El descontento late a fuego lento sobre cómo vigilar las normas de privacidad de la UE

WhatsApp, propiedad de Facebook C ª.,

fue multado por no informar a los residentes de la UE lo suficiente sobre lo que hace con sus datos, incluido compartir su información con otras unidades de Facebook. La multa se hizo pública a principios de septiembre por la Comisión de Protección de Datos de Irlanda, que tenía jurisdicción sobre el caso porque la sede europea de WhatsApp y Facebook se encuentra en Irlanda.

Otros ocho reguladores dijeron que la multa propuesta por la autoridad irlandesa de hasta 50 millones de euros, equivalente a aproximadamente 59 millones de dólares, era demasiado baja y no estaba de acuerdo con el análisis del regulador irlandés de las prácticas de datos de la empresa.

Los reguladores utilizaron un proceso de resolución de GDPR para resolver sus desacuerdos, y la autoridad irlandesa dijo que siguió las recomendaciones de los otros reguladores, incluido el aumento de la multa. Pero los reguladores y los expertos en privacidad dicen que el proceso de compartir la aplicación entre las autoridades nacionales ha provocado cuellos de botella.

“Siempre tenemos el mismo problema. Si todo depende de que la autoridad líder en protección de datos dé el paso inicial, entonces los grandes casos tomarán mucho tiempo ”, dijo David Martin Ruiz, oficial legal senior de la Organización Europea de Consumidores, un grupo de defensa con sede en Bruselas.

Si las autoridades de otros países europeos cooperan temprano en las investigaciones, en lugar de esperar el veredicto del regulador principal antes de que puedan intervenir, las decisiones podrían emitirse más rápido, dijo Martin Ruiz.

El descontento entre los reguladores de privacidad europeos se ha estado gestando desde que el GDPR entró en vigencia en 2018, y algunas autoridades criticaron públicamente a sus contrapartes por demorarse demasiado en investigar casos de alto perfil. En mayo, la autoridad regional de Hamburgo, Alemania, utilizó una medida de emergencia para emitir una prohibición de tres meses a la recopilación de datos de Facebook de los usuarios de WhatsApp en la UE, eludiendo una disposición que impide que los reguladores controlen empresas fuera de su jurisdicción.

Los procedimientos legales que determinan que un regulador es responsable de investigar a una empresa con sede en su jurisdicción «a menudo no son lo suficientemente oportunos» para mantenerse al día con la tecnología, dijo Pasquale Stanzione, jefe de la autoridad de privacidad de Italia, y uno de los ocho reguladores que se opusieron a los irlandeses. proyecto de decisión en WhatsApp. Los demás eran autoridades que representaban a Francia, Hungría, los Países Bajos, Portugal y Polonia; el regulador federal alemán; y un regulador regional alemán del estado de Baden-Württemberg.

Una portavoz de WhatsApp dijo que la compañía apelará la decisión.

Si bien las autoridades europeas tienen canales para expresar su desacuerdo con los casos de los demás, aún podría ser necesario reevaluar las disposiciones de GDPR en los próximos años y permitir investigaciones más amplias que no sean supervisadas por un solo regulador, dijo Ulrich Kelber, el alemán. comisionado federal de protección de datos.

«Realmente hay una necesidad de decisiones europeas y no solo de la interferencia de otras agencias», dijo. Los reguladores de la privacidad podrían querer replicar elementos del sistema que utilizan las autoridades antimonopolio europeas para compartir investigaciones si afectan a más de un país, dijo Kelber. Alternativamente, la Junta Europea de Protección de Datos, el grupo que agrupa a las 27 autoridades de privacidad de la UE, podría tener un papel en casos tan grandes y transfronterizos, agregó.

Andrea Jelinek, presidente de la Junta Europea de Protección de Datos, dijo en un correo electrónico que el proceso de resolución de disputas requiere mucho tiempo y recursos, pero aún funciona bien.

“Es importante tener en cuenta que el proceso de resolución de disputas solo se emplea en circunstancias excepcionales en las que el [authorities] no se pudo llegar a un consenso en una etapa anterior ”, dijo. El GDPR especifica que el proceso no puede demorar más de dos meses y las autoridades cumplieron ese plazo en los dos casos de resolución de disputas hasta ahora, agregó.

El segundo caso involucró la multa del regulador irlandés contra Twitter. C ª.

por no revelar rápidamente una violación de datos de 2019. Esa multa también se planteó después de que otros reguladores expresaron objeciones.

La Comisión Europea, el brazo ejecutivo de la UE que redactó la legislación GDPR, ha dicho que es demasiado pronto para sacar conclusiones sobre el nivel de fragmentación y explorará si proponer algunas «enmiendas específicas» al reglamento.

Helen Dixon, la comisionada de protección de datos de Irlanda, distribuyó un proyecto de decisión en el caso de WhatsApp en diciembre, y otros reguladores plantearon objeciones entre enero y marzo, según un informe de la Junta Europea de Protección de Datos. La oficina de la Sra. Dixon le pidió a WhatsApp que respondiera a algunas objeciones en abril y luego activó el proceso de resolución de disputas en junio para resolver los conflictos entre las autoridades. Ese proceso terminó a fines de julio y la decisión se anunció este mes.

Las autoridades están logrando superar los puntos muertos para llegar a decisiones de compromiso, como mostró el caso de WhatsApp, pero es probable que se mantengan las diferencias en la cultura y la mentalidad entre los reguladores, dijo Eduardo Ustaran, codirector de la práctica de privacidad y ciberseguridad del bufete de abogados Hogan Lovells International LLP. . “Esto siempre será un problema cuando haya 27 reguladores tratando de operar como uno solo en un lugar tan diverso como Europa”, dijo.

Escribir a Catherine Stupp en Catherine.Stupp@wsj.com