Paralelamente a la ominosa advertencia de la FTC al Twitter de Elon Musk ayer, de que “ningún director ejecutivo o empresa está por encima de la ley”, el principal regulador de la plataforma de microblogging en la Unión Europea está en su caso a raíz de los altos funcionarios a cargo de la seguridad y la privacidad. Cumplimiento saliendo por la puerta.
Graham Doyle, comisionado adjunto de la Comisión de Protección de Datos de Irlanda (DPC), que actualmente dirige la supervisión de Twitter bajo el Reglamento General de Protección de Datos (GDPR) de la UE, le dijo a TechCrunch que está en contacto con la compañía luego de que los medios informaron ayer que su oficial de protección de datos ( DPO) había dimitido.
A principios de la próxima semana se llevará a cabo una reunión entre el DPC y Twitter, según Doyle. También nos confirmó que Twitter no había informado al regulador de la partida del DPO antes de los informes de los medios.
Obtener claridad sobre la situación del DPO será una de las prioridades de la agenda de la reunión, según Doyle.
Pero dijo que el regulador ahora tiene otra preocupación que quiere discutir con Twitter: si el establecimiento principal de Twitter, para fines de GDPR, todavía se encuentra en Irlanda…
Próxima parada: ¿Se detuvo la ventanilla única?
“Uno de los temas que queremos discutir es el tema del establecimiento principal”, dijo Doyle a TechCrunch. “Están obligados a tener un oficial de protección de datos y proporcionarnos los detalles, pero igualmente, bajo la [GDPR] mecanismo de ventanilla única (OSS) para lograr que un establecimiento principal se comprometa con un regulador, los procesos de toma de decisiones, en términos del procesamiento de datos de la UE, deben tener lugar en ese país. Ese es uno de los principios del establecimiento principal. Y lo que queremos establecer es que ese sigue siendo el caso de Twitter”.
El hecho de que Irlanda sea el principal regulador de Twitter para el RGPD bajo el OSS es importante porque pone al organismo de control irlandés en el asiento del conductor cuando se trata de abrir consultas (o no), o de actuar sobre inquietudes sobre el cumplimiento de Twitter (como el seguimiento de la ONU). -Notificado dimisión de su DPO ahora). Desde el punto de vista de Twitter, el acuerdo es ventajoso porque agiliza el cumplimiento, ya que solo necesita comunicarse con un regulador (principal) sobre cualquier problema, en lugar de manejar la entrada de múltiples agencias de protección de datos (potencialmente en diferentes idiomas).
Irlanda tiene una función de supervisor principal para Twitter porque la empresa pudo notificar a su oficina de Dublín como su “establecimiento principal” en la UE, lo que el reglamento denomina el lugar de la “administración central en la Unión” o “donde está el principal las actividades de tratamiento tienen lugar en la Unión”.
Sin embargo, si se considerara que Twitter ya no tiene esta base de procesamiento en Irlanda, habría una reconfiguración regulatoria inmediata y las autoridades de protección de datos en todo el bloque, desde cualquiera de los 27 Estados miembros de la UE, podrían instigar investigaciones o actuar sobre las quejas locales por sí mismos, poniendo en marcha aumentar la complejidad regulatoria, la velocidad y el riesgo para el negocio europeo de Twitter.
Con Musk recortando el 50% de la plantilla de Twitter a nivel mundial la semana pasada, y una “carnicería” informada en la oficina irlandesa, según un tiempos irlandeses informe que decía que más del 50 % del personal local se vio afectado: surgieron dudas en Dublín sobre la estabilidad de su estado de establecimiento principal para el RGPD.
“Nos hemos puesto en contacto con Twitter… Y para nosotros, uno de los temas que queremos discutir con ellos es el tema del establecimiento principal: ¿hay algún cambio? Con el anuncio de las salidas, incluido el DPO, ¿hay planes para cambiar el proceso de toma de decisiones que les permite aprovechar el establecimiento principal”, reiteró Doyle.
Los informes de que no todo estaba bien en los niveles superiores de la función de seguridad y privacidad de Twitter se derramaron en Twitter ayer por la tarde.
Los periodistas de plataformas, Casey Newton y Zoë Schiffer, informaron que el CISO de Twitter, el director de privacidad y el director de cumplimiento han renunciado, citando mensajes compartidos en Twitter Slack que habían obtenido.
Poco después, Cat Zakrzewski del Washington Post tuiteó que el DPC irlandés estaba “buscando más información” de Twitter.
Según los mensajes compartidos en Twitter Slack, el CISO de Twitter, la oficina principal de privacidad y el director de cumplimiento renunciaron anoche.
