GDPR cuatro años después: revisión de las decisiones de aplicación más importantes

Podría decirse que la avalancha de multas del RGPD anticipadas por los medios nunca se materializó, pero cuatro años después de la fecha de entrada en vigencia del RGPD, la aplicación se está intensificando. Desde la multa de 746 millones de euros de Luxemburgo contra Amazon hasta la acción de WhatsApp de 225 millones de euros de Irlanda, 2021-2022 ha sido un año excelente para las sanciones de GDPR. En esta sesión consideraremos lo que podemos aprender de las tendencias recientes de aplicación de GDPR.

Transcripción  – 

Robert Bateman:

Hola, gracias por unirse a nosotros aquí en PrivSec Focus, GDPR Four Years On. Estamos teniendo un gran día hasta ahora, una gran interacción de la audiencia, así que por favor sigan así. Iré directamente a nuestra próxima sesión ahora. GDPR cuatro años después: revisión de las decisiones de aplicación más importantes. Por lo tanto, se promocionó mucho el RGPD como una regulación con un conjunto muy poderoso de sanciones y multas disponibles para las autoridades de protección de datos. Nuestro panel analizará cuáles de ellos realmente han tenido un impacto. Y nuestro anfitrión para esta sesión es Peter Molduano, líder de gestión y gobernanza de la información en el Ayuntamiento de Leeds. A ti Pedro.

Peter Molduano:

Gracias por la presentación, Robert, y bienvenidos a todos en esta llamada. Y solo preparándome para esto, tuve un poco de reflexión pensando, Dios mío, ¿qué estaba haciendo exactamente hace cuatro años? Y pensé, bueno, en realidad, ¿dónde desearía estar? Y en realidad, lo que es más importante, ¿con quién me hubiera gustado poder hablar? Les digo, definitivamente me hubiera beneficiado tener la orientación y los conocimientos de los cuatro abogados que tenemos en esta llamada tal cual para que pudieran guiarnos a través de los 78 artículos de GDPR para darnos la relevancia, para darnos una idea de cuáles son los puntos más importantes. Desearía haber podido viajar en el tiempo cuatro años hacia adelante, tal vez, y mirar algunos de los precedentes que han ocurrido entonces, de modo que de esa manera puedas realmente descubrir desde una perspectiva lo que es significativo y lo que es relevante en función de lo que realmente está siendo. emitidos como sanciones, como advertencias, y así sucesivamente.

Y afortunadamente, en esta llamada, lo que tenemos es la perspicacia de grandes mentes legales. Por lo tanto, podrán abrir las cortinas, ir más allá de los titulares y brindarnos una perspectiva bastante útil. Y en este punto, lo que voy a hacer es pedirles a ustedes, a ustedes en la llamada real, que tal vez se pongan los sombreros de, bueno, de abogados del diablo y siéntanse libres de hacer cualquier pregunta después de que nuestras mentes legales pasen por su perspectivas y a través de sus presentaciones para que pueda tomar de esto lo que espero tomar de esto, que en realidad es cómo ajustar la postura de cumplimiento, la relevancia de la protección de datos y el trabajo que estoy haciendo actualmente.

Así que, a pesar de lo asombrado que estoy, también me gustaría ser muy crítico y también aprender tanto como sea posible porque no es frecuente que tengas la oportunidad de obtener una visión brillante de las excelentes mentes legales que tenemos en este presentación. Pasaremos por el Sr. Rhodes y luego la Sra. Rzaca, la Sra. Kagan, y terminaremos con el Profesor M, y lo dejaré como Profesor M para ese programa. Sr. Rhodes, paso a usted.

Steven Marc Rhodes:

Muchas gracias por eso Pedro. Espero que todos puedan escucharme. Me estoy concentrando para esta sesión realmente en las multas de Google y Facebook que sucedieron desde la CNIL en Francia, y tengo mi sede en el Reino Unido, ¿por qué debería preocuparme por los reguladores franceses? ¿Por qué debería preocuparse por los reguladores franceses? Eso es lo que voy a mirar hoy. Veré los hechos de los casos de multas de Facebook, examinaré algunos de los problemas legales, veré el estado especial de las reglas de privacidad electrónica o PECR como solían conocerse y, por último, descubriré realmente lo que significa para usted como controlador de datos, cómo le afectará, el tipo de cosas que debería incluir en sus acuerdos y los riesgos que debería cerrar.

Entonces, los hechos reales del caso fueron bastante anodinos, creo que probablemente podamos decir. Todo el mundo sabe que las cookies se colocan cada vez que visita un sitio web y todo el mundo está familiarizado con el aviso de cookies, con el que debería poder controlar esas cookies. El hallazgo realmente con Google y Facebook, o Meta como lo son ahora, fue esencialmente que esto no se estaba siguiendo. Las cookies no esenciales, las cookies de marketing, se depositaban automáticamente, eso sin el consentimiento activo del sujeto de los datos, que requiere GDPR. Los banners de cookies no eran efectivos. Realmente no importaba en qué hicieras clic, aún recibirías una gran cantidad de cookies sobre ti. Y los rechazos de cookies, cuando los activó, no lo hicieron, así que tiró de la palanca y no pasó nada. Fue una infracción bastante obvia y el regulador de datos francés les impuso la multa.

