La falta de decisiones de GDPR de gran tecnología ocupa un lugar destacado en el informe anual de vigilancia de la UE – TechCrunch


El plomo Unión Europea regulador de privacidad para la mayoría de las grandes tecnologías ha sacado su reporte anual el cual muestra otro gran golpe en las quejas presentadas bajo el marco actualizado de protección de datos del bloque, subrayando el apetito continuo que los ciudadanos de la UE tienen para aplicar sus derechos.

Pero lo que el informe no muestra es una aplicación firme de las normas de protección de datos de la UE frente a las grandes tecnologías.

El informe se basa en gran medida en las estadísticas para ilustrar el volumen de trabajo acumulado en escritorios en Dublín. Pero es ligero en las decisiones sobre casos transfronterizos muy esperados que involucran a gigantes tecnológicos, incluidos Manzana, Facebook, Google LinkedIn y Twitter

El Reglamento General de Protección de Datos (GDPR) comenzó a aplicarse en toda la UE en mayo de 2018, por lo que se acerca rápidamente a su segundo cumpleaños. Sin embargo, su expediente de cumplimiento en lo que respecta a los gigantes tecnológicos sigue siendo muy ligero, incluso para empresas con una reputación mundial por arrancando la privacidad de las personas.

Esto a pesar de que Irlanda tiene una gran cantidad de investigaciones transfronterizas abiertas sobre las prácticas de datos de gigantes de plataformas y adtech, algunas de las cuales se originaron en quejas presentadas en este momento GDPR entró en vigor.

En el informe, la Comisión de Protección de Datos de Irlanda (DPC) señala que abrió otras seis consultas legales en relación con el "cumplimiento de las compañías de tecnología multinacionales con el RGPD", lo que eleva el número total de sondas importantes a 21. Entonces su archivo de "gran caso" continúa acumulándose. (Se agregaron al menos dos más desde entonces, con una sonda de yesca

y otro en Seguimiento de ubicación de Google abrió solo este mes).

El informe está mucho menos interesado en anunciar el hecho de que las decisiones sobre casos transfronterizos hasta la fecha siguen siendo un gran cero.

Aunque, solo la semana pasada, el DPC hizo un punto de plantear públicamente "preocupaciones" sobre el enfoque de Facebook para evaluar los impactos de protección de datos de un producto próximo a la luz de los requisitos de GDPR para hacerlo, una intervención que resultó en un retraso en el lanzamiento regional del producto de citas de Facebook.

Esta discrepancia (casos transfronterizos: 21 – Decisiones de DPC irlandesas: 0), además de la creciente ira de los grupos de derechos civiles, expertos en privacidad, organizaciones de protección del consumidor y ciudadanos comunes de la UE por la escasez de la aplicación emblemática en torno a las denuncias de privacidad clave está ejerciendo presión sobre El regulador. (Existen otros ejemplos de aplicación de GDPR de gran tecnología. Bueno, La CNIL de Francia es una.

)

En su defensa, el DPC tiene una carga de casos horrible. Como lo ilustran otras estadísticas, es importante destacar, como decir recibió un total de 7,215 quejas en 2019; un aumento del 75% en el número total (4,113) recibido en 2018. Un total de 6,904 de los cuales fueron atendidos bajo el GDPR (mientras que 311 quejas fueron presentadas bajo las Leyes de Protección de Datos 1988 y 2003).

También se notificaron 6.069 infracciones de seguridad de datos, según el informe, lo que representa un aumento del 71% en el número total (3.542) registrado el año pasado.

Si bien se recibieron 457 quejas de procesamiento transfronterizo en Dublín a través del mecanismo One-Stop-Shop del GDPR. (Este es el dispositivo que ideó la Comisión para el enfoque del "regulador principal" que está integrado en el RGPD y que ha colocado a Irlanda en el asiento regulatorio. Tl; dr; otras agencias de protección de datos están pasando a Dublín MUCHO papeleo).

El DPC necesariamente tiene que ir y venir en casos transfronterizos, ya que se vincula con otros reguladores interesados. Todo lo cual, se puede imaginar, crea una gran oportunidad para que los gigantes tecnológicos con licencia legal inyecten fricción adicional en el proceso de supervisión, al solicitar revisar y consultar todo. (Inserte el sonido de una lata que se mueve por el camino)

Mientras tanto, la agencia que supuestamente regula la mayor parte de las grandes tecnologías (y muchas otras), que escribe en el informe anual que aumentó su personal a tiempo completo de 110 a 140 el año pasado, no obtuvo toda la financiación que le pidió al gobierno irlandés .

