En la sentencia C-416/23, la Autoridad Austriaca de Protección de Datos (AEPD) recibió una bofetada del TJUE. La autoridad ha fijado -arbitrariamente- el número de reclamaciones que los interesados pueden presentar en un máximo de dos al mes, aunque uno se vea afectado por infracciones del RGPD casi a diario. Ahora, el TJUE lo ha dejado claro: mientras no se presenten reclamaciones abusivas, todos los usuarios tienen derecho a que el OSD subsane cualquier infracción del GDPR. Por desgracia, que las APD intenten deshacerse de las reclamaciones no es solo un problema austriaco. Nuestras cifras muestran un problema de inactividad de las APD en toda la UE.
Desestimación y sobreseimiento en masa. Durante años, el OSD ha desarrollado diversas "técnicas" para suspender los procedimientos contra las empresas en la medida de lo posible. Por ejemplo, a menudo se amenaza a los interesados con suspender el procedimiento después de cada declaración de una empresa, si no se oponen en el plazo de dos semanas. El OSD también suspende procedimientos a gran escala si una empresa (tras años de litigio) cumple el RGPD en el último minuto. El último "truco" consistía en limitar el número de reclamaciones a dos al mes, a pesar de que a veces los usuarios se ven afectados por infracciones del RGPD cada hora. Este "truco" ha sido anulado por el TJUE después de que un ciudadano interpusiera una demanda contra el OSD que llegó hasta el TJUE, pero las otras formas de librarse de las reclamaciones siguen vigentes.
Max Schrems: "Siempre hay derechos fundamentales, no sólo dos veces al mes. Si el OSD castigara sistemáticamente las infracciones, también habría menos reclamaciones. En lugar de ello, la autoridad utiliza diversas técnicas para deshacerse de los denunciantes. Las empresas han aprendido que no hay consecuencias. Con diversos trucos procesales, se evita una gran proporción de denuncias - y las empresas siguen incumpliendo alegremente la ley"
Sólo el 1,36% de todos los procedimientos acaban en multa. En la actualidad, el OSD afirma que en 2023 tramitó 4.030 procedimientos (2.389 reclamaciones nacionales, 876 transfronterizas y 765 procedimientos de oficio). Sin embargo sólo se impusieron 55 multas en todo el año. Esto significa que, estadísticamente, sólo el 1,36% de todos los procedimientos terminan con una multa. A modo de comparación 8.34 millones de multas de tráfico en Austria en 2021. En las horas punta de 2023 más de 7.000 multas por e-scooters mal aparcados se emitieron por mes en Viena. Estadísticamente, la DSB tardaría 127 años en emitir esas 7.000 sanciones. Sin embargo, muchas infracciones del RGPD son tan triviales como las de aparcamiento. Simplemente no se tramitan las solicitudes de los usuarios, no se obtiene su consentimiento o no se suprimen los datos.
Max Schrems: "En horas punta, solo en Viena se emitieron hasta 7.000 multas mensuales por e-scooters estacionados ilegalmente. En cambio, la autoridad de protección de datos solo impuso 55 sanciones en 2023. El infractor medio de estacionamiento tiene más que temer que las empresas que hacen un uso indebido de datos personales por millones. En más del 98% de los casos ante el OSD, no hay sanciones. Las empresas que cumplen la ley se quedan con cara de tontas"
No es sólo un problema austriaco. Este problema no es exclusivo de Austria, sino que afecta a las autoridades de protección de datos de toda Europa. En 2022 (el último año con cifras a escala de la UE), todas las APD europeas tuvieron un número combinado de 140.106 procedimientos - pero solo emitieron 1819 multas contra empresas. Esto significa que solo en el 1,3% de los casos hubo una consecuencia grave. Esto demuestra claramente que existe un problema en toda la UE de inactividad de las APD y de dilación de los procedimientos por parte de las autoridades.
Max Schrems: "Vemos que las autoridades de protección de datos no actúan realmente en toda la UE. El Tribunal de Justicia les ha dicho en repetidas ocasiones que tienen que ponerse las pilas, pero las estadísticas no lo reflejan"
Los procedimientos tardan años, en vez de meses. Según el artículo 73 de la AVG, el OSD debe decidir en un plazo de 6 meses. En realidad, los procedimientos casi siempre duran bastante más. Por ejemplo, 3 años para una decisión sobre una cookie ilegal no es una excepción. Las estadísticas de noyb para Austria muestran muchos casos que esperan bastante más de 6 meses para una decisión. Los recursos posteriores ante el Tribunal Administrativo Federal también tardan varios años en lugar de los 6 meses previstos por la ley. Como resultado, la aplicación de la ley en Austria no cumple en modo alguno la legislación de la UE.
Max Schrems: "Nunca he visto un procedimiento ante el OSD que se resolviera dentro del plazo legal. En lugar de los seis meses previstos, a menudo estamos hablando de tres años o más, incluso en el caso de casos completamente triviales como un banner ilegal de cookies. El OSD es estructuralmente incapaz de aplicar la ley con eficacia"
¿Problemas presupuestarios? Con una multa a Google se pagaría el túnel de base del Brennero. La Autoridad Austriaca de Protección de Datos (DSB) lleva años pidiendo más presupuesto. Desde 2020, el número de empleados ha aumentado de 43 a 60. Merecería la pena que el Estado aportara los recursos necesarios: la DSB no solo es responsable directa de empresas en Austria, sino también de muchas corporaciones internacionales, entre ellas Google USA. Una sola sanción impuesta a Google podría ascender a 6.000 millones de euros - es decir, más que la parte que le corresponde a Austria del Túnel del Brennero o una buena parte del actual déficit presupuestario de entre 15.000 y 23.000 millones de euros.
Max Schrems: "Si el OSD despertara por fin de su letargo y recibiera un presupuesto decente para hacerlo, podría dar sus frutos rápidamente. Una sanción del GDPR contra Google, por ejemplo, es más que nuestra parte del túnel de base del Brennero, para que se hagan una idea de la magnitud. Pero el OSD también tiene que ser más eficiente. No se puede pedir más presupuesto y luego seguir sin tramitar los casos estructuralmente."
