En mayo de 2023 el Reglamento General de Protección de Datos (RGPD) cumplió 5 años en vigor. La norma que alumbró la Unión Europea se ha convertido en un estándar global que replican muchos países más allá del Viejo Continente al abordar cómo las grandes tecnológicas recopilan y tratan los datos personales de sus usuarios.

Pero el Reglamento también ha tenido problemas. Uno de ellos lo provocó el famoso mecanismo de ventanilla única: el texto contemplaba que si una empresa vulneraba el RGPD, sería la autoridad nacional correspondiente a donde se encontrase la sede de esa empresa la encargada de iniciar el proceso administrativo contra ella.

Esto ha provocado una enorme sobrecarga en autoridades de protección de datos como la DPC, el organismo irlandés. En Irlanda se asientan las matrices europeas de grandes multinacionales tecnológicas como Meta, propietaria de plataformas tan masivas como Facebook, Instagram o WhatsApp.

Además de esa sobrecarga, la autoridad irlandesa ha tenido desavenencias con la opinión de sus contrapartes en el resto de la Unión Europea, como lo son la Agencia Española de Protección de Datos (AEPD), la CNIL francesa, el Garante italiano, entre otras. 

Esa tensión llegó a límites insospechados a principios de este año, cuando el Comité Europeo de Protección de Datos (EDPB) enmendó la plana a la DPC irlandesa sobre una propuesta de sanción a Meta por haber vulnerado el RGPD de forma sistemática desde que entró en vigor en 2018. Irlanda quería imponer una multa de entre 28 y 36 millones de euros a la compañía de Zuckerberg.

La alerta de la responsable de la AEPD: "Se ha superado el límite de lo humanamente sano para la salud mental del equipo"

Las agencias de protección de datos de Austria, Alemania, Francia, Italia, Países Bajos, Noruega, Polonia, Portugal y Suecia presentaron objeciones y el EDPB finalmente impuso una multa de 390 millones —210 millones a Facebook y 180 millones a Instagram—. Una cifra sustancialmente mayor, aunque tampoco satisfizo a los activistas por la privacidad que iniciaron la causa en 2018.

Este martes se ha conocido una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que en cierta manera avala la sanción, zanja la disparidad de criterios entre agencias de protección de datos y concluye que Meta vulneró el RGPD cuando este entró en vigor. Se basa en otra causa, esta nacida en Alemania, pero la conclusión es la misma.

De forma casi inmediata, la Comisión Europea reaccionó. Estaba preparado. El Ejecutivo que lidera la alemana Ursula von der Leyen anunció a los pocos minutos una nueva regulación que busca mejorar la coordinación entre las agencias de protección de datos de los 27 para evitar que esas desavenencias puedan provocar que las causas se prolonguen años en el tiempo.

Bruselas quiere poner fin de una vez a ese cuello de botella que lastra al Reglamento General de Protección de Datos. Su propuesta llega tras una audiencia pública que abrió la propia Comisión a principios de este año, y aunque todas las miradas se pusieron en Irlanda, finalmente ha sido una sentencia por una causa que arrancó en Alemania la que ha puesto todo patas arriba.

Una sentencia del TJUE pone fin al conflicto: Meta vulneró el RGPD

Cuando el Reglamento General de Protección de Datos entró en acción en mayo de 2018, Meta —entonces Facebook— cambió sus políticas de privacidad en las plataformas. Nada extraordinario: por aquellas fechas fue lo habitual.

Lo excepcional en este caso es que el RGPD introdujo una fórmula para que las empresas que recopilan datos personales de sus usuarios indicaran con qué finalidad y legitimidad lo hacían. En ese sentido, la norma contempla que si una firma quiere seguir recopilando los datos de sus usuarios, debe, para ello, contar con el consentimiento explícito de todos ellos.

Por eso recordarás que en mayo de 2018 tuviste que contestar un sinfín de formularios aceptando los nuevos términos de las políticas de privacidad de numerosos servicios digitales.

Meta cambió la política de privacidad de madrugada en mayo de 2018 y esquivó la necesidad de que los usuarios aceptasen sus nuevos términos y condiciones y sus nuevas políticas de privacidad con una argucia que hace apenas unos meses trató de replicar TikTok —que finalmente se echó atrás después de que numerosos expertos discutiesen su pertinencia—.