Un empleado dice que dependerá de los ingenieros “autocertificar el cumplimiento de los requisitos de la FTC y otras leyes”.
—Casey Newton (@CaseyNewton) 10 de noviembre de 2022
NUEVO: Un alto miembro del equipo legal de Twitter acaba de publicar este mensaje en Slack: “Todos deben saber que nuestro CISO, Director de Privacidad y Director de Cumplimiento TODOS renunciaron anoche. Esta noticia quedará enterrada en el drama del regreso a la oficina. Creo que es intencional”.
— Zoe Schiffer (@ZoeSchiffer) 10 de noviembre de 2022
La CISO de Twitter, Lea Kissner, confirmó más tarde su partida en un tweet, al igual que damien kieran, ahora ex director de privacidad de Twitter. Mientras que Marianne Fogarty, (supuestamente ex) directora de cumplimiento de Twitter, tuiteó lo que puede ser una confirmación indirecta demasiado tarde ayer, escribiendo: “Los jueves de terapia han adquirido un nuevo significado últimamente. #AmoTwitter”.
Las consultas a la línea de prensa de Twitter no han sido respondidas desde que Musk asumió el cargo, por lo que no ha sido posible obtener una línea oficial sobre lo que está sucediendo.
El departamento de comunicaciones de la compañía parece haber sido una gran víctima de la reducción del 50% de la plantilla que Musk aplicó rápidamente al asumir el control, con el personal de prensa despedido por completo o casi por completo.
Tampoco está claro cuántos empleados de Twitter en Irlanda fueron despedidos la semana pasada. La empresa no tiene la obligación de informar las cifras generales de despidos a la DPC. Tampoco está claro el criterio que un regulador debe usar para evaluar el establecimiento principal, ya que no está estipulado en el propio RGPD, sino que se deja que los reguladores lo determinen. (Sobre la determinación del establecimiento principal, el reglamento establece: “El establecimiento principal de un responsable del tratamiento en la Unión debe determinarse de acuerdo con criterios objetivos y debe implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del procesamiento a través de arreglos estables”, estipulando además que “el criterio no debe depender de si el procesamiento de datos personales se lleva a cabo en ese lugar” ni debe “la presencia y el uso de medios técnicos y tecnologías para procesar datos personales o actividades de procesamiento” ser un factor determinante criterios. Por lo tanto, es bastante más definitivo sobre lo que no es necesario declarar establecimiento principal que lo que es, dando a los reguladores un margen de maniobra en cualquier evaluación que hagan sobre esto).
Cuando se le preguntó sobre la evaluación del establecimiento principal, Doyle dijo que el estado depende de que la instalación de toma de decisiones para el procesamiento de datos de la UE esté ubicada en el país, aunque dijo que eso no significa necesariamente que el DPO deba tener su sede local. (El ahora ex DPO de Twitter, Kieran, parece haber tenido su sede en San Francisco, según su LinkedIn perfil.)
“La clave para nosotros es que se nos notifica, sabemos quién es el RPD, tenemos los datos de contacto y [the DPO is] localizable en cualquier momento que necesitemos contactar con él o ella. Por ley no tienen que estar geográficamente en un lugar específico”, también nos dijo. “Tenemos que saber quiénes son y tener todos los detalles. Pero la pieza clave es que la pieza de toma de decisiones, para aprovechar el establecimiento principal, debe estar ocurriendo en el país donde está establecido principal”.
“Si eso cambia, y la toma de decisiones no ocurre aquí en Irlanda, todas las autoridades de supervisión son competentes para regularlas”, agregó Doyle.
Si Musk es capaz de entender lo que está en juego para Twitter aquí es un punto discutible. Con tantos miembros del personal central de cumplimiento de Twitter ahora fuera de la puerta, y un círculo interno de techbros y sí-men que rodean al multimillonario y animan su troleo, eso parece muy cuestionable.
Musk también tiene un historial de trolear a los reguladores, por lo que no es inconcebible que esté muy relajado al ignorar las implicaciones para el cumplimiento legal de Twitter, lo que (o debería) aumentaría las preocupaciones del DPC, lo que haría más probable la pérdida del estatus de establecimiento principal. Después de lo cual, al cruzar Rubicon, Musk se siguió riendo tontamente todo el camino desde ‘joder’ hasta ‘descubrir’, llegaría a un punto cero regulatorio para la protección de datos en la UE, en el que cualquier DPA en todo el bloque que juzga que hay un riesgo a la información de los usuarios de Twitter en su país estaría facultado para perseguir directamente a su empresa. Así que, básicamente, supervisor principal regulatorio libre para todos versus cuidadosamente cultivado.
