Un informe del principal organismo de control de datos para un gran número de gigantes tecnológicos que operan en Europa muestra un aumento significativo de las quejas de privacidad y las notificaciones de violación de datos desde que el marco de privacidad actualizado de la región entró en vigor en mayo pasado.
El informe anual de la Comisión de Protección de Datos de Irlanda (DPC), publicado hoy, cubre el período del 25 de mayo, también conocido como el día en que entró en vigor el Reglamento General de Protección de Datos (GDPR) de la UE, hasta el 31 de diciembre de 2018, y muestra que el DPC recibió más del doble. la cantidad de quejas post-GDPR frente a la primera porción de 2018 antes de que entrara el nuevo régimen: con 2,864 y 1,249 quejas recibidas respectivamente.
Eso hace un total de 4,113 quejas para todo el año 2018 (frente a 2,642 en 2017). Que es un aumento interanual del 36 por ciento.
Pero el aumento anterior y posterior al GDPR es aún mayor (56 por ciento), lo que sugiere que la regulación está funcionando según lo previsto al generar impulso y apoyo para que las personas ejerzan sus derechos fundamentales.
“El fenómeno que es el [GDPR] ha demostrado una cosa por encima de todo: el interés y el apetito de las personas por entender y controlar el uso de sus datos personales no es más que un reflejo de la apatía y el fatalismo ", escribe Helen Dixon, Comisionado de Irlanda para la protección de datos.
Agrega que el aumento en el número de quejas y consultas a las APD en toda la UE desde el 25 de mayo demuestra "un nuevo nivel de movilización a la acción por parte de los individuos para abordar lo que ven como mal uso o falta de explicación adecuada de lo que se está haciendo". con sus datos ”.
Mientras que Europa ha tenido reglas de privacidad en línea desde 1995, un régimen de aplicación débil esencialmente les permitió ser ignorados durante décadas, y las compañías de Internet capturan y explotan los datos de los usuarios de Internet sin tener en cuenta y respetar los derechos de privacidad de Europa.
Pero los reguladores presionaron el botón de reinicio el año pasado. Y el organismo de vigilancia de datos de Irlanda es una agencia especialmente interesante para observar si está interesado en evaluar cómo funciona GDPR, dado que muchos gigantes tecnológicos han elegido colocar sus flujos de datos internacionales bajo la supervisión del DPC irlandés.
Más quejas transfronterizas
"La función impone al DPC un importante deber de salvaguardar los derechos de protección de datos de cientos de millones de personas en toda la UE, un deber que el GDPR exige que el DPC cumpla en cooperación con otras autoridades de supervisión", escribe el DPC en el informe. , discutiendo su rol de autoridad supervisora para múltiples multinacionales tecnológicas y reconociendo tanto un "rol muy ampliado bajo el GDPR" como un "aumento significativo de la carga de trabajo".
Un desglose de los tipos de quejas de GDPR frente a la Ley de protección de datos de 1998 a lo largo del período del informe sugiere que las quejas dirigidas a entidades multinacionales se han disparado bajo el nuevo régimen de DP.
Para algunos tipos de quejas, las reglas anteriores dieron como resultado que solo el 2 por ciento de las quejas se dirigieran a multinacionales, frente a cerca de un cuarto (22 por ciento) en las mismas categorías bajo el GDPR.
Es la diferencia más marcada entre las reglas antiguas y las nuevas: subrayar la carga de trabajo ampliada del DPC al actuar como un centro (y, a menudo, agencia de supervisión principal) para las quejas transfronterizas bajo el mecanismo de ventanilla única de GDPR.
La categoría con la mayor proporción de quejas bajo GDPR durante el período del informe fue derechos de acceso (30%): el DPC recibió un total de 582 quejas relacionadas con las personas que sienten que no están obteniendo los datos correspondientes. Los derechos de acceso también se quejaron más bajo las reglas de datos anteriores durante este período.
Otros tipos de quejas prominentes continúan siendo el procesamiento injusto de datos (285 quejas GDPR frente a 178 bajo la DPA); revelación (217 vs 138); y marketing directo electrónico (111 vs 36).
