Flora Egea Torrón
Data Protection Officer BBVA Compliance
El próximo 25 de mayo se cumplirán tres años de la plena aplicación del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016). Esta norma ha supuesto un hito, no solo en Europa, sino también en el resto del mundo, debido a que ha marcado un estándar seguido por otros países en cuanto al tratamiento de datos personales.
En una economía que se basa cada vez más en el uso y análisis de los datos, la norma persigue que la información de carácter personal se trate de manera legítima, justa y transparente. Esta transparencia permite a los usuarios desempeñar un papel más activo en el control de sus datos, y en particular, en el mundo digital.
El pasado año la Comisión Europea publicó un informe de valoración del Reglamento, tras recabar la opinión de asociaciones, empresas, consumidores e instituciones, con un resultado en general, positivo. La crisis del COVID-19, situación en la que gobiernos e instituciones han tenido que aplicar medidas inéditas en tiempo récord, ha demostrado que el Reglamento estaba preparado para una contingencia de la importancia de una pandemia, circunstancia que ha acelerado además la digitalización de individuos y empresas
Según datos de la Comisión Europea, el 69% de la población mayor de 16 años de la UE ha oído hablar del RGPD y el 71% sabe que existe una autoridad nacional de protección de datos.
Para las empresas, el Reglamento garantiza que todas ellas estén sujetas a la misma norma en el territorio europeo y puedan operar en igualdad de condiciones, independientemente del lugar en el que se lleve a cabo el tratamiento, aunque, como se explica más adelante, han surgido elementos de fragmentación entre estados miembros. El RGPD contribuye a generar confianza en el mercado, porque impone un enfoque basado en el análisis de los riesgos y en la aplicación de principios como la protección de datos desde el diseño y por defecto. El respeto a la privacidad, además, se ha convertido en un elemento competitivo en el mercado porque los usuarios lo valoran cada vez más al elegir sus servicios de internet.
1.
Los retos
Hay varios temas a los que la propia Comisión se refiere en su informe, reconociendo que podrían poner a prueba la efectividad plena del Reglamento:
-
— Desarrollo exponencial de las nuevas tecnologías
Uno de los desafíos claros consiste en definir de un modo uniforme y sin áreas grises la forma de aplicar los principios del Reglamento a tecnologías específicas como la inteligencia artificial, blockchain, internet de las cosas, el reconocimiento facial o el microtargeting en el ámbito de la publicidad on-line, el mundo cuántico o el metaverso, que se van desarrollando a gran velocidad.
-
— Nuevos derechos y futuras normativas
Uno de los desafíos claros para la plena efectividad del RGPD consiste en definir de un modo uniforme la forma de aplicar sus principios a tecnologías específicas como la inteligencia artificial, blockchain, internet de las cosas, el reconocimiento facial o el microtargeting en el ámbito de la publicidad on-line, el mundo cuántico o el metaverso, que se van desarrollando a gran velocidad
Otro reto que se plantea es el encaje de lo ya regulado en GDPR (LA LEY 6637/2016) con los nuevos derechos que van apareciendo en las futuras normas, de momento en forma de propuesta, por la Unión Europea. Son numerosas las normativas en preparación que forman parte de la Estrategia Europea de Datos y que van o tienen ya impacto en el tratamiento de la información personal. La primera en tramitarse ha sido la ley de gobernanza de datos, que regula a los intermediarios de datos; nuevas entidades que ofrecen servicios de intermediación entre los titulares de los datos y aquellas entidades que quieran usarlos, sean estas del sector público o del sector privado.
A continuación, se publicó la futura ley europea de mercados digitales, que tiene por objeto evitar que empresas con gran poder de mercado en el sector digital impongan condiciones injustas al resto de empresas y a los usuarios finales, para así garantizar una competencia efectiva en el sector. Esta norma exige que estas llamadas Bigtechs ofrezcan la portabilidad de los datos en tiempo real a los usuarios.
Precisamente en relación con el derecho de portabilidad del RGPD, que permite al interesado disponer de sus datos y poder moverlos entre distintos proveedores de servicios, lo cierto es que hasta ahora no se ha podido aplicar con todo su potencial.
Esto ya lo señala la Comisión y apunta a varios motivos, como la falta de interoperabilidad o el hecho de que no se porten los datos en tiempo real. La futura Data Act se espera que aborde el problema y mejore este derecho, aunque en principio parece que será sólo aplicable a productos físicos y servicios relacionados, además de introducir normas para el intercambio y compartición de datos entre el sector público y privado y entre empresas.
Finalmente, la Comisión ha publicado el texto del futuro Reglamento de Inteligencia artificial, que establece requisitos específicos para el uso de sistemas de inteligencia artificial, en particular para aquellos tratamientos o actividades consideradas de alto riesgo.
Todas estas normativas, aplicadas al mismo tiempo, tendrán gran impacto en la protección de los datos y habrá que ver si su encaje con el RGPD es adecuado.
Por último, La Comisión acaba de proponer al Parlamento Europeo y al Consejo la firma de una declaración de principios y derechos que guíen la transformación digital en la UE, siendo uno de los principios la posibilidad de transferir con facilidad datos personales entre distintos servicios digitales y la protección frente a la desinformación. Si bien estos principios tienen un carácter declarativo y no afectan al contenido de las normas jurídicas ni a su aplicación, podrían indicar la dirección de futuros desarrollos normativos.
