El Comisionado de Protección de Datos de Irlanda (DPC), que es responsable de regular las grandes empresas de tecnología con sede en Irlanda, ha pedido métricas objetivas para medir la efectividad de los reguladores de protección de datos europeos.
Los comentarios de la comisionada de protección de datos de Irlanda, Helen Dixon, siguen a las quejas de que el DPC no está haciendo frente a las grandes empresas tecnológicas, como Facebook y Microsoft.
El Consejo Irlandés para las Libertades Civiles argumentó el año pasado que Irlanda no ha tomado decisiones sobre las grandes empresas tecnológicas, lo que ha dejado la aplicación de la Unión Europea (UE) “paralizada”.
Esta semana, la denunciante de Facebook, Frances Haugen, dijo a un comité parlamentario irlandés que debería haber una revisión independiente de la regulación de la gran tecnología del DPC irlandés.
Dixon usó su informe anual publicado esta semana para argumentar que los reguladores de datos de la UE deben acordar métricas para medir la efectividad de la aplicación.
“Si el objetivo colectivo de todos nosotros es garantizar una mejor protección de las personas contra el uso indebido de sus datos personales y, de hecho, garantizar que no estén en desventaja por la ‘implementación excesiva de GDPR [General Data Protection Regulation] reglas’, los tipos de métricas cuantitativas y cualitativas que deben evaluarse deben establecerse cuidadosamente”, dijo.
“Además, se deben establecer prioridades de cumplimiento y se debe rastrear y analizar el impacto de las diferentes medidas y sanciones de cumplimiento a lo largo del tiempo para determinar el impacto y la relación calidad-precio”, agregó.
“Sin embargo, tales métricas deben superar tanto los ejercicios superficiales como las suposiciones en el sentido de que cuanto mayor sea la multa, mayor será el cambio de comportamiento que presagia”, escribió en el DPC. informe anual 2021.
Cumplimiento de GDPR en riesgo de daño
Dixon dijo que “al menos en algunos aspectos”, el DPC necesita hacerlo mejor y que sería beneficioso para los reguladores tener una “comprensión compartida” de las medidas que están rastreando.
“En ausencia de un conjunto de medidas acordadas para determinar los logros o las deficiencias, la situación del régimen de aplicación del RGPD en términos generales corre el riesgo de sufrir daños”, dijo.
Dixon dijo que este era particularmente el caso “cuando ciertos tipos de acusaciones” formuladas contra el DPC irlandés “sirven solo para oscurecer la verdadera naturaleza y el alcance de los desafíos” presentados por el marco regulatorio de la UE, que requiere que los estados miembros legislen para la aplicación. de protección de datos en toda la UE.
“Operamos en un entorno en el que, tal como están las cosas, no existe un estándar acordado para medir el impacto y el éxito (o no) de nuestras intervenciones regulatorias”, dijo Dixon.
Eso ha creado un vacío y “ha surgido una narrativa en la que la cantidad de casos, la cantidad y el tamaño de las multas administrativas impuestas se tratan como la única medida del éxito, informada por la efectividad de las sanciones financieras” para impulsar cambios en el comportamiento. .
Luxemburgo e Irlanda fueron citados en la parte superior de una tabla de clasificación de multas en la UE, pero esto nos dice poco sobre cuán efectiva ha sido la regulación bajo GDPR, afirmó Dixon.
Las cifras que comparan el número de casos regulatorios transfronterizos también brindan poca información significativa, ya que las decisiones varían ampliamente en complejidad y los procedimientos de investigación aplicados.
Dixon dijo que, por ejemplo, una decisión del DPC “que ocupa varios cientos de páginas, toca los procesos complejos de grandes organizaciones multinacionales e impacta a millones de personas se mide junto con un tratamiento de dos líneas de un problema comparativamente simple. cuestión que tiene ramificaciones mínimas para los interesados en general”.
“Claramente, este no es un medio informativo para medir el éxito (o no) del RGPD”, agregó.