Meta introdujo una cláusula en sus políticas de privacidad que dictaminaba que el servir publicidad personalizada a los usuarios —en base a sus datos— es parte indivisible del servicio que presta a sus usuarios —ser una red social—, con lo cual esa recopilación de datos tendría un interés legítimo tan esencial que no requeriría que los usuarios aceptasen explícitamente la extracción de sus datos.

Fue entonces una asociación de activistas por la privacidad llamada Noyb la que presentó una denuncia ante la agencia de protección de datos austriaca. Austria derivó el caso a Irlanda —por el principio de ventanilla única del RGPD— y casi 5 años después se empezó a ver la resolución de este caso con esas desavenencias entre Irlanda y el resto de la Unión Europea.

Esas desavenencias no siempre se han dado, por otro lado: la reciente multa de 1.200 millones de euros a Meta la propuso también Irlanda —por ser la autoridad nacional competente— aunque en este caso la vulneración se producía por las transferencias de datos personales de sus ciudadanos europeos a EEUU.

De forma paralela, las circunstancias con las que Meta recopilaba datos personales de sus usuarios en Europa llegó al TJUE desde Alemania. La autoridad germana de la competencia consideró que Meta abusó de su posición de dominio al tratar sistemáticamente los datos que sus usuarios generaban fuera de la red social, navegando en internet.

La sentencia del TJUE se circunscribe únicamente a si una autoridad de la competencia puede suplantar a una autoridad nacional de protección de datos. El TJUE concluye que sí, que una autoridad de la competencia puede "constatar, en el marco del examen de un abuso de posición dominante, una infracción del RGPD".

Esa infracción no fue otra que la que Irlanda, a instancias del Comité Europeo de Protección de Datos, sancionó con 390 millones a principios de año. "La personalización de la publicidad mediante la cual se financia Facebook no puede justificar, como interés legítimo perseguido por Meta, el tratamiento de datos a falta de consentimiento del interesado", apunta el TJUE en un comunicado.

Los primeros cambios que impulsa Bruselas para el RGPD

Apenas unos minutos después de que se conociera la sentencia del Tribunal de Justicia de la UE, la Comisión lanzó un comunicado en el que anunciaba una regulación para mejorar el Reglamento General de Protección de Datos. La Comisión quería, reconocía, mejorar y armonizar el derecho procesal de todas las autoridades nacionales de protección de datos.

Estas autoridades nacionales son las encargadas de velar por el cumplimiento del RGPD en los 27 países miembros de la UE. Lo que sucede es que cada una aplica el RGPD y lo hace fundamentándose en la legislación de cada país. 

La propia Mar España, directora de la AEPD, explicaba a este medio que el derecho español obliga a la agencia a revisar absolutamente todas las denuncias que recibe, algo que en otros países no se da necesariamente, dando más autonomía y discrecionalidad al organismo en cuestión para optimizar sus recursos.

Las agencias de protección de datos se reúnen en el Comité Europeo de Protección de Datos, que responde a las siglas —en inglés— EDPB. Las tensiones por el mencionado cuello de botella irlandés alcanzaron su cenit a principios de año, por la propuesta de Irlanda de sancionar con 36 millones de euros de multa a Meta por haber vulnerado el RGPD.

Ahora resulta evidente que la Comisión Europea tenía preparados sus cambios para mejorar la aplicación del RGPD y cohesionar más a las autoridades nacionales de protección de datos, pero estaban esperando a que el Tribunal de Justicia de la UE se pronunciara sobre esta causa que, esta vez, no vino ni de Austria ni de Irlanda, sino de Alemania.

Por su parte, Bruselas defiende que el RGPD funciona y que estas novedades no suponen ningún cambio al texto. Se trata de una nueva regulación que facilitará la coordinación de las agencias nacionales de protección de datos.

Sin embargo, sí es la primera vez que Bruselas reacciona a un problema que se empezó a detectar poco antes de la pandemia y sobre el que incluso organizaciones civiles irlandesas se han pronunciado, además de la austriaca Noyb, presente en muchas de estas causas que se han ralentizado, a menudo, por la falta de entendimiento entre la DPC irlandesa y el resto de la UE.

