo que significa que algunas quejas habían tardado mucho más en llegar a Irlanda que en noviembre de 2018, lo que genera dudas sobre la eficiencia de los procedimientos actuales para que las DPA europeas envíen quejas a un supervisor principal.
“Las denuncias en cuestión fueron presentadas ante distintas Autoridades de Control en fechas distintas a noviembre de 2018”, dijo. “La DPC recibió estas quejas en julio de 2019, tras lo cual nos comprometimos con Beuc. Luego abrimos una investigación por voluntad propia en febrero de 2020 de una manera que nos permitirá realizar pruebas en tiempo real para evidenciar nuestros hallazgos “.
Beuc envió anteriormente una lista de ocho recomendaciones para una aplicación “eficiente” del RGPD a la comisión en mayo.
Actualización II: Un portavoz de la comisión señaló su anterior evaluación del GDPR este verano, señalando las acciones de seguimiento a las que se comprometió en ese momento, como la continuación de los intercambios bilaterales con los estados miembros sobre la implementación adecuada de la regulación.
También dijo que “continuar utilizando todas las herramientas a su alcance para fomentar el cumplimiento por parte de los Estados miembros de sus obligaciones ”, incluyendo, potencialmente, la iniciación de procedimientos de infracción si es necesario.
Acciones de seguimiento adicionales relacionadas con la “implementación y complementación” del marco legal que se detalla en el informe incluyeron Apoyar “más intercambios de opiniones y prácticas nacionales entre los Estados miembros sobre temas que están sujetos a más especificaciones a nivel nacional para reducir el nivel de fragmentación del mercado único, como el procesamiento de datos personales relacionados con la salud y la investigación, o que están sujetos a equilibrio con otros derechos como la libertad de expresión ”; y empujar para “una aplicación coherente del marco de protección de datos en relación con las nuevas tecnologías para apoyar la innovación y los desarrollos tecnológicos”.
La comisión también dijo que usaría el Grupo de expertos de los Estados miembros del RGPD para “facilitar los debates y el intercambio de experiencias entre los estados miembros y con la comisión”, con miras a mejorar el funcionamiento del reglamento.
En el área del sistema de gobernanza de GDPR, los legisladores de la UE se comprometieron a continuar monitoreando la efectividad e independencia de las APD nacionales, y dijeron que trabajarían para Fomentar la cooperación entre reguladores (“en particular en ámbitos como la competencia, las comunicaciones electrónicas, la seguridad de las redes y los sistemas de información y la política del consumidor”), al mismo tiempo que se apoya al EDPB para evaluar cómo podrían mejorarse los procedimientos relacionados con los casos transfronterizos.