La Comisión de Protección de Datos de Irlanda (DPC) ha emitido a Twitter una multa de € 450,000 (~ $ 547k) por no declarar de inmediato y documentar adecuadamente una violación de datos según el Reglamento General de Protección de Datos de Europa (GDPR).
La decisión es digna de mención ya que es la primera decisión de GDPR transfronteriza del organismo de control irlandés, que es el principal supervisor de privacidad de la UE para una serie de gigantes tecnológicos, que tiene una acumulación de más de 20 casos en curso en este momento, incluidas las investigaciones activas de Facebook, WhatsApp, Google, Apple y LinkedIn, por nombrar algunos.
“La investigación del DPC comenzó en enero de 2019 luego de recibir una notificación de incumplimiento de Twitter y el DPC descubrió que Twitter infringió el Artículo 33 (1) y 33 (5) del GDPR en términos de no notificar el incumplimiento a tiempo para el DPC y la falta de documentación adecuada de la infracción. La DPC ha impuesto una multa administrativa de 450.000 € en Twitter como medida efectiva, proporcionada y disuasoria ”, escribe el regulador en un comunicado de prensa.
El RGPD requiere que la mayoría de las violaciones de datos personales sean notificadas a la autoridad supervisora correspondiente dentro de las 72 horas posteriores a que el controlador tenga conocimiento de la violación.
La regulación también requiere que documenten qué datos estuvieron involucrados y cómo respondieron al incidente de seguridad, para que el supervisor de datos relevante pueda verificar el cumplimiento.
En este caso, se descubrió que Twitter había fallado en ambos aspectos.
Nos comunicamos con la empresa de redes sociales para obtener comentarios, incluida la pregunta de si planea aceptar la decisión y pagar, o si está considerando sus opciones legales.
La decisión del DPC se relaciona con una violación que Twitter reveló públicamente en enero de 2019, cuando dijo que un error en su función ‘Proteja sus tweets’ podría haber significado que algunos usuarios de Android que habían aplicado la configuración para hacer que sus tweets no fueran públicos podrían haber tenido sus datos expuestos a la Internet pública desde 2014 (aunque GPDR solo se aplicaría a los datos expuestos por el error desde mayo de 2018).
Desde que admitió el error ‘Proteja sus tweets’, Twitter ha tenido muchos más huevos en la cara en lo que respecta a la seguridad, incluido el sufrimiento de un episodio de secuestro de cuenta de alto perfil a principios de este año, después de que los piratas informáticos que difundían estafas criptográficas obtuvieron credenciales de acceso a la red utilizando una técnica de ingeniería social.
Mientras tanto, el DPC de Irlanda continúa enfrentando críticas por el tiempo que lleva tomar decisiones sobre los principales casos transfronterizos de GDPR donde los impactos en los derechos individuales pueden escalar a cientos de millones de usuarios de Internet europeos.
El año pasado, la comisionada Helen Dixon dijo que sus primeras decisiones importantes sobre el RGPD vendrían “a principios” de 2020.
En el caso de que la primera decisión transfronteriza haya cruzado la línea días antes de fin de año, lo que subraya los desafíos para el bloque para hacer cumplir de manera efectiva su libro de reglas digitales contra los gigantes tecnológicos. (RGPD técnicamente comenzó a aplicarse en mayo de 2018, aunque los gigantes de la plataforma se han enfrentado a una aplicación muy pequeña hasta la fecha).
En este caso específico, se agregó aproximadamente medio año adicional al cronograma de decisiones después de que un proyecto de resultado que Irlanda presentó a otras APD de la UE para su revisión, en mayo, no fuera aceptado por todos, lo que desencadenó un mecanismo de voto mayoritario en el GDPR para resolver desacuerdos entre los supervisores de datos del bloque.
La Junta Europea de Protección de Datos ha publicado detalles de la decisión del Artículo 65 y la decisión final en su sitio web aquí.
El (ahora) resultado final en el caso de Twitter llega en un momento clave: los legisladores de la UE deben establecer sus próximas piezas importantes de política digital más tarde hoy, como parte de un ambicioso impulso para acelerar la digitalización regional mediante el despliegue de una promesa tranquilizadora de Barandillas europeas que envuelven toda esta tecnología.
Sin embargo, con la aplicación de GDPR demostrando ser un proceso tan tedioso y lleno de fricciones que amenaza con quitarle brillo a la naciente Ley de Servicios Digitales y la Ley de Mercados Digitales muchos meses (o incluso años) antes de que puedan convertirse en ley de la UE, lo que plantea interrogantes sobre cómo toda la estrategia se puede esperar que funcione en ausencia de una aplicación efectiva (es decir, justa pero rápida).
El riesgo más amplio aquí es que los ciudadanos europeos pierdan la fe en el marco basado en los derechos que les dicen que disfrutan, según la legislación de la UE y el mosaico de marcos regulatorios del bloque, si el animal resulta ser un gato doméstico tan laborioso cuando la gente lo intenta. para obtener alivio.
Por lo tanto, la estrategia de la Comisión de afirmar que las reglas digitales ampliadas actuará como un refuerzo de la confianza pública corre el riesgo de caer en una depresión en la etapa de propuesta legislativa.
En pocas palabras: no puede permitir que sus reguladores se muevan tan lentamente y esperar que su libro de reglas toque a los gigantes tecnológicos cuyo libro de jugadas es moverse rápido para interrumpir el estado de derecho en beneficio de sus propios intereses comerciales.
La decisión del DPC en el caso de Twitter es, por lo tanto, una medida de cuán grande se encuentra la brecha entre la retórica que los políticos de la UE ejercen en torno a las “ poderosas ” reglas digitales del bloque y la realidad más desordenada y vacilante: casi dos años desde que Twitter reveló la violación y la espera que caiga un martillo en lo que debería ser un caso relativamente sencillo.
Después de todo, una violación de datos no es una investigación sobre la legalidad del modelo de negocio de Facebook frente al RGPD, ni profundiza en las complejidades de la tecnología publicitaria de Google, que todavía son archivos de casos abiertos en el escritorio del DPC.
La penalización en sí misma también es una fracción (~ 0.1%) de los ingresos de Twitter para todo el año 2019; muy lejos de hasta el 4% del volumen de negocios anual global máximo permitido por el GDPR (o hasta el 2% para las infracciones específicas involucradas en el caso de incumplimiento). Por lo tanto, esta primera decisión transfronteriza de GDPR parece más una piedra de molino que un hito para la Comisión, a fines de 2020.
Los comisionados no tienen mucho que celebrar aquí, a pesar de que sugirieron en el verano que la mejor respuesta a las preocupaciones sobre la aplicación del RGPD sería que Irlanda tomara una decisión. El problema ahora son las marcas negras contra el historial del bloque en materia de aplicación digital que parecen obstinadamente asentadas, justo cuando la Comisión está trazando un plan para ir con todo en la regulación de plataformas.
Las preguntas sobre la aplicación seguirán surgiendo.
Source: http://feedproxy.google.com/~r/Techcrunch/~3/h2Y1IL6TAsw/
