Declaración: Tercer aniversario del RGPD
Hace tres años, el 25 de mayo de 2018, entró en vigor el Reglamento General de Protección de Datos. El GDPR estaba destinado a dar derechos a las personas de todos los días que están sujetas al procesamiento de datos ("sujetos de datos"). En noyb, aplicamos el GDPR desde esa perspectiva del usuario todos los días.
Después de tres años, nuestra primera conclusión provisional es mixta: el RGPD ha llamado claramente la atención de todo el mundo, ha conseguido que las empresas revisen sus prácticas (a menudo por primera vez) y que los usuarios sean más conscientes de que tienen derechos en la esfera digital.
¿Privacidad sobre el papel?
Tener derechos y obtener justicia son dos cosas distintas: Al igual que con las normas anteriores de la Directiva de Protección de Datos de 1995 (la Directiva 95/46), nos encontramos en un estado en el que la UE ha conseguido dictar una ley progresista (si se compara a escala mundial). Sin embargo, los Estados miembros no aplican en gran medida esta nueva legislación europea. Esto conduce a la "privacidad sobre el papel", pero no necesariamente en los teléfonos u ordenadores de los usuarios.
Como organización especializada en protección de datos y privacidad, nuestros diez abogados aplican el GDPR a diario. Sin embargo, vemos regularmente casos que tardan años en resolverse, especialmente cuando los usuarios quieren hacer valer sus derechos más allá de las fronteras nacionales. Mientras que algunas Autoridades de Protección de Datos (APD) hacen un gran trabajo, otras ni siquiera aceptan el derecho de los usuarios a que se investigue una reclamación, y mucho menos a que se hagan valer sus derechos. Como las empresas declaran su sede en el Estado miembro más conveniente ("forum shopping"), los usuarios de toda la UE sufren la debilidad de los vínculos entre las APD.
En algunos Estados miembros, los tribunales se han mostrado igualmente reacios a hacer valer los derechos de los usuarios. A menudo parece que los jueces no han recibido ninguna formación sobre el RGPD, lo que da lugar a decisiones que reavivan debates jurídicos que deberían estar superados desde hace tiempo, por ejemplo, el derecho a obtener una compensación monetaria por daños emocionales. Igualmente, los tribunales aplican el derecho procesal local de una manera que hace casi imposible la aplicación del RGPD.
Esta situación no solo da lugar a graves violaciones de los derechos de los ciudadanos, sino que también provoca una competencia desleal, ya que algunos agentes del mercado europeo pueden no sentir la necesidad de cumplirlo, mientras que otros están preocupados por la posibilidad de recibir multas
Pequeñas y medianas empresas
Otro elemento que queda más claro ahora, es que el enfoque de "talla única" del RGPD es inadecuado. Las grandes empresas presionaron por una ley unificada, para asegurarse de que solo tuvieran que cumplir con requisitos medianos. Especialmente los partidos políticos que se enorgullecen de ser "pro-empresa" siguieron esa idea. Estos requisitos medios abruman ahora a muchas pequeñas empresas que no procesan realmente datos a una escala relevante, mientras que son demasiado débiles para combatir a las grandes tecnologías.
A diferencia de otras normativas en las que hay clases de empresas, el RGPD suele exigir los mismos procedimientos a un pequeño comercio y a gigantes tecnológicos como Google, Amazon o Facebook. Esto conlleva grandes cargas para la gran mayoría de las empresas, al tiempo que no regula adecuadamente a los actores relevantes. Parece que los principales beneficiarios son los grandes conglomerados de procesamiento de datos y, tal vez, el sector de la consultoría. Sin embargo, no hay (por buenas razones) ganas de reabrir el RGPD, ya que se teme que las grandes tecnológicas aprovechen cualquier oportunidad para hacer más agujeros en la ley
Resumen
Europa puede enorgullecerse de haber aprobado la legislación sobre privacidad más progresista del mundo, pero los pequeños errores de la ley y la falta de aplicación provocan la legítima frustración de los usuarios y las pequeñas empresas. Corresponderá a las APD y a los tribunales superar estos problemas dentro del marco jurídico existente para que el RGPD sea un verdadero éxito. Estamos encantados de trabajar para desencadenar estos cambios en nuestro trabajo diario en noyb.