Bueno, Facebook y Meta apelaron. Dijeron: “Estamos gobernados por el regulador de datos irlandés. El mecanismo de ventanilla única bajo GDPR demuestra la necesidad de que el regulador irlandés tenga en cuenta esto y este no es un asunto en el que la CNIL deba involucrarse”. Y la respuesta, que realmente vino junto, supongo, con otro caso que se decidió el año pasado, un caso belga contra la Autoridad de Protección de Datos de Bélgica. Me ocuparé de eso brevemente porque estamos analizando este tema del intercambio transfronterizo. Y en ese caso, llegó al Tribunal de Justicia de la Unión Europea y el Tribunal de Justicia de la Unión Europea se apartó un poco del relato muy duro de que solo hay una ventanilla única que Facebook y Meta estaban presentando en su propio caso. Dijeron que el supervisor principal o la autoridad sigue siendo el jefe, pero hubo algunas excepciones.

Estaba el Artículo 56(2), que eran asuntos que afectaban puramente a su propio territorio, pero que realmente solo podían confiar en aquellos en los que habían tenido una discusión con la autoridad de control principal y donde la autoridad de control principal no había actuado. Entonces, si estuviéramos viendo el caso de Facebook, por ejemplo, y hubiéramos estado aplicando esas reglas en el caso belga, entonces habría sido responsabilidad de la CNIL contactar a las autoridades irlandesas, aclararles que había un asunto que afecta solo a los ciudadanos franceses, obtener el entendimiento, si lo desea, de los problemas entre esos organismos y luego averiguar del regulador irlandés que no iban a actuar. Y solo en esa etapa podrían seguir adelante.

El Tribunal de Justicia de la Unión Europea, en ese caso, también dijo que hay un procedimiento de urgencia y se ocupó de un par de otras cuestiones levemente preocupantes, supongo, cuando las solicitudes de información habían llegado a un regulador y el regulador no las había cumplido, o cuando el asunto haya sido remitido al Consejo Europeo de Protección de Datos. Entonces, la ventanilla única parecía bastante sólida si vas al Tribunal de Justicia de las Comunidades Europeas. ¿Por qué esa decisión amplia, por qué se ve comprometida de alguna manera por la decisión francesa? He descrito la decisión francesa, que la acción de la CNIL en esto es pensar globalmente, actuar localmente.

Entonces, en su declaración de enero de 2022, cuando se confirmaron estas multas, hay un par de declaraciones pequeñas e interesantes. Y el primero es de la CNIL hablando de su propia práctica de ejecución. Dice: “Estas dos decisiones son parte de la estrategia de cumplimiento global iniciada por la CNIL en los últimos dos años con actores franceses y extranjeros que publican sitios web con muchas visitas y tienen prácticas contrarias a la legislación sobre cookies”. Entonces dicen: “Estamos buscando fuera de Francia, estamos buscando internacionalmente, estamos cooperando con otros organismos, pero esto afecta a los franceses”. Entonces, el enfoque de la CNIL es, sí, GDPR rige los datos en general y rige la distribución de la regulación en toda Europa, y existe un mecanismo de ventanilla única, dijeron. Pero los PECR, los entonces reglamentos de ePrivacy, actúan especialmente y actúan particularmente en Francia. Esta es una violación de la ley francesa que afecta a los clientes franceses, Vive la France.

Entonces, con esta idea de que esta es una ley local para la gente local, también vale la pena mirar a las autoridades judiciales francesas. Entonces, el Conseil d’État, que es el último organismo en Francia que toma estas decisiones, emitió una declaración diciendo que el juez del Consejo de Estado que la exclusión de los mecanismos de ventanilla única en relación con las cookies era lo suficientemente clara, por lo que no necesita referirse el asunto al Tribunal de Justicia de la Unión Europea para una decisión prejudicial, como lo requieren las empresas. Entonces, los tribunales franceses han dicho: “Esta es la ley francesa y no hay derecho de apelación”. Ahora, esta es una decisión valiente por parte de la CNIL porque los litigios conllevan riesgos para ellos. Conlleva riesgo político y conlleva riesgo de costo. Entonces, cuando la CNIL decide dar este paso, no lo está tomando a la ligera, está asumiendo riesgos financieros que no puede cubrir con un margen de beneficio, por ejemplo. Entonces, es una línea de ataque bastante ambiciosa por parte de la CNIL. ¿Por qué debería molestarnos? Bueno, porque se trata de ePrivacy.

Y creo que, para esta última sección, quiero concentrarme en Internet de las cosas y cómo eso importa. Entonces, las regulaciones de privacidad electrónica cubren el Internet de las cosas y eso podría ser una gran cantidad de dispositivos que tiene en su oficina. Ciertamente, por supuesto, computadoras portátiles y móviles, pero podría incluir dispositivos de mano para el mantenimiento de edificios, pistolas de precios digitales. Y en lo que quiero concentrarme para esta última sección son las fotocopiadoras porque las fotocopiadoras más recientes pueden recopilar una cantidad considerable de información, incluida información muy confidencial, y pueden comunicarse con otros dispositivos en su oficina a menos que la configuración de su nube sea extremadamente restrictiva. Eso significa que las cookies o el equivalente de las cookies, los scripts en otros dispositivos, pueden potencialmente recopilar los datos de los interesados sin que estos den ningún tipo de consentimiento real y, por lo tanto, en Francia en particular, violarían la ley francesa de regulación de la privacidad. , que ellos mismos han promulgado. Pero después de la decisión francesa, eso podría aplicarse en cualquier país que haya implementado legislación nacional relacionada con las cuestiones de GDPR.

¿Qué debe hacer como abogado para lidiar con esto? Creo que debe prestar mucha atención a la redacción del contrato que obtiene cuando compra nueva tecnología. Si tuviera que mirar, por ejemplo, esas fotocopiadoras, querría asegurarse de que los proveedores de servicios en la nube fueran totalmente integrales, que tuviera la certificación de que las capacidades de recopilación de datos de sus dispositivos estaban en configuraciones restrictivas. Y querrá asegurarse de que el lenguaje de su contrato haya adjuntado esa configuración al contrato y lo haya hecho parte del contrato.