La intención de los formuladores de políticas de la UE con GDPR es corregir el desequilibrio de los derechos débilmente aplicados, incluso creando nuevas oportunidades de aplicación a través de un régimen de multas de gran tamaño. (GDPR permite multas de hasta el 4% del volumen de negocios anual, y en enero, el regulador francés de datos abofeteó a Google con una multa de $ 57M GDPR relacionada con la transparencia y el consentimiento, aunque todavía muy lejos de ese máximo teórico).
Es importante destacar que el reglamento también introdujo una opción de reparación colectiva que ha sido adoptada por algunos Estados miembros de la UE.
Esto permite que las organizaciones de terceros, como los grupos de derechos de los consumidores, presenten quejas de protección de datos en nombre de los individuos. La disposición ha dado lugar a una serie de quejas estratégicas presentadas por expertos organizados desde el pasado mes de mayo (incluso en el caso de la multa de Google mencionada anteriormente), lo que generó un impulso para la acción colectiva de los consumidores para contrarrestar la erosión de los derechos. De nuevo, eso es importante en un área compleja que sigue siendo difícil para los consumidores navegar sin la ayuda de expertos.
Para las quejas confirmadas, la "opción nuclear" de GDPR no es multas; es la capacidad de las agencias de protección de datos para ordenar a los controladores de datos que dejen de procesar los datos.
Esa sigue siendo la herramienta más importante en la caja de herramientas de regulación. Y dependiendo del resultado de varias quejas GDPR estratégicas en curso, podría ser enormemente significativo en la remodelación de lo que los expertos creen que son incursiones de privacidad sistemáticas por parte de los gigantes de la plataforma adtech.
Y mientras que los gigantes tecnológicos bien dotados de recursos pueden tener en cuenta incluso multas financieras muy sustanciosas, como solo un costo de hacer un negocio muy lucrativo, los modelos de negocios centrados en los datos podrían ser mucho más precarios si los procesadores pueden recibir una bofetada repentina con una orden de Limitar o incluso dejar de procesar los datos. (De hecho, el negocio de Facebook acaba de ocurrir en Alemania, donde los reguladores antimonopolio han estado en contacto con los vigilantes de la privacidad).
Notificaciones de violación de datos también hasta
GDPR también destaca por la seguridad: requiere privacidad por diseño y por defecto e introduce un requisito universal para informar rápidamente las violaciones de datos en todo el bloque, nuevamente con sanciones muy severas por el incumplimiento.
En el frente de la violación de datos, el DPC irlandés dice que recibió un total de 3,687 notificaciones de violación de datos entre el 25 de mayo y el 31 de diciembre del año pasado; al encontrar solo el cuatro por ciento (145 casos) no cumplía con la definición de una violación de datos personales establecida en GDPR. Eso significa que registró un total de 3,542 violaciones de protección de datos válidas durante el período del informe, lo que dice que representa un aumento del 27 por ciento en las cifras del informe de violaciones de 2017.
"Al igual que en otros años, la categoría más alta de violaciones de datos notificadas en virtud del GDPR se clasificó como Divulgaciones no autorizadas y representó poco menos del 85% del total de notificaciones de violaciones de datos recibidas entre el 25 de mayo y el 31 de diciembre de 2018", observa, agregando: "La mayoría se produjo en el sector privado (2.070)".
El informe también registra que se registraron más de 4,000 notificaciones de violación de datos en todo el año 2018.
El DPC revela además que se le notificaron 38 violaciones de datos personales que involucraban a 11 empresas multinacionales de tecnología durante el período posterior a la GDPR de 2018. Lo que significa infracciones que involucran a gigantes tecnológicos.
"Un número sustancial de estas notificaciones involucró la divulgación no autorizada y el acceso no autorizado a datos personales como resultado de errores en el software suministrado por procesadores de datos comprometidos por las organizaciones", escribe, diciendo que abrió varias investigaciones como resultado (como siguiendo la violación de Token de Facebook en septiembre de 2018).
