Récord de multas por vulnerar la protección de datos pese al cuello de botella de Irlanda
Bruselas acaba de fallar que el envío de datos de ciudadanos europeos a EE UU a través de Google Analytics atenta contra normas comunitarias
Proteger los datos de carácter personal es una obligación muy seria. En el último año se han impuesto multas en la Unión Europea por valor de casi 1.100 millones de euros debido a infracciones del Reglamento Europeo de Protección de Datos, lo que representa un aumento interanual del 594%.
No en vano, en 2021 tuvieron lugar las dos sanciones más cuantiosas de la historia: la de la autoridad de Luxemburgo, que condenó a Amazon a pagar 746 millones de euros; y la de la agencia irlandesa, que hizo lo mismo con WhatsApp. Aunque en el primer caso se mantienen reservados muchos detalles, la aplicación de mensajería fue castigada con 225 millones por no informar a sus usuarios de cómo estaba compartiendo su información con Facebook.
España no se queda atrás. Desde 2018 es el quinto país que ha sancionado con más dinero a las organizaciones, por detrás de Italia o Alemania. En total, 61 millones de euros debido a infracciones en materia de privacidad. Así lo pone de manifiesto un reciente informe elaborado por el despacho internacional de abogados DLA Piper en vísperas del día europeo de la protección de datos, que se celebra este viernes.
Como explica Diego Ramos, socio responsable del área de Propiedad Intelectual y Tecnología en DLA Piper España, las infracciones más frecuentes en nuestro país son “los incumplimientos de los deberes de notificación a la Agencia Española de Protección de Datos o a los interesados”. Esto ocurre, por ejemplo, cuando se produce una brecha de datos, es decir, un incidente de seguridad que ocasiona la destrucción, pérdida o alteración accidental de información personal. “Se tiende a poner el foco demasiadas veces en solucionar el problema, considerando, erróneamente, que las notificaciones son menos importantes, pero cumplen una función fundamental”.
Sin embargo, el jurista incide en que las infracciones “más graves” son por “no alcanzar el nivel de transparencia en la información a los interesados”.
En esta línea se enmarca, por ejemplo, la sanción que el pasado marzo la autoridad española le impuso a Vodafone, aunque ha sido recurrida, por un importe récord de 8,15 millones de euros debido a la actividad de mercadotecnia que realizaba mediante llamadas, mails o mensajes de texto. Comunicaciones que no habían sido expresamente autorizadas por las personas que las recibían o que se dirigían a usuarios que habían pedido su inclusión en la conocida como Lista Robinson, el directorio al que se adscriben quienes no quieren recibir publicidad.
Ventanilla única
En la actualidad, y tras varios años de rodaje del Reglamento Europeo de Protección de Datos, uno de los asuntos que más llaman la atención es el cuello de botella que está suponiendo la autoridad irlandesa para la resolución de las reclamaciones de protección de datos. No en vano, la mayoría de las grandes empresas infractoras, tecnológicas de origen estadounidense, tienen allí el establecimiento principal del responsable de la información. Una circunstancia que hace que su autoridad nacional sea la competente para tramitar estos expedientes en virtud de lo que se conoce como ventanilla única. Pese a la carga de trabajo, según una investigación del Consejo Irlandés de Libertades Civiles (ICCL), el país solo ha resuelto el 2% de las 164 grandes reclamaciones presentadas en 2021 contra las multinacionales tecnológicas.
Una situación que podría cambiar. Como explica Paloma Arribas, socia de Baylos, la firma de propiedad industrial e intelectual, “es previsible que haya modificaciones a raíz de la sentencia del pasado mes de junio del Tribunal de Justicia de la Unión Europea en el asunto C-645/19, de Facebook contra la autoridad de protección de datos belga, que dinamiten el principio de ventanilla única”. Del contencioso resulta “la posibilidad de que cada una de las autoridades de control tramite las reclamaciones que afecten esencialmente a los ciudadanos del país en el que esté establecida la agencia de protección de datos, incluso no siendo la autoridad principal”.
Las 'cookies' de Google Analytics
Schrems II. Uno de los grandes desafíos a los que se enfrentan las organizaciones es el de la transferencia de datos personales desde Europa a terceros países a raíz de la histórica sentencia Schrems II del Tribunal de Justicia de la Unión Europea de 2020. La resolución invalidó el escudo de protección de la privacidad (Privacy Shield) entre la Unión y EE UU por no cumplir los estándares normativos comunitarios. Según explica Joaquin Muñoz, socio de Privacidad del bufete Bird & Bird, los retos actuales de las empresas que transfieren datos son “la adopción de medidas y garantías tanto a nivel contractual como técnico u organizativo y su reevaluación periódica para confirmar su validez”. También “el análisis de la regulación del país receptor de los datos y su posible afectación a los derechos de los interesados”.
Google Analytics. El Supervisor Europeo de Protección de Datos acaba de sancionar al Parlamento Europeo por infringir el Reglamento de Protección de Datos al usar Google Analytics. Considera que las cookies de esta herramienta de métrica que utilizan numerosas páginas web son datos personales que deben ser tratados y protegidos como tales. La decisión es una de las primeras que aplica el fallo de la sentencia Schrems II para decir que hubo transferencia de datos a EE UU sin garantizar un nivel adecuado de protección.