Las negociaciones a tres bandas de la UE para un Reglamento de procedimiento que debería armonizar y acelerar la aplicación del Reglamento General de Protección de Datos (RGPD) tendrán probablemente la última reunión este miércoles (21 de mayo). Sin embargo, la propuesta corre el riesgo de socavar la aplicación del RGPD al introducir plazos excesivamente largos y procedimientos demasiado complejos. A pesar de contar con un negociador principal del Partido Verde para el Parlamento Europeo, la propuesta también discrimina estructuralmente al usuario y da un trato preferente a las grandes tecnológicas, al tiempo que cede sistemáticamente en las posiciones del Parlamento. El Reglamento propuesto no sólo amenaza con paralizar la aplicación de la legislación, sino que también puede constituir una violación de elementos fundamentales del derecho a un procedimiento justo y a una buena administración. En consecuencia, noyb está estudiando las opciones para iniciar un procedimiento de anulación si el Reglamento se aprueba en su forma actual.
- Comparación de la propuesta de la Comisión y las enmiendas del Parlamento y el Consejo
- Artículo de fondo que incluye una visión general de los pasos procedimentales propuestos tras las primeras negociaciones a tres bandas
Una de las grandes promesas del nuevo reglamento de procedimiento del RGPD era acelerar los procedimientos. Sin embargo, el Reglamento no sólo es extremadamente complicado, sino que también puede dar lugar a procedimientos más largos. Mientras que el Parlamento Europeo preveía inicialmente plazos globales de tan solo 3 meses, los plazos acordados para solo algunas fases del procedimiento (fase de planificación, derecho a ser oído y fase de decisión) ascienden ya a más de un año. Los negociadores aún tienen que decidir la duración de la parte principal del procedimiento: la investigación. Esto significa que probablemente acabemos con plazos de más de dos años. Además, el propio reglamento se retrasará mucho, ya que el periodo de transición está fijado en 18 meses a partir de la publicación del reglamento, es decir, en torno a finales de 2026 o principios de 2027. Si se suma todo esto, es probable que el primer caso de RGPD que pueda toparse con una fecha límite se sitúe en torno a 2029.
Max Schrems:"Por lo que hemos oído, no hay un acuerdo definitivo sobre los plazos. Sin embargo, los plazos que ya se han acordado ascienden a 7 meses solo para planificar un procedimiento del RGPD y 4 meses para dictar una resolución. Teniendo en cuenta que también debe haber una investigación, es probable que hablemos de 2-3 años para una decisión. En un principio, el Parlamento Europeo pidió plazos tan cortos como 3 meses. Muchos Estados miembros tienen plazos de 3 a 6 meses"
En contradicción con la agenda de "simplificación" de la UE. En lugar de simplificar y agilizar los procedimientos, el nuevo reglamento hace exactamente lo contrario: se añaden muchos pasos adicionales en el procedimiento, muchos documentos deben emitirse en dos o tres versiones para otras autoridades y partes diferentes. En lugar de tener un sistema digital central con todos los documentos, el sistema sólo contendrá un pequeño número de documentos, mientras que la mayoría de los expedientes se almacenarán y distribuirán entre las más de 40 Autoridades de Protección de Datos de la UE y deberán intercambiarse manualmente. Todo ello costará decenas de miles de horas de trabajo, lo que probablemente supondrá millones de euros de costes innecesarios en todos los Estados miembros.
