Bruselas ya tiene la opinión de empresas y expertos sobre cómo mejorar el RGPD tras 5 años en vigor, y muchas miradas se dirigen a Irlanda

5 años después de su entrada en vigor, la Comisión Europea ya cuenta con la opinión de empresas y expertos sobre cómo mejorar el Reglamento General de Protección de Datos (RGPD). Bruselas espera desarrollar antes de verano una nueva regulación que responda a todos los posibles flecos que la norma comunitaria haya dejado sin cerrar.

Muchos de esos flecos están en Irlanda. En los últimos años, las agencias de protección de datos de distintos países de la Unión Europea han lamentado la actitud que ha mantenido la Comisión de Protección de Datos (DPC) irlandesa a la hora de abordar las causas que allí se han abierto contra las grandes tecnológicas.

El RGPD, aprobado en 2016 y en vigor desde 2018, incluía un principio de ventanilla única. Esto implica que la autoridad competente de cursar un procedimiento es aquella que se encuentre en el país en el que tenga la empresa investigada su principal sede europea. Gracias a las ventajas de la fiscalidad irlandesa, muchas multinacionales tienen allí su base para el Viejo Continente.

Es el ejemplo de Google o Meta. Noyb, una plataforma austríaca de activistas en defensa de la privacidad, ha cursado varias demandas contra estas dos multinacionales ante la DPC irlandesa y los plazos de los procedimientos se han dilatado durante años. De hecho, el Comité Europeo de Protección de Datos (EDPB) ha llegado a tener que intervenir en algunas de estas causas.

El escenario más optimista deja a EEUU y a la Unión Europea sin acuerdo para transferir datos hasta verano: qué puedes hacer para no vulnerar la ley

De hecho, Noyb ha lamentado en múltiples ocasiones el papel que ha jugado la DPC amparando la actividad de Meta. En enero, después de una multa de la DPC a la propia propietaria de Facebook, Noyb volvió a denunciar la baja cuantía de la sanción. Acusó al organismo irlandés de perdonarle a la multinacional tecnológica millones de euros.

Estas críticas a la DPC irlandesa por su posible laxitud velando por el cumplimiento del RGPD también se han dado en su propio país. En 2021 una organización por los derechos civiles irlandesa retrató en un informe cómo la gestión de la DPC estaba suponiendo un "cuello de botella" para todo el continente ante la magnitud de casos que se bloqueaban en su estructura.

La gota que colma el vaso y que llevó a la Comisión Europea a actuar

Conscientes de estos problemas, la Comisión Europea ha emprendido algunas medidas. Ya 2022 fue para Leonardo Cervera, el número 2 del Supervisor Europeo de Protección de Datos (EDPS, el organismo análogo a la Agencia Española de Protección de Datos pero para las instituciones comunitarias), el año en el que se mejoraría en el RGPD.

Finalmente ha sido en 2023 cuando las gotas han colmado el vaso, posiblemente después de la polémica por la causa contra Meta a cuenta de cómo adaptó sus políticas de privacidad cuando entró en vigor el RGPD: Noyb, de nuevo, entendió que la multinacional estaba extrayendo datos de sus usuarios acogiéndose ilícitamente a unos preceptos del reglamento.

Tras un borrador de decisión de la propia DPC, finalmente fue el EDPB —el Comité, el órgano que aglutina a todas las agencias nacionales— quien, sorprendentemente, impuso su última palabra. Aquel movimiento desató toda una controversia que, por supuesto, dejó disconforme a la agencia irlandesa.

Semanas después de que la polémica estallara, la Comisión Europea anunció un período de consulta —una audiencia pública— para una nueva regulación. Esta consulta arrancó el 24 de febrero y terminó el plazo para recibir opiniones hace apenas unas horas, el 24 de marzo.

La iniciativa de la Comisión pretende dotar de armonía "a la cooperación entre autoridades nacionales de protección de datos al aplicar el RGDP en casos transfronterizos". "Para ello armonizará algunos aspectos del procedimiento administrativo que las autoridades aplican, lo que contribuirá al buen funcionamiento de los mecanismos de cooperación".

Telecos y plataformas de activistas entran al debate

Culminado el plazo para remitir opiniones a la audiencia de la Comisión, ya se conocen algunas propuestas que han presentado desde plataformas de activistas como la delegación europea de Access Now o EDRi —Derechos Digitales Europeos—. Pero lo más llamativo ha sido la denuncia que ha hecho la Asociación Europea de Operadores de Redes de Telecomunicaciones, la ETNO.