Recientemente negocié un contrato para la compra de nuevas fotocopiadoras en nuestras oficinas. La oferta fue extremadamente resistente a cualquier forma de redacción específica en lo que respecta a las especificaciones técnicas y muy resistente a agregarlas al contrato. Mi consejo para usted es que mantenga una línea firme en esto, asegúrese de que estos detalles estén atados, porque como hemos visto, las regulaciones de privacidad electrónica, siguiendo las decisiones francesas, aún pueden afectarlo a pesar de que puede estar perfectamente feliz de que su regulador tiene su sede en Irlanda o en otro lugar y no está en condiciones de hacer cumplir. Ahora estamos lidiando con regulaciones de efecto directo y pueden afectar su negocio y aumentar considerablemente su riesgo digital.

Peter Molduano:

Gracias. Eso es realmente bastante completo, así como muy perspicaz. Como gerente de programa, simplemente los escuché y dije, espere, espere, ¿necesito capturar esto en una evaluación de impacto de protección de datos por separado? Obviamente, cada vez que me acerco a un posible proveedor, debo tener esto en cuenta, pero en un recorrido breve, que nos diste, ¿hay también algún tipo de tres puntos principales que podría llevar a mi cadena? de comando y vaya, sí, ¿esto es lo que debemos tener en cuenta en las adquisiciones?

Steven Marc Rhodes:

Diría que tenga en cuenta que la adquisición se realiza sin que usted lo sepa, por lo que a menudo se lo denominará software como servicio o plataforma como servicio.

Peter Molduano:

Así es.

Steven Marc Rhodes:

Y se le pedirá que haga una DPIA sobre eso, y todos entienden que así es como funciona y esta información y solicitud proviene de IS. Pero, de hecho, son los gerentes de sus instalaciones los que están importando los productos de Internet de las cosas a su lugar de trabajo, por lo que no es el departamento de SI. Y en muchos casos, importarán un servicio de un proveedor externo que viene con su propia tecnología a su lugar de trabajo. Y por lo tanto, no es obvio, no necesariamente habrá evaluado el riesgo con una DPIA porque está pensando, bueno, no controlamos esto, no estamos comprando estos productos, no los estamos usando.

Sin embargo, los datos pueden abstraerse y, a menos que la configuración y los protocolos del servicio en la nube se apliquen de manera muy estricta y pueda hacerlos cumplir y no van a cambiar, entonces corre ese riesgo. Y como dije, los proveedores de estos productos no están interesados en tener controles estrictos sobre la configuración de sus dispositivos porque tienen su propia libertad comercial y quieren explotar las capacidades de estos dispositivos tanto como sea posible para sus propios fines. Este no es un caso de personas que deliberadamente se propongan causarle problemas, es simplemente una cuestión del deseo natural de las personas de usar la explotación comercial de la tecnología que han desarrollado. Pero, a menos que esté restringido, puede infringir las normas no solo en su propio territorio, sino también en las oficinas de toda Europa.

Peter Molduano:

Derecha. Eso es muy útil. Eso definitivamente es una lección para mí de donde estoy trabajando actualmente también. El piso está abierto a cualquier persona dentro de nuestro panel para cualquier pregunta porque estoy seguro de que también podrían llevarlo en diferentes direcciones desde aquí. Ahora, si vamos a permanecer en silencio sobre este punto y claramente ha respondido todo lo necesario, entonces muchas gracias, Sr. Rhodes, y luego a la Sra. Rzaca, quien nos dará una perspectiva ligeramente diferente desde un punto de vista ligeramente área diferente, pero estoy seguro de que es igual de valioso y perspicaz. El piso es tuyo.

Magdalena Rzaca:

Muchas gracias Pedro. Por lo tanto, me gustaría centrarme en una de las mayores multas de GDPR, que fue impuesta por la Autoridad de Protección de Datos de Irlanda en agosto de 2021. Más de 225 millones de euros impuestos a WhatsApp, básicamente por no aclarar por qué y cómo WhatsApp procesa los datos. . Y creo que es importante por muchas razones diferentes. Personalmente, estuve esperando durante mucho tiempo que la Autoridad Irlandesa de Protección de Datos emitiera una multa. Ocurrió en diciembre de 2020, pero no fue una cantidad muy significativa, solo fueron 500.000 impuestos a Twitter por no notificar sobre la violación de datos. Cuando se trata de WhatsApp, es una cantidad realmente enorme de dinero. Y creo también que, para muchas empresas, la última razón para cuidar la privacidad era el riesgo de imponer una multa. Y creo que también podemos, al analizar diferentes autoridades de protección de datos en diferentes países, podemos ver claramente que hay un enfoque realmente muy diferente en cada país. Entonces, ese es definitivamente uno de los más grandes e importantes en términos de cantidad.

La otra que quería mencionar es la multa impuesta por la Autoridad de Protección de Datos de Hamburgo, más de 35 millones de euros, básicamente por procesar demasiados datos de los empleados. Básicamente, lo que hicieron los gerentes en las tiendas específicas de H&M en Hamburgo fue recopilar mucha información diferente que definitivamente no es necesaria sobre los empleados, como por ejemplo, creencias religiosas, origen étnico, etcétera. Que es una categoría sensible de datos, y además, no es realmente necesario para la relación laboral. Entonces, esa es otra decisión importante porque solo destaca que, en su mayoría, creo que las empresas se están enfocando en esta privacidad externa, que es como informamos a nuestros clientes, clientes sobre cómo procesamos sus datos, pero este aspecto interno del cumplimiento de la privacidad también es importante.

