Poco más de dos años después de su plena aplicación, la Comisión Europea ha publicado un informe de evaluación sobre el Reglamento Europeo de Protección de Datos (GDPR). El informe muestra cómo el GDPR ha logrado la mayoría de sus objetivos, en particular garantizando a los ciudadanos de la UE un conjunto sólido de derechos y creando un nuevo sistema de gobernanza europeo. El GPDR también ha demostrado ser flexible en el apoyo a soluciones digitales en circunstancias imprevistas como la crisis causada por el Covid-19.
El documento de la Comisión señala también que la armonización de la legislación nacional ha aumentado gracias al GDPR, aunque todavía existe cierta fragmentación en algunos ámbitos (por ejemplo, en términos de equilibrio entre la libertad de expresión y protección de datos, o en la salud) que requiere un seguimiento constante. También existe una cultura de «responsabilidad» entre las empresas y la idea de que las medidas para proteger los datos personales pueden ser una ventaja competitiva.
El informe también propone una lista de acciones en las que participan diferentes partes interesadas (Comisión, Estados miembros, Autoridad de Protección de Datos, entidades públicas y privadas) para facilitar aún más la aplicación del GDPR, en particular en lo que respecta a las pequeñas y medianas empresas. Los objetivos finales establecidos por la Comisión son reducir la fragmentación normativa (se invita a los Estados miembros a desempeñar su papel en esto, y la Comisión tiene la intención de supervisar estas cuestiones cuidadosamente), así como seguir promoviendo y desarrollando una cultura europea de protección de datos y una aplicación estricta de las normas. Todo ello requiere apoyo interpretativo, y no sólo a las autoridades de protección de datos, sino también una mayor y más fuerte cooperación entre las autoridades, a las que se invita a hacer pleno uso de las herramientas que les pone a su disposición el Reglamento.
Estos son, en resumen, algunos de los principales aspectos de la revisión del Reglamento de la UE.
Según la Comisión, el Reglamento mejora la transparencia y aumenta la concienciación sobre los derechos de que gozan las personas en la UE (derecho de acceso, ajuste, supresión, derecho de oposición y derecho a la portabilidad de los datos). Las normas de protección de datos han demostrado ser adecuadas para la era digital: el GPDR ha promovido la participación activa y consciente de las personas en la transición digital y fomenta una innovación fiable: en particular a través de un enfoque basado en el riesgo y principios como la protección de datos por diseño y por defecto (privacidad por diseño y privacidad por defecto).
Las autoridades de protección de datos están utilizando los poderes correctivos más fuertes proporcionados por el GDPR, las advertencias y las advertencias a las sanciones financieras. Sin embargo, subraya la Comisión, deben recibir un apoyo adecuado con los recursos humanos, técnicos y financieros necesarios. Si bien en general, entre 2016 y 2019 hubo un aumento del 42 % en el personal y del 49 % del presupuesto para todas las autoridades nacionales de privacidad de la UE, sigue habiendo diferencias significativas entre los Estados miembros.
Hay margen de mejora en el sistema europeo de gobernanza de la protección de datos, en particular en lo que respecta al funcionamiento del denominado mecanismo de «ventanilla única», en el que una empresa que realiza el tratamiento transfronterizo de datos sólo tiene una autoridad de protección de datos como interlocutor, a saber, la Autoridad del Estado miembro en el que se encuentra su planta principal.
Entre el 25 de mayo de 2018 y el 31 de diciembre de 2019, 141 proyectos de decisión relativos a las reclamaciones transfronterizas se presentaron a través de la «tienda única», 79 de las cuales dieron lugar a decisiones definitivas. El EDPB (Comité Europeo de Protección de Datos compuesto por representantes de todos los Garantes Europeos) también está trabajando en estas cuestiones de gobernanza, elaborando directrices específicas que también abordan la interpretación y aplicación de aspectos clave del Reglamento y las cuestiones emergentes.
Por lo que se refiere a la dimensión internacional, la Comisión tiene la intención de trabajar con el Edpb para modernizar algunos mecanismos para la transferencia de datos personales fuera de la UE, incluidas las cláusulas contractuales tipo, que son el instrumento más utilizado para dichas transferencias, incluso a la luz de la evolución de la jurisprudencia del Tribunal de Justicia.
Por último, la Comisión hace hincapié en la necesidad de proseguir las negociaciones internacionales para evaluar la adecuación de las normas europeas en los países no pertenecientes a la UE y explorar la utilización de instrumentos como los acuerdos internacionales de asistencia mutua para hacer más eficaz la aplicación del Reglamento en estos ámbitos.
FUENTE: FEDERPRIVACY