Valiente, fabricante de un navegador a favor de la privacidad, ha presentado quejas ante la Comisión Europea contra 27 Estados miembros de la UE por la falta de recursos para sus vigilantes nacionales de protección de datos.
Está preguntando Unión Europea órgano ejecutivo para iniciar un procedimiento de infracción contra los gobiernos de los Estados miembros, e incluso remitirlos al tribunal superior del bloque, el Tribunal de Justicia de las Comunidades Europeas, si es necesario.
"El Artículo 52 (4) del GPDR (Reglamento General de Protección de Datos) requiere que los gobiernos nacionales den a las APD los recursos humanos y financieros necesarios para realizar sus tareas", señala en un presione soltar.
Valiente ha compilado un reporte para respaldar las quejas, en las que relata una drástica escasez de experiencia tecnológica y recursos presupuestarios entre las agencias de privacidad de Europa para hacer cumplir el marco de protección de datos de la región.
La falta de recursos adecuados para garantizar que los dientes de la regulación puedan frenar el mal comportamiento, como pretendían los redactores de la ley, ha sido una preocupación de larga data.
En el informe anual del perro guardián de datos irlandés en febrero , También conocida como la agencia que regula la mayor parte de la gran tecnología en Europa, la falta de decisiones en los principales casos transfronterizos contra una lista de gigantes tecnológicos se hizo grande, a pesar de un montón de relleno digno, con montones de estadísticas incluidas para ilustrar la gran cantidad carga de casos de quejas que la agencia está tratando ahora.
La desaceleración del presupuesto y el personal de Irlanda ante el creciente número de quejas de GDPR es una preocupación clave destacada por el informe de Brave.
Según el informe, la mitad de las agencias de protección de datos de la UE tiene lo que denomina un pequeño presupuesto (por debajo de los 5 millones de euros), mientras que solo cinco de los 28 encargados de hacer cumplir el RGPD de Europa tienen más de 10 "especialistas en tecnología", como los describe.
"Casi un tercio de los especialistas en tecnología de la UE trabajan para uno de los DPA (regionales) o federales de Alemania", advierte. "Todos los demás países de la UE están muy por detrás de Alemania".
"Los ejecutores del GDPR de Europa no tienen la capacidad de investigar Big Tech", es su conclusión de primera línea.
"Si el GDPR corre el riesgo de fallar, la culpa recae en los gobiernos nacionales, no en las autoridades de protección de datos", dijo el Dr. Johnny Ryan El jefe de políticas y relaciones con la industria de Brave, en un comunicado. “La aplicación robusta y conflictiva es esencial. Los encargados de hacer cumplir la GDPR deben poder investigar adecuadamente la "gran tecnología" y actuar sin temor a los llamamientos vejatorios. Pero los gobiernos nacionales de los países europeos no les han dado los recursos para hacerlo. La Comisión Europea debe intervenir ".
Vale la pena señalar que Brave no carece de interés comercial propio aquí. Absolutamente tiene piel en el juego, como proveedor de adtech sensible a la privacidad.
Ryan también ha sido un instigador clave de una serie de quejas estratégicas del GDPR – como los presentados contra ciertas prácticas generalizadas de la industria adtech. Es muy probable que el cumplimiento de la oferta en tiempo real de la publicidad programática sea de beneficio comercial para Brave, dado que está diseñado para operar un modelo diferente.
Pero tal interés comercial en la aplicación robusta y activa de GDPR no socava la carne de res de Brave, también conocida como: esa inacción regulatoria está vinculada a la falta de recursos de DPA.
De hecho, el ICO del Reino Unido tiene, er, blogueado varias veces sobre el problema sistémico de la tecnología adtech ilegal, pidiendo reiteradamente a la industria que se reforme. Pero en realidad no hacer nada cuando no lo hace.
Es solo este tipo de "jabón suave" de los reguladores, es decir, palabras, en lugar de la aplicación firme del RGPD, lo que está en la mira de Brave. Tampoco está solo quejarse de la falta de "mordida" GDPR; Los investigadores y las campañas de privacidad independientes han denominado la inacción reglamentaria en curso como una Fracaso "desastroso" eso está socavando el estado de derecho.
Nos comunicamos con la Comisión de Protección de Datos de Irlanda, la Junta Europea de Protección de Datos (EDPB), el Supervisor Europeo de Protección de Datos (EDPS) y el Comisión Europea para comentar el informe de Brave y preguntarles si creen que GDPR está funcionando según lo previsto.
Se avecina un hito importante con el cumpleaños de dos años del reglamento que se celebrará el próximo mes, que concentrará las mentes dentro de las instituciones de la UE.
Un portavoz del SEPD nos señaló esto documento conjunto con el EDPB, que se adoptó a mediados de febrero, antes de este proceso de evaluación más amplio para GDPR.
