Según se ha ido filtrando gradualmente en los últimos días por diversos medios de comunicación, la Comisión de la UE ha puesto en marcha en secreto una reforma potencialmente masiva del RGPD. Si los borradores internos se convierten en realidad, esto tendría un impacto significativo en el derecho fundamental de las personas a la privacidad y la protección de datos. La reforma formaría parte del llamado "ómnibus digital", que se suponía que solo aportaría ajustes específicos para simplificar el cumplimiento de la normativa por parte de las empresas. Ahora, la Comisión propone cambios en elementos básicos como la definición de "datos personales" y todos los derechos de los interesados en virtud del RGPD. El borrador filtrado también sugiere dar a las empresas de IA (como Google, Meta u OpenAI) un cheque en blanco para succionar los datos personales de los europeos. Además, se reduciría significativamente la protección especial de datos sensibles como los de salud, opiniones políticas u orientación sexual. También se habilitaría el acceso remoto a datos personales en ordenadores o teléfonos inteligentes sin consentimiento del usuario. Muchos elementos de la reforma prevista anularían la jurisprudencia del TJUE, violarían los convenios europeos y la Carta Europea de Derechos Fundamentales. Si este proyecto extremo se convertirá en la posición oficial de la Comisión Europea, sólo se sabrá el 19 de noviembre, cuando se presente oficialmente el "Ómnibus Digital". Schrems: "Esto supondría una degradación masiva de la privacidad de los europeos diez años después de la adopción del GDPR."
- Cuadro sinóptico del proyecto y comentarios de noyb
- Documento filtrado sobre las posiciones de los Estados miembros (en su mayoría no piden reformas)
- Documento filtrado de Alemania (pide una reforma masiva, pero en gran medida no ahora)
- Texto original filtrado (vía Netzpolitik.org)
- Reportaje original de MLex (paywalled), Reportaje de Reuters y Reportaje de Netzpolitik.org
Ataque secreto "por la vía rápida" al RGPD. La Comisión Europea planea simplificar varias leyes de la UE a través de la llamada reforma "Omnibus", una herramienta que normalmente cambia varios elementos menores de varias leyes horizontalmente, para mejorar la calidad de la ley, y agilizar las obligaciones de papeleo. En contraste con el planteamiento tradicional de la legislación, el ómnibus se hace mediante un procedimiento "acelerado" que se salta varios elementos del proceso, incluidas las evaluaciones de impacto y la concesión de tiempo para que los servicios jurídicos y las unidades pertinentes de las instituciones de la UE den su opinión. Esto es aceptable si sólo se introducen mejoras sencillas y no polémicas.
Sin embargo, como se ha revelado, los servicios de la Comisión Europea bajo la dirección de la Vicepresidenta Ejecutiva Henna Virkkunen (la llamada"DG CONNECT") están trabajando en una reforma masiva del RGPD bajo el epígrafe de supuestas "simplificaciones" o "aclaraciones".
Max Schrems:"El borrador no solo es extremo, sino que está muy mal redactado. No ayuda a las 'pequeñas empresas', como se prometió, sino que vuelve a beneficiar principalmente a las 'grandes tecnológicas'"
El plan original de la Comisión era hacer un llamado "Digital Fitness Check" en 2026, recoger las pruebas necesarias y luego hacer una actualización específica y bien desarrollada del GDPR y otras leyes digitales.
¿La UE "salta" ante las exigencias alemanas o estadounidenses? Tanto las partes interesadas como los Estados miembros han pedido explícitamente que no se reabra el RGPD. En un resumen de las posiciones de los Estados miembros, casi todos los que respondieron dicen que no quieren cambios. Sin embargo, Alemania presionó para que se introdujeran cambios significativos en el RGPD que van más allá del mandato original de esta ley. Parece que la Comisión simplemente "saltó" sobre un documento oficioso alemán que se filtró la semana pasada, dado que muchos cambios en el proyecto parecen ser una copia 1:1 de las demandas en la carta alemana filtrada. Alemania no aportó pruebas de la necesidad de dichas reformas, por lo que no está claro de dónde proceden estas exigencias. Otras voces apuntan a la reciente información de Politico, según la cual el mensaje de Virkkunen a las empresas estadounidenses en reuniones directas fue quela UE revisará sus normas y se volverá más favorable a las empresas.
