Qué está pasando en las agencias de privacidad y por qué Bruselas las va a atar en corto
Bruselas tiene en la normativa de privacidad su gran caballo de batalla frente al poder de los gigantes digitales de EEUU. Tanto los altos funcionarios comunitarios como los políticos nacionales hablan a menudo de las grandes salvaguardas que estableció el Reglamento General de Protección de Datos (RGPD), en vigor desde 2018. Parte de su misión y el motivo por la que la UE esperaba que las tecnológicas lo temieran son las cuantiosas multas que recoge para aquellos que se lo salten, con sanciones de hasta un 4% de la facturación anual global para las infracciones más graves. Pero cinco años después, esas multas ejemplarizantes no están llegando y Bruselas va a tomar cartas en el asunto.
El motivo del atasco no es ningún secreto para los especialistas en privacidad. El Reglamento encargó a las agencias de cada país la misión de investigar a las tecnológicas que se establecieran en su territorio. En la práctica, eso dejó en manos de los gobiernos nacionales la decisión de decidir con qué intensidad investigar las violaciones de privacidad que afectan a ciudadanos de todo el continente. Bruselas sospecha que algunos no están siendo todo lo efectivos que deberían en esa labor y están motivando que haya tapones que benefician a las multinacionales de su territorio, por lo que ha decidido atarlas y corto y supervisar su labor.
“La Comisión Europea solicitará a todas las autoridades nacionales supervisoras de protección de datos que compartan con la Comisión, con carácter bimensual y estrictamente confidencial, una visión general de las investigaciones transfronterizas a gran escala”, avisa un comunicado publicado esta semana por el Ejecutivo Comunitario. Cada una deberá enviar cada dos meses sus avances en las investigaciones que afecten a ciudadanos de varios territorios y justificar los retrasos.
La nota no cita ningún país en concreto pero todas las miradas se han dirigido a una isla: Irlanda. En Dublín y sus alrededores se encuentran las sedes europeas de compañías como Meta (Facebook, Instagram y WhatsApp), Amazon, Google, Apple, Microsoft, Airbnb, IBM, Oracle o Intel. “Todas esas empresas están en Irlanda por una cuestión fiscal y lo que le dicen al gobierno irlandés es: vamos a llevarnos bien. El gobierno irlandés no dota de los medios suficientes a la autoridad de protección de datos irlandesa y eso hace que todos los procesos se ralenticen”, explica Borja Adsuara, abogado especialista en protección de datos.
Todas esas empresas están en Irlanda por una cuestión fiscal y lo que le dicen al gobierno irlandés es: 'vamos a llevarnos bien'
La decisión de Bruselas de empezar a supervisar la labor de todas las autoridades de privacidad nacionales llega además a raíz de una protesta por la actuación de la Agencia irlandesa, que ha tardado casi cinco años en decidir que la vía en la que Facebook e Instagram recaban el consentimiento de sus usuarios para hacer publicidad personalizada es ilegal. La decisión, una de las más trascendentales de la protección de datos europea por el efecto cascada que puede tener sobre las prácticas de otras compañías, se produjo a raíz de una denuncia contra Facebook interpuesta el mismo día de la entrada en vigor del reglamento, el 25 de mayo de 2018. La multa de 400 millones (que incluye una orden contra Meta para que cambie sus métodos antes de tres meses) se publicó el 4 enero de este año.
Unos días antes de la resolución el número dos del organismo que coordina a las autoridades de protección de cada país había protestado por la lentitud irlandesa. “Afecta a la credibilidad de todo el sistema”, afeó Leonardo Cervera, director del Supervisor Europeo de Protección de Datos, en una entrevista con elDiario.es. “Quizá no habría que mirar tanto a los compañeros de la agencia como al gobierno irlandés, que no está invirtiendo lo suficiente en una autoridad que es clave para el funcionamiento del Reglamento”, coincidía.
Irlanda quería menos multa para Facebook
El organismo que dirige Cervera se vio obligado a intervenir en la resolución contra Facebook. El motivo es que varias agencias nacionales se habían mostrado disconformes con el borrador inicial que les había enviado Irlanda, tanto en el fondo como en la cifra que le iba a costar a Meta el hecho de haber incumplido la regulación comunitaria durante cinco años. El Supervisor Europeo ordenó a Dublín aumentar la cuantía y la severidad de la sanción.
Según ha revelado el denunciante original, que no es otro que el joven abogado austríaco Max Schrems, los planes de la agencia irlandesa eran imponer una multa de entre 28 y 36 millones de euros a Meta. “Es menos del 10% de lo que estableció finalmente el Supervisor Europeo”, ha recalcado Schrems, recordando que la multa la ingresará Irlanda, no él como denunciante, ni Noyb (la ONG proprivacidad fundada por el activista) ni el Supervisor Europeo. “La sanción irá a parar a Irlanda, el Estado que se ha puesto de parte de Meta y ha retrasado la ejecución durante más de cuatro años. Este caso será probablemente recurrido por Meta, lo que supondrá más costes para Noyb”, avisaba.
Efectivamente, Meta anunció poco después que recurriría ante los tribunales la decisión. “Creemos firmemente que nuestro enfoque respeta el RGPD, por lo que estamos decepcionados por estas decisiones y tenemos la intención de recurrir tanto el fondo de las sentencias como las multas”, afirmó la multinacional. También quiso recalcar que la resolución declaraba ilegal la base jurídica de los anuncios personalizados de Facebook e Instagram, no los anuncios en sí.
Antes los grandes casos permanecían latentes durante años. Ahora deberíamos ver una aceleración en la investigación y la aplicación, y estará claro dónde la Comisión Europea necesita tomar medidas
La polémica alrededor de la autoridad irlandesa terminó saldándose con una queja formal de una ONG del país, el Irish Council for Civil Liberties, ante la que Bruselas ha decidido actuar. “El nuevo compromiso de la Comisión Europea debería transformar la aplicación de la legislación europea en materia digital y de datos. Antes, los grandes casos permanecían latentes durante años. Ahora, deberíamos ver una aceleración en la investigación y la aplicación, y estará claro dónde la Comisión Europea necesita tomar medidas rápidas contra los Estados miembros que no aplican el RGPD. Esto anuncia el comienzo de una verdadera aplicación del Reglamento, y de una aplicación europea seria contra las grandes tecnológicas”, ha celebrado el director de la ONG.
Adsuara coincide en la interpretación. “Bruselas está enseñando la patita para que sean las agencias nacionales las que protesten en defensa de sus ciudadanos cuando la autoridad líder, que normalmente siempre es Irlanda, no haga nada nada”, concluye.
3