Es noticia
Oleada de recursos legales contra ley de privacidad europea
  1. Mercados
  2. The Wall Street Journal
las empresas plantan cara

Oleada de recursos legales contra ley de privacidad europea

Las empresas están presentando más apelaciones contra sanciones de privacidad, y están ganando en los tribunales

Foto: Foto: EC.
Foto: EC.
EC EXCLUSIVO Artículo solo para suscriptores

Casi tres años después de que una arrolladora ley de protección entrara en vigor en Europa, los reguladores ven cada vez más decisiones sancionadoras derribadas y derrocadas a medida que las empresas presentan recursos. Los tribunales europeos han revocado o rebajado varias sanciones multimillonarias en los últimos meses, lo que genera preguntas sobre si los jueces y los reguladores de privacidad discrepan sobre cómo implementar el Reglamento General de Protección de Datos de 2018 (GDPR, por sus siglas en inglés). Las empresas están tomando nota y están dispuestas a desafiar la normativa de las autoridades, según abogados y reguladores del área de privacidad.

Muchos reguladores recibieron pequeños aumentos presupuestarios, o bien ninguno, cuando el GDPR entró en vigor y tuvieron problemas para lidiar con nuevas investigaciones. Las apelaciones son un problema añadido. “Muchas organizaciones ya no dudan en cuestionar la decisión de las autoridades de protección de datos. Ese es un gran cambio”, declara Ahmed Baladi, socio de la oficina del despacho Gibson, Dunn & Chrutcher en París. Puede que para las empresas tenga sentido objetar una sanción si creen que un regulador ha cometido un error al seguir los procedimientos legales, o si piensan que la sanción es excesiva, afirma.

“Un tribunal belga ha anulado varias decisiones de las autoridades de protección de datos de Bélgica porque el regulador no actuó correctamente y cometió errores”, dice Hielke Hijmans, presidente de la oficina de las autoridades que gestiona multas y otras sanciones. “El número de recursos se ha incrementado en los últimos seis meses”, afirma. Las empresas han presentado 15 apelaciones contra las decisiones del GDPR de las autoridades y un tribunal ha revocado o suprimido parcialmente la mayoría, según el presidente. Otros seis casos están pendientes del fallo del tribunal.

Foto: Protesta por el "fin del espionaje corporativo" durante la comparecencia Mark Zuckerberg (EFE)

Tales apelaciones no han hecho que el regulador deje de multar a las empresas, pero han obligado al personal regulador a dedicar más tiempo a cada caso, asegurándose de que siguen los procedimientos y definen claramente el cometido de su investigación, según indica Hijmans. “La oficina está escasa de personal y tiene contratado a un despacho externo para que le represente en todos los tribunales de apelación, lo que añade preocupaciones sobre el presupuesto”, asegura. “No quiero que tenga un efecto paralizador, pero no puedo ignorar el hecho de que nuestra situación es más complicada ahora mismo”, dice.

El mes pasado, un tribunal de Berlín revocó la multa del regulador de privacidad de la ciudad de 14,5 millones de euros a la empresa inmobiliaria alemana Deutsche Wohnen porque el regulador no identificó a un empleado físico que fuera responsable de la violación en su decisión. Después de que el tribunal fallara, la oficina del fiscal de Berlín presentó una reclamación en el caso, que sigue abierto. Deutsche Wohnen no ha querido hacer declaraciones. Si la decisión del tribunal se mantiene, esta “limitaría de forma considerable nuestro poder de ejecución”, declara en un ‘e-mail’ Maja Smoltczyk, reguladora de privacidad de Berlín.

Exigir a los reguladores que identifiquen a un individuo responsable de permitir o cometer una violación de privacidad dificultaría que los reguladores investigaran a grandes empresas con estructuras corporativas complejas, y les facilitaría identificar empleados que gestionen los procesos de datos en empresas más pequeñas, según apunta Smoltczyk.

placeholder Entrada del Tribunal de Justicia de la Unión Europea (TJUE). (EFE)
Entrada del Tribunal de Justicia de la Unión Europea (TJUE). (EFE)

Muchas empresas modificaron su política de privacidad para cumplir el GDPR cuando este entró en vigor en 2018 ya que buscaban evitar multas que podían llegar al 4% de sus ingresos totales, o 20 millones de euros. Las compañías contrataron a abogados especializados en privacidad y crearon procesos para manipular datos de forma segura y eliminarlos cuando ya no eran necesarios.

En Austria, una nueva ley que exigía que los investigadores atribuyeran las violaciones de privacidad a una persona concreta —y demostrar que él o ella era consciente o no hizo nada para detenerlas— ha obstaculizado a las autoridades de privacidad del país en un caso reciente. En diciembre, un tribunal austriaco anuló una multa de 18 millones de euros contra el proveedor de servicios postales Österreichische Post. “Los empleados del organismo de privacidad de Austria no estaban al tanto de la nueva ley”, escribió Matthias Schmidl, subdirector de la oficina, en un ‘e-mail’. “La nueva exigencia cambiará de forma sustancial la forma en la que el organismo investiga las violaciones”, asegura. Österreichische Post no ha querido hacer declaraciones.

Foto:
TE PUEDE INTERESAR
Las agencias de protección de datos de la UE discrepan sobre si multar a Twitter
The Wall Street Journal Sam Schechner

Los reguladores austriacos, y posiblemente las autoridades alemanas si el tribunal de Berlín exige que las sentencias de privacidad identifiquen a empleados individuales, tendrán que evaluar la formación en el GDPR de las empresas y el papel de su responsable de protección de datos antes de señalar a un individual en una decisión, según apunta Stefan Hessel, socio en el despacho alemán Reusch Rechtsanwaltsgesellschaft. “La pregunta clave es cuándo es responsable la empresa”, indica Hessel.

“Sin embargo, en los casos en los que la supuesta violación podría dañar la reputación de la empresa, recurrir una decisión del GDPR puede hacer que la empresa atraiga más atención negativa”, declara Baladi, del despacho Gibson, Dunn & Crutcher. “Eso es especialmente cierto cuando el juez apoya la multa”, afirma.

Casi tres años después de que una arrolladora ley de protección entrara en vigor en Europa, los reguladores ven cada vez más decisiones sancionadoras derribadas y derrocadas a medida que las empresas presentan recursos. Los tribunales europeos han revocado o rebajado varias sanciones multimillonarias en los últimos meses, lo que genera preguntas sobre si los jueces y los reguladores de privacidad discrepan sobre cómo implementar el Reglamento General de Protección de Datos de 2018 (GDPR, por sus siglas en inglés). Las empresas están tomando nota y están dispuestas a desafiar la normativa de las autoridades, según abogados y reguladores del área de privacidad.

Empresas Unión Europea
El redactor recomienda