El 27 de abril, el prestigioso periódico ‘The New York Times’ (“NYT”) publicó un artículo en el que explicaba los desafíos a los que se enfrenta Europa para hacer cumplir el RGPD: (i) la falta de recursos humanos y económicos de las agencias de protección de datos europeas (las “Agencias”) y (ii) las tácticas de algunas empresas para retrasar el trabajo de las Agencias.

Falta de recursos humanos y económicos de las agencias de protección de datos

Según el NYT, Johnny Ryan, el Jefe de Política y Relaciones Industriales de la empresa tecnológica Brave, analizó el presupuesto de las agencias de protección de 28 países europeos, y descubrió que todas menos tres -Alemania, Reino Unido e Italia – contaban con presupuestos de menos de 25 millones de euros.

En España, según la memoria de la AEPD de 2018, dicha agencia contó en el 2018 con un presupuesto de 14.178.880 euros, lo que supuso un leve incremento del 0,9% respecto al ejercicio anterior (pre-RGPD).

Irlanda, en donde se encuentran las sedes europeas de empresas como Apple, Facebook, Google, LinkedIn y Twitter, cuenta con un presupuesto de 16,9 millones de euros y 140 empleados, y dirige más de 127 investigaciones. Sin embargo, todavía no ha emitido una sola sanción por infracción del RGPD.

Para entender el alcance de estos presupuestos, según el NYT, la multa de 50 millones de euros a Google impuesta por Francia en mayo de 2018, representa aproximadamente la décima parte de lo que gana Google en ventas en un día.

La Agencia de Protección de Datos de Luxemburgo, en donde Amazon tiene su sede europea, contó en el 2019 con un presupuesto de 5,7 millones de euros, una cantidad que Amazon genera en ventas en aproximadamente 10 minutos.

Tácticas de empresas para retrasar el trabajo de las Agencias

Como consecuencia de la falta de medios de las Agencias, las empresas sancionadas buscan desgastar a las Agencias recurriendo sus sanciones, prolongando los casos durante años de tal forma que estas no puedan permitirse continuar dedicándole recursos.

Según los críticos, esto hace que las Agencias sean más cautas, cuidadosas y lentas al investigar casos complejos.

Otra táctica es la utilizada por empresas como Facebook que realizan numerosas preguntas legales durante el transcurso de una investigación con el fin de retrasarla y agotar los recursos de la agencia investigadora.

Reclamación de la empresa Brave

El pasado 27 de abril, la empresa tecnológica Brave presentó una reclamación ante la Comisión Europea contra los 27 Estados Miembros, solicitando que la Comisión iniciara un procedimiento sancionador contra estos por infringir el artículo 52(4) del RGPD:

“Cada Estado miembro garantizará que cada autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes…”.

Conclusión:

«Sin un cumplimiento y una inversión fuerte y robusta (por parte de los gobiernos), esta ley (el RGPD) es una fantasía» dice Johnny Ryan, el Jefe de Política y Relaciones Industriales de la empresa tecnológica Brave.

Desde el RGPD Blog creemos que todavía es pronto para hacer una afirmación como la anterior. La conocida ley norteamericana con alcance internacional The Foreign Corrupt Practices Act (FCPA) entró en vigor en el año 1977 y sin embargo las mayores multas impuestas por su infracción han sido a partir del 2008.

Las multas son además una fuente de financiación para las agencias, por lo que, con el tiempo, a medida que el número de multas crezca, las agencias contarán con más fondos para sus investigaciones.

Sin perjuicio de lo anterior, creemos que sí hay margen de mejora en cuanto a la inversión en recursos para las Agencias a día de hoy. Si para que la unidad de Compliance de una empresa funcione adecuadamente es necesario que esta cuente con los recursos necesarios, tanto humanos como económicos, ¿por qué debería ser diferente para los países y sus agencias de protección de datos?

Desde el RGPD Blog seguiremos atentos a noticias internacionales relacionadas con el RGPD.

Si te ha parecido interesante el post, puedes suscribirte a nuestro blog.