Max Schrems:"No está claro de dónde viene la presión política. La mayoría de los Estados miembros pedían cambios mínimos y ninguna reapertura. Alemania ha adoptado tradicionalmente una posición contraria al GDPR en Europa. Parece más fácil culpar a una ley de la UE de los problemas alemanes con la digitalización que arreglar las cosas a nivel nacional. No nos sorprende que esta última presión venga de nuevo de Alemania. Hay informes de que también la presión de EE.UU. podría desempeñar un papel"
Leyendo el primer borrador interno, está claro que el daño potencial al GDPR (ver detalles más abajo) sería enorme. Grandes partes del borrador violan los convenios europeos, la Carta de los Derechos Fundamentales o la jurisprudencia reiterada del Tribunal de Justicia. Queda por saber si esto es intencionado o se debe al rápido ritmo de trabajo y a la escasa calidad del borrador resultante. Según fuentes internas de Bruselas, algunas unidades sólo dispusieron de cinco (¡!) días laborables para comentar un proyecto de ley de más de 180 páginas.
Max Schrems: "Una parte de la Comisión de la UE parece intentar pasar por encima de todos los demás en Bruselas, haciendo caso omiso de las normas sobre buena legislación, con resultados potencialmente terribles. Es muy preocupante ver cómo las prácticas legislativas trumpianas se imponen en Bruselas."
¿Visión de túnel en la "carrera de la IA"? Aunque podría haber varias maneras buenas de mejorar y simplificar el GDPR, los cambios propuestos parecen sufrir de "visión de túnel" sobre permitir la formación y el uso de AI - incluso en datos personales. Sin embargo, en un estudio reciente, solo el 7% de los alemanes afirma que quiere que Meta utilice sus datos personales para entrenar la IA. No obstante, la reforma apunta a todos los elementos del GDPR que podrían limitar el uso de la IA.
Max Schrems: "Lo que estos cambios parecen pasar por alto es que la mayor parte del procesamiento de datos no se basa en la IA". El posible cambio que "liberaría" la IA tendría enormes consecuencias imprevistas para muchas otras áreas del GDPR. La protección de los datos sanitarios, de las minorías o de los empleados también moriría en este borrador. Gran parte del negocio de la publicidad online podría eludir las obligaciones del GDPR, debido a los cambios considerados."
Muerte por 1000 cortes. Aunque muchos cambios suenan técnicos, detrás de cada "definición" del GDPR están los derechos de las personas. Los cambios van desde el recorte de lo que incluso se considera "datos personales" y, por tanto, protegidos, hasta la limitación del "derecho de acceso", de modo que empleados, periodistas o investigadores ya no podrían acceder a sus propios datos. Los cambios también permiten un acceso indulgente para "extraer" datos de teléfonos inteligentes, ordenadores personales o dispositivos conectados, o permiten en gran medida a las empresas utilizar datos personales de europeos para el entrenamiento (comercial) de IA. Aunque las empresas suelen argumentar que el RGPD sería una "carga", la realidad es que ni siquiera el 1,3% de todas las denuncias relacionadas con el RGPD acaban en multa. En Irlanda solo se ha pagado hasta ahora el 0,6% de las multas.
Max Schrems:"El borrador cortaría muchos pequeños agujeros en la ley, lo que la haría en general inutilizable para la mayoría de los casos. Con estos cambios, la mayoría de los casos que actualmente ganamos los perderíamos o nos enfrentaríamos a procedimientos aún más complejos"
Básicamente, ningún beneficio para las PYME y las empresas de la UE. La razón oficial de las "aclaraciones" y "simplificaciones" a través del Ómnibus era limitar la carga administrativa de las pequeñas y medianas empresas (PYME) de la UE. noyb apoya plenamente este objetivo. Sin embargo, los cambios propuestos afectan sobre todo a las empresas que se dedican a la formación en IA, es decir, empresas que ahora se valoran en billones (como OpenAI, Google, Meta, Amazon o Microsoft). Aunque hay algunas aclaraciones que podrían beneficiar a las PYME, como las normas sobre cuándo deben realizarse las llamadas "evaluaciones de impacto de la protección de datos", estas no tendrán un mayor impacto en la competitividad europea.
