/Primeras decisiones importantes de GDPR que se avecinan en Twitter y Facebook
Primeras decisiones importantes de GDPR que se avecinan en Twitter y Facebook

Primeras decisiones importantes de GDPR que se avecinan en Twitter y Facebook


El principal regulador de datos de gran parte de la gran tecnología en Europa se está moviendo inexorablemente hacia la emisión de su primera decisión GDPR transfronteriza importante, diciendo hoy que ha presentado un proyecto de decisión relacionado con los negocios de Twitter a sus colegas guardianes de la UE para su revisión.

“El proyecto de decisión se centra en si Twitter International Company ha cumplido con los artículos 33 (1) y 33 (5) del GDPR”, dijo la Comisión de Protección de Datos de Irlanda (DPC) en un comunicado.

El Reglamento general de protección de datos de Europa entró en vigencia hace dos años, como una actualización del Unión Europea marco de protección de datos de larga data que genera multas de gran tamaño por infracciones de cumplimiento. Más interesante aún, los reguladores tienen el poder de ordenar que cese la violación del procesamiento de datos. Mientras que, en muchos países de la UE, terceros como los grupos de derechos del consumidor pueden presentar quejas en nombre de las personas.

Desde que GDPR comenzó a aplicarse, ha habido miles de quejas presentadas en todo el bloque, dirigido a empresas grandes y pequeña – junto a un creciente clamor en torno a la falta de aplicación en los principales casos transfronterizos relacionados con la gran tecnología.

Por lo tanto, el momento del anuncio del DPC al llegar a un proyecto de decisión en su investigación de Twitter probablemente no sea accidental. (El aniversario real de la solicitud de GDPR es el 25 de mayo).

El proyecto de decisión se relaciona con una investigación que el regulador instigó a sí mismo, en noviembre de 2018, después de que la red social reportó una violación de datos, ya que los controladores de datos deben hacerlo con prontitud bajo GDPR, con el riesgo de sanciones si no lo hacen.

Otros perros guardianes de la UE interesados ​​(todos ellos en este caso) ahora tendrán un mes para considerar la decisión y presentar “objeciones razonadas y relevantes” si no están de acuerdo con el razonamiento del DPC, según el mecanismo de ventanilla única del GDPR que permite a la UE Los reguladores se vincularán en las consultas transfronterizas.

En los casos en que existe un desacuerdo entre las DPA sobre una decisión, el reglamento contiene un mecanismo de resolución de disputas (artículo 65), que recurre al Consejo Europeo de Protección de Datos (EDPB) para tomar una decisión final por mayoría.

En la decisión de Twitter, el DPC nos dijo que esperamos que esto se pueda finalizar en julio.

Notario Helen Dixon anteriormente dijo que las primeras decisiones transfronterizas llegarían “a principios” en 2020. Sin embargo, la complejidad de trabajar a través de nuevos procesos, como la ventanilla única, parece haber llevado a los reguladores de la UE más tiempo de lo esperado.

El DPC también está lidiando con una carga masiva de casos en este punto, con más de 20 investigaciones transfronterizas relacionados con quejas y / o consultas aún pendientes de decisiones, con sondeos activos sobre los hábitos de procesamiento de datos de un gran número de gigantes tecnológicos; incluidos Apple, Facebook, Google, Instagram, LinkedIn, Tinder, Verizon (empresa matriz de TechCrunch) y WhatsApp, además de su carga de trabajo nacional (que opera con un presupuesto que es considerablemente menos de lo solicitado del gobierno irlandés).

El alcance de algunas de estas importantes investigaciones transfronterizas también puede haber empantanado al regulador de Irlanda.

Pero, dos años después, hay señales de un impulso acelerado, con el subcomisionado del DPC, Graham Doyle, señalando hoy los desarrollos en cuatro investigaciones adicionales del grupo transfronterizo, todo lo cual preocupa Facebook plataformas propias.

El más avanzado de estos es una investigación sobre el nivel de transparencia que proporciona el gigante tecnológico sobre cómo los datos del usuario se comparten entre sus servicios de WhatsApp y Facebook.

“Hemos enviado esta semana un anteproyecto de decisión a WhatsApp Ireland Limited por sus presentaciones, que serán tomadas en cuenta por el DPC antes de preparar un proyecto de decisión en ese asunto también para los fines del Artículo 60 “, dijo Doyle en un comunicado al respecto. “La investigación sobre WhatsApp Irlanda examina su cumplimiento con los artículos 12 a 14 del GDPR en términos de transparencia, incluso en relación con la transparencia sobre qué información se comparte con Facebook”.