Y recientemente, la semana pasada, hubo otra multa impuesta a Google por la Agencia Española de Protección de Datos en España. Y básicamente, el motivo de la imposición de esta multa fue compartir los datos con terceros por parte de Google y no posibilitar el ejercicio del derecho al olvido. Entonces, eso me lleva al punto de que las directrices de la Junta Europea de Protección de Datos, que se emitieron el 12 de mayo con respecto a la armonización de cómo se calculan las multas, son muy necesarias. Y también me lleva a otro punto que a nivel europeo, hay una propuesta para la regulación sobre inteligencia artificial y el límite es aún más alto porque la regulación AI propone multas de hasta 30 millones de euros o incluso el 6% de la facturación global. Entonces, y por supuesto, esta regulación de IA también propone la creación de autoridades de IA, algo en línea con las Autoridades de Protección de Datos en cada país, por lo que también será muy interesante de ver.

Peter Molduano:

Muchas gracias. Eso es realmente perspicaz y un gran resumen de todo lo que está pasando en esto. Entonces, con mi tipo de sombrero de abogado del diablo, simplemente voy a decir, ¿y qué? Una vez que estas autoridades… La Autoridad Irlandesa de Protección de Datos no ha sido exactamente muy eficiente en la imposición de multas y tienen un número limitado de personas en el personal, por lo que no pueden penalizar a todos, especialmente si van y ponen sus recursos detrás de grandes jugadores, entonces, sí, ¿qué me dirían a mí, que está dispuesto a apostar que, en realidad, mi empresa, mi organización, no será penalizada y como consecuencia de esto, voy a tomar un perfil de riesgo más alto para mi organización? ¿Sigue importando que existan estas grandes sanciones en las que esas Autoridades de Protección de Datos centran esencialmente todos sus recursos?

Magdalena Rzaca:

Muchas gracias Pedro. Así que creo que, en primer lugar, aprender de la lección de otra persona es un tipo de aprendizaje muy, creo, muy barato. Y realmente recomendaría a cualquier organización, incluso si tienen un aviso de privacidad, que lo revisen periódicamente porque… Y también que realicen un control de cordura porque en su mayoría son escritos por profesionales de la privacidad o por abogados, pero solo para tener un control de cordura y dárselo a cualquier otra persona en la organización y básicamente preguntar: “¿Entiendes esto? ¿Qué puedes entender de esto?” Y, por supuesto, al igual que la Autoridad Irlandesa de Protección de Datos, hay muchas críticas de que no tiene suficiente personal, no tiene el presupuesto adecuado para estar realmente ocupado con todas las investigaciones. Y básicamente, la multa en WhatsApp fue el resultado de una investigación de tres años, y todavía hay críticas de que la investigación se centró en aspectos muy limitados y hay mucho más por descubrir.

Pero creo que hay empresas globales que tienen una facturación total realmente muy alta, realmente lo consideraría si realmente desea aceptar este tipo de riesgo, porque puede invertir esta cantidad de dinero en capacitación o incluso en la revisión de su programa de privacidad, y yo Piense que obtendrá mucho más valor porque cuando hablamos de privacidad, por otro lado, hablamos de reputación y confianza, que es realmente esencial para cualquier empresa. Y creo que también con esas decisiones que comenté, es importante que WhatsApp afirmara que, oh, tienen este programa de privacidad, tienen un aviso de privacidad, pero es solo la multa que se impuso, solo destaca que solo la privacidad es un viaje. , no un destino. Entonces, realmente tener esta revisión constante, es un camino a seguir.

Peter Molduano:

Bien, gracias. Eso es realmente agradecido. Bueno, lo aprecio, debería decir. Recibimos una pregunta de uno de nuestros espectadores y, dado que está rastreando las sanciones más grandes, la pregunta fue: ¿cuál fue la multa más alta aplicada a una organización de EE. UU.? Quiero decir, me viene a la mente WhatsApp, creo que también había algo de Facebook y de Google, pero no los estaba rastreando explícitamente, así que paso a ti.

Odia Kagan:

¿A ti, a mí?

Peter Molduano:

Podrías ser tú, la Sra. Kagan, sí.

Odia Kagan:

Entonces, creo que lo que quería decir sobre esta pregunta, creo que tienes razón sobre los números, pero creo que lo interesante es que estas decisiones que estás citando han sido con respecto a la actividad local, las armas locales. , creo, de los proveedores de EE. UU., mientras que el tipo puro de aplicación transfronteriza es algo de lo que realmente no hemos visto mucho. Hemos visto, hay una decisión holandesa sobre una empresa canadiense, fue de alrededor de $ 500,000, por no nombrar un representante del Artículo 27. Hay una decisión en Italia en relación con el reconocimiento facial, que fue una multa bastante alta. Y sé que hay decisiones pendientes de Luxemburgo, y lo sé porque he leído que NOYB está en contacto con Luxemburgo porque Luxemburgo dijo: “¿Qué quiere de nosotros? No podemos hacerlas cumplir, no están en Europa.”

Por lo tanto, esta cuestión de la aplicación transfronteriza obviamente surge mucho con las organizaciones con sede en los EE. UE. ¿Qué quieres de mí?” Y la respuesta a eso, creo, es doble. Creo que, número uno, y hemos estado diciendo eso a los clientes durante cuatro años, feliz cumpleaños, es que durante cuatro años es que no es… Bueno, supongamos que el regulador no lo persigue, ¿verdad? No lo son, ¿de acuerdo? Ellos no están. Estás en los Estados Unidos, no te persiguen. Pero si estás en los EE. UU., muchas veces eres B2B, no obtendrás el negocio, no obtendrás los clientes. Y eso lo vemos mucho en los casos de transferencia de datos, ¿no? Voy a mencionarlos un poco en mi charla, Google Analytics y esas cosas.

