GDPR: ¿Una ley sin autoridad? El organismo de protección de datos de Luxemburgo se niega a mostrar sus dientes a las empresas de EE.UU. Noyb presenta un caso judicial.
Hoy, Noyb presentó una apelación contra dos decisiones de la Autoridad de Protección de Datos de Luxemburgo (CNPD) ante el tribunal administrativo de Luxemburgo sobre un asunto fundamental: la autoridad desestimó dos quejas presentadas contra los controladores de datos con sede en EE.UU., Apollo y RocketReach. La CNPDconfirmó explícitamente que el Reglamento General de Protección de Datos (GDPR) se aplica a estas empresas no comunitarias. Sin embargo, la CNPD consideró que no podía hacer cumplir el GDPR contra estos controladores estadounidenses, a pesar de las múltiples opciones de aplicación dentro de la UE. Estas decisiones socavan fundamentalmente la aplicación delGDPR a todas las empresas extranjeras en el mercado de la UE, una promesa clave de la ley cuando se introdujo en 2018.
- Lea las actas de apelación ante el tribunal administrativo aquí (Apolo FR) y aquí (Rocktreach FR)
- También puede leer una traducción automática en inglés aquí (Apolo) y aquí (Rocketreach)
Quejasiniciales a la CNPD: El denunciante, residente en Luxemburgo, descubrió que sus datos fueron procesados por Apollo y RocketReach, dos empresas con sede en EE.UU. que recogen y comercializan datos personales disponibles en línea. Habiendo visto esto, el reclamante intentó ejercer sus derechos de acceso (artículo 15) y de borrado (artículo 17) sin éxito. Como los dos controladores de datos no respondieron adecuadamente a su solicitud de ejercer sus derechos de GDPR, el demandante presentó denuncias contra Apollo y RocketReach ante la CNPD. Tras varios recordatorios del denunciante, la APD de Luxemburgo desestimó la denuncia por el mero hecho de que los responsables del tratamiento de datos no tenían un representante en la UE (lo que constituye en sí mismo una violación de la RBD) y que, por lo tanto, no se podían imponer medidas de aplicación efectivas contra estos responsables del tratamiento de datos. No se llevó a cabo ninguna investigación material ni se adoptó ninguna decisión.
Socavando el alcance internacional de la GDPR: La decisión de la DPA de Luxemburgo de desestimar las denuncias por el mero hecho de que el controlador no esté establecido en la UE, socava claramente la aplicación internacional de la GDPR, que era una promesa clave para los ciudadanos de la UE cuando se introdujo. La ley cubre explícitamente a todas las empresas que operan en el mercado europeo, sin importar dónde estén establecidas.
"Si las DPA se niegan a aplicar la GDPR cada vez que una empresa no tiene presencia en la UE, eso sólo daría la señal a las empresas para que se queden en el extranjero para eludir la ley... Esa es la versión de la GDPR de salirse con la suya" - Romain Robert, abogado de noyb.eu
Hacer cumplir la GDPR. Incluso cuando una empresa no tiene presencia en la UE, es perfectamente posible ejecutar un procedimiento y hacer cumplir las disposiciones de la GDPR. Si una empresa no hace presentaciones, por lo general simplemente renuncia a su derecho a ser escuchada. Existen varias vías procesales para hacer cumplir también una decisión contra una entidad extranjera: desde los instrumentos tradicionales, como la congelación de activos con terceros (como bancos o clientes), hasta enfoques más modernos como el bloqueo de un sitio web. Las autoridades de protección de datos deben utilizar todas las posibilidades que ofrece su legislación nacional para hacer cumplir sus decisiones, en lugar de renunciar a los derechos fundamentales
"La CNPD tiene el deber de garantizar la protección de los derechos individuales en el marco de la RPI. También tiene los medios para hacerlo en el caso de las empresas extranjeras, desde la congelación de activos en la UE, hasta el bloqueo de un servicio. Hacer cumplir la legislación de la UE contra las empresas y las personas que no cooperan o se esconden en el extranjero no es algo nuevo para los reguladores y los jueces. Esconderse en otra jurisdicción es tan antiguo como las fronteras. Sin embargo, hay herramientas para proceder con un caso. El punto de ir a los tribunales ahora es asegurar que la CNPD realmente usará sus poderes de aplicación en el futuro y ya no desestimar un caso sólo porque la aplicación sería demasiado difícil o gravosa" -Catherine Warin, abogada que representa a Noyb en el procedimiento
DPA inactivas: Este caso muestra que algunos DPA todavía duermen en sus deberes. No deben y no se saldrán con la suya. Este puede ser el comienzo de una serie de acciones contra las DPA que permanecen inactivas a pesar del papel crucial que desempeñan para garantizar el respeto de la legislación de protección de datos de la UE. noyb seguirá de cerca estos casos y supervisará la aplicación efectiva de la RDP por parte de las DPA
"La CNPD confirmó explícitamente que la GDPR era aplicable a estas empresas, pero decidió no actuar alegando que no podía hacer cumplir ninguna decisión. Esto dejó al denunciante sin ningún procedimiento para hacer valer sus derechos fundamentales. La CNPD consideró que era su poder el simplemente rechazar un caso. Afortunadamente, la GDPR establece que los individuos deben tener un recurso efectivo y pueden impugnar las decisiones de las DPA ante los tribunales. Ahora pediremos al tribunal que haga el trabajo que la CNPD se negó a hacer" - Romain Robert, abogado de noyb.eu