Bruselas se propone acabar con los cuellos de botella que sufre el Reglamento General de Protección de Datos con una nueva regulación

La Comisión Europea ha anunciado este martes nuevas medidas para acabar con los cuellos de botella que ha sufrido el Reglamento General de Protección de Datos 5 años después de que entrase en vigor, en mayo de 2018. El Ejecutivo comunitario ha anunciado una regulación para "impulsar la cooperación entre autoridades nacionales de protección de datos".

La medida se ha conocido este martes apenas unos minutos después de que se publicara una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que, entre otras cuestiones, constata que Meta —entonces Facebook— vulneró el RGPD en mayo de 2018 al introducir una cláusula en su política de privacidad.

Con aquella cláusula, Meta aseveraba que el servir publicidad personalizada era parte esencial del servicio que Facebook presta —ser una red social, permitirte contactar y charlar con amigos— y que, por lo tanto, no era necesario pedir el consentimiento explícito a sus usuarios para recopilar y tratar sus datos personales.

Dicha cláusula fue denunciada ya en 2018 ante la autoridad austríaca de protección de datos. El caso se derivó a Irlanda, quien a principios de año disparó las tensiones con el resto de agencias europeas de protección de datos: propuso una multa de entre 28 y 36 millones de euros.

La cuantía supo a poco a otras agencias como la francesa, la italiana, la noruega o la portuguesa, entre otras, que presentaron objeciones. Finalmente el Comité Europeo de Protección de Datos —órgano que aglutina a todas estas agencias— elevó la sanción hasta los 390 millones. Irlanda acató el mandato, pero denunció lo que entendió como una pérdida de autonomía y soberanía.

Ahora que el Alto Tribunal europeo se ha pronunciado —sobre otro caso que nace en Alemania pero que concluye igualmente que Meta vulneró el RGPD—, la Comisión impulsa medidas para mejorar la cooperación entre las autoridades nacionales ante casos transfronterizos como el que provocó esas tensiones —se denunció a Meta en Austria, se derivó a Irlanda, pero afectaba a toda la UE—.

"La nueva regulación introducirá nuevas normas procesales que deberán acatar las autoridades al aplicar el RGPD en casos que afecten a ciudadanos ubicados en más de un estado miembro. Por ejemplo, obligará a la autoridad de protección de datos nacional que asuma el caso a enviar un sumario con claves de cada caso a sus contrapartes", apunta Bruselas.

La alerta de la responsable de la AEPD: "Se ha superado el límite de lo humanamente sano para la salud mental del equipo"

Cabe recordar que el Reglamento General de Protección de Datos incluía un mecanismo de ventanilla única, por el cual sería la autoridad de protección de datos del país en el que se encontrara la posible infractora la encargada de dirimir cada caso. Por eso se ha denunciado estos años un cuello de botella generado en Irlanda, al estar allí la mayoría de sedes de grandes tecnológicas en Europa.

"La propuesta contribuirá a reducir los desacuerdos y facilitará consensos entre las autoridades en las fases iniciales de cada causa", asegura la Comisión Europea en un comunicado de prensa.

Entre las medidas concretas se incluye una armonización de los requisitos que deberán reunir las denuncias que quieran exponer una vulneración del RGPD que se dé en más de un estado miembro. Hasta ahora, esos requisitos a la hora de presentar una denuncia eran distintos en los distintos países, atendiendo a la legislación nacional de cada uno.

También se fomentarán investigaciones conjuntas y mecanismos de asistencia mutua para las autoridades nacionales de protección de datos.

Bruselas considera que el RGPD funciona y que la nueva regulación no cambia "ningún elemento sustancial" de la norma. Pero esta nueva regulación responde al diagnóstico que se extraía del informe de aplicación del RGPD de 2020. "La Comisión detectó que las diferencias procesales de las autoridades de protección de datos menoscababa la eficacia y la cooperación".

Estas nuevas medidas responden, además, a una audiencia pública que Bruselas abrió entre febrero y marzo de este año. Aunque no es un cambio estrictamente del RGPD, sí que se pretende dar respuesta a los principales desafíos a los que se ha enfrentado esta norma, que aunque es europea se ha convertido en un estándar global.

La armonización de esas diferencias procesales pueden ser una oportunidad, pero también es un desafío para las autoridades nacionales. Mar España, directora de la Agencia Española de Protección de Datos (AEPD) advertía en una reciente entrevista con este medio de los riesgos de colapso que tiene la entidad en caso de que el futuro Gobierno no invierta más recursos en la misma.

Parte de ese riesgo de colapso se deriva de que aunque sus recursos aumentan, no lo hacen al nivel en el que crece las denuncias que el organismo recibe: cada vez son más y más complejas. Un argumento que deslizó la propia España en esa entrevista es que el derecho nacional obliga a la AEPD a valorar todas las denuncias que recibe. En otros países no es así.