De los 99 artículos que componen el Reglamento General de Protección de Datos (RGPD) de la UE, el artículo 97 es seguramente el de mayor alcance, para la salvaguarda de la privacidad y la protección de datos en Europa.
Desde que la ley entró en vigor en mayo del año pasado, el artículo 97 ha motivado a un número cada vez mayor de Estados miembros de la UE y de autoridades de supervisión a considerar los numerosos retos a los que se enfrentan las organizaciones que se esfuerzan por cumplir el RGPD, y han estado debatiendo sus observaciones y experiencias con su aplicación. Sus comentarios ilustran claramente que el RGPD está lejos de ser una "ley establecida".
Pero primero, para los que no estén familiarizados con el artículo, aquí está el texto completo:
Artículo 97
Informes de la Comisión
A más tardar el 25 de mayo de 2020 y, posteriormente, cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y la revisión del presente Reglamento. Los informes se harán públicos.
- En el marco de las evaluaciones y revisiones mencionadas en el apartado 1, la Comisión examinará, en particular, la aplicación y el funcionamiento de:
a) El capítulo V sobre la transferencia de datos personales a terceros países u organizaciones internacionales, con especial atención a las decisiones adoptadas en virtud del apartado 3 del artículo 45 del presente Reglamento y a las decisiones adoptadas sobre la base del apartado 6 del artículo 25 de la Directiva 95/46/CE;
b) Capítulo VII sobre cooperación y coherencia.
- A efectos del apartado 1, la Comisión podrá solicitar información a los Estados miembros y a las autoridades de control.
- Al realizar las evaluaciones y revisiones mencionadas en los apartados 1 y 2, la Comisión tendrá en cuenta las posiciones y conclusiones del Parlamento Europeo, del Consejo y de otros organismos o fuentes pertinentes.
- En caso necesario, la Comisión presentará las propuestas adecuadas para modificar el presente Reglamento, teniendo en cuenta, en particular, la evolución de las tecnologías de la información y el estado de la sociedad de la información.
Así que, echemos un vistazo a la comentarios presentados por los estados miembrosEn cuanto a su evaluación en curso del RGPD.
Preparación para la revisión del artículo 97 del RGPD
Como informó la IAPP, el artículo 97 encarga a la Comisión Europea, antes del 25 de mayo de 2020, y una vez más cada cuatro años a partir de entonces, que "presente un informe sobre la evaluación y revisión del presente Reglamento al Parlamento Europeo y al Consejo." Como mínimo, estos informes deben examinar "la aplicación y el funcionamiento" del capítulo 4 sobre las transferencias de datos personales a terceros países u organizaciones internacionales y del capítulo 7 sobre los mecanismos de cooperación y coherencia. Lo que hace que este proceso de revisión sea tan crítico es que puede servir de impulso para que la Comisión "presente propuestas adecuadas para modificar" el RGPD.
Las autoridades europeas ya han comenzado a preparar su primera revisión de la aplicación del RGPD. Ya en julio, la Presidencia finlandesa emitió una nota a las delegaciones que contenía un plan para su preparación de la posición del Consejo Europeo sobre la evaluación del RGPD. En particular, la Presidencia "acogió con satisfacción todas las observaciones de las delegaciones con respecto a la revisión y evaluación del RGPD". Tras la reunión del Grupo de Trabajo DAPIX del 3 de septiembre, que reunió a expertos de cada Estado miembro, se pidió a las delegaciones que presentaran por escrito sus observaciones sobre las experiencias obtenidas con la aplicación del RGPD, junto con sus posiciones iniciales y recomendaciones sobre los puntos que debían incluirse en el informe del Consejo. Recientemente, el 9 de octubre, el Consejo publicó una nota a las delegaciones que contienen dichos comentarios de 19 Estados miembros.
En las siguientes secciones se destacan algunas de las cuestiones clave planteadas en los comentarios de las delegaciones de los Estados miembros sobre el RGPD. Se centra en los ámbitos en los que han visto surgir conflictos, en las cuestiones en torno a las cuales desearían una mayor claridad y en las recomendaciones sobre lo que creen que debería hacerse para abordar estas cuestiones.
También cabe destacar que algunos Estados miembros insistieron en que la revisión no se limitara a los dos temas mencionados en el artículo 97 (2) (transferencias de datos personales y cooperación/coherencia), mientras que otros mantuvieron que todavía es demasiado pronto para sacar conclusiones para una revisión del RGPD.
