El director del Supervisor Europeo de Protección de Datos confía en que 2022 será un año clave para mejorar el RGPD y lograr "una aplicación más efectiva en el mundo digital"
- Leonardo Cervera es el director y número dos del Supervisor Europeo de Protección de Datos (EDPS), el organismo que coordina a las agencias de protección de datos nacionales de la Unión Europea.
- En una entrevista con Business Insider España, Cervera reconoce varios de los desafíos que aborda el RGPD cuando en 2022 se cumplen cinco años de su aprobación, aunque descarta que haya quedado "obsoleto".
- Descubre más historias en Business Insider España.
El Supervisor Europeo de Protección de Datos o EDPS, en sus siglas en inglés, tiene una tarea titánica: coordinar todas las agencias nacionales competentes según el Reglamento General de Protección de Datos (RGPD) para velar por su cumplimiento en todos los estados miembros de la Unión.
"Un modelo de un único Reglamento con 27 autoridades que velan por su cumplimiento requiere de un gran esfuerzo de coordinación", concede Leonardo Cervera. Este español es el director del EDPS, el número dos del máximo responsable de esta institución, el polaco Wojciech Wiewiórowski. Y ese esfuerzo de coordinación "no siempre puede ser plenamente efectivo".
Por eso, Cervera destaca, en una entrevista concedida a Business Insider España, que 2022 será un año clave para abordar muchos debates y desafíos pendientes de este reglamento, que con el paso de los años ha acabado convirtiéndose en un estándar global. "No en vano, esta influencia sobre terceros países que quieren alinearse con nosotros ha recibido una denominación concreta".
"El efecto Bruselas".
Mientras que el Comité Europeo de Protección de Datos (EDPB, en inglés) aúna a los máximos representantes de los organismos de control nacionales, es el EDPS la entidad que vela porque los trabajos de las distintas agencias no se solapen, compartan información y colaboren.
Cervera sabe lo difícil que es eso. El director del EDPS, que también es candidato en el actual proceso para elegir al nuevo presidente de la AEPD, conoce al detalle los mecanismos por los que se aplican algunas de las recientes e históricas sanciones a las tecnológicas. Solo en 2021 se impuso una multa a Amazon de 746 millones y otra a WhatsApp de otros 225 millones.
Los problemas de la ventanilla única
Pero también conoce sus límites, aunque no los mente explícitamente.
Uno es el famoso cuello de botella que ha originado la Comisión de Protección de Datos de Irlanda, y que ha sido denunciado en múltiples ocasiones organizaciones, colectivos de la sociedad civil y expertos. El RGPD se rige por un principio de ventanilla única. La autoridad sancionadora competente es aquella en la que se ubica la empresa que ha vulnerado la norma.
Muchas grandes tecnológicas mantienen su sede fiscal en Irlanda, pero a la vez, el organismo irlandés no había logrado resolver el 98% de las demandas que se habían presentado contra las grandes tecnológicas en el país. Lo pormenorizaba de esta manera un informe elaborado por una plataforma llamada Consejo Irlandés por las Libertades Civiles.
"Desde el EDPS hemos tomado buena nota de las fortalezas y debilidades del actual modelo de aplicación del RGPD", concede Cervera. "Pensamos que cinco años después de la aprobación de este Reglamento Europeo, parece un buen momento para hacer balance y empezar a debatir sobre posibles mejoras".
Y apunta a una fecha: 16 y 17 de junio de 2022, cuando se celebre una conferencia internacional que se está organizando para precisamente mejorar el RGPD. "Habrá que esperar a sus conclusiones", defiende. "Pero estoy seguro de que de esta conferencia saldrán muchas ideas y propuestas interesantes".
La fecha no es baladí, ya que el RGPD fue formalmente aprobado en verano de 2017, aunque entró en vigor en todos los estados miembros a partir de mayo de 2018. Que se debatan sus mejoras no quiere decir que el RGPD se haya quedado obsoleto, defiende el director del EDPS. "Todo lo contrario: se trata de una legislación que supo ver más allá de su tiempo".