Entonces, el problema es que sus clientes B2B desconfiarán de hacer negocios con usted. Y luego, y eso, creo, el aspecto comercial, creo, siempre es más inmediato que la posible aplicación regulatoria hipotética. Y luego veremos cómo se desarrollan esos casos, en realidad no lo sé, y tal vez Marco sepa lo que Garante está planeando en relación con la aplicación transfronteriza, porque hemos visto algunos fallos, pero no lo sé. No sé dónde terminaron en la aplicación real, por lo que sería interesante seguirlo.

Peter Molduano:

Magda, ¿quieres responder? Ve a por ello.

Magdalena Rzaca:

Entonces, creo que con respecto a imponer multas a las organizaciones con sede en los EE. UU., creo que la mayoría de ellas también tienen presencia en Europa y la mayoría de ellas básicamente tienen su sede en Irlanda. Y creo que es interesante que, de todas las autoridades de protección de datos, creo que la irlandesa es la más criticada, la que tiene menos personal y la que más lucha con el presupuesto, así que creo que probablemente esperaría que esto cambie pronto como protección de datos irlandesa. Las autoridades también se vuelven cada vez más activas. Pero también revisando, por ejemplo, la Autoridad holandesa de protección de datos, las multas que se impusieron, no hay multas tan altas. La multa más alta que impuso hasta ahora la Autoridad de Protección de Datos holandesa fue de tres millones y medio de euros, y fue a la autoridad fiscal holandesa, que también es interesante, y básicamente por crear una lista negra de estafadores, que también es interesante.

Y eso me lleva a otro punto en el que siempre, cada vez que esté procesando datos personales, primero debe preguntarse, ¿realmente necesito procesar estos datos personales? Y luego, la segunda pregunta es, si necesito tramitar, ¿cuál es la base legal? Y solo para verificar que tiene una base legal.

Peter Molduano:

Bien. Gracias, realmente lo aprecio. Y antes de pasar a la Sra. Kagan y su presentación, Steve eligió, bueno, ofreció una respuesta voluntaria a una pregunta sobre Brave y una queja que presentó con una comisión contra 27 estados miembros de la UE. No estoy familiarizado con esto, así que muéstranos la luz.

Steven Marc Rhodes:

Creo que es muy difícil fijarse en una sola cifra y decir que eso es lo que necesita un buen regulador. Si hay alguna base en este caso sobre una especie de mejor práctica, me interesaría verla. Lo que diría es que siempre se puede invertir dinero en un regulador y encontrará más cosas que hacer. Los reguladores deben ser inteligentes y contar con los recursos adecuados y deben contar con los recursos adecuados. Necesitaría ver los detalles. Sin embargo, lo que probablemente me gustaría ver es mucha más especialización dentro de los reguladores individuales dentro de Europa, de modo que si pueden formar un centro de experiencia en Italia para un asunto, un centro de experiencia en Bélgica para otro, otro más en Austria, y concentrar recursos en términos de investigación, patrocinando aportes académicos y de investigación locales en su área de especialización. En lugar de esperar que cada regulador de datos se concentre en cada área de operación, eso sería un mejor uso de los fondos. Por lo tanto, siempre es difícil saber exactamente cuánto dinero necesita un regulador.

Pero lo que diría, como señalé, el punto con la CNIL es que se arriesgaron al llevar el asunto al Conseil d’État, el Consejo de Estado francés. Una muy buena manera de asegurar una regulación efectiva es indemnizar a esos reguladores por los costos legales. Por lo tanto, no necesariamente tiene que darles financiamiento por adelantado, pero si sienten que tienen un caso en el que deben pelear y deben ganar para que la regulación sea efectiva, darle al regulador una línea de crédito, si lo desea, para llevar adelante ese caso legal en particular es un buen camino a seguir. Y nuevamente, para establecer eso, puede tener diferentes especializaciones con diferentes reguladores en diferentes países para hacerlo. Por lo tanto, no se trata simplemente de una cuestión de fondos, también hay que ser inteligente con ellos.

Peter Molduano:

No me di cuenta de que en realidad las autoridades públicas podrían ser indemnizadas dentro de, bueno, especialmente las Autoridades de Protección de Datos. Gracias, eso es bastante perspicaz, lo aprecio. Eso sería, para mí, casi como una idea de que si hay un caso y la autoridad sería indemnizada públicamente, es una prioridad importante. Y para cualquier persona dentro de esta esfera, deberían estar observando este dominio en particular. Entonces, supongo que a la Sra. Kagan, el piso es suyo.

Odia Kagan:

Gracias. Y gracias a todos por acompañarnos en esta fiesta de cumpleaños. Intentaré hacerlo un poco más festivo. ¿Qué es más festivo que hablar de multas? Obviamente. Entonces, mi opinión aquí es que estábamos hablando de las decisiones de cumplimiento más importantes, y creo que mi conclusión es que las decisiones de cumplimiento de GDPR tienen un significado incluso sin tener un gran número de euros adjunto. Y los dos puntos que quiero hacer. El número uno es, creo que incluso las decisiones que no son un número alto de euros son efectivas y hay otras cosas, hay otras herramientas, en el cinturón de herramientas de aplicación que son efectivas, y demostraré por qué. Y creo que el otro es que la aplicación de GDPR, uno de los otros efectos que tiene es una especie de efecto dominó o algo en lo que sirve como punto de referencia para el cumplimiento de otras leyes de protección de datos y otras leyes específicamente. Si ya estoy degradando los acentos de todos aquí con mi acento estadounidense, hablaré sobre cómo afecta a los EE. UU.

