Google, Facebook, Apple, Microsoft y Twitter son algunas de las grandes empresas tecnológicas que tienen su sede europea en Dublín. Esto hace que la Comisión de Protección de Datos (DPC) sea el organismo encargado de resolver las cuestiones sobre privacidad que se plantean contra estas empresas.
De hecho, una de cada cinco quejas (el 21%) enviadas a los organismos reguladores han sido remitidas a la DPC.
Sin embargo, el creciente número de denuncias de abuso o violación de la normativa GDPR contra estas grandes empresas empieza a acumularse en el organismo irlandés y se está produciendo un cuello de botella.
Solo 4 casos de 164
Desde que entrara en vigor GDPR, la DPC ha ido acumulando casos de importancia paneuropea como autoridad principal para revisarlos. Hasta mayo de 2021, la cifra ascienda a 164 casos, según una investigación del Consejo Irlandés de Libertades Civiles (ICCL). Sin embargo, el 98% de estos casos seguían sin resolverse.
Es más, en los tres años que han pasado desde que entrara en vigor la normativa europea sobre protección de datos (en mayo de 2018) y mayo de 2021, la agencia irlandesa de protección de datos solo ha remitido cuatro borradores de decisiones a la Junta Europea de Protección de Datos (EDPB) para su examen y aprobación.
"Irlanda es el gran cuello de botella de la UE", afirma el informe, que denuncia que ningún otro organismo que vele por el RGPD en la UE (como la Agencia Española de Protección de Datos) puede intervenir si la DPC irlandesa “se otorga su papel principal en los casos contra las grandes empresas de tecnología con sede en Irlanda. Como resultado, la aplicación del RGPD de la UE contra las grandes tecnologías está paralizada por el hecho de que Irlanda no entrega los borradores de decisiones sobre casos transfronterizos".
Punto de encuentro
Cabe señalar que cuando surgen quejas en varios países sobre el cumplimiento de GDPR en relación con cualquier empresa con sede en Irlanda, la DPC es designada como la autoridad supervisora principal por defecto para dirigir la investigación bajo el principio de "ventanilla única".
Una vez que la DPC emite una decisión, esta se suele remitir a la Junta Europea de Protección de Datos y a otras autoridades de protección de datos para su aprobación, antes de que se presente una decisión final. Este fue el caso, por ejemplo, de la multa contra WhatsApp. En un primer momento, desde Irlanda se decidió que la multa fuera de 50 millones de euros, pero tras la intervención de otros reguladores europeos y de la EDPB, la DPC irlandesa aumentó la multa a 225 millones de euros.
España, ejemplo a seguir
Irlanda, junto con España, Alemania, los Países Bajos, Francia, Suecia y Luxemburgo, manejan el 72% de todas las quejas remitidas entre los organismos encargados de velar por la protección de datos en Europa.
El Consejo Irlandés de Libertades Civiles asegura que la DPC es muy lento a la hora de procesar estos casos, que se van acumulando. Mientras, considera que la Agencia de Protección de Datos española es un modelo a seguir por su rendimiento, ya que ha presentado 41 proyectos de decisión a la EDPB para casos transfronterizos, pese a tener un presupuesto más pequeño que el de la DPC y un personal más reducido.
Es decir, que según este organismo, la APD resuelve diez veces más proyectos que sus homólogos irlandeses, teniendo además menor presupuesto.
Denuncias al alza, menor presupuesto
Esta organización también denuncia que, pese a que cada año crece el número de denuncias por protección de datos en toda la Unión Europea, la mayoría de los organismos reguladores ven reducido su presupuesto.
Según sus datos, aunque hubo un importante refuerzo desde 2016 de cara a prepararse para RGPD, desde entonces se han ido reduciendo. La agencia alemana es la que tiene más recursos: los 94,7 millones de euros de presupuestos suponen uno de cada 3 euros (el 32%) de todo el dinero que cuentan los organismos reguladores.
En el otro lado de la balanza se sitúan nueve países con presupuestos inferiores a 2 millones de euros anuales.
Ver 15 comentarios