El líder de la Unión Europea El regulador de privacidad de la mayoría de las grandes tecnologías ha publicado su informe anual que muestra otro gran aumento en las quejas presentadas bajo el marco actualizado de protección de datos del bloque, lo que subraya el apetito continuo que los ciudadanos de la UE tienen por aplicar sus derechos.
Pero lo que el informe no muestra es una aplicación firme de las normas de protección de datos de la UE frente a las grandes tecnologías.
El informe se basa en gran medida en las estadísticas para ilustrar el volumen de trabajo acumulado en escritorios en Dublín. Pero es ligero en las decisiones sobre casos transfronterizos muy esperados que involucran a gigantes tecnológicos como Apple, Facebook, Google LinkedIn y Twitter
El Reglamento General de Protección de Datos (GDPR) comenzó a aplicarse en toda la UE en mayo de 2018, por lo que se acerca rápidamente a su segundo cumpleaños. Sin embargo, su expediente de cumplimiento en lo que respecta a los gigantes de la tecnología sigue siendo muy ligero, incluso para las empresas con una reputación mundial por estafar la privacidad de las personas .
Esto a pesar de que Irlanda tiene una gran cantidad de investigaciones abiertas transfronterizas sobre las prácticas de datos de gigantes de plataformas y adtech, algunas de las cuales se originaron a partir de quejas presentadas en el momento en que entró en vigencia el RGPD.
En el informe, la Comisión de Protección de Datos de Irlanda (DPC) señala que abrió otras seis consultas legales en relación con el "cumplimiento de las compañías de tecnología multinacionales con el RGPD", lo que eleva el número total de sondas importantes a 21. Entonces su archivo de "gran caso" continúa acumulándose. (Se agregaron al menos dos más desde entonces, con una investigación de Tinder y otra en el seguimiento de ubicación de Google abierta solo este mes).
El informe está mucho menos interesado en anunciar el hecho de que las decisiones sobre casos transfronterizos hasta la fecha siguen siendo un gran cero.
Sin embargo, la semana pasada , el DPC se planteó públicamente "preocupaciones" sobre el enfoque de Facebook para evaluar los impactos en la protección de datos de un próximo producto a la luz de los requisitos de GDPR para hacerlo, una intervención que resultó en un retraso para el lanzamiento regional del producto de citas de Facebook.
Esta discrepancia (casos transfronterizos: 21 - Decisiones de DPC irlandesas: 0), además de la creciente ira de los grupos de derechos civiles, expertos en privacidad, organizaciones de protección del consumidor y ciudadanos comunes de la UE por la escasez de aplicación emblemática en torno a las denuncias de privacidad clave, está claramente ejerciendo presión sobre El regulador. (Existen otros ejemplos de aplicación de GDPR de gran tecnología. Bueno, la CNIL de Francia es una ) .
En su defensa, el DPC tiene una carga de casos horrible. Como lo ilustran otras estadísticas, desea destacar, como decir que recibió un total de 7,215 quejas en 2019; un aumento del 75% en el número total (4,113) recibido en 2018. Un total de 6,904 de los cuales fueron atendidos bajo el GDPR (mientras que 311 quejas fueron presentadas bajo las Leyes de Protección de Datos 1988 y 2003).
También se notificaron 6.069 infracciones de seguridad de datos, según el informe, lo que representa un aumento del 71% en el número total (3.542) registrado el año pasado.
Mientras que se recibieron 457 quejas de procesamiento transfronterizo en Dublín a través del mecanismo One-Stop-Shop del GDPR. (Este es el dispositivo que ideó la Comisión para el enfoque de 'regulador principal' que está integrado en el RGPD y que ha llevado a Irlanda a la situación regulatoria. Tl; dr; otras agencias de protección de datos están pasando Dublín MUCHO papeleo).
El DPC necesariamente tiene que ir y venir en casos transfronterizos, ya que se vincula con otros reguladores interesados. Todo lo cual, se puede imaginar, crea una gran oportunidad para que los gigantes tecnológicos con licencia legal inyecten fricción adicional en el proceso de supervisión, al solicitar revisar y consultar todo. [Inserte el sonido de una lata siendo pegada por el camino]
Mientras tanto, la agencia que supuestamente debe regular la mayor parte de las grandes tecnologías (y muchas otras), que escribe en el informe anual que aumentó su personal a tiempo completo de 110 a 140 el año pasado, no obtuvo toda la financiación que solicitó del gobierno irlandés .