2.
Fragmentación entre los estados miembros en la interpretación y aplicación de GDPR
La propia Comisión Europea ya advertía en su informe que, aunque la armonización en los Estados miembros es cada vez mayor, existe un cierto nivel de fragmentación que debe vigilarse. A pesar de que las autoridades nacionales de protección de datos trabajan conjuntamente en el contexto del Comité Europeo de Protección de Datos (CEPD), hay margen de mejora. Las principales fuentes de fragmentación en la aplicación del RGPD en los Estados miembros derivan de lo siguiente:
-
— Normas de especificación por el Derecho de los Estados miembros. RGPD ofrece la posibilidad a los Estados de regular algunos aspectos concretos, lo que ha dado como resultado divergencias en la regulación de los Estados miembros sobre ciertos temas, como la edad de consentimiento de los niños en relación con los servicios de la sociedad de la información. Estas diferencias crean incertidumbre en la protección de los derechos de los menores en el mercado único.
-
— Recomendaciones y directrices de las autoridades nacionales de protección de datos. Una de las principales tareas del Comité Europeo de Protección de Datos es elaborar y publicar directrices que cubran aspectos clave del RGPD y proveer orientación sobre temas emergentes. Pero al mismo tiempo, las autoridades nacionales emiten también sus propias directrices, guías y documentos. Como resultado de este maremagnum, algunas cuestiones se interpretan de modo distinto entre autoridades nacionales, e incluso en ocasiones su visión no es del todo coherente con los principios del RGPD.
-
— Un ejemplo es el uso de la base jurídica del interés legítimo para el tratamiento de datos personales, donde se detecta una tendencia de las autoridades nacionales de los países a interpretar su aplicación de manera muy restrictiva. Este es el caso de la autoridad holandesa que afirmaba recientemente que el mero interés comercial no es suficiente para aplicar la base legal de interés legítimo, cuando el RGPD en su considerando 47 establece que «El tratamiento de datos personales con fines de marketing directo puede considerarse realizado por interés legítimo.»
-
— Mecanismo de ventanilla única
El RGPD estableció un sistema de gobernanza muy innovador para garantizar una aplicación coherente del Reglamento a través del llamado mecanismo de «ventanilla única», donde a una empresa que trata datos en varios países de la UE le corresponderá una sola autoridad de protección de datos como interlocutor, y será la del estado miembro donde se encuentre su establecimiento principal.
Dado que las principales Bigtechs, o empresas digitales que procesan datos de forma masiva, están establecidas en Irlanda la autoridad irlandesa de protección de datos es la obligada a gestionar cualquier reclamación contra estas empresas a nivel europeo. En los casi cuatro años que lleva en vigor el RGPD, Irlanda se ha enfrentado a fuertes críticas por la lentitud con la que su autoridad de protección de datos ha llevado a cabo investigaciones a Google, Facebook y otras, como consecuencia de su limitación de recursos. Algunos críticos incluso sostienen que podría existir la tentación de que Irlanda reste importancia a la aplicación del RGPD debido a su interés económico en que estas empresas sigan teniendo su sede en su territorio. A este respecto, el Parlamento Europeo pidió el año pasado a la Comisión Europea que iniciara un procedimiento de infracción contra Irlanda por no aplicar adecuadamente el RGPD. Recientemente, la Defensora del Pueblo de la UE ha realizado la misma petición ante la Comisión.
A este respecto algunas noticias apuntan a que podría estar considerándose la posibilidad de cambiar el modelo de cumplimiento del Reglamento en ciertos casos, con una aproximación más centralizada a nivel europeo.
3.
Transferencias internacionales
En julio de 2020 se hacía pública la sentencia Schrems II, que invalidaba el Escudo de privacidad («Privacy Shield»), como mecanismo de transferencia de datos personales de Europa a EEUU, obligando a las empresas a evaluar si las normas de los países de destino de las transferencias son compatibles con GDPR (LA LEY 6637/2016). A pesar de que tanto la Comisión como el Comité Europeo de protección de datos han publicado orientaciones y guías para poder cumplir la sentencia, se hace necesario un nuevo acuerdo de privacidad entre Europa y Estados Unidos que aporte certidumbre y estabilidad a las empresas.
4.
Vigilancia del Reglamento e imposición de multas
Sobre la vigilancia del Reglamento, la Comisión demuestra una gran preocupación por la falta de medios humanos, técnicos y financieros de algunas autoridades nacionales y ya en su informe insta a los Gobiernos a que incrementen su dotación. En cuanto a las multas impuestas, en 2021 se impusieron multas en Europa por un valor de 1 billón de euros, una cifra récord, y aunque se supone que el objetivo es cambiar la cultura y el comportamiento de todos los intervinientes en el mercado, y no hay un interés recaudatorio, estas medidas deberían ser complementadas con otras que supongan una mayor colaboración y comunicación entre las autoridades nacionales de protección de datos y las empresas, siendo la multa la última medida a adoptar.
Como conclusión y a pesar de los desafíos y áreas de mejora que deberían abordarse, se puede considerar que hasta ahora el Reglamento va cumpliendo sus objetivos.