A partir de 2018, se supone que el GDPR garantizará que los europeos disfruten de los derechos de privacidad en toda la UE. Sin embargo, cuando los derechos de las personas son violados por empresas con sede en otro Estado miembro de la UE o del EEE, las reclamaciones se tramitan a través de un complejo "mecanismo de cooperación" entre la Autoridad de Protección de Datos (APD) del Estado miembro de los usuarios y la APD del Estado miembro de la empresa. Este mecanismo de aplicación está en el centro del fracaso generalmente reconocido del cumplimiento del RGPD. Las denuncias se pierden, las decisiones tardan años y prácticamente no hay posibilidad de actuar contra las APD inactivas. La UE ha intentado resolver este problema mediante un "Reglamento de procedimiento del RGPD". Pero ahora está claro que está a punto de fracasar estrepitosamente. Las negociaciones finales del llamado "diálogo a tres bandas" entre el Parlamento Europeo, los Estados miembros y la Comisión Europea han desembocado en un embrollo legislativo que probablemente hará que los procedimientos sean más complejos, lentos y propensos a impugnaciones legales. noyb ha seguido de cerca el expediente y lanza ahora una advertencia pública. El expediente necesita un intenso trabajo adicional. El enfoque actual parece empeorar las cosas en general.
- Observatorio Legislativo de la UE con toda la información sobre el procedimiento legislativo
- Lista de actores clave (PDF)
- Panorama del procedimiento previsto (PDF)
"Más simple y rápido" se ha convertido en "Complejo e inestable". Hasta ahora, el RGPD prevé que las Autoridades de Protección de Datos (APD) de 30 países de la UE/EEE deben "cooperar", pero no aclara en detalle cómo debe llevarse a cabo esta cooperación. Los procedimientos nacionales difieren ampliamente. Los requisitos para oír a las partes, compartir pruebas o dictar formalmente una resolución válida son diferentes en cada Estado miembro. Aspectos básicos como compartir información sobre un caso con todas las autoridades no funcionan en la práctica. En general, esto ha dado lugar a procedimientos del RGPD extremadamente lentos, documentos perdidos y acciones de aplicación fallidas. Incluso casos sencillos, como una solicitud de acceso a la información por parte de un interesado, pueden tardar 5 o más años. Cuando la Comisión Europea anunció que arreglaría este desaguisado mediante un "Reglamento de procedimiento del RGPD"la principal promesa era lograr por fin una aplicación efectiva mediante procedimientos más rápidos, ágiles y sencillos.
Sin embargo, en la situación actual, las instituciones de la UE están a punto de producir exactamente lo contrario: una pesadilla de procedimiento aún más compleja, inflexible e incoherente que no mejorará sino que disminuirá la aplicación del RGPD.
La Comisión Europea nunca llevó a cabo una evaluación de impacto adecuada ni contó con la participación de las partes interesadas antes de presentar su propuesta, por lo que carece claramente de conocimientos básicos en materia de procedimiento. Tras la propuesta deficiente de la Comisión, el Consejo presentó una posición a medias, porque la Presidencia belga de la UE quería "cerrar" rápidamente el expediente para el verano de 2024. El Parlamento Europeo, contrariamente a los primeros pasos prometedores que dio para reformar a fondo la propuesta de la Comisión en su anterior legislatura, parece haber renunciado a casi toda ambición bajo su nuevo liderazgo.
En definitiva, esta iniciativa legislativa está abocada a convertirse en una vergüenza para la UE, especialmente tras las recientes promesas de tomarse por fin en serio los derechos fundamentales de los europeos a la protección de datos y la privacidad y de demostrar al mundo que el RGPD es la norma de oro, no sólo sobre el papel. El resultado esperado también contradiría la aspiración de la UE de reducir la complejidad de las normas y mejorar la calidad jurídica de su legislación. En lugar de limitarse a simplificar el procedimiento básico, los proyectos de texto que se están negociando darían lugar a unos diez tipos de posibles procedimientos del RGPD, con diversas subvariantes, giros y vueltas.
Max Schrems, Presidente de noyb.eu: "Al principio éramos muy partidarios de contar con normas de procedimiento claras. Pero esta propuesta corre el riesgo de convertirse en el mayor lío legislativo que he visto en mucho tiempo. Aunque el Consejo y el Parlamento Europeo parecen estar de acuerdo en general en que la propuesta de la Comisión necesita cambios sustanciales, parece que no han conseguido solucionar los problemas estructurales, sino que han añadido elementos cada vez más complejos. El Parlamento Europeo ha renunciado por completo a introducir planteamientos procedimentales bien establecidos. El resultado es un sistema sobrecargado que hará que los procedimientos sean aún más complejos y lentos. Muchos elementos son de tan mala calidad jurídica que esta ley no resolverá los problemas, sino que generará más litigios"
¿Contentos, si todos están descontentos? Mientras que muchas batallas políticas europeas tienen lugar entre dos grupos de interés, este expediente parece haber sido una lucha entre una legislación de calidad y un planteamiento que ni es viable ni se ajusta a los principios de procedimiento más básicos. A pesar de las advertencias de los expertos, el expediente no hace más que seguir adelante una y otra vez. Muchos han comentado a puerta cerrada que el texto es una "espectáculo de mierda"o que las negociaciones a tres bandas han llegado tristemente a un punto en el que la legislación es una "una fábrica de salchichas que produce una salchicha - no importa el contenido". A pesar de que muchos actores parecen haberse dado cuenta del problema, se han tomado pocas medidas. Un tema común parece ser "que se apruebe de una forma u otra, mientras no esté sobre mi mesa"."