Entonces, el primer punto es estas decisiones que no son multas altas y por qué son efectivas. Entonces, creo que un ejemplo clásico son los barridos de cookies que hemos visto, y hemos visto a CNIL hacer varios barridos de cookies, hemos visto que la DPA helénica acaba de emitir un informe sobre el barrido de cookies que hizo durante 30 compañías. CNIL fue más, creo que fue… Lo están haciendo en tramos, pero creo que son 90 en este momento. NOYB también, None of Your Business, la ONG Max Schrems, también está haciendo un barrido de cookies. Y en los tres casos, el informe dice que la mayoría de las empresas cumplieron sin que hubiera necesidad de iniciar más procedimientos. Creo que los informes NOYB y CMIL fueron del 80 % y luego procedimientos adicionales para los 20 restantes. Y luego, la DPA helénica dijo que 29 de 30 empresas cumplieron sin necesidad de más pasos.

Y creo que eso es interesante porque creo que hay algún tipo de consecuencia tal vez no deseada en la que las empresas que pueden tolerar multas están menos estresadas por cumplir, mientras que las empresas que realmente lo intentan tienen una carga desproporcionada. Entonces, esta situación en la que, oye, si realmente lo estás intentando y no eres un mal tipo y cometiste un error y lo señalamos y lo arreglaste, esta es una posibilidad, creo que es realmente importante. , creo que es muy sig… Quiero decir, el hecho de que, si solo estamos haciendo matemáticas de segundo grado, que somos abogados y no podemos hacer, entonces 90 más 30 más lo que sea, eso es, no no sé, 150. Y si de esos, 130 cumplieron, eso es un gran efecto, ¿no? Así que creo que eso es algo a tener en cuenta.

Lo segundo es que creo que decisiones que incluso sin una multa enorme, pero hubo una decisión de IMY en Suecia y una decisión de Datatilsynet en Noruega con respecto a los avisos de privacidad. Así que creo que el otro, en muchos casos, quiero decir, todos estamos buscando guías de EDPB y tratando de obtener cosas para informar nuestra práctica, pero en algunas situaciones, algunas de estas decisiones, ¿verdad? El Datatilsynet, soy un gran admirador, de Datatilsynet en Noruega, y escriben buenas decisiones. Y es muy específico, como la decisión sobre MOI, probablemente lo esté pronunciando mal, pero fue muy específico en cuanto a cómo redactar o no redactar un aviso de privacidad, lo mismo que la decisión sueca sobre Klarna.

Y eso aclaró muchas cosas que, francamente, no estaban 100 % claras para mí, que estaba tomando decisiones al asesorar a los clientes y también me da poder de fuego para decirles a los clientes, porque la decisión en MOI, uno de los elementos fue, puede No haga una lista de propósitos y una lista de bases legales y espere lo mejor que la gente pueda descubrir la conexión. No, tienes que conectarlos tú mismo. Les he estado diciendo esto a los clientes todo el tiempo y no había nada, no… Dije: “Bueno, el Grupo de Trabajo del Artículo 40, Artículo 29 dijo esto hace seis años”, y los clientes decían: “Sí, está bien, pero eso es opcional”. Así que ahora, creo que esas decisiones son útiles en ese sentido.

Y la otra es que hay otros remedios que se están utilizando. Entonces, por ejemplo, hemos visto esto en los casos de Google Analytics, DSB Austria, EDPS, CNIL, esos casos no tenían una multa grande adjunta, tenían una orden judicial adjunta. Dijeron: “Oye, corrige el procesamiento de tus datos dentro de X tiempo o estás incumpliendo”. Y eso no es una multa alta, pero es súper efectivo porque las empresas necesitan los datos más de lo que les importa la multa.

Y luego, finalmente, la decisión sobre, hemos visto esto, la FTC ha hecho esto y no lo he visto en Europa, sobre exigir la eliminación de algoritmos, pero la decisión del Reino Unido en relación con el reconocimiento facial en este momento , Creo que hace dos días, correcto, fue borrar los datos, los datos mal obtenidos. Entonces ese remedio, correcto, borrando los datos que ha usado, borrando los datos que ha entrelazado en sus algoritmos de entrenamiento, ¿verdad? Eso es mucho más significativo que una multa porque es muy difícil/imposible de hacer, y ahora necesita volver a crear los datos.

Así que creo que mi primer punto es que hay otras cosas además de una multa por un gran billete de euro y tienen consecuencias. Y el segundo punto es que GDPR no es solo una cosa de la UE, además del hecho de que las empresas hacen negocios transfronterizos, obviamente, pero incluso sin él. Entonces, en los EE. UU., ahora tenemos las nuevas leyes de privacidad de los EE. UU., de las cuales ahora tenemos cinco, algunas de ellas literalmente copian y pegan el lenguaje de GDPR. Hay una copia y pegado del Artículo 7, la definición de consentimiento, hay otras partes donde literalmente… Procesamiento automatizado, creación de perfiles, hay mucho lenguaje, procesador del controlador en algunas de las leyes, en realidad usamos ese término. Entonces, tenemos los conceptos y estándares de GDPR que se utilizan, tenemos en el preámbulo, en las notas explicativas de la CPRA, la nueva ley de California que entrará en vigencia en enero, hay todo tipo de notas explicativas sobre, “Así es como ellos hazlo bajo GDPR y esta ha sido la experiencia de GDPR”. Eso es importante.