"Ha sido y sigue siendo pionera en muchos aspectos. Lo que hay que hacer es reflexionar sobre cómo conseguir una aplicación más efectiva en el mundo digital". Prueba de ello son los históricos números que arrojan las sanciones propuestas en 2021. El año pasado, Europa en su conjunto propuso en multas un 500% más que en 2020. En España, el incremento fue del 1.000%.
En otras palabras: mientras que en 2020 la Agencia Española de Protección de Datos propuso unos 3 millones de euros en multas, al siguiente curso (desde diciembre de 2020 a noviembre de 2021) esta cifra se había disparado hasta los 32 millones, con entidades bancarias, eléctricas y telecos como las más sancionadas.Aquí puedes ver qué empresas fueron más sancionadas en España.
El incremento de esas cifras implica que las agencias de protección de datos de toda Europa están "en el buen camino hacia mecanismos de control más fuertes y eficaces", opina Leonardo Cervera. "Las sanciones de estos años son el resultado de los mecanismos de cooperación y coherencia previstos en el RGPD, pero creo que hay margen para mejorar algunas cosas".
Sobre todo, teniendo en cuenta que los desafíos inminentes en el ámbito tecnológico y legislativo no se limitan a la protección de los datos personales. Aunque el efecto Bruselas sea algo real, para el director del EDPS sería algo "muy poco inteligente" el dormirse "en los laureles".
Más desafíos, pero el mismo presupuesto
"Hay que encontrar un equilibrio entre la protección de datos y los sandboxes regulatorios, resolver el puzle de la soberanía digital en Europa, o poner en marcha el futuro Reglamento de Inteligencia Artificial, por nombrar solo algunos ejemplos. En líneas generales, necesitamos una conversación más fluida entre la protección de datos y la realidad tecnológica de nuestros días", incide.
El Consejo Irlandés por las Libertades Civiles que denunció el cuello de botella causado por el organismo de control de su país también expuso en su informe cómo los presupuestos de las agencias de protección de datos europeas se habían estancado. Entre 2014 y 2021 su presupuesto solo había aumentado un 17%.
Borja Adsuara, abogado y consultor tecnológico, propuso en Business Insider España que estos organismos de control comenzaran a quedarse con el dinero de las sanciones interpuestas para financiarse. Adsuara, además, es candidato a la adjuntía de la Presidencia de la AEPD en el proceso en el que también concurre Cervera Navas.
Leonardo Cervera coincide en que las autoridades de protección de datos "tienen que ser plenamente independientes y ajenas a cualquier tipo de injerencia política". Por eso, ha mostrado su sorpresa porque antes de que se abriese el proceso PSOE y PP anunciaran el nombramiento de presidenta y presidente adjunto (el propio Adsuara).
También lo hizo el número uno del EDPS, Wiewiórowski, en una entrevista con el diario El País a finales del año pasado.
Pero sobre la capacidad presupuestaria de estos organismos de control, Cervera Navas asegura que estas agencias deben contar "con los medios y recursos necesarios para que los niveles de protección que establece el Reglamento sean una realidad más allá de la letra de ley".
"Claramente, hay que invertir más y mejor en las autoridades de protección de datos, pero esa inversión tiene que venir acompañada de inversiones similares en las administraciones públicas y en las empresas que son los que, con su compromiso y con el respeto a la ley, hacen que la protección de datos sea una realidad palpable para nuestros ciudadanos", enfatiza.
Todo, porque para Leonardo Cervera, "donde hay un buen delegado de protección de datos hay siempre una buena protección de datos en la práctica".
Otros artículos interesantes:
Descubre más sobre Alberto R. Aguiar, autor/a de este artículo.
Conoce cómo trabajamos en Business Insider.