Esta es una primera reacción a una noticia en desarrollo. Para cualquier cambio o actualización de nuestra declaración, vuelva a consultar esta página.
A pesar de las fuertes críticas de la sociedad civil y de gran parte del Parlamento Europeo, la Comisión Europea ha publicado su propuesta de "Ómnibus Digital". Contrariamente al comunicado de prensa oficial de la Comisión, estos cambios no "mantener el máximo nivel de protección de los datos personales"sino que reducen masivamente la protección de los europeos. Los cambios propuestos no benefician en nada a las pequeñas y medianas empresas europeas, pero son un regalo para las grandes tecnológicas estadounidenses, ya que abren muchas lagunas jurídicas que sus departamentos jurídicos pueden aprovechar. Schrems: "Este es el mayor ataque a los derechos digitales de los europeos en años. Cuando la Comisión afirma que 'mantiene los estándares más altos', es claramente incorrecto. Propone socavar estos estándares."
El mayor recorte de los derechos de privacidad en años. Los grupos de presión de la industria han utilizado con éxito el temor europeo a la presión económica mundial para pedir recortes masivos de los derechos digitales de los europeos. Los bruscos cambios propuestos hoy pueden socavar más de 40 años de clara postura europea contra la vigilancia comercial por parte de agentes privados, consagrada también en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y ampliamente respaldada por los ciudadanos europeos.
Max Schrems: "El Ómnibus Digital beneficiaría principalmente a las grandes tecnológicas, mientras que no aportaría ningún beneficio tangible a las empresas medias de la UE. Esta propuesta de reforma es una señal de pánico en torno a la configuración del futuro digital de Europa, no una señal de liderazgo. Lo que realmente necesitamos es un plan estratégico y bien diseñado a largo plazo para que Europa avance"
Poco respaldo político a los cambios. La Comisión Europea se ha sacado de la chistera esta reforma del RGPD a pesar de que la mayoría de los Estados miembros de la UE habían pedido explícitamente que no se reabriera el GDPR. Además, los textos filtrados la semana pasada generaron una fuerte oposición por parte de los grupos de Centro e Izquierda del Parlamento Europeo (S&D, Renovación y Verdes), que pidieron explícitamente a la Comisión que detuviera estos recortes masivos del RGPD. Además 127 organizaciones de la sociedad civil (entre ellas noyb) criticaron duramente la inesperada incursión de la Comisión y la filtración del texto.
Sin embargo, hoy, bajo el liderazgo de la Presidenta de la Comisión, Ursula von der Leyen La Vicepresidenta Henna Virkkunen y El Comisario de Justicia, Michael McGrath, la Comisión decidió seguir adelante con importantes recortes al GDPR. Se habla de presiones políticas masivas dentro de la Comisión para recortar leyes, sin un proceso o análisis adecuados.
Max Schrems: "Estos recortes cuentan con un respaldo político limitado por parte de la opinión pública, los Estados miembros y el Parlamento Europeo. Parece que la Comisión Europea simplemente intenta arrollar a todos los demás mediante un procedimiento de 'vía rápida', que se parece más a una reacción de pánico que a una legislación bien meditada y basada en pruebas"
Antecedentes: ¿Influencia alemana o estadounidense? Una de las fuerzas motrices de la reforma para la que "prueba en papel" es Alemania. Algunas voces apuntan también a reciente información de Politicosegún la cual el mensaje de Virkkunen a las empresas estadounidenses en reuniones directas fue que la UE será más "favorable a las empresas". También hay informes sobre la creciente presión de la administración Trump para que la UE reduzca las protecciones para evitar aranceles.
Aunque no está claro de dónde procede exactamente la presión, está claro que la Comisión Europea ha ido sorprendentemente y en secreto mucho más allá del plan inicial para el "Ómnibus Digital", que no debería no debería haber incluido cambios en el GDPR.
La Comisión Europea "se mueve rápido - y rompe cosas". En lugar de ceñirse al plan original de un "chequeo digital" en 2026 para reducir las cargas administrativas, la Comisión Europea parece haber seguido el lema de Silicon Valley de "moverse rápido y romper cosas"para impulsar reformas de normas básicas por la vía rápida. La falta de evaluación de impacto o de recopilación de pruebas echa por la borda los principios establecidos desde hace tiempo de normas mínimas para la elaboración de la legislación de la UE y sigue un tipo "trumpiano" de cambios erráticos . La consecuencia es una redacción muy deficiente y una legislación que no se ajusta a los fines perseguidos.
Max Schrems: "Estos cambios se han producido sin los procedimientos adecuados y no se basan en pruebas, sino más bien en el miedo y las afirmaciones de la industria. moverse rápido y romper cosas" no es un lema que funcione para sacar adelante una legislación que afecta no sólo a la vida de 450 millones de personas, sino también, en última instancia, al buen funcionamiento de nuestras sociedades y democracias."