(Para ver un ejemplo de la diferencia que esto puede hacer, vea cómo la CNIL de Francia recibió una multa anticipada de GDPR en Google en 2019, antes de que este último reclamara el establecimiento principal en Irlanda y redirigir las preocupaciones transfronterizas a través de Irlanda, frenando la aplicación de GDPR a medida que la velocidad de la supervisión regulatoria se comprimió en el cuello de botella del OSS; aún sin más multas importantes de GDPR para Google desde la de CNIL).
OPD o GTFO
Cuando se trata del problema de DPO, el problema de Twitter es más pequeño, pero aún podría ser un problema del tipo “punta del iceberg”.
Sin duda, deberá designar un reemplazo para Kieran, al menos mientras su servicio permanezca disponible para los usuarios de la región. Según el RGPD, las entidades que procesan ciertos tipos de datos (y/o procesan datos personales a una escala suficiente, como lo hace Twitter) tienen el deber de designar un oficial de protección de datos (DPO), que debe ser un experto independiente y contar con los recursos adecuados para hacer el trabajo; por lo tanto, su partida por renuncia (junto con varios colegas senior de cumplimiento) indica un problema.
La función del DPO es actuar como punto de contacto para los reguladores (como el DPC), así como asesorar y ayudar en el control del cumplimiento interno de las obligaciones de protección de datos, por ejemplo, brindando orientación para compilar las Evaluaciones de impacto de la protección de datos (DPIA). Se requiere experiencia e independencia para el puesto. (Entonces, no, Musk no puede simplemente nombrarse a sí mismo o a uno de sus títeres idiotas ‘Jefe DPO’ y esperar que este problema desaparezca).
El cumplimiento también es, por supuesto, un requisito continuo, por lo que este problema es un viaje interminable, no un destino. Como mínimo, Twitter necesita comunicarse con los reguladores para informarles sobre los cambios clave y, bajo Musk, ni siquiera está haciendo eso.
El desarrollo de productos bajo Musk también parece una pesadilla de cumplimiento. Su versión caótica de Twitter Blue obviamente iba a causar problemas de suplantación de identidad, que estallaron inmediatamente después de su lanzamiento. Y lanzar sin pensar productos que podrían presentar riesgos informativos para cientos de millones de usuarios va directamente en contra del espíritu y la intención de la regulación europea de protección de datos.
Dado el rápido ritmo de lanzamiento del producto de suscripción Twitter Blue renovado de Musk, es difícil ver cómo, por ejemplo, se podría haber llevado a cabo correctamente una DPIA para evaluar los riesgos antes del lanzamiento, lo que puede explicar en parte la renuncia de Kieran y otras personas de alto nivel de cumplimiento. si sintieran que simplemente no podían realizar su trabajo.
Qué persona adecuadamente calificada aceptaría a sabiendas asumir tal papel en estas condiciones es otra gran pregunta. Cualquiera que esté lo suficientemente calificado para ser el DPO de Twitter puede concluir rápidamente que no es posible hacer el trabajo, al menos no bajo el jefe Twit actual.
Y, como se señaló anteriormente, si Musk intenta trollear a los reguladores al hacer una cita de broma, solo invitará a un mayor escrutinio y socavará aún más la relación de Twitter con los organismos de supervisión, lo que aumentará su riesgo regulatorio. (Además del DPC, la FTC y la Comisión Europea tienen razones apremiantes para estar al tanto de lo que Musk está haciendo en Twitter).
Las sanciones por incumplimiento del RGPD pueden escalar hasta el 4% de la facturación anual global para las infracciones más graves (por lo que no son insignificantes en el máximo teórico). Aunque las multas por no designar correctamente un DPO (o notificar una salida) no entrarían, por lo general, en esa categoría principal.
La aplicación de entrega de alimentos Glovo fue multada con 25 000 € por la DPA de España por no designar un DPO en 2020, por ejemplo, mientras que la DPA belga emitió una multa de 50 000 € a una entidad no revelada el mismo año por nombrar un jefe de cumplimiento, auditoría y riesgo. como DPO, después de que descubrió que creaba un conflicto de intereses.
Mientras tanto, la única multa de GDPR de Twitter hasta la fecha fue una multa de $ 550k, emitida en diciembre de 2020, por no declarar de inmediato y documentar adecuadamente una violación de datos. Tan bastante pequeña cerveza.
Sin embargo, Twitter bajo Musk es claramente un animal muy diferente. Y en un contexto tan drásticamente cambiado, todas las apuestas están canceladas sobre cómo van a responder los reguladores.