PROTECCIÓN DE DATOS

El (doble) aniversario del Reglamento General de Protección de Datos

Tribuna
Aniversario RGPD_img

El 25 de mayo de 2022 se cumplió el cuarto aniversario de la aplicación efectiva del Reglamento General de Protección de Datos (RGPD). Han sido cuatro años intensos y todavía se plantean múltiples cuestiones que el RGPD tendrá que superar, incluida la conveniencia de una posible actualización para que pueda seguir siendo aplicable.

I. Una década de constante evolución y retos en protección de datos personales

El 25 de mayo de 2022 se cumplió el cuarto aniversario de la aplicación del Reglamento General de Protección de Datos (RGPD)[1]. Cabe recordar que el RGPD entró en vigor el 25 de mayo de 2016, a los veinte días de su publicación en el Diario Oficial de la Unión Europea L 119 de 4 de mayo de 2016. Los dos años de vacatio legis fueron para poder adecuarse a las disposiciones del RGPD, ya que se superaba el modelo europeo previo de protección de datos personales.

Pero este aniversario se suma este año a otra fecha importante para el RGPD, ya que fue el 25 de enero de 2012 cuando la Comisión Europea (en adelante, la Comisión) presentó la propuesta[2] que, tras cuatro años, daría lugar a aquél. Se cumple así un doble aniversario del RGPD y esto implica que debamos advertir que la norma general que rige actualmente en materia de protección de datos personales en la Unión Europea (UE) haya alcanzado este año una década desde su propuesta.

En 2012 el RGPD era parte del (entonces) nuevo marco jurídico para la protección de datos personales en la UE que presentó la Comisión, ya que se publicó junto con la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes a efectos de la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre circulación de estos datos, que daría lugar a la aprobación de la Directiva (UE) 2016/681[3] que se publicó el mismo día que el RGPD.

Desde la fecha de la aplicación efectiva del RGPD son múltiples las cuestiones que se han planteado. Entre estas cuestiones se debe prestar atención a la obligación de evaluación y revisión cada cuatro años a partir de 2020, que podría plantear también si se debe modificar el RGPD; la publicación de numerosos documentos, tanto directrices como recomendaciones, por el Comité Europeo de Protección de Datos (CEPD), o el desarrollo de proyectos como Gaia-X.

Y, por último, actualmente se están produciendo importantes novedades ya que el paquete de la estrategia digital de la UE planteará diversas cuestiones en materia de protección de datos personales y requerirá superar los solapamientos y lagunas que se presentan.

II. Evaluación y revisión del RGPD

El RGPD establece que “a más tardar el 25 de mayo de 2020 y posteriormente cada cuatro años” (artículo 97.1), la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre su evaluación y revisión. Es importante tener en cuenta que el RGPD prevé que la Comisión “examinará en particular la aplicación y el funcionamiento de” (i) las transferencias internacionales de datos personales a países terceros u organizaciones internacionales (capítulo V) y (ii) el procedimiento sobre cooperación y coherencia (capítulo VII).

El primer informe de revisión[4] previsto en el RGPD fue publicado por la Comisión el 24 de junio de 2020.

Al margen de la evaluación y revisión las cuestiones esenciales previstas en el RGPD, resalta el hecho de que la Comisión se refiriese en el primer informe a la aplicación del RGPD a las nuevas tecnologías. Sobre esta cuestión la Comisión afirma que el RGPD, por una parte, ha sido “concebido de manera tecnológicamente neutra” y, por otra parte, que “es considerado como un instrumento esencial y flexible para garantizar que el desarrollo de nuevas tecnologías respete los derechos fundamentales”.

Con respecto a ambas cuestiones, a pesar de que durante el proceso de adopción del RGPD se buscase la neutralidad tecnológica, es necesario tener en cuenta que la Comisión se refiere a continuación en su informe a que “en el futuro, se plantearán nuevos desafíos a la hora de ver cómo aplicar los principios probados a tecnologías específicas como la inteligencia artificial, la cadena de bloques, el internet de las cosas o el reconocimiento facial”. Y lo anterior está íntimamente relacionado con que el RGPD se considerado como un instrumento “flexible”.

Cabría plantear también una crítica desde el punto de vista de la consideración del RGPD como flexible. Es importante que flexible signifique fácilmente adaptable, de manera que permita dar respuesta y ofrecer certidumbre jurídica ante nuevos retos, tales como puede ser su aplicación al blockchain. En este caso, como pone de manifiesto un estudio del Servicio de Estudios del Parlamento Europeo (ERPS), es difícil aplicar conceptos pensados para situaciones específicas que no responden a una nueva realidad, ya que el RGPD se basa en la asunción de que siempre hay un responsable del tratamiento[5].

