El 25 de mayo de 2018 entró en vigor el Reglamento Europeo de Protección de Datos (RGPD o GDPR, por sus siglas en inglés). Cinco años y cientos de millones de euros después, su aplicación no ha resultado como se esperaba. El motivo -según un informe de la ONG Noyb- es la mala praxis de los poderes ejecutivos en los Estados miembros de la UE. “Las autoridades y los tribunales nacionales dejan en gran medida al legislador europeo en la estacada”, concluye Noyb.

El fundador de la ONG es Max Schrems, el mismo que llevó a juicio a Facebook hace diez años por su participación en la vigilancia mundial de EE.UU, denunciada en su día por Edward Snowden. No por casualidad, la sentencia ha llegado precisamente esta semana: una multa histórica para Meta, que deberá pagar 1.200 millones de euros y devolver a la Unión Europea los datos transferidos a EEUU.

La ‘metamulta’ es, según Schrems, un claro ejemplo de que la aplicación del RGPD no funciona. En primer lugar, por la falta aparente de voluntad. La Agencia de Protección de Datos de Irlanda (donde Meta tiene su sede europea) ha tardado más de diez años en llegar a esta primera decisión, que ahora será apelada.

No solo eso, sino que, para lograrlo, el abogado tuvo que participar en tres series de litigios contra dicha agencia -ante el Tribunal de Justicia de la UE y ante el Comité Europeo de Protección de Datos- para forzarla a cumplir con sus obligaciones respecto al caso. Se estima que todo ello ha costado más de diez millones de euros.

Schrems crítica que, si bien inicialmente el RGPD tuvo un respaldo político muy fuerte, ahora encuentra mucha resistencia para hacer cumplir la ley. “El legislador ha hablado, pero los tribunales y autoridades nacionales encuentran constantemente nuevas formas de no escuchar. A menudo, parece que se gasta más energía en socavar el reglamento que en cumplirlo”, asegura el fundador de Noyb en un comunicado de prensa.

España no se libra

Casi todos los Estados miembros tienen algún problema de procedimiento que dificulta el cumplimiento del RGPD, como por ejemplo considerar que "manejar" una queja puede significar simplemente leerla o darle una respuesta automática, o considerar que un denunciante no es parte de su propio procedimiento, como sucede en Francia o en Suecia. Así lo muestra el ‘mapa de trampas al RGPD’ de Noyb.

La Agencia Española de Protección de Datos (AEPD) sale bien parada con respecto a la mayoría de agencias europeas. Por ejemplo, es sustancialmente más eficiente que la Agencia de Irlanda, a pesar de contar con recursos humanos y fondos similares, incluso inferiores: la española produce entre 5 y 10 dictámenes por día, frente a entre 5 y 10 por año de la irlandesa. Claro que no es difícil dictaminar más que una agencia manifiestamente laxa.

Imagen de recurso sobre la entrada en vigor del GDPR.

La AEPD también es transparente tanto en qué destina sus recursos como a la publicación de sus resoluciones. Algo, según Noyb, “verdaderamente útil para conocer el criterio de la AEPD y la seguridad jurídica”. 

En 2022, la AEPD recibió el mayor número de reclamaciones de su historia. Fueron 15.128 reclamaciones en total: un 9% más que en 2021 y un 47% más que en 2020. La cifra asciende a las 15.822 incluyendo los casos transfronterizos y los casos en los que la Agencia actúa por iniciativa propia. La Agencia española señala en su memoria de 2022 que las reclamaciones resueltas aumentaron un 6% con respecto a 2021.

Pese a todo, la AEPD no se libra de las banderas rojas. Las 378 multas que impuso en 2022 ascendieron solo a 20 millones de euros, frente a, por ejemplo, los 214 millones que la autoridad francesa exigió en 2021. Noyb destaca otros problemas. El primero: que la protección frente a rastreadores no es funcional.

“La autoridad española de protección de datos rechazó la denuncia de un ciudadano español representado por Noyb, con el argumento de que la autoridad competente para las violaciones de la privacidad electrónica es la autoridad irlandesa, donde tiene sede el rastreador”, afirma la oenegé. Por su parte, la Agencia irlandesa se niega a procesar casos de privacidad electrónica para ciudadanos que no residen en territorio irlandés. “Como resultado, los ciudadanos españoles están desprotegidos de las violaciones de privacidad electrónica cometidas por cualquier empresa no española”, sentencia Noyb.

Otra barrera en España es que es necesario disponer de una firma digital para presentar una queja online en la AEPD. “Mientras que otras autoridades aceptan correos electrónicos, la agencia española solo acepta quejas presentadas con una firma digital. Si la persona que denuncia se encuentra en el extranjero, es posible que deba visitar la embajada española en su país antes de poder presentar una solicitud”, subraya Noyb.

Por último, la organización destaca la polémica con la elección de la jefatura de la AEPD. El Tribunal Supremo declaró nulo el proceso de nombramiento para ocupar la Presidencia de la Agencia al considerarlo viciado de raíz, ante denuncias sobre el supuesto acuerdo del PSOE y el PP para decidir quién obtendría el puesto.

