Gostaria de supervisionar se a Big Tech está obedecendo às regras de privacidade da União Europeia? O governo irlandês publicou anuncio de emprego dois comissários adicionais para liderar a Comissão de Proteção de Dados (DPC), que supervisiona a conformidade das principais empresas de tecnologia com a estrutura de proteção de dados da região – e tem o poder de cobrar multas de até 4% do faturamento anual global por infrações do regime.
O DPC irlandês tem um papel de chefão na aplicação do Regulamento Geral de Proteção de Dados (GDPR) pan-UE devido ao número de gigantes da tecnologia que optam por localizar uma base regional substancial no país.
Os novos comissários se juntarão à atual comissária Helen Dixon, que se tornará presidente da nova estrutura de trio de comissários. Mas ela deverá deixar o regulador no próximo ano, quando o seu mandato expirar, pelo que uma reinicialização total da liderança está iminente.
A mudança de estrutura da DPC foi aprovada pelo governo irlandês em Julho de 2022após apelos para reforçar as capacidades de um cão de guarda com uma carga enorme e ainda crescente de casos supervisionando a conformidade com o GDPR de vários gigantes da tecnologia.
As empresas que o DPC é responsável pela supervisão da proteção de dados incluem Apple, Google, Meta, TikTok e X (Twitter). Embora, recentemente, o gigante da IA OpenAI tenha aberto um escritório em Dublin, no que parece ser uma tentativa de obter o chamado estatuto de “estabelecimento principal” na Irlanda no futuro – o que significaria que a DPC se tornaria também o seu principal regulador para o GDPR. Assim, os novos comissários estarão envolvidos na supervisão de uma série de gigantes tecnológicos conhecidos e, potencialmente, na avaliação de importantes apelos jurídicos relacionados com uma nova geração de gigantes alimentados pela IA.
Os candidatos às funções devem ter uma série de qualificações, incluindo “uma compreensão abrangente dos sistemas e estruturas jurídicas relevantes, com capacidade de demonstrar, ou adquirir rapidamente, conhecimento e compreensão da legislação nacional e da UE sobre proteção de dados, legislação sobre direitos humanos, procedimentos de aplicação da lei e direito administrativo”, de acordo com o anúncio de emprego, bem como uma “compreensão profunda” (ou a capacidade de adquirir rapidamente uma) das TIC e dos métodos de processamento de dados e um “excelente conhecimento e compreensão das questões de proteção de dados decorrentes da sua utilização ”.
Os dados finais para inscrições para as duas funções de comissário são 19 de outubro. O irlandês Comitê de nomeações de nível superior (TLAC) será responsável por fazer as nomeações. O mesmo comitê renomeou Dixon como comissário para um segundo mandato de cinco anos de volta em 2019.
Não está claro por que demorou tanto para que os dois novos cargos de comissário fossem atribuídos pelo governo irlandês. “A Irlanda tem um papel fundamental na aplicação do GDPR em toda a Europa”, escreve agora. “Isto deve-se ao mecanismo de ‘balcão único’, que é um elemento central do RGPD, proporcionando um ponto central de aplicação por uma autoridade supervisora líder do Estado-Membro. Dado que muitas das grandes plataformas em linha, motores de pesquisa e empresas tecnológicas que operam no EEE (Espaço Económico Europeu) têm a sua sede europeia na Irlanda, a DPC tem responsabilidades de autoridade supervisora em relação a estes organismos no EEE.»
Quem quer que sejam os novos comissários, eles enfrentarão uma mesa carregada de muita bagagem. Não apenas em termos de carga de casos existentes – com grandes casos abertos contra empresas como o Google (rastreamento de localização; adtech) e não faltam novas reclamações e questões recebidas (incluindo como regular a IA generativa) – mas porque a abordagem do DPC ao GDPR a aplicação da Big Tech tem sido alvo de críticas incisivas há anos.
Desde que o GDPR entrou em vigor em maio de 2018, os especialistas em privacidade acusaram regularmente o regulador de – na melhor das hipóteses – dormir no trabalho quando se trata de aplicar a estrutura de uma forma que questione adequadamente o poder da plataforma e o seu impacto deletério sobre os cidadãos da UE. direitos.
Dixon sempre respondeu agressivamente aos críticos, argumentando que o DPC está trabalhando o mais rápido que pode, dada a carga de casos, a escala e a complexidade de várias investigações importantes. E, mais recentemente, o regulador conseguiu apontar para um conjunto crescente de grandes decisões anunciadas fora da Irlanda, incluindo (no início deste mês) uma multa de 379 milhões de dólares ao TikTok por não manter os dados das crianças seguros; (em maio) uma multa de US$ 1,3 bilhão para a Meta por exportação ilegal de dados; e (em janeiro) uma multa de US$ 410 milhões para a Meta por não ter uma base legal para rastrear e traçar perfis de usuários para segmentação de anúncios.
No entanto, os projetos de decisões do DPC sobre investigações de alto perfil têm enfrentado regularmente revisões críticas e resistências por parte das autoridades pares e do Conselho Europeu de Proteção de Dados, um importante órgão diretor do GDPR – levando, frequentemente, a descobertas de violações mais amplas e multas mais altas cobradas dos como Meta, TikTok e X do que o DPC havia proposto originalmente. Portanto, sua abordagem parece ser uma aplicação baixa do GDPR.
O grupo de direitos de privacidade noyb afirma que a mencionada penalidade de janeiro do DPC sobre o processamento de anúncios da Meta na verdade deixou a empresa totalmente fora de perigo – argumentando que a Meta deveria ter enfrentado uma multa exponencialmente maior de mais de US$ 4 bilhões – então o regulador é acusado de reduzir a responsabilidade para os gigantes que supervisiona . Ou, bem, pior: em novembro de 2021, noyb chegou a apresentar uma queixa criminal de corrupção contra a DPC, acusando-a de “chantagem processual” em relação a uma queixa contra o Facebook/Meta.
No ano passado, o Conselho Irlandês de Liberdades Civis (ICCL) também perdeu a paciência e processou o DPC por inação em uma reclamação de longa data contra a adtech do Google – que ainda não rendeu uma decisão. Enquanto uma aparição de Dixon numa audiência do Parlamento Europeu no início deste ano viu o comissário rechaçar o questionamento hostil dos legisladores da UE na comissão de liberdades civis do parlamento.
A própria Comissão Europeia foi forçada a intensificar a monitorização da forma como os reguladores, incluindo a DPC, estão a aplicar o RGPD, na sequência de queixas apresentadas ao seu Provedor de Justiça que resultaram de críticas à DPC. Este Verão, o executivo da UE também apresentou uma proposta de reforma das regras processuais em torno da aplicação do GDPR com o objetivo de tornar o tratamento de casos transfronteiriços “mais eficiente e harmonizado em toda a UE”.
As mudanças na forma como o GDPR é aplicado em casos transfronteiriços envolvendo gigantes da tecnologia estão claramente chegando ao alto nível – mas um par (e mais tarde um trio) de novas vassouras no DPC certamente poderia deixar uma marca. Portanto, estas duas novas nomeações de comissários da DPC devem ser acompanhadas de perto.
A ICCL vem pressionando há anos para que a DPC tenha mais de um comissário. Ele disse ao TechCrunch que está satisfeito em ver esta etapa finalmente acontecendo hoje. No entanto, também já anteriormente pediu mais reformas e o Dr. Johnny Ryan, membro sênior da organização, disse que observará cuidadosamente o processo de nomeação. “Vamos escrever para (o TLAC) em breve para pedir que seja dada a máxima atenção aos conflitos de interesses e ao envolvimento de especialistas em direitos humanos”, acrescentou.
Em um Comunicado de imprensa respondendo aos anúncios de emprego publicados, a ICCL reiterou o seu apelo a “outras reformas importantes”.
“Embora a nomeação de Comissários adicionais seja bem-vinda, continuamos profundamente preocupados com o facto de o governo não ter lançado uma revisão independente sobre como fortalecer e reformar o DPC. Sem essa revisão será impossível para os novos comissários saberem o que precisam de corrigir. A sugestão do Ministro de que a própria revisão da DPC é totalmente inadequada”, disse o diretor executivo, Liam Herrick, em comunicado.