El pasado martes, día 4 de julio, la Comisión Europea ha propuesto una nueva legislación para racionalizar la cooperación entre las autoridades de protección de datos a la hora de aplicar el Reglamento general de protección de datos (RGPD) en asuntos transfronterizos. Dicha normativa está previsto que se apruebe en las próximas semanas.
El nuevo Reglamento establecerá normas concretas de procedimiento para las autoridades a la hora de aplicar el RGPD en asuntos que afecten a personas situadas en más de un Estado miembro. Por ejemplo, introducirá la obligación de que la autoridad de protección de datos principal envíe un «resumen de cuestiones fundamentales» a sus homólogas interesadas, en el que figuren los elementos principales de la investigación y sus puntos de vista sobre el asunto, de manera que puedan aportar su dictamen ya en una fase temprana. La propuesta contribuirá así a reducir los desacuerdos y a facilitar el consenso entre las autoridades ya en las etapas iniciales del proceso.
Para los particulares, las nuevas normas aclararán lo que deben aportar al presentar una denuncia y garantizarán su adecuada participación en el proceso.
Para las empresas, las nuevas normas aclararán sus derechos procesales cuando una autoridad de protección de datos investigue una posible infracción del RGPD. Por lo tanto, las normas permitirán una resolución más rápida de los asuntos, lo que significa vías de recurso más rápidas para los particulares y una mayor seguridad jurídica para las empresas.
Para las autoridades de protección de datos, las nuevas normas facilitarán la cooperación y mejorarán la eficacia de la ejecución.
Armonización de las normas procesales en los asuntos transfronterizos
El nuevo Reglamento establece normas detalladas para sostener el correcto funcionamiento del mecanismo de cooperación y coherencia establecido por el RGPD mediante la armonización de las normas en los ámbitos siguientes:
- Derechos de los denunciantes: La propuesta armoniza los requisitos necesarios para que una denuncia transfronteriza sea admisible, eliminando los obstáculos que plantea actualmente el hecho de que las autoridades de protección de datos se atengan a normas diferentes. Establece los derechos comunes de los denunciantes a ser oídos en los casos en que sus denuncias hayan sido total o parcialmente desestimadas. En los casos en que se investigue una denuncia, la propuesta especifica las normas para que participen de forma adecuada.
- Derechos de las partes investigadas (responsables y encargados del tratamiento): La propuesta otorga a las partes investigadas el derecho a ser oídas en las principales fases del procedimiento, también durante la resolución de litigios por parte del Comité Europeo de Protección de Datos (CEPD), y aclara el contenido del expediente administrativo y los derechos de acceso de las partes al expediente.
- Racionalización de la cooperación y la resolución de litigios: Con arreglo a la propuesta, las autoridades de protección de datos podrán expresar sus puntos de vista en una fase temprana de las investigaciones y emplear todos los instrumentos de cooperación previstos en el RGPD, tales como las investigaciones conjuntas y la asistencia mutua. Estas disposiciones reforzarán la influencia de las autoridades de protección de datos en los asuntos transfronterizos, facilitarán que se alcance tempranamente un consenso en la investigación y reducirán los desacuerdos posteriores. La propuesta especifica normas detalladas para facilitar la rápida finalización del mecanismo de resolución de litigios del RGPD y establece plazos comunes para la cooperación transfronteriza y la resolución de litigios.
La armonización de estos aspectos procedimentales contribuirá a la finalización oportuna de las investigaciones y a que los particulares dispongan de vías de recurso rápidamente.
Como hemos visto, el RGPD funciona. El Reglamento de la Comisión no afecta a ningún elemento sustancial del RGPD, tales como los derechos de los interesados, las obligaciones de los responsables y encargados del tratamiento o los motivos legales para el tratamiento de datos personales establecidos en el RGPD. Desde la entrada en vigor del RGPD, se han abierto más de dos mil asuntos de ventanilla única en el registro de asuntos del CEPD, y se han adoptado 711 decisiones definitivas. En algunos casos, se han impuesto multas de cientos de millones de euros. El próximo informe sobre la aplicación del RGPD está previsto en 2024.
Son las autoridades de protección de datos nacionales independientes y los órganos jurisdiccionales nacionales los que velan por el cumplimiento del RGPD. En los casos en que el tratamiento tiene lugar o afecta sustancialmente a interesados de más de un Estado miembro, se aplica el sistema de ventanilla única del RGPD. Esto significa que la autoridad de protección de datos en la que esté establecida la entidad investigada lleva a cabo la investigación en cooperación con otras autoridades de protección de datos interesadas. En virtud del RGPD, las autoridades de protección de datos cooperan para tratar de alcanzar un consenso sobre la aplicación del RGPD en asuntos transfronterizos. Cuando no logran alcanzar un consenso, el RGPD prevé la resolución de litigios por parte del Comité Europeo de Protección de Datos (CEPD).
Al hacer cumplir el RGPD, las autoridades de protección de datos aplican las normas procesales nacionales. En su informe de 2020 sobre la aplicación del RGPD, la Comisión señaló que las diferencias de procedimiento de las autoridades de protección de datos obstaculizan el funcionamiento fluido y eficaz de los mecanismos de cooperación y resolución de litigios del RGPD. En octubre de 2022, el CEPD envió a la Comisión una «lista de deseos» con propuestas para racionalizar y mejorar algunos aspectos procedimentales a fin de reforzar la cooperación y contribuir a ofrecer una solución más rápida para los interesados.
La propuesta presentada tiene en cuenta las sugerencias de partes interesadas muy diversas, por ejemplo, el CEPD, representantes de la sociedad civil, empresas, mundo académico y profesionales del Derecho, además de los Estados miembros. Entre febrero y marzo de 2023, la Comisión publicó una convocatoria de datos que recibió observaciones de partes interesadas variadas como, por ejemplo, de la sociedad civil y asociaciones profesionales. La Comisión también ha celebrado reuniones bilaterales sobre la propuesta, previa solicitud, con representantes de la sociedad civil, autoridades nacionales y organizaciones representativas del sector.
Otros artículos que hemos publicado sobre el RGPD, puede consultarlos aquí: hemeroteca RGPD.