Confusión, incoherencia y fragmentación
Para la mayoría, la aplicación del RGPD ha sido todo menos sencilla, fácil o directa. En este sentido, varios Estados miembros han presentado comentarios en los que señalan la incertidumbre, la confusión y la fragmentación que persisten en torno a la aplicación del RGPD. Por su parte, Alemania admitió que "algunas empresas y organismos públicos han manifestado sentirse abrumados tras la entrada en vigor del RGPD", mientras que "algunos usuarios han sentido una gran incertidumbre [y] se han sentido muy confundidos" por los instrumentos aparentemente nuevos creados por el RGPD, como los registros de actividades de tratamiento y los responsables de la protección de datos.
Para paliar algunas de estas ambigüedades, la República Checa ha sugerido que se publiquen en línea casos reales de buenas prácticas, así como casos de malas prácticas, en beneficio de otros Estados miembros. Señaló varias cuestiones en las que se necesitan mejores prácticas, como el conflicto de intereses de los RPD, las cualificaciones profesionales de los RPD, las funciones del responsable y del encargado del tratamiento, las obligaciones de transparencia para los interesados cuando los datos se hayan obtenido de fuentes públicas, y la identificación adicional con arreglo al artículo 11.
Una de las mayores áreas en las que la fragmentación ha afectado a la aplicación del RGPD ha sido en la protección de los datos de los niños. Concretamente, Irlanda describió el enfoque del RGPD sobre la protección de los niños como "fragmentado y desarticulado". Aunque se pueden encontrar referencias a la protección de los niños en varios considerandos (38, 58, 65, 71 y 75) y artículos (6.1(f), 8, 12, 40 y 57), son como "un rompecabezas" y "no ofrecen una imagen coherente". Francia también señaló que el consentimiento de los niños en el artículo 8, que deja a la discreción de los Estados miembros la edad de consentimiento de los menores, "es probable que cause dificultades de aplicación" y que evaluar si es necesario revisarlo debe ser una prioridad. En una línea similar, los Países Bajos presionaron para que se aplique "una sola edad de consentimiento uniforme" en toda la UE, ya que la situación actual "conduce a una problemática falta de seguridad jurídica para todas las partes implicadas; padres, niños y controladores por igual".
Además, la República Checa señaló que, si el Consejo Europeo de Protección de Datos emitiera su propia lista, incluso no exhaustiva, de operaciones de tratamiento sujetas a evaluaciones de impacto o exentas de ellas, "contribuiría a una aplicación mucho más uniforme y coherente del RGPD". Alemania también instó a las APD a armonizar más su práctica de interpretación en relación con las operaciones de tratamiento de riesgo y las evaluaciones de impacto de la protección de datos.
Autoridades de supervisión
Los Estados miembros han hecho numerosos comentarios sobre la eficacia y las expectativas de las autoridades de supervisión. En el lado positivo, los Estados miembros han llamado la atención sobre la eficacia de los esfuerzos de cooperación entre las SV. Letonia, por ejemplo, ha señalado que varias reclamaciones de los interesados se han resuelto con éxito gracias a la cooperación de los SV de Letonia y Lituania.
Otros, por su parte, se centraron en las deficiencias del trabajo realizado por los SV. Por ejemplo, Alemania señaló que las empresas desearían "una asistencia más rápida y concreta por parte de las autoridades de protección de datos", mientras que "los interesados desearían más asesoramiento y una tramitación más rápida de sus solicitudes". Alemania también pidió criterios transparentes para las autoridades de protección de datos en cuanto a la imposición de multas "para garantizar la comparabilidad y la aplicación uniforme". Francia pidió que "se examinen y eliminen las disparidades nacionales que dificultan la cooperación de las autoridades de control". Lituania planteó la cuestión de si una sentencia de apelación en un tribunal nacional de una jurisdicción sería legalmente vinculante para la SV principal de otra jurisdicción.
Tras constatar que un gran número de interesados presentan reclamaciones a las SV después de que se les haya notificado una violación de datos a través del artículo 33, Bulgaria declaró que "surgen dificultades para tramitar las reclamaciones sobre el mismo asunto". Bulgaria señaló que "la obligación de tramitar las reclamaciones [en relación con el artículo 77] obstruye por sí misma la labor de la autoridad de protección de datos". Bulgaria también señaló que, si bien el apartado 4 del artículo 57 considera que la excesividad de una solicitud a la SV depende de la repetición de las solicitudes procedentes de un único interesado, no considera la excesividad en el sentido de "múltiples solicitudes idénticas presentadas por un gran número de interesados... en relación con el mismo caso". Alemania también señaló que "lo más probable es que las autoridades de protección de datos estén abrumadas por el volumen masivo de informes" de acuerdo con el artículo 33, de los cuales había 89.000 en la UE en abril de 2019.