Max Schrems:"Si este borrador es definitivo, está claro que hablar de "pequeña empresa" y "carga administrativa" no es más que una farsa para conseguir el apoyo de la opinión pública. En el fondo, se trata de un intento de desregulación masiva, que echa por tierra 40 años de doctrina europea sobre derechos fundamentales."
Llamamiento para que se detenga urgentemente y se legisle adecuadamente. Dado que esta propuesta está plagada de problemas y además desencadenaría una gran inseguridad jurídica que hará que muchos cambios sean propensos a ataques legales (con éxito) ante el Tribunal de Justicia, este enfoque de "vía rápida" podría no ser útil para nadie, ya sean PYME, autoridades de protección de datos o usuarios. Los primeros indicios procedentes del Parlamento Europeo también ponen de relieve que los cambios de gran alcance frenarían claramente el "Ómnibus" en el Parlamento. Dado que la Comisión pretende aprobar otros elementos del Ómnibus Digital lo antes posible, creemos que no hay otro camino que eliminar del proyecto la mayoría de los cambios del RGPD.
Max Schrems: "Disparar un 'tiro rápido' mal redactado en un área altamente compleja y sensible no solo perjudicará a los usuarios, sino que tampoco ayudará a las empresas de la UE. También pone en entredicho que este ómnibus pueda pasar rápidamente por el Parlamento Europeo y el Consejo. La Comisión aún tiene una semana para decidir qué incluirá en la propuesta final"
Resumen de los cambios
El proyecto de Ómnibus Digital propone innumerables cambios en muchos artículos diferentes del RGPD. En combinación, esto equivale a una "muerte por 1000 cortes". Hemos hecho un resumen general de algunos de los cambios clave. Para un análisis jurídico más detallado, descargue nuestro PDF de resumen aquí. Todos los cambios enumerados a continuación se basan en nuestro mejor esfuerzo por comprender los borradores internos de la Comisión. Algunos elementos son poco claros y contradictorios en el proyecto de texto y de tan mala calidad, que el verdadero significado y la intención de los textos no siempre están claros.
(1) ¿Una nueva laguna jurídica del RGPD a través de "seudónimos" o "identificaciones"? Parece que la Comisión tiene previsto reducir considerablemente la definición de "datos personales", lo que provocaría que el RGPD no se aplicara en muchos casos. El plan es añadir un "enfoque subjetivo" en el texto del RGPD. Esto significaría que si una empresa específica no puede identificar a una persona, los datos no son "personales" para esa empresa - y el GDPR deja de aplicarse.
Además, el borrador hace referencia a las herramientas de identificación que probablemente utilizará cada responsable del tratamiento específico. Esto requeriría más investigaciones y predicciones sobre el funcionamiento interno y las acciones futuras de una empresa específica para saber si una persona sigue disfrutando de sus derechos en virtud del GDPR. En la práctica, esto hace que el RGPD ya casi no sea aplicable y daría lugar a interminables debates y peleas sobre las verdaderas intenciones y planes de una empresa.
Al menos, el proyecto puede interpretarse en el sentido de que abandona la noción de que las técnicas para "singularizar" a una persona siguen estando cubiertas por la ley. En su lugar, la redacción del borrador insinúa una exención general del RGPD si los responsables del tratamiento se limitan a utilizar "seudónimos" (como "usuario12473" o los datos de una cookie de seguimiento) en lugar de nombres. Esto significaría que sectores enteros de la industria que hasta ahora están cubiertos por el RGPD y operan a través de "seudónimos" o números de identificación aleatorios ya no estarían cubiertos (totalmente). Esto podría aplicarse a casi todo el seguimiento en línea, la publicidad en línea y la mayoría de los corredores de datos.
Este cambio también se apartaría masivamente de la interpretación bastante amplia del Tribunal de Justicia (TJUE). Existe jurisprudencia desde hace más de 20 años que apoya una interpretación amplia de lo que constituyen "datos personales".
Dado que el término "datos personales" procede del artículo 8 de la Carta, es muy probable que un cambio tan profundo no sobreviviera al escrutinio del TJUE.
