Día de la Protección de Datos: ¿Están realmente protegidos los europeos?
El Día Europeo de la Protección de Datos el 28 de enero conmemora la firma del primer marco paneuropeo de protección de datos (Convenio108) en 1981. Hoy, 42 años después, el RGPD se considera la ley central de la protección de datos europea y tiene por objeto permitir a los ciudadanos ejercer su derecho fundamental a la intimidad. Inicialmente aclamado -y temido- como arma coercitiva, el RGPD está a punto de sufrir el mismo destino que sus predecesores al ser simplemente ignorado.
El cumplimiento del RGPD sólo en teoría El GDPR pretende dar a todos los usuarios de Europa el control sobre sus datos personales. Todo el mundo tiene derecho a saber qué datos tiene una empresa sobre él, cómo se procesan y el derecho a detener el procesamiento ilegal. En la práctica, sin embargo, los usuarios se han visto acosados sobre todo con cookies-banners y ventanas emergentes que no dejan más opción que decir "sí". Los europeos que han intentado ejercer su derecho a la protección de datos se han llevado a menudo una amarga decepción. noyb recibe regularmente en mensajes de usuarios frustrados de toda la UE: los procedimientos se retrasan, las denuncias son desestimadas sin que las autoridades investiguen más a fondo o se abandonan por completo. Al final, los derechos de los usuarios acaban en la basura.
Conflicto entre la ley y los reguladores. En los últimos cuatro años y medio, el RGPD ha sido víctima de la falta de aplicación y de tácticas dilatorias por parte de las grandes empresas tecnológicas. Incluso cuando las autoridades toman decisiones y multan a las empresas, los casos pueden prolongarse durante años debido a los recursos y obstrucciones de las empresas tecnológicas. Incluso con alguna sanción elevada, infringir la ley sale rentable a las "grandes tecnológicas". Aunque la aplicación del RGPD varía mucho en toda Europa, incluso las autoridades de protección de datos más activas se enfrentan a grandes retos, ya que los casos transfronterizos requieren la cooperación entre las autoridades (ventanilla única).
Max Schrems, Presidente de noyb: "Incluso las autoridades activasse encuentran a menudo en una pérdida, ya que la aplicación del GDPR es tan fuerte como su eslabón más débil."
Obstáculo para la aplicación. Autoridades como la Autoridad Irlandesa de Protección de Datos (APD) son un factor crítico a la hora de aplicar el RGPD, ya que la mayoría de las empresas tecnológicas estadounidenses tienen allí su sede europea. Irlanda ha sido considerada durante mucho tiempo un "cuello de botella" en la aplicación del RGPD en toda la UE; por un lado, debido a la extrema lentitud con la que se procesan los casos y, por otro, porque la autoridad a menudo persigue una interpretación "favorable a las empresas" de la ley:
Solo después de que el Consejo Europeo de Protección de Datos (CEPD) emitiera una decisión vinculante en el caso de noyb , de 4 ,5 años de antigüedad, sobre la elusión del GDPR por parte de Facebook, que el CPD irlandés pasó a la acción. Anunció una multa de 390 millones de euros y ordenó a Meta que obtuviera un consentimiento para la publicidad personalizada. En estos 4,5 años, el CPD se ha puesto a menudo del lado de Meta y ahora también ha emitido una sanción significativamente reducida. Las demás autoridades han tenido que desautorizar repetidamente (por unanimidad) al CPD.
Además de Irlanda, Luxemburgo es conocido por albergar las sedes de grandes empresas como Amazon, eBay y Paypal, lo que confiere a la autoridad luxemburguesa un papel crucial como poder regulador. De forma similar a Irlanda, noyb espera desde 2019 una decisión sobre una denuncia relativa a Amazonpor lo que ahora noyb debe emprender acciones legales contra la autoridad.
Además de los "grandes" centros tecnológicos de la UE, también hay muchas curiosidades nacionales. Por ejemplo, las autoridades francesas y suecas niegan que los usuarios sean parte en el procedimiento. La autoridad bávara no da acceso a los expedientes. La autoridad polaca exige que las denuncias se presenten digitalmente, pero sólo permite que los expedientes se copien físicamente en Varsovia. La autoridad austriaca utiliza una cláusula nacional para cerrar un gran número de procedimientos porque supuestamente la empresa ha resuelto el problema. La autoridad búlgara lleva años ignorando cualquier comunicación por correo electrónico, teléfono o correo postal. Los tribunales alemanes anulan las decisiones de las autoridades, mientras que una demanda contra la autoridad en Irlanda puede costar rápidamente 100.000 euros.
764 denuncias no resueltas. Desde que el GDPR entró en vigor en mayo de 2018, noyb ha presentado 848 quejas individuales ante diferentes autoridades de protección de datos en toda Europa. Solo el 10 % (84 denuncias) de los casos fueron resueltos por las autoridades competentes, la mayoría de los cuales se cerraron o se llegó a un acuerdo con la empresa, ya que esta había subsanado la infracción. Algunos casos sólo se han resuelto parcialmente. Aproximadamente 15 casos están actualmente ante los tribunales nacionales porque las autoridades no decidieron dentro del plazo legal o noyb recurrió la decisión.
Debido a la inactividad de las autoridades y a la falta de legislación procesal, muchos procedimientos se están trasladando a los tribunales nacionales, que a menudo no tienen los conocimientos necesarios sobre el RGPD. Las decisiones se anulan a menudo debido a errores de procedimiento evitables. Para muchos usuarios, acudir a los tribunales no es económicamente posible. Los bufetes de abogados lo saben y sobrecargan deliberadamente a las autoridades y los tribunales con interminables reclamaciones y cientos de páginas de escritos.
Max Schrems:"Este año, el RGPD será aplicable durante cinco años. Hasta ahora, muchas empresas están consiguiendo eludirlo con trampas, ya que su aplicación es escasa. Las promesas del RGPD de hacer que la protección de datos sea eficaz y sencilla están fracasando debido a las autoridades nacionales de los Estados miembros, que hasta ahora no han logrado una aplicación efectiva."