Sondas abiertas de gigantes tecnológicos.
A 31 de diciembre de 2018, el DPC dice que tenía 15 investigaciones abiertas en relación con el cumplimiento de las empresas tecnológicas multinacionales con GDPR.
A continuación, se incluye la lista completa de las investigaciones abiertas de multinacionales del DPC, incluido el gigante de la tecnología bajo escrutinio; el origen de la indagación; y los temas que están siendo examinados:
- Facebook Ireland Limited – Consulta basada en una queja: “Derecho de acceso y portabilidad de datos. Examinar si Facebook ha cumplido con sus obligaciones GDPR con respecto al derecho de acceso a los datos personales en la base de datos ‘Hive’ de Facebook y la portabilidad de los datos personales "observados".
- Facebook Ireland Limited – Consulta basada en una queja: “Base legal para el procesamiento en relación con Facebook Términos de Servicio y Política de Datos. "Examinar si Facebook ha cumplido con sus obligaciones GDPR con respecto a la base legal en la que se basa para procesar datos personales de personas que utilizan la plataforma de Facebook".
- Facebook Ireland Limited – Consulta basada en una queja: “Base legal para su tramitación. "Examinar si Facebook ha cumplido con sus obligaciones GDPR con respecto a la base legal en la que se basa para procesar datos personales en el contexto de análisis de comportamiento y publicidad dirigida en su plataforma".
- Facebook Ireland Limited – Consulta por propia voluntad: “Facebook septiembre 2018 violación de token. "Examinar si Facebook Ireland ha cumplido con sus obligaciones de GDPR para implementar medidas organizativas y técnicas para proteger y proteger los datos personales de sus usuarios".
- Facebook Ireland Limited – Consulta por propia voluntad: “Facebook septiembre 2018 violación de token. Examinando el cumplimiento de Facebook con las obligaciones de notificación de incumplimiento de GDPR ".
- Facebook Inc. – Consulta por propia voluntad: “Facebook septiembre de 2018 token de violación. "Examinar si Facebook Inc. ha cumplido con sus obligaciones de GDPR para implementar medidas organizativas y técnicas para proteger y proteger los datos personales de sus usuarios".
- Facebook Ireland Limited – Consulta por propia voluntad: “Comenzó en respuesta a un gran número de infracciones notificadas al DPC durante el período desde el 25 de mayo de 2018 (aparte de la infracción de ficha). "Examinar si Facebook ha cumplido con sus obligaciones GDPR para implementar medidas organizativas y técnicas para proteger y salvaguardar los datos personales de sus usuarios".
- Instagram (Facebook Ireland Limited) – Consulta basada en una queja: “Base legal para el procesamiento en relación a Instagram Términos de uso y política de datos. "Examinar si Instagram ha cumplido con sus obligaciones GDPR con respecto a la base legal en la que se basa para procesar datos personales de personas que utilizan la plataforma de Instagram".
- WhatsApp Ireland Limited – Consulta basada en una queja: “Base legal para el procesamiento en relación con los Términos de servicio y la Política de privacidad de WhatsApp. "Examinar si WhatsApp ha cumplido con sus obligaciones GDPR con respecto a la base legal en la que se basa para procesar datos personales de personas que utilizan la plataforma de WhatsApp".
- WhatsApp Ireland Limited – Consulta por propia voluntad: “Transparencia. Examinar si WhatsApp ha cumplido con sus obligaciones de transparencia GDPR con respecto al suministro de información y la transparencia de esa información tanto para los usuarios como para los no usuarios de los servicios de WhatsApp, incluida la información proporcionada a los interesados sobre el procesamiento de información entre WhatsApp y otras compañías de Facebook. . ”
- Twitter International Company – Consulta basada en una queja: “Derecho de acceso. "Examinar si Twitter ha cumplido con sus obligaciones con respecto al derecho de acceso a los enlaces a los que se accede en Twitter".