A estas barreras al cumplimiento del RGPD en España se añaden algunas resoluciones polémicas de la agencia española, que Noyb ha llevado a los tribunales. Este mismo año, la Audiencia Nacional ha anulado una decisión de la AEPD en la que afirmó que la operadora Virgin había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. Noyb alegó que los datos de geolocalización eran datos personales y debían facilitarse en virtud del derecho de acceso. El tribunal les ha dado la razón.

Seis problemas estructurales

Además de las cuestiones procedimentales, la ONG ha identificado cinco problemas estructurales que impiden el cumplimiento del reglamento de protección de datos. El primero son los retrasos sistemáticos. De los más de 800 casos que Noyb ha presentado en el último año, el 85,9% no se han resuelto aún, y la mayoría tardan más de un año y medio en resolverse, en contra de lo que dictan la mayoría de las leyes nacionales. En Europa hay unas 10.000 quejas aún pendientes, según Schrems.

El segundo gran escollo es la inacción, que se traduce en falta de resoluciones. Los casos cerrados son en gran medida resueltos gracias a que se han retirado tras un acuerdo entre las partes. “Las agencias a menudo cierran los casos sin una decisión o negocian con las empresas, rogándoles que sean tan amables como para cumplir la ley”, dice Schrems. ¿Qué puede hacer el ciudadano ante esto? Se podría poner un recurso, pero implicaría un desembolso desmesurado: 100.000 euros en Irlanda y 5.000 euros en el resto de Europa (con la excepción de Austria, donde solo cuesta 30 euros).

Los expertos piden mayor acción a las autoridades para hacer cumplir el RGPD.

El tercer problema es que las empresas han aprendido a ignorar el RGPD. “Las compañías más agresivas comprendieron rápidamente que las consecuencias, en gran medida, son papel mojado, y continuaron con sus modelos comerciales. A puerta cerrada, reconocen abiertamente que no temen a las autoridades en absoluto”, señala el abogado.

La falta de transparencia es otra barrera. Muchas autoridades no publican sus resoluciones, y no hay una manera uniforme de recopilar métricas y estadísticas acerca de las reclamaciones, lo cual ayuda a blanquear las cifras, según denuncia Noyb. Tampoco hay forma de entender su rendimiento, como muestra la enorme diferencia de productividad entre las agencias española e irlandesa.

A la falta de transparencia se suma la ausencia efectiva de cooperación. Se supone que las agencias de protección de datos de cada país deben cooperar en la toma de decisiones, pero Noyb denuncia que “en la práctica lo que sucede es que, cuando tu caso se envía a otro país -cuando la empresa denunciada tiene su sede allí- no vuelves a saber de él”. Lo más frecuente -explica la oenegé- es que la agencia del país desde donde se reclama reciba un borrador de la resolución final que le es difícil juzgar porque no tiene acceso a otros documentos relevantes.

El sexto gran problema, a juicio de Noyb, es la carencia de supervisión. “Al ser agencias cuya operativa es independiente del gobierno, el ejecutivo no tiene poder sobre ellas, y lo que se puede hacer desde el poder legislativo (por ejemplo del Parlamento Europeo) es mínimo”, dice Schrems. Solo queda el poder judicial, al que -como Schrems señalaba antes- es muy costoso acceder. El abogado asegura, además, que los jueces huyen de los casos de privacidad y protección de datos porque son muy complicados. “A menudo, usan razones procesales para librarse de ellos”, afirma.

Tres soluciones

Frente a los problemas que enfrenta la aplicación del RGPD en Europa, Noyb propone tres soluciones. En este quinto aniversario del reglamento piden “que las autoridades cambien de marcha y avancen hacia una cultura seria de cumplimiento”. Esto -dicen- podría verse favorecido por la idea de la Comisión Europea de aprobar un reglamento de procedimiento para el RGPD en la UE, aunque solo si se trata de una solución integral.

Por otra parte, la organización destaca la utilidad de las herramientas tecnológicas que les permiten, por ejemplo, escanear y detectar de forma automática sitios web que incumplen el RGPD y enviar quejas a las empresas responsables, también de forma automatizada. Como resultado, según Schrems, obtienen una tasa de cumplimiento de un 42% sin necesidad de recurrir a las autoridades.

Por último, Noyb destaca una solución que ya está en marcha: la introducción inminente de la directiva de reparación colectiva de la UE. Con ella, los ciudadanos tendrán la oportunidad de aunar esfuerzos a través de demandas colectivas conjuntas. Esto puede incentivar a las personas a presentar denuncias por causas menores que económicamente no les compensaría llevar a juicio, ya que los gastos ahora serían compartidos.

“Este enfoque no solo elude la dependencia de las agencias de protección de datos, sino que también tiene un potencial efecto disuasorio más impactante que las multas, que son en gran parte teóricas”, asegura Schrems. El abogado destaca que, solo en lo que llevamos de año, se han impuesto casi 2.000 millones de euros en multas a Meta como resultado de las acciones legales de Noyb, “lo que hace que la acción civil sea más relevante que nunca”, concluye.