Y luego, la CPPA, que es la nueva autoridad supervisora de California, tanto en las sesiones informativas que realizó en preparación de las regulaciones que saldrán, como en las sesiones de las partes interesadas que opinan sobre las reglas, así como los comentarios de las partes interesadas, todos, no todos. , pero mucha alusión y confianza en GDPR para, está bien, así es como hacemos la creación de perfiles, aquí está el procesamiento automatizado, esto es lo que significa el efecto legal u otro efecto significativo, así es como se hacen las DPIA. Entonces, la sesión de DPIA tuvo a Gwendal Le Grand de CNIL explicándonos las DPIA a los estadounidenses. Y entonces, creo que ese es el segundo punto, que es la importancia de GDPR de la aplicación de cuatro años de GDPR no solo en la aplicación de GDPR sino también en el establecimiento de un punto de referencia para ser un marco de referencia para otras leyes, específicamente en los EE. UU.

Peter Molduano:

Sra. Kagan, gracias. Esos dos puntos clave son una comida para mí. Me gustaría hacer más preguntas, pero en realidad, debemos darle al profesor M la oportunidad de finalizar todo por nosotros. Y por cierto, aprecio tu acento americano, me reconforta. Sigue así, por favor.

Prof. Avv. Marco Martorana:

En primer lugar, tengo que disculparme, pero mi inglés no es tan fluido, tengo un acento italiano muy fuerte, así que tengo que disculparme por esto. Y quiero agradecerles al Foro Mundial GRC por la oportunidad de participar en un evento tan interesante y prestigioso. Y también agradeceré a mi colega Roberta Savella, que me ayudó a traducir mi discurso de hoy. También quiero responder algunas de las preguntas que están cerca de aquí. No creo que haya cambios muy pronto en el mecanismo de ventanilla única de la UE.

Hoy, me gustaría centrar mi contribución a este panel en la actividad de aplicación de la Autoridad Italiana de Protección de Datos, y esa es una decisión muy importante en los últimos cuatro años. Noviembre de 2021, nuestra DPA fue la segunda DPA europea por número de sanciones emitidas, 75 por un total de 84 millones de euros. Entonces, no creo que haya un problema de presupuesto en nuestra DPA. El problema aquí es sobre el empleado. Hay una ley que da el número máximo de empleados que puede tener la DPA, por lo que el problema aquí es quizás diferente. Uno de los campos en los que nuestro DPA ha sido mucho más estricto con la aplicación del RGPD es el del telemercadeo. Después de la entrada en vigor del RGPD, ha habido muchas sanciones en Italia a grandes empresas del sector de las telecomunicaciones debido a su llamada de marketing no solicitada al consumidor en ausencia de consentimiento previo y debido a otros problemas relacionados con el almacenamiento de datos, responsabilidad, privacidad por diseño, transparencia y equidad del procesamiento. El sector de las telecomunicaciones es uno en el que nuestra APD ha dictado la sanción más elevada, alcanzando ya sea o más los 27 millones de euros.

Al responder a otra pregunta sobre qué hacemos con la empresa que no quiere respetar nuestra ley, podemos ver qué pasa con la popular aplicación china TikTok, porque en este caso, hubo un uso inapropiado por parte de niños menores de la edad mínima requerida para crear. una cuenta en la aplicación y, por lo tanto, porque permiten el procesamiento de datos de niños por parte del desarrollador de la aplicación. En 2020, la DPA italiana solicitó crear un grupo de trabajo específico en la Junta Europea de Protección de Datos para investigar los riesgos de protección de datos que plantea la aplicación.

En febrero de 2021, tras la muerte de un niño de 10 años, presuntamente relacionada con un desafío social, la DPA italiana emitió una limitación de procesamiento por parte de TikTok con respecto al sujeto de datos cuya edad no se pudo establecer con total certeza para garantizar el cumplimiento de Requisitos relacionados con la edad. Luego, la empresa nos asegura que habría implementado medidas específicas para cumplir con la solicitud de nuestra DPA sobre verificación de edad, incluido un sistema de inteligencia artificial, una campaña informativa para sus usuarios, un banner específico en la plataforma con información sobre medidas de seguridad y características de privacidad. , información específica para padres y una política de privacidad dirigida a niños.

Después de unos meses, en mayo de 2021, la DPA italiana pidió a TikTok que implementara medidas adicionales para mantener a los niños menores de 13 años fuera de la plataforma y de la empresa y se tomó para eliminar en 48 horas la cuenta denunciada que se descubrió que era propiedad del usuario. menores de 13 años tras los controles pertinentes. TikTok ahora tiene su sede en Irlanda, en Dublín, como las otras grandes empresas tecnológicas, como acabamos de decir.

También relacionado con el campo de las nuevas tecnologías, el pasado mes de febrero, nuestra DPA impuso una multa de 20 millones a la empresa estadounidense Clearview, como ya dijo antes Odia. Está procesando datos biométricos durante las actividades de reconocimiento facial utilizando software de inteligencia de código abierto y técnicas de web scraping. La empresa retira la imagen disponible públicamente de la persona y la procesa para obtener información biométrica, que se almacenó en la base de datos de la empresa. La jurisdicción de la APD italiana se deriva del procesamiento, entre otros, de datos de ciudadanos italianos por parte de Clearview. Nuestra autoridad emitió el [inaudible 00:47:48] que se debe a la violación de los siguientes artículos del RGPD. Artículo 5 por violación del principio de legalidad y equidad de la transparencia, el principio de limitación del propósito y el principio de limitación del almacenamiento. Artículo 60 por violación de la base legal para el tratamiento de los datos. Artículo 9 por infracción en cuanto al tratamiento de datos biométricos. Los artículos 12, 13, 14 y 15 por vulneración de los derechos de los interesados. Artículo 27 porque Clearview AI no designó un representante en el territorio europeo.