(2) El derecho de acceso, supresión o rectificación obtiene la "limitación de los fines". Un cambio masivo (a petición de Alemania) es limitar el uso de los derechos de los interesados (como el acceso a los datos, la rectificación o la supresión) únicamente a "fines de protección de datos". A la inversa, esto significa que si un empleado utiliza una solicitud de acceso en un conflicto laboral por horas no pagadas -por ejemplo, para obtener un registro de las horas que ha trabajado- el empresario podría rechazarla por "abusiva". Lo mismo ocurriría con periodistas o investigadores.
En una lectura amplia, esto podría ir aún más lejos. Si una persona pide que se borren datos falsos de su clasificación crediticia para obtener un préstamo más barato en el banco, ese "derecho de rectificación" sobre información financiera falsa podría no ejercerse únicamente con un "fin de protección de datos", sino por interés económico. Incluso casos como el famoso "derecho al olvido" pueden no considerarse un "interés de protección de datos" si la persona que exige la supresión de datos públicos lo hace por un interés comercial.
Esta idea supone una clara violación de la jurisprudencia del TJUE y del apartado 2 del artículo 8 de la Carta. El derecho a la autodeterminación informativa está explícitamente destinado a nivelar la brecha informativa entre los usuarios y las empresas que poseen la información, ya que cada vez se oculta más información en los servidores de las empresas (por ejemplo, copia de las hojas de asistencia). El TJUE ha sostenido en múltiples ocasiones que los europeos pueden ejercer estos derechos para cualquier fin, incluidos los litigios o la generación de pruebas.
El GDPR ya tiene limitaciones para el uso "abusivo" de los derechos GDPR (como la denegación de acceso a los datos o el pago de una tasa), pero ahora la Comisión también quiere limitar las razones por las que se pueden ejercer estos derechos.
(3) Google, Meta y OpenAI ya pueden entrenar IA con tus datos. El proyecto de la Comisión también prevé cambios en el artículo 6, apartado 1, y en el artículo 9, apartado 2, del RGPD para permitir el tratamiento de datos personales para la IA. Esto significa que una tecnología de alto riesgo, alimentada por los pensamientos más personales y los datos más sensibles de la gente, obtiene un "OK" general bajo el GDPR. Al mismo tiempo, toda base de datos tradicional o cámara de circuito cerrado de televisión sigue estando estrictamente regulada.
El proyecto de la Comisión destaca la necesidad de "minimizar los datos" (un principio que ya se aplica en virtud del artículo 5, apartado 1, letra b) del RGPD) y exige que se establezcan "salvaguardias" indefinidas. Sin embargo, no hay parámetros ni normas técnicas para dichas "salvaguardias". La única supuesta protección específica es el "derecho de oposición". Pero esta idea está abocada al fracaso en la mayoría de los casos:
- Significaría que los usuarios de la UE primero tendrían que ser informados de que sus datos se utilizan realmente para el entrenamiento de IA, lo que es en gran medida imposible. Las empresas como OpenAI no tienen ni idea de qué datos personales pertenecen a quién, ni mucho menos de qué datos de contacto disponen. Por lo tanto, la gente nunca se enterará de que sus datos personales se utilizan en primer lugar
- Si la gente se entera de todos modos, tendría que oponerse constantemente a todas estas empresas. Esto significa encontrar cientos de responsables del tratamiento, rellenar formularios y repetir el ejercicio para cada uno de los que realizan el entrenamiento de IA individualmente
- Por último, la objeción y los datos pertinentes tendrían que ser "cotejados", a pesar de que los usuarios no saben si sus datos se utilizan en absoluto - y si es así, qué datos se utilizan. A su vez, el responsable del tratamiento será en la mayoría de los casos incapaz de ejecutar una objeción cuando se rastree todo Internet.
Conclusión: Google, Meta, Microsoft u OpenAI pueden seguir ganando miles de millones (¡!) con datos generados por empresas, artistas o particulares europeos, mientras el legislador europeo les da vía libre.
(4) ¿El funcionamiento de los sistemas de IA obtiene un "comodín del RGPD"? Los cambios en el artículo 6, apartado 1, y en el artículo 9, apartado 2, del RGPD van incluso más allá de lo esperado. No sólo se privilegiaría el desarrollo de sistemas de IA, sino también el funcionamiento de un sistema de IA. El término "funcionamiento" no está definido, pero probablemente abarcará cualquier tipo de tratamiento de datos.