Max Schrems: " Este Reglamento podría haber cambiado las reglas del juego para el ejercicio de los derechos fundamentales de los ciudadanos. En lugar de ello, parece que hará perder miles de horas a unas auhoridades ya sobrecargadas de trabajo al prescribir diversos trámites procedimentales inútiles y excesivamente complejos, lo que se traduce en millones en dinero de los contribuyentes. Al mismo tiempo, los procedimientos serán más lentos y también más complejos tanto para las empresas como para los ciudadanos. La aplicación de los derechos del RGPD de las personas normales será aún más difícil de alcanzar. Las empresas probablemente verán más inseguridad jurídica, decisiones inexactas y mayores costes legales por el papeleo adicional y los recursos necesarios."
Planteamientos procesales medievales, en lugar de derechos de las partes. La propuesta original de la Comisión Europea seguía un espíritu autoritario. Las APD "líderes" en el mismo país que la empresa (como la tristemente célebre APD irlandesa) estaban protegidas en la medida de lo posible de la necesidad de cooperar con otras APD y de escuchar a las partes afectadas. De este modo, se suponía que podían llevar a cabo el procedimiento en solitario, sin que nadie les molestara. Pero este enfoque es lo contrario de una administración moderna, eficaz y transparente. Es crucial implicar a las partes en una fase temprana para llegar a decisiones objetivamente correctas y ampliamente aceptadas. Al fin y al cabo, las empresas saben mejor que nadie cómo funcionan sus sistemas y los denunciantes saben mejor que nadie cuál es su problema en relación con el RGPD. En cambio, la Comisión construyó el procedimiento sobre un sistema puramente "sistema inquisitorial"literalmente, un enfoque medieval del siglo XII. Muchos documentos y decisiones del procedimiento se emiten antes de que se haya llevado a cabo ninguna investigación o audiencia de las partes. Parece que muchos de los conceptos se han tomado prestados de la práctica del Comisario de Protección de Datos irlandés, la APD que ha producido más disputas con otras APD y que es conocida por sus procedimientos extremadamente lentos y desordenados. No está claro cómo interactuarán los elementos pertinentes de la ley propuesta (en particular, en los artículos 9 a 17) con procedimientos nacionales mucho más modernos. El Reglamento no define adecuadamente la interacción entre la legislación de la UE y la nacional.
Max Schrems: "El planteamiento de la Comisión de la UE ha sido asumir que las APD lo saben todo. En lugar de oír a las partes, como es el caso en casi todos los Estados miembros de la UE, la Comisión de la UE previó que las partes sólo serían oídas al final de la investigación a través de una "decisión preliminar". Los derechos de las partes serían, por tanto, extremadamente limitados. Este enfoque es propenso a producir un gran número de decisiones inexactas. Al fin y al cabo, las empresas saben mejor que nadie cómo funcionan sus sistemas y los denunciantes saben mejor que nadie cuál es su problema. No está nada claro cómo interactúan estos conceptos con las normas procesales nacionales. El artículo que habría aclarado esto también ha sido suprimido"
procedimientos "rápidos": ¿3 o 33 meses? Una de las últimas cuestiones sin resolver en las actuales negociaciones parecen ser los plazos de los procedimientos. Hasta ahora, las APD informan de una media de unos 8 meses para tomar una decisión. En los Estados miembros que ya cuentan con un plazo de este tipo, la media se sitúa en torno a los 4,5 meses. Por lo tanto, no era irracional que el Parlamento Europeo propusiera un plazo de 3 meses en casos sencillos y de hasta 9 meses en otros casos. Sin embargo, el Consejo habría propuesto un plazo de decisión de hasta 33 meses. Hasta ahora no hay acuerdo sobre si los usuarios pueden presentar una demanda en su país de origen. En su lugar, es posible que tengan que demandar a una APD extranjera en otra jurisdicción de la UE por los retrasos. Esto lo haría prácticamente imposible para la mayoría.
Max Schrems: "Por término medio, las autoridades informan de una duración de unos 8 meses para los procedimientos. Algunas de las propuestas de los Estados miembros son de 33 meses. Sería la primera vez que se podría plantear un retraso ante un Tribunal, que a su vez puede tardar años en decidir sobre una demanda por un retraso. Esto es básicamente un pase libre para que las APD alarguen los procedimientos eternamente..."
Falta de conocimientos procesales. Una razón estructural del cuestionable resultado de este proceso puede haber sido que tanto la Comisión Europea como el Parlamento y el Consejo apenas han tratado legislación sobre Derecho procesal. En la actualidad, el Derecho procesal es competencia de los Estados miembros. Hasta la fecha, la UE no ha promulgado ninguna ley de procedimiento administrativo transnacional relevante. Incluso dentro de los Estados miembros, el Derecho procesal suele ser tratado por juristas expertos en departamentos separados de las universidades y unidades especializadas de los ministerios de justicia nacionales. En general, parece que esta propuesta habría necesitado mucha más preparación e inversión para evitar la situación actual, en la que los legisladores de la UE parecen limitarse a dar patadas a la lata.
Max Schrems: "Hay una clase especial de abogado que se ocupa del Derecho procesal. Este know-how faltaba claramente en este expediente. Es como si mañana me pusiera a practicar la astrofísica: el resultado probablemente no sería beneficioso para la humanidad".
