Las multas del RGPD alcanzan un nivel récord
RGPD
getty
Los reguladores de datos europeos emitieron un récord de 2920 millones de euros en multas el año pasado, un 168 % más que en 2021, siendo Meta el más afectado.
Según la última Encuesta sobre violación de datos y RGPD de la firma de abogados internacional DLA Piper, la cantidad promedio de violaciones de datos notificadas por día se redujo levemente de 328 a 300 notificaciones por día.
Esto, sugiere la firma, puede indicar que las organizaciones podrían ser cada vez más cautelosas a la hora de notificar las infracciones por temor a investigaciones, multas y reclamaciones de compensación.
La multa más alta de 405 millones de euros (429 millones de dólares) fue impuesta por el Comisionado de Protección de Datos de Irlanda (DPC) contra Meta Platforms Ireland Limited en relación con Instagram por varias supuestas fallas en la protección de los datos personales de los niños.
Otras multas impuestas a Meta este año por el DPC irlandés se relacionan con los perfiles de comportamiento de los usuarios de Facebook e Instagram y si la base legal de la 'necesidad del contrato' puede usarse para legitimar la recolección masiva de datos personales.
Si bien el DPC irlandés anunció recientemente que Meta había hecho un mal uso de los datos personales, la Junta Europea de Protección de Datos no estuvo de acuerdo.
"La avalancha de multas del Comisionado de Protección de Datos de Irlanda dirigidas a las prácticas de publicidad conductual de las plataformas de redes sociales este año tiene el potencial de ser tan profunda para el futuro de la 'gran negociación' en el corazón de la Internet 'gratuita' actual, como Schrems II ha sido para transferencias internacionales de datos", comenta Ross McKean, presidente del Grupo de Protección de Datos y Ciberseguridad del Reino Unido.
"Dado lo que está en juego, podemos esperar años de apelaciones y litigios. La ley está muy lejos de resolver estos temas".
Si bien los problemas de datos personales relacionados con la publicidad y las redes sociales han dominado los titulares este año, dice DLA Piper, también están comenzando a surgir problemas sobre el papel de los datos personales utilizados para entrenar la IA. Este año, por ejemplo, hubo múltiples investigaciones sobre la empresa de reconocimiento facial Clearview AI, luego de quejas de organizaciones de derechos digitales, incluida la NOYB de Max Schrems, con varias multas emitidas.
A medida que las plataformas de inteligencia artificial y aprendizaje automático continúen proliferando, dice la firma, habrá más investigaciones regulatorias y cumplimiento por venir.
La encuesta también destaca algunas decisiones notables tomadas por las autoridades de protección de datos este año sobre la aplicación de los requisitos Schrems II y el Capítulo V del RGPD a transferencias internacionales específicas de datos personales.
En estos casos, las autoridades han argumentado que no es posible adoptar un enfoque basado en el riesgo al evaluar las transferencias de datos personales a terceros países, argumentando esencialmente que las transferencias están prohibidas si existe la posibilidad de que el acceso de gobiernos extranjeros pueda causar daños.
"Un enfoque proporcionado y basado en el riesgo para la interpretación de las restricciones de GDPR sobre las transferencias internacionales de datos personales no solo está permitido sino que, en nuestra opinión, es legalmente requerido. Adoptar un enfoque absolutista para las restricciones de transferencia y prohibir efectivamente cualquier transferencia de datos personales, sin embargo trivial el riesgo de daño, corre el riesgo de un daño real y duradero para los consumidores", dice Ewa Kurowska-Tober, copresidenta global, protección de datos y ciberseguridad, en DLA Piper.
"Las transferencias tienen muchos beneficios para los consumidores y la sociedad, ya que garantizan el rápido desarrollo y despliegue de vacunas, permiten una supervisión y regulación efectivas de los negocios y brindan acceso a los servicios en línea que disfrutan miles de millones de personas. Esperamos que las autoridades de supervisión reconsideren el enfoque absolutista adoptado en estas primeras decisiones de ejecución".
