La Comisión Europea ha propuesto realizar cambios quirúrgicos en la histórica legislación de privacidad de datos del bloque.
Conocido como el Reglamento General de Protección de Datos (GDPR), la ley redefinió lo que significa privacidad en el siglo XXI y otorgó a los europeos el derecho a decidir quién tiene acceso a sus datos personales, exigir correcciones y presentar quejas legales.
También consagró por ley el ahora famoso «derecho al olvido», que los ciudadanos pueden invocar para eliminar permanentemente sus datos del registro de una empresa.
Pero cinco años después de su entrada en vigor, el legado del RGPD está lejos de ser inmaculado.
Los organismos gubernamentales, el sector privado, los defensores de la privacidad y las organizaciones de la sociedad civil han expresado su preocupación sobre cómo se está aplicando la legislación, incluidas las altas tarifas requeridas para presentar un caso, los procedimientos divergentes entre los estados miembros y los prolongados tiempos de espera para la resolución.
Otro punto de controversia de larga data es la relación entre las autoridades de protección de datos (APD) de cada estado miembro.
«En cinco años podemos contar más de 711 decisiones finales que han sido tomadas por las autoridades de protección de datos. Esto muestra claramente que el RGPD se aplica correctamente. Pero podemos hacerlo mejor», dijo el martes Didier Reynders, comisario europeo de Justicia.
Según el RGPD, la aplicación recae en la autoridad del país en el que la empresa ha establecido su sede europea. La gran mayoría de los casos de GDPR tienen una dimensión nacional e involucran solo a un único DPA.
Sin embargo, en ciertos casos, la infracción tiene una naturaleza transfronteriza y varias autoridades deben opinar. Esta colaboración a menudo ha resultado tensa y enrevesada, lo que ha dado lugar a demoras y litigios en detrimento de los demandantes.
Se ha prestado especial atención a la DPA irlandesa, que tiene que ocuparse de los casos de más alto perfil dada la abundancia de empresas Big Tech presentes en Irlanda.
A principios de este año, un desacuerdo entre la DPA irlandesa y otras autoridades nacionales forzó la intervención de la Junta Europea de Protección de Datos (EDPB) en un caso contra Meta, que resultó en una multa récord por valor de 1.200 millones de euros.
En un intento por abordar estas tensiones persistentes, la Comisión Europea ha presentado un reglamento que introduce una reforma específica de las reglas de procedimiento del RGPD, con un enfoque en las demandas transfronterizas.
Las obligaciones propuestas obligarán a la DPA líder a incorporar a las autoridades de otros países interesados en las primeras etapas del proceso para discutir colectivamente el fondo del caso, incluido su alcance legal, las posibles infracciones, la recopilación de pruebas y la evaluación tecnológica.
Esta línea de comunicación, dice la Comisión, facilitará el consenso y ayudará a abordar las disputas antes de que se salgan de control. Las nuevas normas armonizarán los requisitos para la admisibilidad de los casos transfronterizos y garantizarán que los ciudadanos reciban el mismo trato en todos los Estados miembros, independientemente de su nacionalidad.
En otras palabras, trabaje más cerca para trabajar mejor.
«Lo que tratamos de hacer aquí es tener una mejor aplicación del RGPD a través de reglas comunes en casos transfronterizos, armonizar las diferentes reglas a nivel nacional y garantizar que sea posible reaccionar antes que ahora porque ahora, a veces, es (toma) mucho tiempo organizar el proceso hasta la decisión final», dijo Reynders.
El comisario refutó los llamamientos para una revisión completa de la ley, argumentando que no era el momento adecuado para tener una conversación de este tipo entre los colegisladores de la UE, y defendió el principio del país de origen, que permite a los ciudadanos comunicarse directamente con las DPA en su idioma nativo.
El RGPD es un «niño muy pequeño», dijo Reynders. «Han pasado cinco años y tenemos que seguir viendo cómo es posible hacer cumplir cada vez mejor el RGPD».
“Por el momento no queremos reabrir la caja de Pandora”, agregó.
Pero podría ser cuestión de tiempo hasta que Bruselas se dé cuenta de que el RGPD requiere una entidad centralizada además de las DPA nacionales para responsabilizar efectivamente a las grandes tecnologías, dice Alexandre de Streel, director del programa de investigación digital del Centro de Regulación en Europa. (CERRO).
«Esta reforma es un paso en la dirección correcta, pero probablemente no sea suficiente», dijo de Streel a Euronews en una entrevista. «Para Big Tech, aquellas empresas que están presentes en todo el mundo, es necesario tener un regulador europeo. No puede ser solo el país de origen el que hace la tarea para todos los europeos».
Las fallas en la aplicación de GDPR, dijo de Streel, tuvieron una influencia obvia en la regulación que vino después de 2018, como la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA), que otorgan a la Comisión Europea la máxima responsabilidad. papel de supervisor.
El surgimiento de chatbots impulsados por IA, que están entrenados con una gran cantidad de datos para aprender nuevas tareas por sí mismos, refuerza aún más la necesidad de una revisión integral, agregó el académico.
«El principio del país de origen se creó para las pequeñas empresas que querían escalar en el mercado internacional, no para las empresas que ya han escalado. Este es el gran malentendido», dijo de Streel, refiriéndose a gigantes como Meta, Apple, Amazon, Google y TikTok, cuyo valor de mercado supera con creces el PIB de Irlanda.
«No se puede confiar en que Irlanda sea el juez de toda Europa».