- Twitter International Company – Consulta por propia voluntad: “Comenzó en respuesta a la gran cantidad de infracciones notificadas al DPC durante el período desde el 25 de mayo de 2018. "Examinar si Twitter ha cumplido con sus obligaciones de GDPR para implementar medidas organizativas y técnicas para proteger y salvaguardar los datos personales de sus usuarios".
- LinkedIn Irlanda Compañía Ilimitada – Consulta basada en una queja: “Base legal para su tramitación. "Examinar si LinkedIn ha cumplido con sus obligaciones GDPR con respecto a la base legal sobre la que se basa para procesar datos personales en el contexto de análisis de comportamiento y publicidad dirigida en su plataforma".
- Distribución de Apple Internacional – Consulta basada en una queja: “Base legal para su tramitación. "Examinar si Apple ha cumplido con sus obligaciones GDPR con respecto a la base legal en la que se basa para procesar datos personales en el contexto de análisis de comportamiento y publicidad dirigida en su plataforma".
- Distribución de Apple Internacional – Consulta basada en una queja: “Transparencia. "Examinar si Apple ha cumplido con sus obligaciones de transparencia GDPR con respecto a la información contenida en su política de privacidad y documentos en línea con respecto al procesamiento de datos personales de los usuarios de sus servicios".
"El rol del DPC en la supervisión de las operaciones de procesamiento de datos de las numerosas grandes empresas multinacionales ricas en datos, incluida la tecnología de internet y las redes sociales, con sede en la UE ubicada en Irlanda, se modificó enormemente el 25 de mayo de 2018", reconoce el organismo de control.
"Para muchos, incluyendo Apple, Facebook, Microsoft, Twitter, Dropbox, Airbnb, LinkedIn, Juramento
El [divulgación: TechCrunch es propiedad de Verizon Media Group; también conocido como Juramento / AOL], WhatsApp, MTCH Technology y Yelp, el DPC actúa como autoridad de supervisión principal bajo la OSD de GDPR [one-stop shop] instalaciones."
El DPC señala en el informe que entre el 25 de mayo y el 31 de diciembre de 2018 recibió 136 reclamos de procesamiento transfronterizo a través del mecanismo OSS del reglamento (es decir, que había sido presentado por personas con otras autoridades de protección de datos de la UE).
Un desglose de estas (probables) reclamaciones GDPR centradas en el gigante tecnológico muestra un fuerte enfoque en el consentimiento, el derecho de cancelación, el derecho de acceso y la legalidad del procesamiento de datos:
Si bien el DPC irlandés actúa como supervisor principal para muchas quejas de alto perfil de GDPR que se relacionan con la manera en que los gigantes de la tecnología manejan los datos de las personas, vale la pena enfatizar que el mecanismo OSS no significa que Irlanda esté a juicio exclusivo de las incursiones de los derechos de los gigantes de Silicon Valley. Europa.
El mecanismo permite que otras APD participen en estas quejas transfronterizas.
Y el Consejo Europeo de Protección de Datos, el organismo que trabaja con todos los DPA de los Estados miembros de la UE para ayudar a garantizar la aplicación coherente del reglamento, puede desencadenar un proceso de resolución de conflictos si una agencia líder considera que no puede implementar una objeción de la agencia en cuestión. El objetivo es trabajar contra la compra de foros.
En una sección sobre "Cooperación de la UE", el DPC escribe además:
Nuestros colegas reguladores de la UE, junto con quienes formamos parte del Consejo Europeo de Protección de Datos (EDPB), siguen de cerca las actividades y los resultados del DPC irlandés, dado que un número significativo de personas en cada estado miembro de la UE se ven potencialmente afectados por el procesamiento de las actividades del Empresas de internet ubicadas en Irlanda. La actividad de EDPB es intensa, con reuniones plenarias mensuales y un nuevo sistema de intercambio de datos en línea en relación con los casos de procesamiento transfronterizo implementado entre las autoridades. El DPC ha liderado el desarrollo de la guía de EDPB sobre los arreglos para los Códigos de conducta bajo el GDPR y estos deben ser aprobados y publicados por el EDPB en el primer trimestre de 2019. El DPC espera que la industria incluya los Códigos de conducta y que suba el listón individual. Sectores en términos de estándares de protección de datos y transparencia. Los códigos de conducta son importantes porque reflejarán más ampliamente el contexto y la realidad de las actividades de procesamiento de datos en un sector determinado y brindarán claridad a quienes se adhieren a los estándares que deben cumplirse, además del monitoreo externo por parte de un organismo independiente. Es la claridad de los estándares lo que impulsará resultados reales.
