Luego de una serie de renuncias de altos funcionarios de privacidad y seguridad de Twitter a fines de la semana pasada, la empresa de redes sociales informó a su principal regulador de protección de datos en la Unión Europea que designó un reemplazo «interino» para uno de esos puestos: el papel clave de delegado de protección de datos (DPO).
Las salidas abruptas de la CISO de Twitter, Lea Kissner; director de privacidad (y DPO) Damien Kieran; y la directora de cumplimiento, Marianne Fogarty, inmediatamente plantearon dudas sobre su capacidad para cumplir con los requisitos regulatorios bajo la nueva escoba que destroza las normas, Elon Musk, quien solo completó su adquisición de $ 44 mil millones a fines del mes pasado.
Una empresa que procesa datos personales a la escala que hace Twitter está obligada, según el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, a tener al menos un DPO, como mínimo.
Twitter también tiene un decreto de consentimiento de 2011 con la FTC que requiere que presente informes regulares sobre cómo está cumpliendo con los compromisos continuos para salvaguardar los datos de los usuarios, por lo que la repentina partida del personal superior de privacidad y seguridad hizo sonar inmediatamente las alarmas. Incluido en el Comisión Irlandesa de Protección de Datos (DPC), principal supervisor de datos de Twitter para el RGPD de la UE.
Una reunión entre la DPC y Twitter siguió inmediatamente después del trío de renuncias, organizada la semana pasada y que tuvo lugar ayer, y en esta reunión, la DPC dijo que Twitter le informó que había designado a un empleado existente, Renato Monteiro, como su » DPD interino”.
Monteiro ha estado empleado en Twitter durante dos años y nueve meses, según su perfil de LinkedIn, comenzando en Match 2020 en São Paulo, Brasil, como líder del consejo de protección de datos para América Latina, antes de mudarse a Twitter Irlanda este verano para asumir un papel como director de privacidad internacional y protección de datos: gestión de equipos de privacidad y protección de datos en Europa, Oriente Medio y África, América del Norte y del Sur y APAC.
No está claro por qué Monteiro solo ha sido nombrado DPO «interino», o si su nombramiento tiene la intención de ser solo una medida provisional mientras se busca un reemplazo completo o no.
Desde que Musk se hizo cargo de Twitter, la empresa dejó de responder a las consultas de la prensa, por lo que no es posible obtener confirmación a través de un canal oficial. Pero Musk parece tener una inclinación por nombrar ‘interino’ en lugar de títulos de trabajo reales, así como por jugar con títulos de trabajo absurdos (como inicialmente bautizarse a sí mismo como «imbécil jefe», después de que despidió y reemplazó al director ejecutivo real; siguió por Musk convirtiéndose en «operador de la línea directa de quejas de Twitter», aparentemente como un comentario sobre los usuarios que respondieron negativamente a sus primeras decisiones sobre productos y otros cambios).
Una pregunta que probablemente surja, por lo tanto, es si Monteiro está siendo investido con todas las responsabilidades y deberes requeridos por el rol de DPO bajo GDPR y, si no, si un marco ‘actuador’ será aprobado por los reguladores de la UE.
En el momento de redactar este informe, la DPC no había respondido a nuestra pregunta sobre este punto. Pero actualizaremos este informe si recibimos una respuesta.
La semana pasada, el regulador irlandés nos dijo que además de usar la reunión del lunes con Twitter para buscar información sobre la situación del DPO, planeaba discutir una preocupación más amplia: preguntar si la empresa todavía reclama su establecimiento principal (para propósitos de GDPR) En Irlanda.
Esta estructura es importante porque permite que Twitter participe en el mecanismo de ventanilla única (OSS) del RGPD, que establece al DPC como su principal supervisor de datos para los problemas de protección de datos de la UE y significa que las quejas realizadas en otras partes del bloque generalmente se canalizan a través de Irlanda: permite a la empresa con sede en EE. UU. optimizar su cumplimiento de GDPR y reducir el riesgo regulatorio.
Sin embargo, dados todos los cambios drásticos que acompañaron la toma de control de Twitter por parte de Musk, incluidos, según se informa, los procesos estándar de revisión de privacidad y seguridad que se prescindieron de los procesos estándar de revisión, se plantean dudas sobre si Twitter aún puede reclamar de manera creíble el establecimiento principal en Irlanda, como informamos ayer.
El comisionado adjunto del DPC, Graham Doyle, se negó a proporcionar una actualización sobre su cuestionamiento del estado de establecimiento principal de Twitter después de la reunión de ayer, y solo dijo: «Seguimos interactuando con Twitter».
Es probable que otras agencias de protección de datos de la UE estén observando muy de cerca los desarrollos en este frente.
Un portavoz de la CNIL de Francia le dijo a TechCrunch que se acercará al DPC para discutir la naturaleza y las «posibles consecuencias» de los cambios que se informó que tuvieron lugar en Twitter desde que Musk asumió el cargo.
Aunque el regulador también nos dijo que, en la actualidad, no tiene “información suficiente” para cuestionar la aplicación del OSS.
“Hasta ahora, la evidencia disponible para las autoridades de control les ha llevado a considerar que el principal lugar de negocios de Twitter en la UE estaba en Irlanda, lo que convirtió a la DPC en la autoridad principal. La CNIL tiene la intención de acercarse a la DPC para discutir sobre la naturaleza y las posibles consecuencias que los cambios mencionados en la prensa podrían tener sobre el papel y el estado del establecimiento irlandés de Twitter”, dijo el portavoz de la CNIL.
“En esta etapa, la CNIL no tiene suficiente información para considerar que la aplicación del sistema de ventanilla única está en duda”.