Las negociaciones a tres bandas de la UE sobre un Reglamento de Procedimiento que debería armonizar y acelerar la aplicación del Reglamento General de Protección de Datos (RGPD) tendrán probablemente la última reunión este miércoles (21 de mayo). Sin embargo, la propuesta corre el riesgo de socavar la aplicación del RGPD al introducir plazos excesivamente largos y procedimientos demasiado complejos. A pesar de contar con un negociador principal del Partido Verde para el Parlamento Europeo, la propuesta también discrimina estructuralmente al usuario y da un trato preferente a las grandes tecnológicas, al tiempo que cede sistemáticamente en las posiciones del Parlamento. El Reglamento propuesto no sólo amenaza con paralizar la aplicación de la legislación, sino que también puede constituir una violación de elementos fundamentales del derecho a un procedimiento justo y a una buena administración. En consecuencia, noyb está estudiando las opciones para iniciar un procedimiento de anulación si el Reglamento se aprueba en su forma actual.
- Comparación de la propuesta de la Comisión y las enmiendas del Parlamento y el Consejo
- Artículo de fondo que incluye una visión general de los pasos procedimentales propuestos tras las primeras negociaciones a tres bandas
Los plazos se cumplen por primera vez en 2030. Una de las grandes promesas del nuevo Reglamento de procedimientos del RGPD era acelerar los procedimientos. Sin embargo, el Reglamento no solo ha complicado enormemente los procedimientos, sino que puede alargarlos. Mientras que el Parlamento Europeo preveía en un principio plazos globales de tan solo 3 meses, los plazos acordados solo para algunas fases del procedimiento (fase de planificación, derecho a ser oído y fase de decisión) ascienden ya a más de un año. Los negociadores aún tienen que decidir la duración de la parte principal del procedimiento: la investigación. Esto significa que probablemente acabemos con plazos de más de dos años. Además, el propio Reglamento se retrasa mucho, ya que el periodo de transición se fija en 33 meses a partir de su publicación, es decir, en torno a 2028. Si se suma todo esto, es probable que el primer caso de RGPD que pueda toparse con un plazo se sitúe en torno a 2030.
Max Schrems:"Por lo que sabemos, no hay un acuerdo definitivo sobre los plazos. Sin embargo, los plazos que ya se han acordado ascienden a 7 meses solo para planificar un procedimiento del RGPD y 4 meses para dictar una resolución. Teniendo en cuenta que también debe haber una investigación, es probable que hablemos de 2-3 años para una decisión". En un principio, el Parlamento Europeo pidió un plazo tan breve como 3 meses. Muchos Estados miembros tienen plazos de 3 a 6 meses"
En contradicción con la agenda de "simplificación" de la UE. En lugar de simplificar y agilizar los procedimientos, el nuevo Reglamento hace exactamente lo contrario: se añaden muchos pasos adicionales en el procedimiento, muchos documentos deben emitirse en dos o tres versiones para otras autoridades y partes diferentes. En lugar de tener un sistema digital central con todos los documentos, el sistema sólo contendrá un pequeño número de documentos, mientras que la mayoría de los expedientes se almacenarán distribuidos entre las más de 40 Autoridades de Protección de Datos de la UE y deberán intercambiarse manualmente. Todo ello costará decenas de miles de horas de trabajo, lo que probablemente supondrá millones de costes innecesarios en todos los Estados miembros.
Max Schrems:"Este Reglamento añade toneladas de pasos y papeleo adicionales a los procedimientos existentes. Las autoridades y las empresas tendrán más trabajo con los procedimientos del RGPD, no menos. Estamos aumentando los costes de cumplimiento y sobrecargando a las autoridades, sin ningún beneficio para los usuarios o las empresas. Justo lo contrario de lo que promete la simplificación de la UE"
Discriminación estructural de los usuarios frente a las empresas. En general, el Reglamento también discrimina estructuralmente a los usuarios. En innumerables pequeñas diferencias, el Reglamento hace mucho más fácil para las empresas defender sus intereses que para los usuarios defender su derecho a la protección de datos. Por ejemplo: las empresas pueden conseguir todos los documentos a nivel local con su "autoridad principal", los usuarios tienen que conseguir que se les entreguen los documentos a bordo, sin ninguna forma realista de averiguar siquiera que los documentos existen o de emprender acciones si no se facilitan los documentos. Las empresas tienen "derecho a ser oídas", mientras que los usuarios sólo tienen la "oportunidad de dar a conocer su opinión". Mientras que las empresas pueden (en ciertas jurisdicciones) tener derecho a una audiencia oral, en la que pueden discutir con una autoridad, los usuarios sólo tienen la opción de enviar una declaración por escrito. Muchos elementos del procedimiento se rigen por la legislación del Estado miembro donde reside la empresa, no donde tiene su sede el usuario.
Max Schrems: "Todo el Reglamento se inclina en contra de los usuarios. En casi todos los artículos se da preferencia a las empresas y se discrimina a los usuarios. Mientras que la legislación de la UE suele proteger a la parte más débil, este Reglamento la discrimina"
El PE se "vendió" a la Comisión y al Consejo. Aunque el proyecto de la Comisión fue ampliamente criticado por muchas partes, el Parlamento Europeo emprendió un importante ejercicio de reformulación. Aunque no era perfecto, el Parlamento subsanó los principales problemas estructurales de la propuesta de la Comisión. Sin embargo, en las negociaciones entre la Comisión, los Estados miembros de la UE y el Parlamento, éste renunció básicamente a casi todas las posiciones que había mantenido. Se eliminaron casi todas las disposiciones relativas a los derechos de los usuarios, los plazos cortos o los procedimientos transparentes. Se eliminó cualquier opción de aplicar de forma realista las nuevas normas a las Autoridades de Protección de Datos que no las cumplieran.
Max Schrems:"El Parlamento Europeo ha vendido totalmente sus posiciones fundamentales. Apenas quedan vestigios de su versión original. Esto es muy extraño, teniendo en cuenta que el negociador principal del Parlamento es un miembro del Partido Pirata y un miembro del Grupo de los Verdes - supuestamente los feroces luchadores por los derechos de los usuarios. Durante las negociaciones de los últimos meses tuvimos la sensación general de que a nadie le importaba este expediente. El resultado lo refleja absolutamente"
noyb considera los procedimientos de anulación. La legislación de la UE debe cumplir los principios básicos consagrados en la Carta de los Derechos Fundamentales de la UE. Entre ellos figuran el derecho a una buena administración (artículo 41), el derecho a un procedimiento justo en un plazo razonable (artículo 47) o la igualdad de trato ante la ley (artículo 20). Además, la UE también debe garantizar que el Derecho Fundamental a la Protección de Datos, recogido en el artículo 8 de la Carta, pueda ser efectivamente exigido por los usuarios. El nuevo Reglamento parece incumplir estructuralmente estos requisitos. Cualquiera que se vea directamente afectado puede interponer un procedimiento de anulación ante los tribunales de la UE para conseguir que el Reglamento sea declarado nulo, bien en su totalidad, bien en gran parte. noyb está estudiando actualmente las opciones para interponer tales recursos.
Max Schrems:"El Reglamento es tan estructuralmente defectuoso que el Tribunal de Justicia podría tener que anularlo. Es probable que el proyecto actual viole la Carta de múltiples maneras en lo que respecta al acceso a las pruebas, la equidad, la igualdad de armas y una decisión oportuna. En teoría, el Reglamento podría anularse antes de ser aplicable"