Por lo tanto, también tiene el límite máximo de su propio presupuesto para tener en cuenta (solo 15,3 millones de euros en 2019

) frente a, por ejemplo, los ingresos de $ 46.1BN de Alphabet padre de Google en ingresos de todo el año 2019. Entonces, er, haz los cálculos.

Sin embargo, la presión ahora está firmemente sobre Irlanda para que fluyan las principales fuerzas de cumplimiento del GDPR.

Un año de inacción importante en la aplicación de la ley podría archivarse en "ropa de cama"; pero dos años sin ninguna decisión importante no sería un buen aspecto. (Anteriormente dijo que las primeras decisiones se tomarán a principios de este año, por lo que parece estar esperando tener algo que mostrar para el segundo cumpleaños de GDPR).

Algunas de las quejas de alto perfil que reclaman medidas regulatorias incluyen anuncios de comportamiento atendidos a través de publicidad programática de licitación en tiempo real (que el organismo de control de datos del Reino Unido tiene admitido por medio año es rampantemente ilegal); banners de consentimiento de cookies (que permanecen un queso suizo de incumplimiento); y las plataformas adtech obligan cínicamente a los usuarios a obtener el consentimiento al exigirles que acepten ser microtargeados con anuncios para acceder al servicio ("gratuito"). (La cuestión es que el RGPD estipula que el consentimiento como base legal debe otorgarse libremente y no puede combinarse con otras cosas, así que …)

Divulgación completa: la empresa matriz de TechCrunch, Verizon Media (née Oath), también está bajo investigación en curso por el DPC, que está analizando si cumple con los requisitos de transparencia de GDPR según los artículos 12-14 del reglamento.

Tratando de darle un giro positivo a la falta total de una gran estimación de privacidad tecnológica, comisionado Helen Dixon escribe en el informe: “2020 va a ser un año importante. Esperamos la sentencia del TJUE en el Caso de transferencia de datos de SCC; El DPC presentará los primeros proyectos de decisión sobre investigaciones de gran tecnología a través del proceso de consulta con otras autoridades de protección de datos de la UE, y los académicos y los medios continuarán el trabajo sobresaliente que están haciendo para destacar las malas prácticas de datos personales ".

En otros comentarios a los medios, Dixon dijo: “En la Comisión de Protección de Datos, hemos estado ocupados durante 2019 emitiendo orientación a las organizaciones, resolviendo las quejas de los individuos, avanzando investigaciones a mayor escala, revisando violaciones de datos, ejerciendo nuestros poderes correctivos, cooperando con nuestros Contrapartes de la UE y mundiales y participar en litigios para garantizar un enfoque definitivo a la aplicación de la ley en ciertas áreas.

“Aún queda mucho por hacer en términos de orientar la aplicación proporcional y correcta de esta ley basada en principios y hacer cumplir la ley según corresponda. Pero un buen comienzo es la mitad de la batalla y el DPC está satisfecho con los cimientos que se establecieron en 2019. Ya estamos ampliando nuestro equipo de 140 para satisfacer las demandas de 2020 y más allá ”.

Una fecha notable este año también cae cuando GDPR cumple dos años, porque se avecina una revisión de la Comisión sobre cómo funciona la regulación en mayo.

Esa es una fecha límite que puede ayudar a concentrar las mentes en la toma de decisiones.

Según el informe de DPC, la categoría más grande de quejas que recibió el año pasado se debió a problemas de "solicitud de acceso", por lo que los controladores de datos no pueden entregar (todas) los datos de las personas cuando se les solicitó, lo que representaba el 29% del total; seguido de divulgación (19%); procesamiento justo (16%); quejas de marketing electrónico (8%); y derecho de borrado (5%).

En el frente de seguridad, la gran mayoría de las notificaciones recibidas por el DPC se relacionaron con la divulgación no autorizada de datos (también conocido como violaciones), con un total en el sector público y privado de 5,188 frente a solo 108 por piratería (aunque la segunda categoría más grande se perdió en realidad o papel robado, con 345).

También hubo 161 notificaciones de phishing; 131 notificación de acceso no autorizado; 24 notificaciones de malware; y 17 de ransomeware.

LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *