La falta de acuerdo entre las autoridades de control de la Unión Europea genera retrasos en uno de los mayores casos sobre privacidad internacional con participación de una empresa tecnológica estadounidense, bajo el RGPD.
El caso Twitter, que se hizo público mediante una declaración de la autoridad de control de Irlanda, es ya una de las mayores pruebas de aplicación del RGPD, pues ha generado preocupación sobre posibles desacuerdos y retrasos en otras casi dos docenas de investigaciones sobre Facebook, Google y otras tecnológicas estadounidenses. Este caso en concreto tiene relación con un agujero de seguridad que Twitter afirmó haber resuelto en enero de 2019, y que expuso tweets privados de algunos usuarios por un período superior a cuatro años.
El caso Twitter funcionará como precursor en otras situaciones similares en las que se comparten los poderes administrativos entre varios reguladores europeos.
El resultado del caso Twitter será una prueba de cómo funciona en práctica la compartición de poderes entre reguladores europeos. Dado que Twitter tiene una sede regional en Irlanda, la investigación la lidera la autoridad de control Irlandesa; sin embargo, las autoridades de cualquiera de los otros 26 países de la Unión Europea también afectados pueden oponerse. Bajo el RGPD, cuando hay varios países involucrados, la autoridad de control que lleva la iniciativa (en este caso la de Irlanda), envía su borrador a las otras partes quienes entonces tienen cuatro semanas para aportar sus comentarios y objeciones y después hay un tiempo adicional para aprobar dichas revisiones, quien decidirá por medio de votación. Una vez que el Comité apruebe la decisión, la autoridad de control principal informará a la compañía de la decisión tomada en el plazo de un mes. El proceso de votación puede durar uno, dos o dos meses y medio, dependiendo de si se conceden extensiones.
Después de consultas con otras autoridades europeas, hay todavía un alto número de objeciones, lo cual ha desencadenado el primer conflicto de resolución.
La autoridad de control de Irlanda ha mencionado que ha iniciado el mecanismo de resolución de conflictos entre las autoridades de control implicadas dada la falta de éxito para resolver los desacuerdos surgidos en torno al borrador de decisión en el caso Twitter. Esta es la primera vez que se inicia este proceso. La autoridad de control irlandesa envió el borrador de decisión a las otras partes en mayo.
La autoridad de control irlandesa llevó a cabo consultas con otros reguladores para resolver sus quejas. Graham Doyle, Subcomisario, dijo que a pesar de la consulta aún había un alto número de objeciones que han sido ahora remitidas al Comité Europeo de Protección de Datos.
Bajo el RGPD, las empresas pueden ser multadas con una cantidad comprendida en una escala variable que puede alcanzar el 2% de su beneficio anual, en consideración de los diferentes elementos que componen la falta.
La autoridad de control de Irlanda dijo que el foco de este caso está en si Twitter cumplió su obligación de notificación de la brecha en el plazo previsto para ello. Bajo el RGPD, las autoridades de control tienen la potestad de imponer multas que pueden alcanzar el 2% de los beneficios mundiales de la empresa el año previo si no notifican la brecha de seguridad dentro de las primeras 72 horas después de descubrirla. Conforme al beneficio de 2019, esto podría implicar 69 millones de dólares de multa para Twitter. Sin embargo, la normativa también insta a las autoridades de control a tener en cuenta la gravedad y la duración de la brecha, el tiempo de información personal comprometida y también otros factores, como si fue internacional o no. Esto deja mucho espacio para desacuerdo entre las autoridades de control europeas en cuanto a la cantidad a imponer como multa.
¿Has implementado todas las medidas para cumplir con el RGPD y la LOPDGDD? Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos pueden ayudarte. Asimismo, Aphaia ofrece servicios de consultoría para el RGPD, la LOPDGDD y la CCPA y evaluaciones de la ética de la IA. Pídenos más información.