La Comisión de Protección de Datos (DPC), la autoridad irlandesa de protección de datos, acaba de concluir una investigación sobre las acciones de Airbnb. El equivalente de la CNIL en Irlanda decidió enviar un simple recordatorio a la empresa estadounidense el 20 de julio.
Airbnb no respeta el RGPD, el DPC (sí) prevalece (no)
Se sospechaba que Airbnb no cumplía varios puntos del Reglamento General de Protección de Datos (GDPR). En este sentido, la DPC había decidido en 2022 realizar una investigación en torno a la multinacional para esclarecer la situación. Después de más de un año de investigación, el regulador descubrió que Airbnb sí violó el RGPD, incluso al no pedir a los usuarios que proporcionaran una copia de su documento de identidad como parte del proceso de verificación de identidad propuesto en el sitio.
Además de este incumplimiento, se han identificado otras violaciones. La DPC considera que Airbnb no proporcionó a las personas que se quejaban de su plataforma acceso a todos los datos personales que obraban en poder de la empresa. El RGPD, sin embargo, establece que los denunciantes tienen derecho a obtener » un archivo de acceso en forma concisa, transparente, inteligente y de fácil acceso, “Como especifica la DPC en su comunicado de prensa.
A pesar de lo comprobado de estas fallas, el regulador no fue tan severo. Sólo emitió un pedido a Airbnb, para que pudiera » revisar sus políticas y procedimientos internos «. A esto, la empresa recibió “ una reprimenda tal y como recoge la decisión publicada por la autoridad irlandesa.
La laxitud del DPC sigue siendo denunciada desde hace varios meses
Para algunos, la CNIL irlandesa sería demasiado laxa frente a los fracasos de los gigantes tecnológicos. En mayo pasado, el Consejo Irlandés para las Libertades Civiles (ICCL) criticó al DPC. La asociación para la defensa de las libertades públicas señaló la laxitud de sus medidas y sanciones. Desde 2018, solo ocho procedimientos llevados a cabo por el regulador han dado lugar a una sanción, y cuarenta y seis de ellos han dado lugar a un acuerdo amistoso. En Francia, la CNIL sancionó siete veces más empresas durante el mismo período.
Cifras sorprendentes, ya que a menudo se asignan a la DPC los casos más importantes, aquellos que generalmente podrían dar lugar a una sanción. Según la Ventanilla Única dentro de la Unión Europea, solo la autoridad nacional de protección de datos del país donde se encuentra la sede europea de una empresa está autorizada a sancionarla si no cumple con el RGPD.
Con las simples medidas correctoras dirigidas a Airbnb, la DPC no agrada a sus detractores. También estará obligado, de conformidad con la directiva emitida el pasado mes de febrero, a proporcionar a las instituciones europeas un informe trimestral sobre sus actividades pasadas, presentes o futuras.