Por lo tanto, también tiene el límite máximo de su propio presupuesto para tener en cuenta (solo € 15.3M en 2019 ) frente a, por ejemplo, los $ 46.1BN de la matriz de Google, Alphabet, en ingresos de todo el año 2019. Entonces, er, haz los cálculos.
Sin embargo, la presión ahora está firmemente sobre Irlanda para que fluyan las principales fuerzas de cumplimiento del GDPR.
Un año de inacción importante en la aplicación de la ley podría archivarse en "ropa de cama"; pero dos años sin ninguna decisión importante no sería un buen aspecto. (Anteriormente ha dicho que las primeras decisiones llegarán a principios de este año, por lo que parece estar esperando tener algo que mostrar para el segundo cumpleaños de GDPR).
Algunas de las quejas de alto perfil que reclaman acciones regulatorias incluyen anuncios de comportamiento atendidos a través de publicidad programática de licitación en tiempo real (que el organismo de control de datos del Reino Unido ha admitido durante medio año es rampantemente ilegal ); pancartas de consentimiento de cookies (que siguen siendo un queso suizo de incumplimiento ); y las plataformas adtech obligan cínicamente a los usuarios a obtener el consentimiento al exigirles que acepten ser microtargeados con anuncios para acceder al servicio ('gratuito'). (La cuestión es que el RGPD estipula que el consentimiento como base legal debe otorgarse libremente y no puede combinarse con otras cosas, así que ...)
Divulgación completa: la empresa matriz de TechCrunch, Verizon Media (née Oath), también está bajo investigación en curso por el DPC, que está analizando si cumple con los requisitos de transparencia de GDPR según los artículos 12-14 del reglamento.
Tratando de darle un giro positivo a la falta total de 2019 de un gran cálculo de privacidad tecnológica, la comisionada Helen Dixon escribe en el informe: “2020 va a ser un año importante. Esperamos el juicio del TJUE en el caso de transferencia de datos de SCC ; El DPC presentará los primeros proyectos de decisión sobre investigaciones de gran tecnología a través del proceso de consulta con otras autoridades de protección de datos de la UE, y los académicos y los medios continuarán el trabajo sobresaliente que están haciendo para destacar las malas prácticas de datos personales ".
En otros comentarios a los medios, Dixon dijo: “En la Comisión de Protección de Datos, hemos estado ocupados durante 2019 emitiendo orientación a las organizaciones, resolviendo las quejas de los individuos, avanzando investigaciones a mayor escala, revisando violaciones de datos, ejerciendo nuestros poderes correctivos, cooperando con nuestros Contrapartes de la UE y mundiales y participar en litigios para garantizar un enfoque definitivo a la aplicación de la ley en ciertas áreas.
“Aún queda mucho por hacer en términos de orientar la aplicación proporcional y correcta de esta ley basada en principios y hacer cumplir la ley según corresponda. Pero un buen comienzo es la mitad de la batalla y el DPC está satisfecho con los cimientos que se establecieron en 2019. Ya estamos ampliando nuestro equipo de 140 para satisfacer las demandas de 2020 y más allá ”.
Una fecha notable este año también cae cuando GDPR cumple dos años, porque se avecina una revisión de la Comisión sobre cómo funciona la regulación en mayo.
Esa es una fecha límite que puede ayudar a concentrar las mentes en la emisión de decisiones.
Según el informe de DPC, la categoría más grande de quejas que recibió el año pasado se debió a problemas de 'solicitud de acceso', por lo que los controladores de datos no pueden entregar (a) todos los datos de las personas cuando se les solicitó, lo que representó el 29% del total; seguido de divulgación (19%); procesamiento justo (16%); quejas de marketing electrónico (8%); y derecho de borrado (5%).
En el frente de seguridad, la gran mayoría de las notificaciones recibidas por el DPC se relacionaron con la divulgación no autorizada de datos (es decir, violaciones), con un total en el sector público y privado de 5,188 frente a solo 108 por piratería (aunque la segunda categoría más grande se perdió en realidad o papel robado, con 345).
También hubo 161 notificaciones de phishing; 131 notificación de acceso no autorizado; 24 notificaciones de malware; y 17 de ransomeware.
No hay comentarios:
Publicar un comentario