El DPC está trabajando junto con otras autoridades de protección de datos para acordar un conjunto de métricas para medir los resultados regulatorios en toda la UE “sobre una base similar”, con el fin de abordar las preguntas sobre la efectividad de las intervenciones regulatorias, triste Dixon.
Regulación de la gran tecnología
Dixon dijo que gran parte de los comentarios públicos en la UE sobre la efectividad de la regulación de protección de datos se contrastaron con las preocupaciones sobre el control ejercido por las plataformas de redes sociales a gran escala.
En Europa, dijo, “no hay duda” de que, incluso teniendo en cuenta sus imperfecciones, el RGPD continuará brindando “el mejor marco disponible dentro del cual los derechos de protección de datos de las personas pueden reivindicarse de manera más efectiva”.
“Necesitamos identificar, con precisión, los daños y riesgos particulares que buscamos reducir y/o eliminar”, agregó.
Dixon dijo que no es función del DPC ni de ninguna autoridad de protección de datos apuntar a “todas las manifestaciones” del poder ejercido por las plataformas tecnológicas.
El DPC cuestionó la efectividad de la “ventanilla única” de la UE que permite que las empresas de tecnología estén reguladas por la autoridad de protección de datos de un solo país, en lugar de por múltiples autoridades de protección de datos en Europa.
Dijo que la ventanilla única había simplificado los desafíos regulatorios y administrativos que enfrentan las empresas de tecnología, pero que había tenido menos éxito en garantizar una interpretación armonizada de GDPR y crear un campo de juego nivelado en todos los estados miembros de la UE.
Dixon dijo que no toda la actividad de las empresas multinacionales cae dentro del alcance de los acuerdos de ventanilla única, lo que lleva a decisiones de diferentes órganos de supervisión de la UE que son difíciles de conciliar.
“Que tanta actividad transfronteriza pueda permanecer fuera de la ventanilla única pone en duda la efectividad de los esfuerzos de coordinación que estaban destinados a ser una característica de la regulación de las operaciones de procesamiento transfronterizo”, dijo. “También se puede decir que socava la idea central del RGPD: que se podría crear un campo de juego nivelado en toda Europa”.
Investigaciones y decisiones transfronterizas
A finales de 2021, la DPC tenía en marcha 30 investigaciones transfronterizas, según el informe anual.
Incluyen tres investigaciones en curso en Facebook, ahora conocido como Meta, que examinan las violaciones de datos, el procesamiento de datos de niños en Instagram de Facebook y la base legal en la que se basa Facebook para procesar datos personales.
Tras las denuncias del abogado austriaco Max Schrems, el DPC busca comentarios de Facebook sobre la legalidad de las transferencias de datos de la UE a los EE. UU., además de comentarios sobre la base legal para que Instagram y WhatsApp procesen datos personales.
Se están realizando otras investigaciones sobre empresas de tecnología: esto incluye a Google sobre su procesamiento de datos de ubicación, LinkedIn sobre su procesamiento de datos personales para publicidad, así como Apple, Twitter, Yahoo y TikTok.
La DPC recibió 10.888 consultas y denuncias de particulares en 2021, lo que supone un incremento del 7% respecto a las cifras de 2020, de las cuales 8.017 habían sido concluidas a cierre de año.
En una decisión notable, la DPC impuso una multa de €225 millones en WhatsApp por una variedad de fallas de cumplimiento en 2021.
El DPC presentó ocho proyectos de decisión transfronterizos en toda la UE para su revisión por parte de otras autoridades de protección de datos entre mayo de 2018 y diciembre de 2021.
Aunque la mayoría de las autoridades de protección de datos han estado de acuerdo con los proyectos de decisión del DPC, Alemania ha presentado seis objeciones, Italia y Polonia cinco, los Países Bajos y Francia cuatro.
Se han resuelto dos decisiones, dos están pendientes de resolución de disputas y el DPC está considerando cuatro que tienen objeciones en su contra.