Las agencias de protección de datos de la UE discrepan sobre si multar a Twitter

La controversia, publicada este jueves en un comunicado de la Oficina del Comisionado de Protección de Datos en Irlanda, está poniendo a prueba la implementación de la ley de protección de la UE, conocida como GDPR, que entró en vigor en 2018. El caso afecta también a desacuerdos y retrasos en cerca de dos docenas de investigaciones sobre Facebook, Google y otras compañías tecnológicas estadounidenses ante la ley. Esas investigaciones están siendo conducidas por la comisión de datos de Irlanda porque las compañías tienen sedes regionales allí, pero sus compañeros reguladores de los otros 26 países de la UE pueden objetar en los casos que les afecten.

El regulador de privacidad irlandés declaró este jueves que había activado un mecanismo de solución de diferencias entre los reguladores de privacidad del bloque tras fracasar al intentar resolver las discrepancias respecto a su proyecto de decisión en el caso Twitter —la primera vez que se ha iniciado ese proceso—.

El caso Twitter es pionero porque es el primero en el que la comisión de datos de Irlanda ha enviado un proyecto de decisión a sus homólogos para que comenten, lo que sucedió en mayo. El caso atañe a una brecha de seguridad que Twitter declaró que solucionó en 2019 que, durante un periodo de más de cuatro años, ha expuesto los tuits privados de algunos usuarios.

La comisión de datos de Irlanda declaró en su informe anual de 2019 que el foco del caso estaba en si Twitter cumplió su obligación de notificar de forma oportuna la brecha. Twitter no ha hecho declaraciones.

El regulador irlandés se negó a declarar sobre lo que habían objetado sus homólogos a su proyecto de decisión, o en qué se basaban, pero las objeciones podrían estar relacionadas con su contenido y con el importe de la sanción.

TE PUEDE INTERESAR

Twitter se desploma hasta un 20% tras perder un 95% de sus beneficios

Á. Moreno

Bajo el GDPR de la UE, los reguladores pueden sancionar a las empresas hasta con un 2% de su beneficio anual global por no notificarles una brecha de seguridad en 72 horas, lo que podría elevarse a 69 millones, según el beneficio de Twitter de 2019. La ley, sin embargo, da instrucciones a los reguladores para que tengan en cuenta la gravedad y la duración de la violación, el tipo de información personal en cuestión y otros factores, como que la violación haya sido deliberada o forme parte de una estrategia más amplia.

El comisionado irlandés "participó en un proceso de consulta con otros reguladores para resolver sus quejas", dice Graham Doyle, comisionado adjunto. "Sin embargo, tras la consulta, muchas de las objeciones se mantuvieron y el comisionado de protección de datos ha remitido el asunto al Comité Europeo de Protección de Datos", cuerpo que representa a todos los reguladores de privacidad de la UE, afirma.

El resultado final del caso Twitter presentará el primer indicador de cómo el sistema de competencias compartidas de la UE entre reguladores funciona en la práctica. Bajo la ley, en los casos que afectan a varios países, el regulador líder, como el comisionado de datos de Irlanda, envía su proyecto de decisión a los demás. Estos tienen cuatro semanas para presentar objeciones "relevantes y razonadas". Hay un tiempo adicional para aprobar las modificaciones con base en dichas objeciones.

Cualquier desacuerdo que no puedan resolver los reguladores puede ser remitido al Comité Europeo de Protección de Datos, que decide en una votación. Ese proceso dura un mes, pero se puede extender a dos, y luego otras dos semanas. Una vez el comité ha aprobado una decisión, el regulador líder informa a la empresa en el plazo de un mes, según el texto de la ley.