Carlos B Fernández. La Comisión Irlandesa de Libertades Civiles (ICCL, por su abreviatura en inglés), ha hecho público un muy duro informe sobre la aplicación del Reglamento general de protección de datos (RGPD) en la Unión Europea.
El documento “2021 Report on the enforcement capacity of data protection authorities - Europe’s enforcement paralysis” denuncia la que considera parálisis europea en la defensa de los derechos de los ciudadanos europeos, en especial frente a las grandes empresas tecnológicas. En opinión de los autores del informe, las autoridades europeas de protección de datos son incapaces de actuar con eficacia contra las Big Tech en los principales casos relacionados con el RGPD.
Aunque el informe destaca que Irlanda constituye el cuello de botella en la aplicación del RGPD (por su inacción a la hora de enviar sus proyectos de decisión a sus colegas europeos en un gran número de casos importantes en toda la UE), no considera que este sea el principal problema. Las restricciones presupuestarias de las autoridades nacionales, la carencia de expertos en tecnología y la inacción de la Comisión (distraída con la elaboración de la próxima legislación que está elaborando), constituyen, según el informe las razones de que “el RGPD está fracasando silenciosamente”, por lo que “la Comisión Europea debe intervenir urgentemente”.
El cuello de botella irlandés
En cuanto al primer punto, el informe considera que la Comisión de Protección de Datos de Irlanda es el cuello de botella de la aplicación del GDPR contra las Big Tech en toda la UE. Irlanda es la sede en Europa de compañías como Google, Facebook, Apple y Microsoft y por ello, su agencia de protección de datos actúa como autoridad principal en todas las reclamaciones dirigidas contra ellas, 164 hasta la fecha, que suponen un 21% del total. Sin embargo, casi todos los casos importantes relacionados con el RGPD remitidos a Irlanda (el 98%), siguen sin resolverse. De hecho, en los últimos tres años, desde mayo de 2018, Irlanda solo ha remitido al Comité Europeo 4 borradores de decisión (uno de ellos, el de la sanción propuesta a WhatsApp, que inicialmente alcanzaba solo los 50 millones de euros). Como consecuencia, el informe indica que la aplicación del RGPD respecto de las Big Tech se encuentra paralizada a causa de la incapacidad de Irlanda de emitir propuestas de decisión en asuntos transfronterizos en que se ven implicados estas empresas.
Reducción de las dotaciones presupuestarias
Esta situación en Irlanda contrasta con el hecho de que, pese a haber sufrido un déficit de financiación durante dos décadas, en la actualidad el presupuesto de la autoridad irlandesa es el quinto en importancia de la Unión, solo superado por Alemania, Italia, Países Bajos y Francia.
Tras la entrada en vigor del RGPD, en mayo de 2018, el presupuesto conjunto de las autoridades europeas pasó de 162 millones de euores, a 294,6 en 2021. Sin embargo, las tasas de incremento anual se han venido reduciendo lentamente año a año.
En la actualidad, las autoridades de protección de datos alemanas (Lander y federal), manejan un presupuesto conjunto de 94,7 millones de euros, lo que supone un 32% del presupuesto total de las autoridades europeas. En contraste, el presupuesto de nueve autoridades nacionales no alcanza ni los dos millos de euros (Eslovaquia, Lituania, Bulgaria, Letonia, Croacia, Rumanía, Estonia, Chipre y Malta).
Falta de especialistas en tecnologías
Finalmente, el informe denuncia que la carencia de especialistas en tecnología en las plantillas de las autoridades nacionales. Una situación que, en opinión de los autores del mismo, es la causa de que las autoridades europeas no estén adecuadamente preparadas para la era digital, al carecer de capacidad para investigar y comprender los que las compañías tecnológicas están haciendo con los datos personales de los ciudadanos.
Según los datos que recoge, solo 5 de las autoridades naciones cuentan con diez o más especialistas en tecnologías en sus plantillas (entre ellas la AEPD, que cuenta con 30). Pero más de la mitad (15), solo cuentan con 4 o menos. s, but more than half (15) have only 4 or fewer.
Situación en España
Por el contrario, el informe de la ICCL ofrece una visión positiva de la situación en España, pues pese a ser uno de los contados países que, junto con Irlanda, Alemania, Holanda, Francia y Suecia, recibe casi las tres cuartas partes de todas las reclamaciones transfronterizas que se producen en la Unión Europea en relación con el RGPD, resuelve diez veces más asuntos que la autoridad irlandesa, pese a contar con un presupuesto inferior a este. Quizás ayude en este sentido que el hecho de que la AEPD es la tercera autoridad europea que cuenta con mayor número de expertos en tecnología (30), solo superada por Alemania, que cuenta con 99 y empatada con la autoridad francesa (cuyo presupuesto es mayor).
Recomendaciones
El informe, que da la bienvenida a la creación del grupo de expertos en el seno del Comité a finales de 2020, concluye con las mismas recomendaciones que ya formuló en 2020:
- Reformar y reforzar a la autoridad Irlandesa, implementando urgente al efecto las recomendaciones emitidas por el Parlamento y el Senado de ese país en julio de 2021.
En concreto, esta autoridad debe pasar urgentemente de un énfasis en la guía a un énfasis en la aplicación del RGPD.
- La Comisión europea debe recurrir a las atribuciones que tiene conferidas según el art. 258 del Tratado de Funcionamiento de la Unión Europea para abrir un procedimiento de infracción a los estados miembros que demoren indebidamente la protección de los datos personales, por constituir una infracción de los deberes establecidos en el art. 4.3 del TEU.
- La Comisión Europea debe mejorar su monitorización de la aplicación del RGPD, solicitando al Comité Europeo y a las autoridades nacionales de protección de datos la publicación trimestral de información relativa a los plazos de elaboración de las propuestas de resolución y de las las resoluciones definitivas, sobre asuntos transfronterizos; el número de supuestos en los que la autoridad nacional es autoridad principal; el número de supuestos en los que, siendo una autoridad nacional autoridad principal, ha utilizado sus facultades de investigación y de sanción conforme a los números 1 y 2 del art. 58 del RGPD.
Cada uno de los puntos anteriores debe incluir los tipos y alcance de los responsables del tratamiento concernidos y si se trata de asuntos domésticos o transfronterizos.