Y lo mismo ocurre en el caso de nuevos modelos de negocio que, para poder ser innovadores, requieren de cierta flexibilidad por lo que se refiere a la aplicación de conceptos que no fueron concebidos para ser aplicados a estos. Sería posible pensar en multitud de situaciones en las que el encargado del tratamiento será, al mismo tiempo, responsable del tratamiento ya que tratará datos personales para sus propios fines, tales como la mejora de sus servicios.

En definitiva, cabría considerar que normas como el RGPD, destinado a ser aplicado durante al menos otra década si lo comparamos con el tiempo durante el que estuvo vigente la Directiva 95/46/CE[6], deberían incluir cláusulas de revisión y actualización en virtud de “cambios sociales, jurídicos, económicos y tecnológicos”[7]. Lo relevante en una norma como esta son los principios, no disposiciones prescriptivas que pueden quedar rápidamente obsoletas o no ser aplicables a situaciones no previstas cuando fue adoptada.

III. Una aplicación en la práctica que plantea múltiples dudas e interpretaciones

Durante los cuatro años de aplicación del RGPD el Comité Europeo de Protección de Datos (CEPD) ha adoptado y publicado cincuenta y ocho (58) directrices[8]. Además, durante su primera reunión plenaria, que tuvo lugar el 25 de mayo de 2018 en Bruselas, respaldó[9] dieciséis (16) documentos[10] que habían sido adoptados por el Grupo de Trabajo del Artículo 29.

Entre estas directrices están algunas tan relevantes como las relativas a los conceptos de responsable y encargado del tratamiento, al consentimiento, a la notificación de brechas de seguridad de los datos personales, al derecho a la portabilidad, a la evaluación de impacto relativa a la protección de datos (EIPD), a las decisiones individuales automatizadas y elaboración de perfiles o al cálculo de multas administrativas. En muchos casos las directrices están siendo frecuentemente revisadas y no siempre tratan todas las cuestiones que se plantean en la aplicación diaria del RGPD.

Y también el CEPD ha adoptado y publicado seis (6) recomendaciones[11], entre las que se encuentran, por ejemplo, las Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la UE.

El hecho de que el CEPD haya publicado más de sesenta (60) documentos en menos de cuatro años, incluso en algunos casos de sucesivas versiones, demuestra que la aplicación del RGPD no es una tarea sencilla. Y no lo es porque múltiples cuestiones han tenido que ser objeto de interpretación y aclaración por las autoridades de protección de datos, reunidas en el seno del CEPD.

IV. Gaia-X: innovación digital europea

Gaixa-X[12] es una “nube europea” que pretende ser una opción frente a los servicios de nube ofrecidos por empresas estadounidenses y asiáticas. Se presenta como la próxima generación del ecosistema de la infraestructura de datos y permite un uso de datos seguro, abierto y soberano.

Como parte del valor añadido que proporciona Gaia-X se menciona la soberanía de datos (en inglés, data sovereignty). Sobre esta cuestión, en las preguntas frecuentes publicadas por Gaia-X[13], se indica que las ofertas actuales de nube están dominadas por proveedores no europeos y también que existen cada vez más tensiones internacionales y conflictos de comercio a nivel global, por lo que Europa necesita asegurar que puede establecer y mantener la soberanía digital permanentemente (traducción de: “Europe needs to ensure that it can establish and maintain digital sovereignty permanently”).

Se trata de una cuestión controvertida ya que la soberanía de datos y la soberanía digital o tecnológica son legítimas, pero no pueden dar lugar a medidas proteccionistas que sí serían barreras comerciales inaceptables. Ni la soberanía de datos puede conllevar imposiciones injustificadas sobre su residencia, sin poder salir de las fronteras europeas; ni la soberanía digital puede dar lugar a que existan restricciones o prohibiciones sobre la posibilidad de contratar servicios digitales proporcionados por proveedores no europeos.

En el caso de los datos personales es necesario prestar también atención a que tanto la ya derogada Directiva 95/46/CE como el RGPD incluyen en su título una referencia a la “libre circulación de datos”. Esta debe ser entendida tanto dentro como fuera del Espacio Económico Europeo (EEE) cuando en este último caso se den las garantías adecuadas por lo que se refiere al respeto de los derechos fundamentales consagrados en la Carta de los Derechos Fundamentales de la Unión Europea.

V. La (agitada) interrelación del RGPD con las nuevas Leyes de la estrategia digital de la UE

Aunque el RGPD sigue siendo la norma general en materia de protección de datos personales en la UE, junto con otras normas sectoriales tan relevantes como la Directiva sobre privacidad y comunicaciones electrónicas[14], ya no es ni será la única aplicable en determinadas circunstancias y podría verse afectada por una aplicación compleja de las nuevas y, en algunos casos, todavía futuras Leyes.