Max Schrems:"Este Reglamento añade toneladas de pasos y papeleo adicionales a los procedimientos existentes. Las autoridades y las empresas tendrán más trabajo con los procedimientos del RGPD, no menos. Esto aumenta los costes de cumplimiento y sobrecarga a las autoridades, sin ningún beneficio para los usuarios o las empresas. Esto es exactamente lo contrario de lo que promete la simplificación de la UE"
Discriminación estructural de los usuarios frente a las empresas. En general, el Reglamento también discrimina estructuralmente a los usuarios. En un sinfín de pequeñas diferencias, el reglamento facilita mucho más a las empresas la defensa de sus intereses que a los usuarios la defensa de su derecho a la protección de datos. Por ejemplo: las empresas pueden conseguir todos los documentos a nivel local con su autoridad principal, los usuarios tienen que conseguir que se les envíen los documentos desde el extranjero, sin ninguna forma realista de averiguar siquiera que los documentos existen o de tomar medidas si no se proporcionan los documentos. Las empresas tienen "derecho a ser oídas", mientras que los usuarios sólo tienen la "oportunidad de dar a conocer su opinión". Mientras que las empresas pueden (en ciertas jurisdicciones) tener derecho a una audiencia oral, en la que pueden discutir con una autoridad, los usuarios sólo tienen la opción de enviar una declaración por escrito. Muchos elementos del procedimiento se rigen por la legislación del Estado miembro donde reside la empresa, no donde tiene su sede el usuario.
Max Schrems: "Todo el reglamento se inclina en contra de los usuarios. En casi todos los artículos se prefiere a las empresas y se discrimina a los usuarios. No existe en absoluto 'igualdad de armas' en este procedimiento. Mientras que la legislación de la UE suele proteger a la parte más débil, este reglamento la discrimina"
El PE se "vendió" a la Comisión y al Consejo. Aunque el proyecto de la Comisión fue ampliamente criticado por muchas partes, el Parlamento Europeo emprendió un importante ejercicio de reformulación. Aunque no eran perfectos, el Parlamento había subsanado los principales problemas estructurales de la propuesta de la Comisión. Sin embargo, en las negociaciones entre la Comisión, los Estados miembros de la UE y el Parlamento, éste renunció básicamente a casi todas estas posiciones. Se eliminaron casi todas las disposiciones relativas a los derechos de los usuarios, los plazos cortos o los procedimientos transparentes. Se eliminó cualquier opción de hacer cumplir de forma realista las nuevas normas a las Autoridades de Protección de Datos que no las cumplieran.
Max Schrems:"El Parlamento Europeo ha vendido totalmente sus posiciones fundamentales. Apenas quedan vestigios de su versión original. Esto es muy extraño, teniendo en cuenta que el principal negociador del Parlamento es miembro del Partido Pirata y miembro del Grupo de los Verdes - supuestamente feroces luchadores por los derechos de los usuarios. Durante las negociaciones de los últimos meses, tuvimos la sensación general de que a nadie le importaba este expediente. El resultado lo refleja absolutamente"
noyb considera los procedimientos de anulación. La legislación de la UE debe cumplir los principios básicos consagrados en la Carta de los Derechos Fundamentales de la UE. Entre ellos figuran el derecho a una buena administración (artículo 41), el derecho a un procedimiento justo en un plazo razonable (artículo 47) o la igualdad de trato ante la ley (artículo 20). Además, la UE también debe garantizar que el Derecho Fundamental a la Protección de Datos, recogido en el artículo 8 de la Carta, pueda ser efectivamente exigido por los usuarios. El nuevo Reglamento parece incumplir estructuralmente estos requisitos. Cualquiera que se vea directamente afectado puede interponer un procedimiento de anulación ante los tribunales de la UE para que se declare nulo el Reglamento, ya sea en su totalidad o en grandes partes. noyb está estudiando actualmente las opciones para interponer tales recursos.
Max Schrems:"El Reglamento es tan estructuralmente defectuoso que el Tribunal de Justicia podría tener que anularlo. El proyecto actual viola probablemente la Carta de múltiples maneras en lo que se refiere al acceso a las pruebas, la equidad, la igualdad de armas y la decisión a tiempo. En teoría, el reglamento podría anularse antes de ser aplicable"
*Nota: En una versión anterior de este post se mencionaban 33 meses, ya que añadimos incorrectamente un periodo de 15 y 18 meses, que de hecho transcurren en paralelo.
