Hacia una Europa de la protección de datos: el camino es largo.

Vigilancia Legal No. 36 – Junio de 2021

Hacia una Europa de la protección de datos: el camino es largoEl Reglamento General de Protección de Datos suscitó muchas esperanzas en términos de claridad y eficacia cuando entró en vigor.

Si bien la Directiva europea que la sustituyó ya preveía un marco jurídico relativamente preciso y vinculante, el RGPD pretendía permitir una aplicación armonizada de estos principios, dondequiera que las empresas en cuestión estén situadas en la Unión Europea.

Las sanciones aplicables, revisadas al alza, también tuvieron que ser evaluadas por las autoridades supervisoras mediante una matriz de análisis coherente.

De hecho, parece haber muchos escollos que todavía limitan esta armonización tan esperada.

El comisario alemán Johannes Caspar, que termina su mandato tras doce años al frente de la autoridad de control del estado federado de Hamburgo, persiste y firma este mes de junio denunciando los fallos en la aplicación del RGPD.

La causa son los largos y complejos procedimientos que deben seguirse antes de que todas las autoridades reunidas en el Comité Europeo de Protección de Datos (CEPD).

El RGPD ha establecido un procedimiento denominado de «ventanilla única», que prevé la competencia de una autoridad principal, la del país del establecimiento principal de la empresa afectada por la investigación.

No obstante, esta autoridad principal debe colaborar con las demás autoridades nacionales interesadas en las distintas etapas del procedimiento.

En la práctica, las investigaciones están centralizadas bajo la autoridad irlandesa, competente para dirigir la mayoría de los casos contra las GAFAM establecidas en su territorio. Según informes, hay veintiocho procedimientos en curso ante dicha autoridad, criticada por la lentitud y laxitud de sus procedimientos con respecto a las grandes tecnológicas como Facebook y Twitter, lo que, según se informa, está dando lugar a largas y difíciles conversaciones con sus homólogos del SEPD.

El Comisario de la Autoridad de Hamburgo pide que las autoridades de control envíen señales claras y disuasorias a tiempo para que los responsables del tratamiento de datos cumplan de forma similar independientemente de su ubicación en la Unión Europea y sin distorsionar la competencia.

Cabe señalar que esta cuestión fue identificada por el propio Comité en su informe anual de 2020, y que mejorar la cooperación entre autoridades es una de sus prioridades para 2021-2022.

Añadamos que, si bien adolece de cierta complejidad procesal, el sistema de «ventanilla única» tiene sin embargo la ventaja de que cualquier ciudadano de la Unión Europea puede presentar una reclamación ante su autoridad nacional de control, incluso si el responsable del tratamiento de datos está establecido en otro país, siendo las autoridades competentes las encargadas de cooperar en la tramitación de la reclamación.

Si el denunciante no está satisfecho con el resultado de la investigación, también podrá buscar reparación en su propio país.

El Tribunal de Justicia de la Unión Europea también recordó en una sentencia del 15 de junio el margen de maniobra de las autoridades que no son las autoridades principales a la hora de tramitar una reclamación transfronteriza.

En el marco de un litigio entre Facebook (con sede en Irlanda) y la autoridad belga de protección de datos, el Tribunal consideró que la autoridad belga, aunque no fuera la autoridad principal, podía denunciar ante los tribunales belgas determinadas violaciones del RGPD por parte de Facebook.

No obstante, estas condiciones se limitan a casos de emergencia (artículo 66 del RGPD) o a casos locales (artículo 56.2 del RGPD). Por lo tanto, esta sentencia no supone el fin de la ventanilla única, sino que tiende a especificar las excepciones a su aplicación. El principio de cooperación entre autoridades sigue siendo, por lo tanto, la norma.

Y también

Francia:

El 30 de junio, la CNIL publicó la tercera versión de su software diseñado para facilitar los análisis de impacto sobre la vida privada.

Esta nueva versión guía a los directivos en la realización de sus análisis de impacto y permite el desarrollo de bases de conocimiento paralelas a las proporcionadas por la CNIL.

La comisión restringida de la CNIL impuso a la empresa una multa de 500.000 euros. Bricoprivé para

• Envío de correos electrónicos de prospección sin el consentimiento de las personas y no cumplimiento de varias otras obligaciones del RGPD:
  • El incumplimiento de los plazos de conservación de datos que la empresa se había fijado,
  • El incumplimiento de las obligaciones de información y del derecho de supresión de los datos, y
  • Falta de contraseñas fuertes en cuanto a aspectos de seguridad de datos.

La CNIL también ha detectado el uso de cookies sin el consentimiento del usuario.

Europa:

El 4 de junio, la Comisión Europea publicó una nueva versión de las cláusulas contractuales tipo, destinadas a facilitar las transferencias internacionales de datos.

Estas cláusulas tienen en cuenta las consecuencias de la sentencia Schrems II del Tribunal de Justicia de las Comunidades Europeas relativa a los riesgos de acceso a los datos por parte de las autoridades de terceros países, en particular en un contexto de seguridad nacional.

Al mismo tiempo, el Comité Europeo de Protección de Datos emitió el 18 de junio unas recomendaciones destinadas a orientar a los responsables del tratamiento de datos en el análisis de dichos riesgos de interceptación de datos y permitirles adoptar medidas de protección adicionales.

Inteligencia artificial:

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos han publicado conjuntamente un llamamiento para prohibir el uso de IA para

• Reconocimiento automático de datos biométricos en espacios públicos,
• Puntuación social, incluso a través de las redes sociales, y
• El uso de IA para identificar el estado emocional de las personas.

Esta posición se hace eco de la publicación de la propuesta de la Comisión Europea sobre IA el 21 de abril.

Transferencias internacionales de datos:

La Comisión Europea publicó sus recomendaciones el 28 de junio Decisiones de adecuación relativas al Reino Unido.

Uno se refiere a los requisitos del RGPD y el otro a la directiva europea sobre el tratamiento policial.

Un nuevo elemento es que la Comisión está insertando un "cláusula de extinción" que limita el período de validez de las decisiones a cuatro años.

Las decisiones podrán renovarse si el nivel de protección en el Reino Unido aún cumple con los requisitos europeos.

Las áreas de preocupación incluyen los planes de Gran Bretaña para nuevos acuerdos de libre comercio y flujo de datos con las economías emergentes.

Bélgica está en el punto de mira de la Comisión Europea, que ha iniciado un procedimiento por infracción del RGPD relativo a la independencia de su autoridad de protección de datos.

La razón es la membresía de varios de sus integrantes en entidades gubernamentales.

Internacional :

Una coalición internacional de más de 55 organizaciones de protección del consumidor, de libertades civiles y no gubernamentales pide la prohibición de la publicidad basada en el seguimiento y la elaboración de perfiles de personas físicas.

El motivo de esta postura fue un informe del Consejo Noruego de Consumidores, que reveló las consecuencias que tienen para la sociedad las prácticas de vigilancia en materia comercial.

El 16 de junio, la Comisión Europea inició un procedimiento destinado a reconocer la Adecuación de la protección de datos en Corea del Sur.

Las autoridades chinas anunciaron el 10 de junio la adopción de una ley relativa a la seguridad de los datos, que también tiene como objetivo proteger los derechos e intereses de las personas cuyos datos son objeto de tratamiento.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.