"Visión de túnel de la IA". La reforma propuesta del GDPR parece tener como objetivo principal eliminar cualquier obstáculo que pudiera limitar el uso de datos personales, como los datos de las redes sociales, para la IA. Sin embargo, muchos de estos cambios tendrían consecuencias masivas para la sociedad en otros ámbitos distintos de la IA, como la publicidad en línea.
Max Schrems: "La inteligencia artificial puede ser una de las tecnologías más impactantes y peligrosas para nuestra democracia y sociedad. Sin embargo, la narrativa de una 'carrera de la IA' ha llevado a los políticos incluso a tirar por la ventana protecciones que deberían habernos protegido exactamente de que todos nuestros datos vayan a parar a un gran algoritmo opaco."
Sin beneficios para las PYME europeas, pero abriendo las compuertas a los "grandes". A pesar de las frecuentes promesas de aliviar principalmente la carga de las pequeñas empresas europeas, los cambios propuestos son nada cualquier cosa menos una simplificación. La mayoría de los artículos se vuelven más complejos, poco claros e ilógicos. En lugar de trabajar para reducir la necesidad de papeleo (que es el principal problema de las empresas europeas), la Comisión está introduciendo lagunas jurídicas que sólo podrán aprovechar las grandes empresas y los grandes bufetes de abogados.
Max Schrems: "Aunque la Comisión argumenta constantemente que esta reforma sería buena para las pequeñas empresas, hay muy poco para ellas en estos cambios. Los cambios en una ley bien establecida sólo aumentarán la concentración del mercado, provocarán más inseguridad jurídica, generarán nuevas demandas y requerirán un asesoramiento jurídico más caro. El único beneficiario real son las grandes tecnológicas y los bufetes de abogados"
Muerte por mil cortes. Según la consulta pública realizada por la Comisión en octubre, los aspectos de la propuesta relacionados con la protección de datos deberían haberse centrado principalmente en abordar la fatiga de los "banners de cookies". Sin embargo, hoy, la Comisión ha presentado recortes en profundidad del RGPD. Muchos de estos recortes parecen violar, o al menos entrar en conflicto, con el derecho a la protección de datos del artículo 8 de la Carta de los Derechos Fundamentales de la UE.
He aquí un primer resumen de los principales problemas:
(1) Una nueva laguna jurídica del RGPD a través de "seudónimos" o "identificaciones". La Comisión propone reducir considerablemente la definición de "datos personales", lo que supondría que el RGPD no se aplicaría a muchas empresas de diversos sectores. Por ejemplo, los sectores que actualmente operan mediante "seudónimos" o números de identificación aleatorios, como los intermediarios de datos o la industria publicitaria, dejarían de estar (plenamente) cubiertos. Esto se haría añadiendo un "enfoque subjetivo"en el texto del RGPD.
En lugar de tener una definición objetiva de los datos personales (por ejemplo, los datos que están vinculados a una persona identificable directa o indirectamente), una definición subjetiva significaría que si una empresa específica afirma que no puede (todavía) o no pretende (actualmente) identificar una persona, el RGPD dejaría de aplicarse. Tal decisión caso por caso es intrínsecamente más compleja y todo menos una "simplificación". También significa que los datos pueden ser "personales" o no dependiendo del pensamiento interno de una empresa, o dadas las circunstancias que tengan en un momento dado. Esto también puede hacer más compleja la cooperación entre empresas, ya que algunas entrarían en el ámbito de aplicación del RGPD y otras no.
Además, un concepto tan "subjetiva"hace imposible que los usuarios o las autoridades sepan si el RGPD se aplica en cada caso. En la práctica, esto puede hacer que el GDPR sea difícilmente aplicable debido a interminables debates y desacuerdos sobre las verdaderas intenciones y planes de una empresa.
Max Schrems: "Es como una ley de armas que solo se aplica a las armas cuando el propietario confirma que es capaz de manejar un arma y tiene la intención de disparar a alguien. Es obvio lo absurdas que son esas definiciones subjetivas"
(2) ¿Sacar datos personales de tu dispositivo? Hasta ahora, el artículo 5.3 de ePrivacy protegía a los usuarios contra el acceso remoto a los datos almacenados en "equipos terminales", como PC o smartphones. Se basa en el derecho a la protección de las comunicaciones del artículo 7 de la Carta de los Derechos Fundamentales de la UE y garantiza que las empresas no puedan "buscar a distancia" en los dispositivos.
La Comisión añade ahora las operaciones de tratamiento "en lista blanca" para el acceso a equipos terminales, que incluirían "estadísticas agregadas" y "fines de seguridad". Aunque la dirección general de los cambios es comprensible, la redacción es extremadamente permisiva y permitiría también "búsquedas" excesivas en los dispositivos de los usuarios con (minúsculos) fines de seguridad.