Una nueva regulación que no convence a activistas...

Este martes la propia Noyb se pronunció sobre la sentencia del Tribunal de Justicia comunitario, confirmando que con su fallo el alto tribunal de la Unión hacía la misma lectura que ya había hecho el propio EDPB o ellos mismos.

"Nos congratulamos del fallo del TJUE. Aclara que Meta no puede simplemente saltarse el RGPD añadiendo unos párrafos en sus textos legales. Esto implica que Meta tendrá que solicitar de forma correcta el consentimiento para recopilar y tratar datos y no podrá usar su posición dominante para forzar a que la gente acepte cosas que no quiere", resumía el presidente de Noyb, Max Schrems.

"También tendrá un impacto positivo en la causa pendiente que Noyb mantiene con Meta en Irlanda", apuntó.

Poco después la misma plataforma reaccionaba a la nueva regulación que anunció la Comisión para fortalecer el RGPD. Esta vez, en términos más ásperos. La letra pequeña que incluirá la nueva regulación que busca favorecer la coordinación entre las agencias nacionales de protección de datos puede representar un menoscabo a la acción ciudadana que se anime a denunciar, entienden.

Protección de Datos tendrá que entenderse con la agencia de la IA, aunque su directora lo tiene claro: "Se podrían haber reforzado los medios de la AEPD"

"La propuesta de la Comisión pretende mejorar la —ausente— cooperación entre algunas autoridades de protección de datos. Hasta ahora, el RGPD solo pedía que se cooperase, sin detallar cómo. Por desgracia, la propuesta es técnica y materialmente mala, y despoja a los ciudadanos de sus derechos en lugar de velar por ellos", denunció la organización en un segundo comunicado.

Pero para Noyb el planteamiento comunitario "es erróneo": "La propuesta parece basarse en las demandas de algunas autoridades de protección de datos: apartar a los ciudadanos de los procedimientos para simplificarlos. Al tratar de solucionar estos problemas, la Comisión acaba tapando agujeros individuales del sistema".

"Esperábamos una solución, pero al final se está reemplazando cuestiones procesales relacionadas con los derechos de los usuarios por cuestiones relacionadas con los derechos de las empresas. Tenemos que estudiar la propuesta con más detalle, pero muchas claves apuntan a un paso atrás", lamentaba Max Schrems, de Noyb.

"Creemos que había vías más adecuadas y sencillas de solucionar esto". Schrems avanzaba así que Noyb se pondría en contacto con los legisladores europeos para tratar de darle solución a estos problemas y a los que podría generar la nueva propuesta. "Parece que queda mucho camino por recorrer".

... ni tampoco a las grandes empresas

La propuesta de regulación tampoco ha entusiasmado a CCIA Europe, el capítulo en la Unión Europea de uno de los principales lobbys de las grandes tecnológicas. Cuando una autoridad nacional de protección de datos no puede tomar una decisión por sí sola ante una eventual infracción del Reglamento y eleva el caso al EDPB, las empresas dejan de tener voz.

La nueva regulación cambia ese hecho. Pero para CCIA Europe el plazo de una semana para que las empresas señaladas por las autoridades den respuesta resulta insuficiente. Además, la regulación tampoco contempla que las compañías puedan recurrir las decisiones vinculantes del Comité Europeo de Protección de Datos.

Alexandre Roure, director de Políticas Públicas de CCIA Europe, cree que la propuesta de la Comisión "da algunos pequeños pasos hacia la mejora de estos procedimientos transfronterizos" pero "no aborda sus deficiencias". "Esperamos que el Parlamento y el Consejo refuercen los derechos más básicos de los demandados, incluyendo la posibilidad de recurrir las decisiones del EDPB".

También le preocupó la sentencia del TJUE que, entre otras cuestiones, avala a las autoridades de la competencia a dictaminar si una empresa ha vulnerado el RGPD. 

"Los legisladores deben priorizar una aplicación coherente del RGPD y fortalecer más su mecanismo de ventanilla única". "Esto es más importante que nunca, porque ahora otras autoridades nacionales también están facultadas para verificar el cumplimiento del RGPD por parte de empresas", concluye Roure.