La Comisión de Protección de Datos (DPC), el equivalente de nuestra CNIL en Irlanda, publicó su informe anual detallado el 7 de marzo de 2023 presentando todas sus acciones para el año 2022. Con este documento, la autoridad irlandesa espera demostrar que ha intentado actuar para hacer cumplir el Reglamento General de Protección de Datos (GDPR) con los gigantes tecnológicos que operan en Irlanda.
17 investigaciones realizadas, 9 multas impuestas: los resultados de la DPC
Para defender su balance del año natural 2022, la DPC presentó sus cifras clave. El regulador procesó 5.828 notificaciones de violación de datos personales. El 97% de ellos estaban justificados ya que fueron validados por el departamento correspondiente. Del total de notificaciones, el 52% provino del sector privado, el 44% del sector público y el 4% restante del sector de voluntariado y caridad. La infracción más frecuente fue la divulgación no autorizada de información personal por correo.
En 2022, la DPC llevó a cabo 17 investigaciones importantes e impuso nueve multas por un total de 1.100 millones de euros. La mayoría de ellos se refieren a Meta que no ha cumplido con el RGPD. Así, a finales del año pasado, el policía irlandés sancionó a Facebook con una multa de 210 millones de euros, e Instagram con una segunda de 180 millones de euros. La red social para compartir fotos y vídeos ya había sido condenada a pagar 405 millones de euros durante el año.
En el mismo registro, la empresa liderada por Mark Zuckerberg recibió otra multa de 265 millones de euros por no haber protegido correctamente los datos de sus usuarios. Esta sanción es la conclusión de una investigación llevada a cabo desde abril de 2021, cuando Alon Gal, cofundador de una empresa de ciberseguridad, afirmó que los datos de 533 millones de usuarios de Facebook habían sido pirateados.
Otras estructuras más modestas han recibido multas: el Banco de Irlanda, Fastway Couriers o Slane Credit Union. A diferencia de Meta, estas sanciones han sido más mínimas, multas que ascienden a unos pocos cientos de miles de dólares, como máximo. Otras grandes empresas acaban de recibir una llamada de atención. Es el caso de Airbnb, Allianz o Twitter. Para la red social propiedad de Elon Musk, varios representantes de la Comisión Europea se preguntaron si la empresa aún cuenta con personal calificado para cumplir con el marco legislativo europeo.
¿Es la autoridad irlandesa demasiado laxa?
Si el DPC absolutamente quiere defender su historial, es porque está bajo el fuego de muchos críticos. A principios de 2022, el Consejo Irlandés para las Libertades Civiles (ICCL) acusó a la Comisión de Protección de Datos de estar inactiva en ciertos temas candentes. La asociación criticó a la DCP por la lentitud en el procesamiento de una queja contra Google que data de 2018 en torno a la orientación personalizada de los anuncios en línea, Real-Time-Bidding.
Unos meses después, la mediadora de la UE, la irlandesa Emily O’Reilly, recomendó a la Comisión Europea seguir de cerca todos los asuntos de los GAFAM y otros gigantes tecnológicos bajo la responsabilidad de la DPC. Esto condujo a la próxima aplicación de una circular que obliga a todas las CNIL europeas a informar a la institución europea trimestralmente de todas las investigaciones en curso.
Al mismo tiempo, la DPC, que se suponía que sería fortalecida con personal adicional, se está quedando atrás en su contratación. Una noticia que no hace más que reforzar la sensación de lentitud que se cierne sobre el regulador. Actualmente, la DPC estaría trabajando en 22 investigaciones consideradas importantes. Dos de ellos apuntan a ByteDance y su red social TikTok, sospechosas de enviar datos a China y de no proteger suficientemente la información personal de los menores registrados en la plataforma. Según el informe, pronto se sacarán conclusiones preliminares en torno a este caso abierto el 14 de septiembre de 2021.