Desde que la Comisión Europea ha publicado su propuesta Digital Omnibus, se han intensificado los debates sobre la carga de trabajo que el RGPD supone para las empresas en Europa. Entre otras cosas, la Comisión quiere restringir el derecho de acceso, supuestamente para reducir la carga normativa. Pero, ¿reflejan realmente estos cambios las necesidades de los profesionales de la privacidad que trabajan en las empresas? Para saber más, noyb realizó una encuesta en la que preguntaba a los responsables de protección de datos (RPD) qué elementos del RGPD les ocupan la mayor parte de su tiempo, y dónde es mejor emplearlo para garantizar la protección de los datos de las personas.
Resulta que la mayoría de los profesionales no quieren que se recorten las protecciones, sino que se reduzcan las tareas de documentación y el papeleo. En muchos casos, incluso piden leyes más claras en lugar de más "flexibilidad", algo difícil de gestionar para la mayoría de las empresas.
Aportaciones directas de la fuente. El principal argumento de la Comisión Europea para modificar el RGPD es la reducción de la supuesta "carga reglamentaria" para las empresas europeas. Sin embargo, la Comisiónno está recortando trámites administrativos, sino que ha ido directa a los elementos "centrales" de la ley. Entre otras cosas, proponen limitar la definición de datos personales, restringir el derecho de acceso y abrir las compuertas a la formación en IA. Esto nos lleva a preguntarnos: ¿ayudará esto a la empresa media de la UE? ¿Reducirá la carga de trabajo de los responsables internos de la protección de datos (RPD) y demás personal de cumplimiento? noyb realizó una encuesta entre RPD y profesionales de la privacidad para responder exactamente a estas preguntas y conocer las necesidades de las personas que trabajan con el RGPD cada día. Sus respuestas apuntan a menudo en la dirección opuesta alplanteamiento de la Comisión Europea.
Max Schrems, Presidente de noyb: "Este estudio muestra una enorme brecha entre las necesidades de la gente real que trabaja a diario en el cumplimiento de la normativa y los problemas impulsados por la 'burbuja de los grupos de presión de Bruselas'. No estamos ayudando a las empresas normales de la UE: la propuesta de la Comisión a menudo incluso recorta lo que los profesionales consideran útil"."
Derechos de los interesados: Poca carga de trabajo, gran impacto. Curiosamente, la mayoría de los encuestados afirma que el cumplimiento de los derechos de los interesados (artículos 15 a 21) no genera mucho trabajo. Lo más significativo es que más del 70% afirmó que el derecho de acceso (artículo 15) sólo genera "algo", " poco" o incluso nada de trabajo. Al mismo tiempo, se considera una herramienta útil para proteger los derechos de las personas. Esto coincide con la experiencia real de noyb: la mayoría de las empresas apenas reciben solicitudes de acceso (SAR), mientras que empresas concretas (Big Tech, corredores de datos o agencias de crédito) suelen recibir muchas, pero también tienen respuestas SAR automatizadas. Por eso sorprende que la propuesta Digital Omnibus de la Comisión Europea siga sugiriendo una limitación del artículo 15 del RGPD, que dificultaría mucho a los europeos hacer valer sus derechos de privacidad.
Normas básicas: carga de trabajo relevante, grandes beneficios. Como era de esperar, las normas básicas de los artículos 5 a 11 del RGPD (por ejemplo, los principios relativos a la licitud del tratamiento o las condiciones para el consentimiento) generan una carga de trabajo relevante. Sin embargo, los encuestados también clasificaron estas normas como los segundos elementos más útiles de la ley para proteger los derechos de los interesados. Lo mismo ocurre con las obligaciones de transparencia previstas en los artículos 13 y 14, que la Comisión Europea también sugiere limitar.
Simplificación real: Alejarse del enfoque de "talla única". Aunque el "enfoque basado en el riesgo" del RGPD se vio como una forma de limitar la carga de las empresas más pequeñas en una ley de "talla única", los profesionales denuncian exactamente lo contrario. En la práctica, es una queja común que las grandes empresas puedan gestionar textos poco claros y evaluaciones de "riesgo" abiertas a la interpretación, mientras que los responsables del tratamiento más pequeños no tienen los recursos para hacerlo. Los encuestados se muestran claramente a favor de un sistema con umbrales claros para el tamaño de las empresas, que deberían basarse en métricas relevantes como el número de usuarios, no de empleados. A pesar de que muchos de ellos representan a empresas de mayor tamaño (más de 500 empleados), el 70% de los encuestados afirma que es necesario establecer normas más estrictas para las grandes empresas.
Max Schrems: "Durante muchos años, se ha debatido la posibilidad de "escalonar" el RGPD, con empresas de clase A, B o C. Ahora mismo, una pequeña organización sin ánimo de lucro como noyb suele estar sujeta a las mismas normas que Google. En lugar de eso, la Comisión quiere añadir elementos flexibles de 'riesgo' a la ley, lo que significa que la mayoría de las empresas necesitarían un abogado para saber si un artículo se les aplica."
Menos "riesgo", más claridad mediante listas blancas y listas negras. 83.el 3% de los participantes se manifestó a favor de una lista blanca para las actividades de tratamiento, y el 91,1%, a favor de una lista negra para las actividades de tratamiento. Una gran mayoría opina que estas listas ahorrarían "mucho trabajo" a las empresas y crearían más seguridad jurídica. Sorprendentemente, los profesionales de la protección de la intimidad que trabajan para responsables del tratamiento no creen que una "lista negra" (similar al artículo 5 de la Ley de IA) limitaría demasiado a los responsables del tratamiento. Parece que se prefiere la seguridad jurídica a las leyes flexibles.
Reducir los costes de cumplimiento B2B: Sorprendentemente, el GDPR genera una gran cantidad de costes de cumplimiento entre empresas ("B2B") que no están orientadas al usuario. Se redactan y gestionan millones de contratos entre empresas. El mero hecho de que la ley se aplique directamente a proveedores como Cloud Hyperscalers podría reducir millones de horas de trabajo y mejorar realmente la protección de la privacidad. Los responsables de la protección de datos estarían muy a favor de esta simplificación.
Max Schrems: "El Omnibus no sólo va por mal camino para los usuarios, sino también para la mayoría de las empresas. En muchos sentidos estamos ante una propuesta 'floja."
Inicio de un debate más amplio. Las cuestiones planteadas en esta encuesta son sólo el principio de un debate más amplio suscitado por la propuesta de Ómnibus Digital. No obstante, creemos que los cambios del RGPD basados en pruebas podrían ser beneficiosos para todos: responsables del tratamiento, encargados del tratamiento, interesados y autoridades. Esperamos que estos primeros resultados puedan guiarnos hacia soluciones útiles para problemas reales, en lugar de perseguir palabras de moda.
