CÓMO SE APLICA EL RGPD EN CASOS TRANSFRONTERIZOS
¿Te habías preguntado cómo se aplica el RGPD cuando se trata de casos con implicaciones en más de un país?
Con la entrada en vigor del RGPD los ciudadanos pueden presentar reclamaciones ante cualquier autoridad del Espacio Económico Europeo, y las autoridades competentes deben colaborar entre ellas para que las reclamaciones recibidas sean atendidas adecuadamente. Del mismo modo, un Estado miembro puede decidir iniciar una actuación por propia iniciativa.
El capítulo VII del RGPD está dedicado a la cooperación entre autoridades de control del Espacio Económico Europeo para casos transfronterizos. Es el Comité Europeo de Protección de Datos (EDPB en inglés) la figura que asegura la correcta aplicación del Reglamento y se encarga de canalizar la cooperación entre las Autoridades de protección de datos.
Las diferentes autoridades de control de cada país participan o bien como autoridad principal, o bien como interesada, según donde se encuentre el establecimiento principal del responsable de los datos.
Expedientes Transfronterizos
Según la AEPD, en el 2019, los procedimientos transfronterizos han augmentado un 33%. Hay que destacar que los casos liderados por la AEPD como autoridad principal han pasado de 15 en 2018 a 21 de 2019 y, en la cooperación como autoridad interesada, se ha pasado de 229 a 565 casos, un incremento del 147%.
Fuente: AEPD, 2021
Estas cifras muestran la importancia para las empresas multinacionales de estar al corriente y en cumplimiento con el RGPD en los distintos países donde operan. Para ello, lo mejor es asesorarse por expertos con competencias en ambos países, como los consultores que Actecil pone a su disposición.
Entremos en materia, ¿Qué casos transfronterizos se conocen?
Destacan varios casos abiertos en los que la AEPD participa como autoridad interesada.
- Caso Facebook: por la gestión ineficaz de las solicitudes de supresión de datos recibidas por sus usuarios y la falta de comunicación de estas a subcontratistas.
- Caso WhatsApp: por dificultar la portabilidad completa de los datos personales por el uso de un formato poco común.
- Caso LinkedIn: por el envío de invitaciones por correo a unirse a la red profesional de un miembro de la plataforma.
- Caso Instagram: por hacer públicas publicaciones almacenadas en cuentas de menores de 16 años, y por el uso de sus datos de contacto, convirtiendo estas cuentas en cuentas “de negocio”.
- Caso Twitter: por el fallo de la funcionalidad “Borrar toda información de localización”.
Estos últimos, se están tratando en colaboración con la autoridad de control Irlandesa, como autoridad principal.
- Caso Amazon: en colaboración con la autoridad de Luxemburgo como autoridad principal. Por procesamiento ilegal y cesión de datos a terceros, por el tratamiento de datos personales a través de sus altavoces inteligentes, y por el almacenamiento de datos bancarios en su plataforma de e-commerce sin informar ni obtener el consentimiento de los clientes.
Además, España lidera en este momento 33 casos transfronterizos con el apoyo de otras autoridades interesadas y participa activamente para mejorar el sistema de colaboración.
Así pues, si la actividad de su empresa está dirigida a públicos en diferentes países, le aconsejamos que se deje asesorar por uno de nuestros expertos para alcanzar el correcto cumplimiento del RGPD en todos los territorios donde opera su empresa.
Fuente: https://www.aepd.es/sites/default/files/2020-05/memoria-AEPD-2019.pdf