El Reglament General de Protecció de Dades compleix gairebé una dècada des de la seva aprovació pel Parlament Europeu el 14 d'abril de 2016, amb un balanç marcat per més control ciutadà sobre la informació personal, un marc sancionador més dur i nous reptes per la coexistència amb altres normes digitals de la Unió Europea.
La norma europea va reforçar la transparència i la seguretat de les dades personals, a més de consolidar eines que avui formen part del dia a dia d'empreses, administracions i usuaris. Entre aquestes figura el dret a l'oblit, que permet sol·licitar l'eliminació o supressió d'informació personal a Internet, i el dret a no ser objecte de decisions automatitzades basades únicament en tractaments de dades.
"La transparència i la seguretat de les dades personals van millorar i van atorgar un major control als ciutadans sobre les seves pròpies dades" - Andrea López Francos, directora d'Assessoria Jurídica Corporativa d'ARAG
Més obligacions per a empreses i més capacitat de control per als ciutadans
El RGPD va introduir obligacions concretes per a les companyies i entitats que gestionen informació personal. Les empreses han de disposar d'un registre intern de les activitats de tractament i, en cas d'incident, les bretxes de seguretat s'han de comunicar en un termini de 72 hores. La norma també va regular la figura del delegat de Protecció de Dades, convertida en una peça central en la supervisió del compliment.
Juntament amb això, el reglament va endurir el règim sancionador en elevar l'import econòmic de les multes per incompliment. Aquest reforç ha estat un dels elements més rellevants del canvi normatiu impulsat per Brussel·les.
Un model amb influència fora de la Unió Europea
L'impacte del reglament no s'ha limitat a l'espai comunitari. La normativa europea ha servit de referència per a lleis aprovades al Brasil, Xile, el Perú i en alguns estats dels Estats Units, cosa que consolida el seu pes com a estàndard internacional en matèria de privadesa i protecció de dades.
Persisteixen diferències d'aplicació entre països
Malgrat aquest objectiu harmonitzador, l'aplicació pràctica del RGPD continua generant friccions dins de la mateixa Unió Europea. Andrea López Francos adverteix d'una interpretació i aplicació desigual per part de les agències nacionals de supervisió, una situació que dificulta la uniformitat que perseguia el text europeu.
"La diferent interpretació i aplicació de les disposicions del RGPD per part de les agències de supervisió nacionals dels Estats membres malgrat que un dels principals objectius del RGPD fos el d'harmonitzar el marc jurídic europeu en matèria de protecció de dades personals" - Andrea López Francos, directora d'Assessoria Jurídica Corporativa d'ARAG
A aquesta disparitat s'hi suma la manca d'alineació amb altres normes recents, com el Reglament de Resiliència Operativa Digital, la Llei de Serveis Digitals, el Reglament d'IA o el Data Act. Aquest encaix incomplet està provocant inseguretat jurídica en un entorn regulador cada vegada més ampli.
La UE estudia simplificar el marc sense rebaixar garanties
En aquest context, la Comissió Europea va presentar el novembre de l'any passat la proposta Òmnibus Digital, plantejada per simplificar i cohesionar la regulació. El debat, tanmateix, gira entorn de com ordenar aquest entramat normatiu sense debilitar la protecció dels drets fonamentals vinculats a la privadesa.
"Per aquest motiu, la UE no pot arriscar-se que una simplificació normativa, tot i que molt necessària, pugui comprometre el marc legal de les garanties que constitueixen la base del model europeu de protecció de dades personals" - Andrea A. López Francos
La discussió sobre l'evolució del RGPD es manté oberta en un moment en què la digitalització accelera nous usos de les dades i multiplica els marcs legals. La clau, sosté Andrea A. López Francos, estarà a preservar l'equilibri entre l'actualització normativa i els drets dels ciutadans.
"Per tant, qualsevol modificació normativa, haurà d'anar acompanyada d'un adequat equilibri amb els drets i llibertats fonamentals dels ciutadans" - Andrea A. López Francos
Aquest equilibri és, avui dia, el principal repte d'una norma que va canviar la relació entre ciutadans, empreses i institucions amb les dades personals i que continua sent una de les bases del model europeu de protecció digital.