Transferencias de datos personales
La mayoría de los Estados miembros que comentaron las decisiones de adecuación ofrecieron reflexiones positivas. Sin embargo, una crítica común fue que "siguen siendo infrautilizadas".
Para solucionar este problema, Alemania instó a la Comisión a "mantener sus esfuerzos para lograr más decisiones de adecuación y ampliar las existentes a otros ámbitos y sectores". Los Países Bajos presentaron una lista de países, sugeridos por las organizaciones comerciales holandesas, como posibles candidatos futuros a una decisión de adecuación. Entre ellos figuraban Singapur, Colombia, México, Sudáfrica, Serbia y el Centro Financiero Internacional de Dubai, así como todos los países que han ratificado y aplicado el Convenio 108+.
En cuanto a los códigos de conducta, Bélgica explicó que "existe un claro interés por parte de las distintas partes interesadas en hacer uso" de ellos, pero hay reticencia a hacerlo "debido a la falta de directrices claras". Bulgaria se refirió a los códigos de conducta como "una herramienta voluntaria de rendición de cuentas extremadamente útil y orientada a la práctica", pero que es "ampliamente considerada como una forma de indulgencia que impide los poderes de la autoridad supervisora". Los Países Bajos pusieron en duda la validez de la interpretación de los códigos de conducta que se hace en la reciente directrices adoptadasLos Países Bajos han declarado que la creación de un organismo de control de los códigos de conducta debería ser opcional, ya que probablemente desincentivaría el proceso al introducir costes adicionales. Además, los Países Bajos declararon que la institución de un organismo de supervisión de los códigos de conducta debería ser opcional, ya que probablemente actuaría como un desincentivo al introducir costes adicionales en el proceso.
Lituania señaló que el considerando 81 establece que las cláusulas contractuales tipo sólo pueden ser adoptadas por las SV tras la aprobación de la comisión, una situación que "crea inseguridad jurídica en cuanto al carácter obligatorio de dicho procedimiento". Para remediarlo, Lituania recomendó considerar si esta facultad de la comisión se incluye explícitamente en el artículo 28(8).
Por último, sobre las normas corporativas vinculantes, "aunque son un mecanismo subsidiario útil y necesario", Bélgica argumentó que su uso "también va en contra de los objetivos de armonización del RGPD".
¿Y ahora qué?
Recapitulando, el artículo 97.4 del RGPD exige a la Comisión que "tenga en cuenta las posiciones y conclusiones del Parlamento Europeo, del Consejo y de otros organismos o fuentes pertinentes" al realizar su evaluación y revisión del RGPD. En particular, el Consejo espera que la Comisión solicite información a los Estados miembros sobre tres cuestiones:
- el uso de las decisiones de adecuación;
- la independencia y los recursos de las APD, incluso sobre "su capacidad para ejercer las competencias que les otorga el RGPD y para cumplir con sus obligaciones en el contexto [de] los mecanismos de cooperación y coherencia"; y
- verificación de la eficacia de la "interpretación y aplicación coherente del RGPD en toda la UE mediante el mecanismo de cooperación y coherencia previsto en el RGPD".
Entonces, ¿cuáles son los siguientes pasos para la primera evaluación y revisión del artículo 97 del RGPD?
Reunión de hoy del DAPIX ofrece a las delegaciones la oportunidad de debatir un proyecto de informe que contiene las observaciones sobre el RGPD formuladas por varios Estados miembros. La Presidencia finlandesa ya ha declarado su intención de adoptar la versión final del informe, en forma de resultado de los trabajos, para finales de 2019.
Queda por ver si este proceso de revisión dará lugar a modificaciones sustanciales del RGPD, pero no debe descartarse. De hecho, varios avances en la tecnología y la sociedad de la información -como el aumento del poder de los datos de las grandes empresas tecnológicas, el análisis y la elaboración de perfiles de los grandes datos, el potencial de discriminación de precios y las aplicaciones de la cadena de bloques- podrían plantear un futuro desafío a la ley. Como dicen los Países Bajos, si la UE espera a que estos desarrollos se materialicen antes de modificar el RGPD, "existe el riesgo de que el proverbial genio salga de la botella y estas modificaciones resulten ser demasiado pequeñas, demasiado tarde".
Sobre todo, los comentarios anteriores ilustran claramente que el RGPD está lejos de ser una ley establecida. Los profesionales de la privacidad harían bien en seguir el proceso del artículo 97 hasta mayo del año que viene, cuando la comisión prepare su primer informe sobre la evaluación y revisión del RGPD.
Fuentes: IAPP, Revista Cross Border