El Reglamento General de Protección de Datos cumple casi una década desde su aprobación por el Parlamento Europeo el 14 de abril de 2016, con un balance marcado por más control ciudadano sobre la información personal, un marco sancionador más duro y nuevos retos por la coexistencia con otras normas digitales de la Unión Europea.
La norma europea reforzó la transparencia y la seguridad de los datos personales, además de consolidar herramientas que hoy forman parte del día a día de empresas, administraciones y usuarios. Entre ellas figura el derecho al olvido, que permite solicitar la eliminación o supresión de información personal en Internet, y el derecho a no ser objeto de decisiones automatizadas basadas únicamente en tratamientos de datos.
"La transparencia y la seguridad de los datos personales mejoraron y otorgaron un mayor control a los ciudadanos sobre sus propios datos" - Andrea López Francos, directora de Asesoría Jurídica Corporativa de ARAG
Más obligaciones para empresas y más capacidad de control para los ciudadanos
El RGPD introdujo obligaciones concretas para las compañías y entidades que manejan información personal. Las empresas deben disponer de un registro interno de las actividades de tratamiento y, en caso de incidente, las brechas de seguridad deben comunicarse en un plazo de 72 horas. La norma también reguló la figura del delegado de Protección de Datos, convertida en una pieza central en la supervisión del cumplimiento.
Junto a ello, el reglamento endureció el régimen sancionador al elevar el importe económico de las multas por incumplimiento. Ese refuerzo ha sido uno de los elementos más relevantes del cambio normativo impulsado por Bruselas.
Un modelo con influencia fuera de la Unión Europea
El impacto del reglamento no se ha limitado al espacio comunitario. La normativa europea ha servido de referencia para leyes aprobadas en Brasil, Chile, Perú y en algunos estados de Estados Unidos, lo que consolida su peso como estándar internacional en materia de privacidad y protección de datos.
Persisten diferencias de aplicación entre países
Pese a ese objetivo armonizador, la aplicación práctica del RGPD sigue generando fricciones dentro de la propia Unión Europea. Andrea López Francos advierte de una interpretación y aplicación desigual por parte de las agencias nacionales de supervisión, una situación que dificulta la uniformidad que perseguía el texto europeo.
"La distinta interpretación y aplicación de las disposiciones del RGPD por parte de las agencias de supervisión nacionales de los Estados miembros a pesar de que uno de los principales objetivos del RGPD fuera el de armonizar el marco jurídico europeo en materia de protección de datos personales" - Andrea López Francos, directora de Asesoría Jurídica Corporativa de ARAG
A esa disparidad se suma la falta de alineación con otras normas recientes, como el Reglamento de Resiliencia Operativa Digital, la Ley de Servicios Digitales, el Reglamento de IA o el Data Act. Ese encaje incompleto está provocando inseguridad jurídica en un entorno regulatorio cada vez más amplio.
La UE estudia simplificar el marco sin rebajar garantías
En ese contexto, la Comisión Europea presentó en noviembre del año pasado la propuesta Ómnibus Digital, planteada para simplificar y cohesionar la regulación. El debate, sin embargo, gira en torno a cómo ordenar ese entramado normativo sin debilitar la protección de los derechos fundamentales vinculados a la privacidad.
"Por ese motivo, la UE no puede arriesgarse a que una simplificación normativa, aunque muy necesaria, pueda comprometer el marco legal de las garantías que constituyen la base del modelo europeo de protección de datos personales" - Andrea A. López Francos
La discusión sobre la evolución del RGPD se mantiene abierta en un momento en que la digitalización acelera nuevos usos de los datos y multiplica los marcos legales. La clave, sostiene Andrea A. López Francos, estará en preservar el equilibrio entre la actualización normativa y los derechos de los ciudadanos.
"Por lo tanto, cualquier modificación normativa, deberá ir acompañada de un adecuado equilibrio con los derechos y libertades fundamentales de los ciudadanos" - Andrea A. López Francos
Ese equilibrio es, a día de hoy, el principal reto de una norma que cambió la relación entre ciudadanos, empresas e instituciones con los datos personales y que sigue siendo una de las bases del modelo europeo de protección digital.