(3) ¿Formación en IA de Meta o Google con datos personales de la UE? Cuando Meta o LinkedIn empezaron a utilizar datos de redes sociales, fue muy impopular. En un estudio reciente, por ejemplo sólo el 7% de los alemanes dicen que quieren que Meta utilice sus datos personales para entrenar la IA. Sin embargo, ahora la Comisión quiere permitir el uso de datos muy personales (como el contenido de más de 15 años de un perfil en las redes sociales) para el entrenamiento de inteligencia artificial por parte de las grandes empresas.
Max Schrems: "No hay absolutamente ningún apoyo público para que Meta o Google incluyan los datos personales de los europeos en sus algoritmos. Durante años se nos dijo que no debíamos preocuparnos, porque nuestros datos personales se utilizarían para 'conectarnos' o, en el mejor de los casos, para segmentar algún anuncio. Ahora todos tus datos se introducen en los algoritmos de Meta, Google o Amazon. Esto facilita que los sistemas de inteligencia artificial conozcan hasta los detalles más íntimos y, en consecuencia, manipulen a las personas. Esto beneficia sobre todo a la billonaria industria estadounidense que construye modelos basados en nuestros datos personales"
La Comisión Europea prevé que los usuarios puedan optar por no participar, pero las empresas y los usuarios no suelen saber de quién son los datos incluidos en un conjunto de datos de entrenamiento. Incluso si lo supieran, los usuarios tendrían que optar por no participar miles de veces al año, cada vez que otra empresa entrenara un algoritmo con sus datos.
Max Schrems: "La opción de exclusión voluntaria no funciona en la práctica. Las empresas no tienen los datos contractuales de los usuarios y los usuarios no saben quién está entrenando a partir de sus datos. Este enfoque de exclusión voluntaria es el intento de la Comisión de poner una hoja de parra sobre esta actividad de procesamiento obviamente ilegal"."
La Comisión no sólo quiere privilegiar la formación de los sistemas de IA, sino también su "funcionamiento". Esto equivaldría a un "comodín" en el que el tratamiento, de otro modo ilegal, se convertiría en legal, sólo porque se realiza utilizando IA.
Max Schrems: "Normalmente, las tecnologías más arriesgadas tienen que cumplir una norma más estricta. La propuesta de la Comisión abre ahora las compuertas cuando se utiliza la IA, mientras que el tratamiento de datos tradicional seguiría estando sujeto a la legislación vigente. Es una locura."
(4) Los derechos de los usuarios se reducen casi a cero, ¿a petición de Alemania? Basándose en un debate nacional de que los derechos de acceso GDPR pueden ser utilizados para probar, por ejemplo, el impago en los contratos de trabajo, el Gobierno alemán exigió una limitación masiva de estos derechos - enmarcando tal uso como "abuso", a pesar de que el GDPR ya tiene una cláusula de "abuso". La Comisión ha seguido esa exigencia alemana y propone limitar el uso del derecho de acceso del interesado únicamente a "fines de protección de datos".
A la inversa, esto significa que si un empleado utiliza una solicitud de acceso en un conflicto laboral por horas no pagadas -por ejemplo, para obtener un registro de las horas que ha trabajado- el empresario podría rechazarla por "abusiva". Lo mismo ocurriría con periodistas o investigadores. En una lectura amplia, esto podría ir aún más lejos. Si una persona pide acceso a sus datos para, posteriormente, borrar datos falsos de su clasificación crediticia para conseguir un préstamo más barato en el banco, esos derechos no pueden ejercerse únicamente con un "fin de protección de datos", sino por interés económico.
Esta limitación supone una clara violación de la jurisprudencia del TJUE y del artículo 8, apartado 2, de la Carta. El derecho a la autodeterminación informativa está explícitamente destinado a nivelar la brecha informativa entre los usuarios y las empresas que poseen la información, ya que cada vez se oculta más información en los servidores de las empresas (por ejemplo, copia de las hojas de asistencia). El TJUE ha sostenido en múltiples ocasiones que se pueden ejercer estos derechos con cualquier fin, incluidos los litigios o la obtención de pruebas.
Max Schrems: "Este cambio es una clara violación de la Carta y de la jurisprudencia del TJUE. Será utilizado por los controladores de toda Europa para socavar aún más los derechos de los usuarios. La realidad es que no tenemos un abuso generalizado de los derechos del RGPD por parte de los ciudadanos, sino un incumplimiento generalizado por parte de las empresas. Recortar aún más los derechos de los usuarios demuestra lo alejada que está la Comisión de la experiencia diaria de los usuarios."
el trabajo de noyb sólo es posible gracias a nuestros 5.287 Miembros Colaboradores. ¿Le gustaría apoyarnos a usted también?