Esta última, en el sumario de su escrito, expone que la cooperación efectiva entre las autoridades nacionales en casos transfronterizos "es clave para la aplicación del RGPD". "Lamentablemente, el mecanismo de ventanilla única, que debería ser el principal impulsor de la coordinación, ha incumplido en gran medida su objetivo".

La ETNO apunta directamente a que la "lentitud" en los procedimientos "y la desconfianza" entre las autoridades de protección de datos "han obstaculizado la eficacia" del RGPD. Y pone ejemplos. Sin ir más lejos, la denuncia de Meta antes reseñada que la DPC resolvió en enero de 2023 después de que el EDPB interviniese con una resolución en diciembre de 2022.

"La lentitud de procedimientos y la fragmentación de su aplicación limitan la capacidad del RGPD para influir en los mercados digitales y en las empresas tecnológicas mundiales". "Los miembros de la ETNO están menos expuestos a las deficiencias de la ventanilla única porque su actividad como proveedores de redes está íntimamente ligada a las jurisdicciones nacionales", reconoce.

La AEPD someterá a examen a 30.000 delegados de protección de datos españoles en el marco de una acción coordinada a nivel europeo

Sin embargo, continúa, "cada vez hay más cooperación entre los miembros de la ETNO y otros agentes de las telecomunicaciones". "En mercados digitales emergentes en los que tecnológicas de fuera de la Unión Europea ocupan una posición destacada, alcanzar escala mediante la cooperación es clave para que los agentes europeos sean competitivos".

"Un mecanismo de ventanilla única que funcione será crucial para dar a las empresas seguridad jurídica y un entorno normativo propicio para desarrollar estos modelos de colaboración". Exponen esto en referencia también a las alternativas a las cookies y a la publicidad personalizada que las telecos proponen desde hace unos meses.

Otras entidades, como la plataforma Access Now, recomienda en su escrito la introducción de mecanismos para que el RGPD pueda activar procedimientos de emergencia para causas concretas, así como el desarrollo de una plataforma tecnológica con la que sea posible monitorizar a nivel comunitario todos los procedimientos que se hayan abierto con el RGPD.

Por ahora, dado que la guerra se libra en cada país por su cuenta, lo más cercano a esa plataforma son servicios estadísticos que desarrollan despachos privados, como la web GDPR Enforcement Tracker.

La EDRi, por su parte, adjunta una tabla con docenas de propuestas —armonizar el modelo de denuncias por vulneración del RGPD, por ejemplo, y crear plataformas en las que sean posibles incluir todos los documentos adjuntos que sean necesarios para defender las mismas—. 

El Consejo Irlandés de los Derechos Civiles, la organización que ya fue muy crítica con la DPC en 2021, también ha presentado otra tanda de propuestas.

El 'lobby' de las grandes tecnológicas tiene una visión diametralmente distinta

La CCIA, lobby de las grandes tecnológicas, también se ha pronunciado en el proceso de audiencia pública de la Comisión Europea. También entienden que el RGPD necesita mejorar, con especial énfasis al abordar estas causas transfronterizas —aunque Meta o Google estén en Irlanda, las implicaciones de sus acciones pueden afectar a todos los ciudadanos europeos—.

Esta asociación industrial plantea en su escrito a Bruselas que se reconozcan "explícitamente" los "derechos fundamentales de los demandados en estos procedimientos transfronterizos", "en particular cuando las autoridades de control no llegan a una decisión y el caso se eleva al EDPB".

"La Comisión debería conceder a las empresas el derecho explícito a recurrir las decisiones vinculantes del EDPB que les afecten directamente". "Esto se produce después de que una sentencia del Tribunal General de la Unión Europea eliminara los derechos de recurso de los demandados y la revisión judicial de tales decisiones".

El presidente de CCIA Europa, Alexandre Roure, enfatiza esa idea: "5 años después de la entrada en vigor del RGPD, la aplicación del reglamento muestra deficiencias significativas. Plantea serias preocupaciones cuando se socavan los derechos más básicos de los acusados, como el derecho a recurrir una decisión del EDPB que les afecte o el derecho a un juicio justo".

"La Comisión Europea también debe prevenir las incoherencias en la aplicación del RGPD, sobre todo en esos casos en los que las autoridades nacionales responsables de velar por otras leyes ahora están repentinamente autorizadas a verificar si se cumple el RGPD", sostiene Roure.

"La ausencia de normas detalladas sobre cómo las autoridades de la competencia y otros organismos deben cooperar con las agencias de protección de datos puede conducir a un nivel de fragmentación sin precedentes, lo que pone en peligro las prácticas de procesamiento de datos de las empresas y las expone a una responsabilidad potencialmente insostenible".