El GDPR está en vigor como norma europea de protección de datos desde el 25 de mayo de 2018. Sin embargo, sigue habiendo algunas deficiencias, especialmente en la aplicación del RGPD por parte de las autoridades alemanas.
Descubra aquí qué cinco deficiencias sigue presentando la protección de datos alemana tras cinco años del RGPD.
1. tramitación de reclamaciones sobre la base del GDPR
Aunque Irlanda viene a la mente cuando la gente oye el término "autoridades de protección de datos inactivas", Alemania tampoco es un buen ejemplo en este ámbito. Las autoridades aún tienen mucho camino por recorrer para controlar el rastreo en sitios web y aplicaciones.
Sin embargo, si nos remontamos más atrás en el tiempo, nos damos cuenta rápidamente de que en Alemania no se suelen tramitar en absoluto las denuncias presentadas. Esto es especialmente notable en Renania del Norte-Westfalia: De las reclamaciones presentadas por la organización de protección de datos noyb (none of your business) por el austriaco Max Schrems en los últimos años, sólo una de las 29 de Renania del Norte-Westfalia se ha concluido realmente. En algunos casos, ni siquiera hubo respuesta de las autoridades. El objeto de las denuncias suelen ser grandes sitios web.
Las propias autoridades admiten que sólo pueden proceder de forma aleatoria. La razón principal es la falta de capacidad. A los responsables de la protección de datos que presentan varias denuncias ante una autoridad se les suele decir que se ha alcanzado un límite y que ya no se tramitarán más denuncias del mismo denunciante. Ya se trate de un "asunto menor" o de una infracción grave, la autoridad competente deja de prestarle atención.
2. multas con arreglo al GDPR
Si nos fijamos en las denuncias realmente procesadas, también queda claro rápidamente que las multas son relativamente bajas.
La organización de protección de datos noyb (none of your business) también critica que los motivos de la decisión no son reconocibles. A diferencia de muchos otros Estados miembros, las autoridades alemanas de protección de datos no publican sus decisiones. Por tanto, las multas impuestas no pueden tener un efecto disuasorio o preventivo general.
3. todavía muchas infracciones de seguimiento
En los cinco años del GDPR, los portales de medios de comunicación en particular han sido un gran problema, ya que en muchos lugares viven de utilizar la publicidad basada en el comportamiento.
Aunque se han producido algunos avances en este ámbito gracias a la intensa supervisión de las autoridades alemanas de protección de datos, sigue habiendo muchos abusos en el rastreo. El rastreo analítico, los banners de cookies engañosos y las transferencias de datos a terceros países no seguros siguen siendo demasiado habituales.
Sin embargo, en lo que respecta a los consentimientos obtenidos, sigue existiendo cierta inseguridad jurídica, que recientemente se ha disipado un poco gracias al TTDSG.
4. ausencia de normalización y automatización en la aplicación del RGPD
Una gran pregunta es cómo encontrarán ahora las autoridades de protección de datos la salida a la sobrecarga. Bettina Gayk, Comisaria Estatal de Protección de Datos y Libertad de Información de Renania del Norte-Westfalia, no ve margen de maniobra en el tema de las multas, ya que la situación jurídica no es lo suficientemente precisa. "Pero ya se podrían buscar más infracciones de rastreo estándar por iniciativa propia, pero esto sólo sería posible en el marco de la libre capacidad de trabajo.
Estados federales como Baden-Württemberg ya utilizan sus propias herramientas de inspección para tramitar muchas infracciones de forma rápida y normalizada. Este enfoque puede acelerar la aplicación de la normativa, pero no elimina el problema de que el uso de un seguimiento analítico no autorizado solo requiere unos pocos clics, mientras que las autoridades suelen tardar años en aplicar la retirada mediante páginas de alegaciones y declaraciones.
Las autoridades siguen sin disponer de directrices y modelos claros sobre cómo gestionar un procedimiento de la forma más rápida y eficaz posible.
5. asesoramiento en lugar de castigo
La mayoría de los Estados federales también intentan resolver primero las reclamaciones con las empresas de forma amistosa. Se organizan sesiones de asesoramiento y conferencias y se distribuye material informativo en lugar de imponer sanciones.
La organización de protección de datos noyb (none of your business) critica que las empresas aprendan que siempre tienen una segunda oportunidad. En vano se buscarían aquí efectos disuasorios.
En algunos casos, este planteamiento llega tan lejos que se acusa a los distintos Estados federales de querer mejorar su calidad como emplazamiento empresarial ocupándose de la protección de datos.
Conclusión
Incluso después de cinco años de aplicación del RGPD, sigue habiendo una lista considerable de deficiencias en su aplicación y cumplimiento en Alemania. Así pues, el establecimiento de una protección de datos normalizada sigue siendo un proceso en curso.
Como resumen personal de los últimos cinco años, Max Schrems dijo que la ley funcionaba, pero la aplicación no.