El Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) han publicado hoy una opinión conjunta en la que dan el visto bueno a la reforma del Reglamento General de Protección de Datos (RGPD) que la Comisión Europea anunció el pasado mes de julio.

El Comité es el máximo órgano en protección de datos a nivel comunitario: aglutina las voces de las agencias nacionales, entre las que se encuentra, por ejemplo, la Agencia Española de Protección de Datos (AEPD), la CNIL francesa, el Garante italiano, etc. El Supervisor, por otro lado, es la agencia encargada de velar porque las instituciones europeas cumplan con el RGPD.

En un comunicado remitido en verano, la Comisión advirtió que la nueva regulación que reformaría el RGPD introduciría "nuevas normas procesales que deberán acatar las autoridades al aplicar el RGPD en casos que afecten a ciudadanos de más de un estado miembro".

Precisamente uno de los puntos débiles del RGPD, que cumplió 5 años en vigor el pasado mes de mayo, ha sido el mecanismo de ventanilla única. A través de ese principio, cada vez que se denunciaba un caso que pudiese estar afectando a varios países —por ejemplo, el tratamiento de datos que hace Meta y Facebook de los usuarios europeos—, una sola autoridad llevaba el caso.

Esta autoridad competente era la agencia nacional que estuviese en el territorio en el que la tecnológica investigada tuviese su principal filial europea. Eso desembocó en que la mayoría de causas se empezaran a tramitar en Irlanda, ya que allí las grandes tecnológicas asientan su sede fiscal. Eso ha desbordado al Comité de Protección de Datos irlandés.

Es un fenómeno que expertos de todo el continente bautizaron como el cuello de botella irlandés.

Mar España, directora de la AEPD, sobre la carga de trabajo del organismo: "Algo tendrá que hacer el nuevo Gobierno, hay riesgos de colapso"

La propuesta también fomentará investigaciones conjuntas y mecanismos de asistencia mutua para las autoridades nacionales de protección de datos. "La propuesta contribuirá a reducir los desacuerdos y facilitará consensos entre las autoridades en las fases iniciales de cada causa", dijo entonces la Comisión Europea.

Bruselas consideró entonces que el RGPD funciona y que la nueva regulación no cambia "ningún elemento sustancial" de la norma. Pero esta nueva regulación responde al diagnóstico que se extraía del informe de aplicación del RGPD de 2020. "La Comisión detectó que las diferencias procesales de las autoridades de protección de datos menoscababa la eficacia y la cooperación".

Estas nuevas medidas responden, además, a una audiencia pública que Bruselas abrió entre febrero y marzo de este año. Aunque no es un cambio estrictamente del RGPD, sí que se pretende dar respuesta a los principales desafíos a los que se ha enfrentado esta norma, que aunque es europea se ha convertido en un estándar global.

En su declaración conjunta, el EDPB y el EDPS se congratulan de la iniciativa comunitaria. Anu Talus, presidenta del Comité desde hace unos meses, asegura que el órgano está satisfecho con que lo que eran demandas por su parte ahora se hayan convertido "en una propuesta legislativa concreta". "Con esta declaración pretendemos asegurarnos de que la nueva regulación funcione para todo el mundo".

Por parte del Supervisor, su presidente, Wojciech Wiewiórowski, también celebra que la propuesta atienda algunos desafíos "identificados por expertos" como por ejemplo el mecanismo de ventanilla única. "Con nuestra declaración esperamos mejorar la futura regulación y, en particular, mejorar la resolución de casos transfronterizos".

Eso no quita que en su texto ambos organismos apunten que la colaboración entre agencias nacionales en estos casos podría incentivarse mucho más para evitar "controversias en fases posteriores", cosa que ya ha sucedido: la disparidad de criterios de las agencias de los distintos países miembros de la UE ha sido algo público y notorio.

Expertos y activistas, descontentos con la propuesta

El anuncio de Bruselas no es algo que satisficiera a todo el mundo. Noyb es una plataforma de activistas en defensa de la privacidad que precisamente ha empleado el RGPD como acicate para combatir las prácticas de algunas grandes tecnológicas. Cuando se conoció la iniciativa legal de Bruselas en julio para reformar el reglamento, mostraron su desencanto:

"La propuesta de la Comisión pretende mejorar la —ausente— cooperación entre algunas autoridades de protección de datos. Hasta ahora, el RGPD solo pedía que se cooperase, sin detallar cómo. Por desgracia, la propuesta es técnica y materialmente mala, y despoja a los ciudadanos de sus derechos en lugar de velar por ellos", denunció la organización en un segundo comunicado.

Para Noyb ese planteamiento "es erróneo": "La propuesta parece basarse en las demandas de algunas autoridades de protección de datos: apartar a los ciudadanos de los procedimientos para simplificarlos. Al tratar de solucionar estos problemas, la Comisión acaba tapando agujeros individuales del sistema".

El RGPD cumple 5 años en vigor con multas históricas y un amplio horizonte de desafíos marcado por el auge de la IA

"Esperábamos una solución, pero al final se está reemplazando cuestiones procesales relacionadas con los derechos de los usuarios por cuestiones relacionadas con los derechos de las empresas. Tenemos que estudiar la propuesta con más detalle, pero muchas claves apuntan a un paso atrás", lamentaba Max Schrems, el presidente de Noyb.

"Creemos que había vías más adecuadas y sencillas de solucionar esto". Schrems avanzaba así que Noyb se pondría en contacto con los legisladores europeos para tratar de darle solución a estos problemas y a los que podría generar la nueva propuesta. "Parece que queda mucho camino por recorrer".