Nueva ofensiva al 'cuello de botella' del RGPD: Irlanda autoriza una demanda contra su agencia de protección de datos por dilatar más de 3 años una investigación a Google

El Consejo Irlandés por las Libertades Civiles, ICCL por sus siglas en inglés, podrá denunciar a la agencia de protección de datos de su país al entender que en cierta manera es cómplice del cuello de botella regulatorio que ha provocado un precepto del Reglamento General de Protección de Datos (RGPD).

La norma europea entró en vigor en 2018, y desde hace dos años las sanciones a las grandes tecnológicas por vulnerar su articulado han crecido ostensiblemente. Sin embargo, el ICCL ya denunció el año pasado que la Comisión de Protección de Datos (DPC, en sus siglas en inglés) no está haciendo todo lo que podría para investigar y elevar posibles sanciones.

En un informe el ICCL ya destacó cómo el DPC (cuyo homólogo en España es la Agencia Española de Protección de Datos, AEPD) generaba un importante cuello de botella en el ámbito regulatorio del RGPD al no ser capaz de resolver cerca del 98% de los casos contra las tecnológicas que se abrían en su jurisdicción.

Esto se debe a un precepto del RGPD, el principio de ventanilla única. Según ese principio, la autoridad de protección de datos competente para investigar y sancionar a una tecnológica es el organismo nacional del país en el que la compañía tenga sede. En Europa, la mayoría de las grandes multinacionales tecnológicas tienen sede en Irlanda por su baja tributación.

Aunque el año pasado la DPC irlandesa sí elevó una importante sanción contra WhatsApp de 225 millones de euros, lo cierto es que muchas de las investigaciones o denuncias que se han interpuesto ante este organismo siguen paralizadas. Esto ha obligado a las autoridades de Bruselas a tomar cartas en el asunto y es plausible que este año esta situación se discuta en el ámbito comunitario.

Irlanda tiene sin resolver el 98% de las demandas por protección de datos contra las grandes tecnológicas: así se ha convertido Dublín en un "cuello de botella" para la UE

Pero la ICCL ha conseguido ahora una importante victoria judicial. El Tribunal Superior irlandés ha autorizado a este organismo en defensa de los derechos civiles a presentar una denuncia contra la DPC al entender que la DPC ha fracasado en su labor de proteger a los ciudadanos frente a una de las mayores vulneraciones del RGPD que podrían haberse dado.

Lo dice esta propia organización en este comunicado, en el que se refieren a una denuncia que se presentó hace tres años y medio contra Google y ante el DPC. La denuncia expone que el Real-Time Bidding de Google, el sistema con el que el gigante del buscador elige qué anuncios te enseña cuando cargas una app o visitas una web, es "la mayor brecha de datos" de la historia.

"El Real-Time Bidding de Google selecciona que anuncio ves cuando entras en una web o cargas una app. Sucede entre bambalinas y puede retransmitir información personal tuya a miles de otras compañías de rastreo en apenas un segundo. No hay control sobre con qué compañías se comparten todos esos datos sensibles", expone el ICCL.

Por eso, para el organismo irlandés esto supone vulnerar "el eje del RGPD según el cual las plataformas deben proteger los datos personales". "Google opera este sistema en miles de páginas, retransmitiendo datos personales a otras empresas miles de millones de veces al día".

La primera denuncia que la DPC recibió al respecto de este sistema llegó hace tres años y medio. El organismo de control "estuvo obligado a investigar y a actuar siguiendo los preceptos del RGPD, pero no lo hizo". "Dado que la operativa de Google se basa en Irlanda, la DPC es la responsable de comprobar si Google se atiene a las leyes de protección de datos europeas", insiste.

Las sanciones por vulnerar el RGPD en toda Europa superaron los 1.100 millones de euros en 2021, hasta siete veces más que el año anterior

La primera denuncia que se elevó ante la DPC por este tema llegó el 12 de septiembre de 2018 a manos del doctor Johny Ryan. El 22 de mayo de 2019 la DPC anunció que iniciaba una investigación. El 12 de enero de 2022 la DPC reconoció haber preparado un informe detallando unos puntos que luego investigaría, excluyendo la seguridad de los datos personales, el elemento crucial de la denuncia.

Finalmente, el 14 de marzo de 2022 el Tribunal Superior irlandés ha reconocido a la ICCL la potestad para presentar una denuncia formal contra la DPC por su inacción.

Liam Herrick, director ejecutivo de ICCL, ha expresado su preocupación por los riesgos a los que se enfrentan "los derechos de los ciudadanos europeos" debido a este "fracaso" del DPC. "Vamos a ir a los tribunales para intentar que se protejan los derechos digitales".

Por su parte, el Defensor del Pueblo europeo remitió a la Comisión Europea un escrito en el que preguntaba si se había hecho un monitoreo adecuado sobre las responsabilidades de Irlanda al aplicar el RGPD. Se espera que la contestación de Bruselas llega el próximo 15 de mayo.