Durante el período reportado, el regulador también revela que emitió 23 solicitudes formales en busca de información detallada sobre el cumplimiento de varios aspectos del GDPR por parte de los gigantes tecnológicos, destacando que desde el 25 de mayo se ha involucrado con plataformas en "una amplia gama de temas", citando el seguimiento Ejemplos para dar una idea de estas preocupaciones:
- Google en el procesamiento de datos de ubicación
- Facebook sobre temas como la transferencia de datos personales de aplicaciones de terceros a Facebook y la colaboración de Facebook con investigadores externos
- Microsoft en el procesamiento de datos de telemetría recopilados por su producto Office
- WhatsApp sobre asuntos relacionados con el intercambio de datos personales con otras empresas de Facebook
"El compromiso de supervisión con estas compañías sobre los asuntos descritos está en curso", agrega el DPC sobre estos temas.
El sector de Adtech “debe cumplir” con GDPR
Hablando de acciones en curso, una queja GDPR relacionada con la seguridad de los datos personales que se procesan sistemáticamente para potenciar la publicidad basada en el comportamiento es otra queja abierta en el escritorio del DPC.
La queja estratégica fue presentada por varias personas en varios países de la UE (incluida Irlanda) el otoño pasado. Desde entonces, los individuos detrás de las quejas han continuado presentando y publicando pruebas que argumentan refuerza su caso en contra de la industria de publicidad de comportamiento (principalmente Google y el IAB que establecen las especificaciones involucradas en el sistema de licitación en tiempo real (RTB)).
El DPC irlandés hace referencia a esta queja de RTB en el informe anual, dando a la industria de la tecnología lo que equivale a una advertencia escrita de que mientras el ecosistema publicitario es "complejo", hay varias partes involucradas en "transacciones voluminosas de alta velocidad" relacionadas con la licitación para espacio publicitario y contenido de anuncios publicitarios “la protección de datos personales es un requisito previo para el procesamiento de cualquier información personal dentro de este ecosistema y, en última instancia, el sector debe cumplir con los estándares establecidos por el GDPR”.
El organismo de control también informa que se ha comprometido con "varias partes interesadas, incluidos editores y agentes de datos por un lado, y defensores de la privacidad y personas afectadas por el otro", en relación con la queja de RTB, y dice que continuará priorizando su escrutinio. del sector en 2019: "en cooperación con sus homólogos a nivel de la UE para garantizar un enfoque coherente en todos los estados miembros de la UE".
Continúa diciendo que algunas de sus 15 investigaciones abiertas sobre gigantes tecnológicos concluirán este año y "contribuirán a responder algunas de las preguntas relacionadas con esta área compleja". Así que, tl; dr, mira este espacio.
Respondiendo a los comentarios del DPC sobre la queja de RTB, el Dr. Johnny Ryan, director de política y relaciones laborales del buscador privado Brave, y también uno de los reclamantes, nos dijo que esperan que el DPC actúe "con urgencia".
"Hemos presentado nuestra queja ante el DPC y otros reguladores europeos porque existe una gran necesidad de arreglar adtech para que funcione de manera segura", dijo a TechCrunch. “El propio DPC reconoce que la publicidad en línea es una prioridad. El sistema de "subasta de anuncios" de IAB y Google en línea permite a las empresas transmitir lo que cada persona en línea lee, mira y escucha en línea a innumerables partes. No hay control sobre lo que sucede con estos datos. La evidencia que hemos presentado al DPC muestra que esto ocurre cientos de miles de millones de veces al día ".