Además de calificar el uso de nuevas tecnologías y algoritmos, la DPA italiana emitió otra sanción importante contra Foodinho, de Glovo. No creo que tenga mucho tiempo, así que quiero cerrar este discurso y decir que está claro que el objetivo de la sanción al RGPD es garantizar la implementación efectiva de todos los requisitos y la protección de datos, salvaguarda de regulación. Por lo tanto, la decisión de ejecución de las diversas Autoridades de Protección de Datos es una de las fuerzas impulsoras más importantes para que las empresas cumplan. En Italia, estamos muy orgullosos de nuestro DPA logrado en los últimos cuatro años y confiamos en que estas acciones continuarán y garantizarán una mejor protección de datos en nuestro país y, con suerte, también en toda Europa.

Peter Molduano:

Bueno, eso lo dice todo. Quiero decir, el historial, las sanciones, la exhaustividad. Y creo también, mirando hacia el futuro con el uso del reconocimiento facial, que naturalmente se adapta a la inteligencia artificial, que nos está mostrando el camino que seguirá. Gracias, eso fue amplio y completo, y me quito el sombrero ante la autoridad italiana, así que eso es todo. Tuvimos varias preguntas por ahí, pero creo que probablemente porque necesitamos ser un poco… Bueno, necesitamos resumir todo esto, tal vez podamos tener una especie de 360 uno por uno. respuesta para todos en el mismo orden en que comenzamos. Entonces, comience con el Sr. Rhodes, continúe con la Sra. Rzaca, la Sra. Kagan y cierre con el Profesor M. Si hay algo que yo, como un administrador de programa ignorante, pueda quitarle, ¿qué sería? ? Mirando quizás hacia adelante en los próximos aspectos de, bueno, los próximos cuatro años, quizás, de GDPR. Steve, estás en silencio.

Steven Marc Rhodes:

Bien. Bueno, para mirar en mi bola de cristal.

Peter Molduano:

Por favor, hazlo.

Steven Marc Rhodes:

Creo que los reguladores tendrán que estar más enfocados en su acción. Me llamaron especialmente la atención un par de puntos que hizo Odia. Uno sobre los barridos de cookies y cómo las respuestas no necesariamente resultan en multas. Creo que va tan lejos, creo que es muy efectivo inicialmente, pero por supuesto, si las empresas son conscientes del hecho de que solo serán castigadas si las atrapan, entonces es muy difícil de hacer cumplir en general. Así que creo que necesitas una combinación de ese tipo de actividad, tal vez una advertencia por primera vez, combinada con algunas multas para animar a los demás. Y bien puede ser, creo que esa es la dirección en la que vamos a ir. Tal vez algunas multas grandes más específicas para actividades más atroces combinadas con más recomendaciones de bajo nivel y alinear a las personas.

Peter Molduano:

Está bien. Gracias.

Steven Marc Rhodes:

Sí.

Peter Molduano:

Lo siento.

Steven Marc Rhodes:

Bueno.

Peter Molduano:

Necesito avanzar lentamente hacia la Sra. Rzaca. Avanzar.

Magdalena Rzaca:

Muchas gracias, estamos realmente fuera de tiempo. Entonces, creo que desde mi perspectiva, todas las multas altas y pequeñas solo resaltan que la carga es tan nueva como controlador de datos para demostrar que es responsable y demostrar que tiene las medidas del programa de privacidad implementadas y otras medidas en lugar. Entonces, esa es mi opinión. Y también trate de enfocarse realmente en la privacidad por diseño, también eligiendo proveedores. Y esa es mi opinión, gracias.

Peter Molduano:

Gracias. ¿Sra. Kagan?

Odia Kagan:

Quiero decir, mi recomendación sería centrarse en las piezas importantes, en el significado y no en la sustancia. Se habla mucho de que el RGPD no es efectivo o es formalista, etcétera. Creo que si te tomas en serio la divulgación real y la elección real y real, como decía Magdalena, la privacidad por diseño, creo que ahí es donde debemos ir, necesitamos obtener la sustancia sobre la forma, y eso también te llevará para su negocio transfronterizo, ¿verdad? Si lo hace correctamente, eso se traduce en el 80% de lo que necesita hacer bajo cualquier ley de privacidad, así que creo que es una buena apuesta en la que concentrarse.

Peter Molduano:

Genial, gracias Y tenemos algunas preguntas adicionales para las que no conseguiremos la confianza para responder. Tal vez podamos hacer eso en los comentarios para los participantes. Sin embargo, el profesor M puede tener la última palabra. Dispare señor.

Prof. Avv. Marco Martorana:

Sí. Muy, muy rápido, creo que en Europa no podemos ver solo nuestro DPA, sino que tenemos que mirar también al Consejo Europeo de Protección de Datos porque después de unos meses o unos años, todos llegan también a nuestro país, al igual que las cookies. , así que estudie y mire sobre la Junta Europea de Protección de Datos porque también es muy importante para nosotros.

Peter Molduano:

Brillante, gracias amablemente. Gracias por la educación, estoy seguro de que no soy el único que está asombrado por lo que aprendí. Y con suerte, tendremos la oportunidad de responder a algunas de las preguntas que no pudimos responder, pero algunos de los comentarios podrían estar surgiendo al respecto. Eso es todo.

Robert Bateman:

Muchas gracias a Peter y al panel, una gran discusión. Creo que es muy importante recordar que las acciones de ejecución más importantes pueden no ser las multas más grandes en términos de euros recaudados, pero esas órdenes de detener el procesamiento y las órdenes de eliminación pueden tener un mayor impacto a veces. Estoy escribiendo en este momento sobre la multa de Clearview que el Reino Unido también acaba de anunciar. Es difícil decir cómo se hará cumplir a pesar del alcance territorial muy amplio del RGPD. En realidad, si no hay un representante de la UE, me interesaría ver qué…