Los otros tres casos que el DPC dijo que está avanzando se relacionan con las quejas de consentimiento de GDPR presentadas de nuevo en Mayo de 2018 por los derechos de privacidad de la UE sin fines de lucro, noyb.

noyb argumenta que Facebook usa una estrategia de “consentimiento forzado” para continuar procesando los datos personales de las personas, cuando el estándar requerido por la ley de la UE es que los usuarios puedan elegir libremente, a menos que el consentimiento sea estrictamente necesario para la prestación del servicio. (Y noyb argumenta que los anuncios microtargeados no son fundamentales para la prestación de un servicio de redes sociales; en cambio, los anuncios contextuales podrían servirse, por ejemplo).

En enero de 2019, Google fue multado $ 57 millones por el organismo de control de datos de Francia, CNIL, sobre una queja similar.

Según su declaración de hoy, el DPC dijo que ahora ha completado la fase de investigación de esta investigación basada en quejas, que según él se centra en “las obligaciones de Facebook Irlanda de establecer una base legal para el procesamiento de datos personales”.

“Esta investigación se encuentra ahora en la fase de toma de decisiones en el DPC”, agregó.

En otros desarrollos relacionados, dijo que había enviado borradores de informes de investigación a los reclamantes y a las empresas interesadas por el mismo conjunto de quejas (propiedad de Facebook) Instagram y WhatsApp

Doyle se negó a dar un cronograma firme para cuando cualquiera de estas consultas adicionales podría dar lugar a decisiones finales. Pero una fecha de verano sería, presumiblemente, el plazo más temprano posible.

La esperanza del regulador parece ser que una vez que la primera decisión transfronteriza haya pasado por el mecanismo de ventanilla única del GDPR, y haya producido algo en lo que todos los DPA pueden suscribirse, engrasará las pistas para el próximo tramo de decisiones.

Dicho esto, no todas las consultas y decisiones son iguales claramente. Y lo que el DPC decida exactamente en sondas de tan alto perfil será clave para determinar si existe o no un desacuerdo con otras agencias de protección de datos. Diferentes DPA de la UE pueden tomar una línea más dura o más suave al aplicar las reglas del bloque, con algunos considerablemente más ‘Favorable a los negocios‘ que otros. Aunque, el GDPR tenía la intención de tratar de reducir las diferencias de aplicación.

Si hay desacuerdo entre los reguladores en los principales casos transfronterizos, como los de Facebook, el mecanismo de ventanilla única del GDPR requerirá más tiempo para encontrar el consenso. Por lo tanto, es probable que los críticos de la regulación aún tengan un área de ataque suficiente.

Es probable que algunas de las consultas que lleva a cabo el DPC también establezcan estándares que podrían tener implicaciones importantes para muchas plataformas y negocios digitales, por lo que habrá intereses creados que buscan influir en los resultados en todas las partes. Pero con GDPR llegando a su segundo cumpleaños, y todavía casi sin forma de decisión terrones extraídos de la gran tecnología – La presión regional para que las fuerzas policiales fluyan es masiva.

Dado el ritmo vertiginoso de los desarrollos tecnológicos, y el músculo del mercado de la gran tecnología que se aplica a los derechos individuales de las apisonadoras, los reguladores de la UE deben poder cerrar la brecha entre la investigación y la aplicación o ver su marco emblemático ridiculizado como un tigre de papel …

Schrems II

El verano también se perfila como un momento interesante para los observadores de la privacidad por otra razón, con una decisión histórica del 16 de julio por el tribunal superior de Europa sobre el llamado onEl caso de Schrems II (llamado así por el abogado austriaco, defensor de los derechos de privacidad y noyb fundador, Max Schrems, quien presentó la queja original), que se relaciona con la legalidad de las Cláusulas Contractuales Estándar (SCC) como un mecanismo para la transferencia de datos personales fuera de la UE.

La declaración del DPC de hoy apunta a señalar esta inminente decisión, con el regulador escribiendo: “El caso se refiere a procedimientos iniciados y llevados a cabo en el Tribunal Superior de Irlanda por el DPC que plantearon una serie de preguntas importantes sobre la regulación de las transferencias internacionales de datos bajo la UE ley de protección de datos. Se anticipa que la sentencia del TJUE a pie de la referencia hecha derivada de estos procedimientos traerá claridad muy necesaria a aspectos de la ley y representará un hito en la ley sobre transferencias internacionales “.

Una opinión legal emitida a finales del año pasado un influyente asesor del tribunal enfatizó que las autoridades de protección de datos de la UE tienen la obligación de intervenir y suspender las transferencias de datos por parte de SCC si se utilizan para enviar los datos de los ciudadanos a un lugar donde su información no puede protegerse adecuadamente.

Si el tribunal mantiene esa opinión, todas las DPA de la UE tendrán la obligación de considerar la legalidad de las transferencias de SCC a los Estados Unidos “caso por caso”, según Doyle.

“Será en cada caso en el que tendrías que ir y observar el conjunto de circunstancias en cada caso para juzgar si debes instruirlos para que dejen de hacerlo”. No habrá una talla única para todos “, dijo a TechCrunch. “Es una decisión extremadamente significativa”.

(Si tienes curiosidad sobre “Schrems I”, lee esto desde 2015.)





Source link