En una sección del documento sobre la aplicación, la evaluación encuentra "mayor atención y esfuerzo hacia la aplicación de las leyes de protección de datos por la mayoría de las SA" (autoridades de supervisión), y el EDPB señala que: "Las nuevas herramientas de aplicación proporcionadas por el GDPR y las SA hicieron uso de una amplia gama de medidas correctivas, es decir, no solo multas administrativas sino también advertencias y amonestaciones ".
En cuanto a las multas específicamente, la evaluación señala que entre el 25 de mayo de 2018 y el 30 de noviembre de 2019, un total de 22 agencias de protección de datos de la UE / EEE hicieron uso de este poder correctivo, con 785 multas emitidas en general (aunque alrededor de 110 de los cuales se refieren a infracciones anteriores a GDPR que entran en vigor).
"Solo 8 SA aún no han impuesto ninguna multa administrativa, aunque la mayoría de ellos tienen procedimientos en curso que podrían llevar a imponer una multa administrativa en el futuro cercano", señalan.
En términos de para qué multas se han emitido, el escrito que más se relaciona con los principios relacionados con el procesamiento de datos personales (Art. 5 GDPR); legalidad del procesamiento (Art. 6 GDPR); consentimiento válido (Art. 7 GDPR); procesamiento de categorías especiales de personal datos (Art. 9 GDPR); transparencia y derechos de los interesados (Art. 12 a 22 GDPR); seguridad de procesamiento y violaciones de datos (Art. 32 a 34 GDPR).
Actualizaremos este informe con cualquier otra respuesta al informe de Brave. También hemos preguntado a la Comisión si va a iniciar procedimientos de infracción contra algún Estado miembro.
Como se señaló anteriormente, la Comisión publicará una revisión de GDPR el próximo mes, a medida que el reglamento llegue a su segundo aniversario. Y aunque indudablemente se está llevando a cabo una gran cantidad de actividades de cumplimiento, lejos de los titulares llamativos, como las evaluaciones de impacto de datos; y notificaciones aceleradas de violación de datos, que proporcionarán un montón de relleno para el inminente informe de la Comisión, la mayor crítica en curso adjunta al GDPR es la falta de acción percibida sobre las principales quejas transfronterizas. Y, por lo tanto, la falta de aplicación contra las principales plataformas y gigantes tecnológicos.
Una multa de $ 57 millones para Google por parte de la CNIL de Francia nuevamente en Enero 2019 se destaca como una especie de excepción en el frente de las principales sanciones financieras para los gigantes tecnológicos.
Sin embargo, las multas parecen una mala palanca para impulsar la reforma de los gigantes tecnológicos ricos en recursos. Solo mire la multa de $ 5BN que Facebook negoció con los reguladores nacionales en los EE. UU., Un pequeño precio por su incumplimiento anterior de los requisitos regulatorios de los EE. UU. Las multas de tl; dr, incluso las que rompen récords, son una línea de gastos comerciales para las plataformas que operan a este nivel.
Por lo tanto, vale la pena señalar algunas intervenciones / advertencias de alto perfil por parte de las APD de la UE, que no involucraron sanciones financieras reales, han generado algunos cambios tangibles en la forma en que funcionan los sistemas de AI de asistente de voz.
El verano pasado, por ejemplo, se supo que la autoridad de protección de datos de Hamburgo, en alemán, había informado a Google de su intención de utilizar los poderes del Artículo 66 del RGPD para comenzar un "procedimiento de urgencia", que permite que un DPA ordene el procesamiento de datos para detener si cree que existe "una necesidad urgente de actuar para proteger los derechos y libertades de los interesados".
Solo la advertencia de que estaba a punto de liberar ese poder parecía ser suficiente para provocar la acción de Google, que suspendió las revisiones de audio manuales (humanas) del Asistente de Google en toda Europa.
Hubo cambios similares en el proceso de manzana y Amazonas – siguiendo la prensa regional y la atención reguladora. (Cambios globales, en el caso de Apple).
Entonces, la imagen sobre la aplicación de GDPR es un poco más matizada que solo "oye DPA, muéstranos el dinero".
No obstante, Irlanda sigue siendo un obvio "cuello de botella" para el funcionamiento de la regulación, lo que convierte a la agencia en una llamativa piñata para aquellos a quienes les gusta afirmar que GDPR no está funcionando.
El DPC no puede permanecer en este limbo crítico para siempre, por supuesto, no importa cuán preocupado esté evidentemente de que sus decisiones resistan las críticas legales y futuras revisiones judiciales de los gigantes tecnológicos.
Decisiones en los más de 20 casos transfronterizos. atrapado en su escritorio – incluidas las quejas contra Apple, Facebook, Google, LinkedIn, Twitter y la propia matriz de Heaven32, Verizon Media, por nombrar algunas, debe fluir eventualmente. Y, según comentarios anteriores, bastante rápido ahora, dadas las primeras decisiones programadas para "principios" de este año. (Espere el crisis del coronavirus para proporcionar alguna cobertura para cualquier retraso administrativo adicional).
Sin embargo, sean cuales sean esas decisiones cruciales, los críticos aún podrán responder que han llegado demasiado tarde para ser realmente efectivos.