El EDPB (que agrupa a todas las autoridades independientes de protección de datos) y el Supervisor Europeo de Protección de Datos (SEPD) publicaron un dictamen conjunto en el que expresan su profunda preocupación por los elementos clave de los cambios propuestos en el GDPR y la ePrivacy en el denominado "Ómnibus digital"propuesto por la Comisión Europea. En concreto, las autoridades se oponen firmemente a la restricción de la definición de datos personales. El dictamen también cuestiona la necesidad de varias propuestas clave, como la base jurídica para la formación en materia de IA y las restricciones al derecho de acceso. Muchas otras disposiciones no se consideran suficientemente claras. Las autoridades' fón es otro duro golpe para el intento de la Comisión de limitar los derechos de los usuarios.
Aportación de gran importancia sobre el Ómnibus Digital. Con el Ómnibus Digital, la Comisión Europea ha propuesto cambios radicales en el RGPD y en la Directiva sobre la privacidad y las comunicaciones electrónicas disfrazados de medida de "simplificación". Esto podría significar, entre otras cosas, una restricción de la definición de datos personales (artículo 4, apartado 1, del RGPD) y del derecho de acceso (artículo 12, apartado 5, del RGPD), y un pase libre para procesar los datos de los usuarios con fines de formación en IA. Estos cambios no ayudan a las empresas normales de la UE a cumplir sus inútiles obligaciones burocráticas, sino que son útiles sobre todo para las grandes empresas tecnológicas estadounidenses. Las organizaciones de la sociedad civil ya han dado la voz de alarma, pero ahora el muy influyente e independiente Consejo Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han sometido la propuesta a un nuevo escrutinio: en un dictamen conjunto, las autoridades plantean serias dudas sobre algunas de las propuestas más importantes.
Max Schrems: Las autoridades independientes han calificado los cambios clave como lo que son: ni "cambios técnicos" ni "simplificación", sino limitaciones del derecho a la protección de datos de los residentes en la UE."
Cambio de la definición de datos personales: rechazado. En particular, la SEPD y el SEPD confirman las preocupaciones de las partes interesadas en relación con la propuesta de restringir la definición de datos personales con arreglo al artículo 4, apartado 1, del RGPD. Según el dictamen, esto "iría mucho más allá de una modificación puntual del RGPD, una "modificación técnica" o una mera codificación de la jurisprudencia del TJUE"
Asimismo, las autoridades rechazan la propuesta de la Comisión de ampliar sus propios poderes, permitiéndole decidir qué se considera datos personales seudonimizados. En combinación con la nueva definición de datos personales, esto podría abrir vías cómodas para que las empresas escapen de la aplicación del GDPR.
¿Entrenamiento con IA basado en un interés legítimo? Aunque el dictamenno se opone estrictamente a la propuesta de la Comisión relativa a la formación en materia de inteligencia artificial basada en un interés legítimo, la SEPD y la OEPD destacan que, en realidad, el artículo 88 quater recién introducido no aclara la cuestión. Las empresas seguirían necesitando llevar a cabo una prueba de tres pasos para evaluar si el uso de un interés legítimo como base jurídica es legal. Muchas otras cuestiones clave en torno al uso de datos personales en la formación en IA no se resolverían con la propuesta.
Restricción del derecho de acceso. En su forma actual,la propuesta de la Comisiónpara el artículo 12(5) del RGPD restringiría la posibilidad de que los titulares de los datos utilicen su derecho de acceso para acceder a sus propios datos, imponiendo que este derecho debe utilizarse para "fines de protección de datos". Esto excluiría probablemente fines periodísticos, de investigación, políticos, económicos, jurídicos o de otro tipo para acceder a los propios datos personales. Las autoridades dejan claro que tal rechazo violaría la jurisprudencia existente del TJUE, incluso si es posible aclarar las restricciones existentes por "abuso" de los derechos de acceso.
Confirmación de críticas anteriores. En muchos otros artículos, la SEPD y el SEPD adoptan la postura de que los objetivos de la Comisión son comprensibles, pero la forma en que están redactadas las propuestas no alcanza el nivel de claridad y profundidad que sería útil en la práctica.
Las principales conclusiones de la evaluación de las autoridades coinciden con las del análisis detallado de la propuesta de la Comisión Europea realizado por noyb. Por otra parte, algunos de los cambios propuestos parecen ser considerados aceptables por las autoridades, a pesar de que en lugar de racionalizar la aplicación y reducir la carga reglamentaria para las PYME europeas, muchos de los cambios aumentarían en realidad la complejidad. Esto beneficiaría únicamente a las grandes empresas tecnológicas estadounidenses y a los bufetes de abogados especializados en encontrar lagunas que puedan aprovechar sus clientes.
Siguiente: Posición del Consejo y del PE: Es de esperar que el Parlamento Europeo y el Consejo tengan en cuenta este dictamen conjunto de la SEPD y el SEPD, pero que vayan más allá, suprimiendo algunos de los cambios que no pueden arreglarse de forma significativa y mejorando profundamente otros elementos.