"En vista de las próximas elecciones europeas, es particularmente preocupante que los sistemas de IAB y Google permitan a los votantes ser perfilados de esta manera", agregó. "Claramente, esto infringe los principios de seguridad e integridad del GDPR, y esperamos que el DPC actúe con urgencia".
El IAB ha rechazado las quejas como "falsas", argumentando que cualquier riesgo de seguridad es "teórico"; mientras que Google ha dicho que tiene políticas vigentes para prohibir a los anunciantes dirigirse a categorías de datos sensibles. Pero la queja de RTB se basa en los requisitos de seguridad de GDPR que exigen que los datos personales se procesen de una manera que "garantice la seguridad adecuada", incluida la "protección contra el procesamiento no autorizado o ilegal y contra la pérdida accidental".
Por lo tanto, la seguridad del sistema RTB es el problema central que el DPC irlandés, junto con las agencias en el Reino Unido y Polonia, tendrán que abordar como prioridad este año.
Los reclamantes también han dicho que tienen la intención de presentar quejas adicionales en más mercados en toda Europa, por lo que es probable que más DPA se unan al escrutinio de RTB, como agencias de supervisión interesadas, lo que podría aumentar la presión sobre el DPC irlandés para que actúe.
Schrems II vs Facebook
El informe del organismo de control también incluye una actualización sobre el litigio de larga duración presentado por Max Schrems, activista de la política de privacidad europea, en relación con un mecanismo de transferencia de datos conocido como cláusulas contractuales estándar (SCC, por sus siglas en inglés), y originalmente solo tenía como objetivo el uso del mecanismo por parte de Facebook.
El DPC decidió remitir el desafío original de Schrems a los tribunales irlandeses, que desde entonces han ampliado la acción al remitir una serie de preguntas legales al máximo tribunal de la UE con (ahora) posibles implicaciones para la legalidad del "Escudo de privacidad" insignia de la UE. Mecanismo de transferencia de datos.
Eso se negoció luego de la desaparición de su predecesor Safe Harbor, en 2015, también a través de un desafío legal de Schrems, que se lanzará en agosto de 2016, a pesar de las preocupaciones en curso de los expertos en datos. El escudo de privacidad ahora es utilizado por cerca de 4.500 empresas para autorizar la transferencia de datos personales de los usuarios de la UE a los EE. UU.
Entonces, si bien la queja de Schrems sobre los SCC (a veces también denominados "cláusulas modelo de contrato") fue dirigida al uso de Facebook por parte de ellos, el litigio podría tener importantes implicaciones para muchas más compañías si el Escudo de la Privacidad se resuelve.
Más recientemente, Facebook ha intentado bloquear la remisión de preguntas legales de los jueces irlandeses al Tribunal de Justicia de la UE (TJUE), que obtuvo una licencia para apelar el verano pasado (aunque los jueces no mantuvieron la remisión mientras tanto).
En su informe, el DPC señala que la audiencia sustantiva de la apelación de Facebook tuvo lugar los días 21, 22 y 23 de enero ante un panel de cinco jueces del Tribunal Supremo.
"Se hicieron argumentos orales en nombre de Facebook, el DPC, el Gobierno de los Estados Unidos y el Sr. Schrems", escribe. “Algunas de las preguntas centrales que surgen de la apelación incluyen las siguientes: ¿puede el Tribunal Supremo revisar los hechos encontrados por el Tribunal Superior en relación con la ley de los Estados Unidos? (Esto se debe a las alegaciones de Facebook y del Gobierno de los EE. UU. De que la sentencia del Tribunal Superior, que respalda la referencia hecha al TJUE, contiene varios errores de hecho relacionados con la legislación de EE. UU.)
"Si la Corte Suprema considera que puede hacerlo, entonces surgirán más preguntas para la Corte en cuanto a si existen errores en la sentencia y, de ser así, si se deben abordar y cómo se deben abordar".
"En el momento de imprimirse, no hay indicios de cuándo se emitirá la sentencia del Tribunal Supremo", agrega. "Mientras tanto, la referencia del Tribunal Superior al TJUE sigue siendo válida y está pendiente ante el TJUE".
Source link