Esto llevaría a una situación grotesca: Si los datos personales se procesan a través de una base de datos tradicional, una hoja de Excel o un programa informático, una empresa tiene que encontrar una base jurídica en virtud del artículo 6, apartado 1, del RGPD. Sin embargo, si el mismo tratamiento se realiza a través de un sistema de inteligencia artificial, puede considerarse un "interés legítimo" en virtud del artículo 6, apartado 1, letra f) del RGPD. Esto privilegiaría una tecnología (de riesgo) sobre todas las demás formas de tratamiento de datos y sería contrario al enfoque "tecnológicamente neutro" del RGPD.
(5) ¿Los datos sensibles como la salud, la política o la vida sexual sólo están cubiertos si se "revelan directamente"? El artículo 9 del RGPD protege específicamente los datos "sensibles" relativos a la salud, las convicciones políticas, la vida sexual, la orientación sexual o la afiliación sindical de las personas. Hasta ahora, el TJUE sostenía que esa información también está protegida si solo puede deducirse de otra información. La Comisión trata ahora de anular la ley y quiere limitar las protecciones del artículo 9 sólo si esa información sensible se "revela directamente".
Sin embargo, las personas que "revelan directamente" que están embarazadas, tienen cáncer o son homosexuales suelen necesitar esta protección menos que las personas sobre las que dicha información sensible sólo puede "deducirse" de otra información. Un ejemplo clásico son los empresarios que utilizan "big data" para deducir que una mujer está embarazada y despedirla rápidamente para evitar el pago de indemnizaciones sociales o similares. Ahora mismo, esto entraría dentro del artículo 9 del GDPR. En el futuro, se reduciría a la protección del artículo 6 del RGPD, mientras que si una persona anunciara públicamente su embarazo entraría en el ámbito de aplicación del artículo 9 del RGPD.
Desde la perspectiva de las personas, esta limitación no tiene sentido, pero la Comisión parece estar preocupada principalmente por las empresas que quieren utilizar estos datos para el entrenamiento de inteligencia artificial. Filtrar por "estoy embarazada" es más fácil que filtrar las 1000 señales que permiten a Meta o Google averiguar que una persona está embarazada.
Este cambio violaría el artículo 6 del Convenio 108 del Consejo de Europa, que utiliza la redacción actual del GDPR ("revelar") y fue ratificado por 55 países.
(6) ¿Sacar datos personales de su dispositivo? Hasta ahora, el artículo 5.3 de ePrivacy protegía a los usuarios contra el acceso remoto a datos almacenados en "equipos terminales", como ordenadores o teléfonos inteligentes. Esto se basa en el derecho a la protección de las comunicaciones del artículo 7 de la Carta y garantiza que las empresas no puedan "buscar a distancia" en los dispositivos.
Sin embargo, la propuesta de la Comisión permite ahora -según la lectura del borrador- hasta 10 (!) fundamentos jurídicos para extraer información de un dispositivo personal -o colocar tecnología de rastreo en su dispositivo (como las "cookies"). Las cuatro operaciones de tratamiento "en lista blanca" para el acceso a equipos terminales incluirían ahora "estadísticas agregadas" y "fines de seguridad". Aunque la dirección general de los cambios es comprensible, la redacción es extremadamente permisiva y permitiría también "búsquedas" excesivas en los dispositivos de los usuarios con (minúsculos) fines de seguridad.
Además, estarían disponibles todas las bases jurídicas del artículo 6, apartado 1, del RGPD. En combinación, esto podría llevar a resultados absurdos: El entrenamiento de IA sería un "interés legítimo", y las empresas ahora pueden acceder de forma remota a los datos personales de su dispositivo para tal "interés legítimo". En consecuencia, una posible lectura de la ley sería que empresas como Google pueden utilizar datos de cualquier aplicación de Android para entrenar su IA Gemini. Especialmente las empresas de "Big Tech" tendrían muy probablemente una lectura aún más expansiva del proyecto de texto. Es cuestionable que los autores de este proyecto de ley hayan pensado alguna vez en estas combinaciones.