Son patentes los solapamientos, incluso derivados de un intento de que las nuevas normas estuvieran alineadas con el RGPD. En particular, la Ley de Mercados Digitales (en inglés Digital Markets Act, DMA) y la Ley de Gobernanza de Datos (en inglés, Data Governance Act, DGA) imponen el consentimiento como base de legitimación del tratamiento de datos pesronales y al hacerlo podrían afectar gravemente al RGPD ya que ni han tenido en cuenta otras bases de legitimación más adecuadas ni han reparado en situaciones enrevesadas, tales como el efecto que tendrá la revocación del consentimiento para dicho tratamiento cuando esta es la única base de legitimación aplicable[15].

Se trata de un claro ejemplo de la necesidad de que, como hace el RGPD, se asegure que todo tratamiento de datos personales se lleve a cabo sobre una base de legitimación, pero que se prevea que podrían aplicarse otras bases de legitimación de manera que pueda recurrirse a la más apropiada en cada caso.

Además, cualquier cambio futuro en el RGPD, si este fuera posible y procedente, por lo que se refiere al consentimiento como base de legitimación del tratamiento o la aplicación del ejercicio de los derechos en protección de datos, tendrá implicaciones para la estrategia digital de la UE. Esto plantea también la necesidad de que el RGPD, o cualquier norma que lo pudiera sustituir en el futuro, sea compatible y se aplique de manera uniforme con el resto de las normas europeas que se refieran a o tengan implicaciones en materia de protección de datos personales. Y también que estas otras normas prevean que, por ejemplo, el tratamiento de datos personales se haga sobre una base de legitimación prevista en el RGPD, pero no que prescriban cuál es esa base de legitimación, salvo que esta no planteé dudas en la práctica.

VI. Conclusión

En 2022 el RGPD ha cumplido un doble aniversario. Diez años desde que la Comisión presentara la propuesta que en 2016 daría lugar a la publicación del RGPD en el Diario Oficial de la Unión Europea y cuatro años de aplicación efectiva. A la vista de las cuestiones que se plantean, aunque un aniversario siempre es un motivo de alegría, es necesario reflexionar sobre los desafíos que tendrá que superar el RGPD si se quiere que sea la norma general en materia de protección de datos incluso con una vigencia más extensa que la de la Directiva 95/46/CE.

En cualquier caso, todo ha cambiado durante los últimos años y seguirá cambiando vertiginosamente, de manera que el RGPD se enfrenta a múltiples situaciones y cuestionamientos que tendrá que superar para poder seguir celebrando muchos más aniversarios.

 

[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

[2] Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), COM(2012) 11 final, Bruselas 25 de enero de 2012.

[3] Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros (PNR) para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave.

[4] Comunicación de la Comisión al Parlamento Europeo y al Consejo La protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos, COM(2020) 264 final, Bruselas 24 de junio de 2020. Consultado en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0264&from=EN

[5] En el estudio se indica, en inglés, que “the GDPR is based on an underlying assumption that in relation to each personal data point there is at least one natural or legal person – the data controller – whom data subjects can address to enforce their rights under EU data protection law”. Finck, Michèle, Blockchain and the General Data Protection Regulation, Can distributed ledgers be squared with European data protection law?, European Parliamentary Research Service, 2019. Consultado en https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf

[6] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

[7] Recio Gayo, Miguel, Protección de datos personales e innovación: ¿(in)compatibles?, Reus, Madrid, 2016, pág. 166.

[8] Pueden verse en https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en

[9] European Data Protection Board, Endorsement 1/2018. Consultado en https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf

[10] Publicados en https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en

[11] Publicadas en https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en?f%5B0%5D=opinions_publication_type%3A98

[12] Sobre este proyecto se puede ver más información en https://www.gaia-x.eu/ y en https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html

[13] Publicadas en https://www.gaia-x.eu/faq

[14] Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). En relación con esta Directiva es necesario señalar que tras más de cinco años desde la publicación de la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas), sigue sin aprobarse dicho Reglamento.

[15] Sobre los solapamientos y lagunas entre el RGPD y la DMA puede verse Recio Gayo, Miguel, European Union Digital Strategy: Overlappings and gaps on data protection? A Critical view for a better digital society and economy, South EU Google Data Governance Chair, January 2022. Disponible en https://southeugooglechair.com/european-union-digital-strategy-overlappings-and-gaps-on-data-protection-a-critical-view-for-a-better-digital-society-and-economy/