5 años del GDPR: Las autoridades nacionales defraudan al legislador europeo. el 85% de los casos noyb no resueltos.
El 25 de mayo de 2018 entró en vigor el GDPR. Si bien el contenido de las normas de protección de datos de la UE se mantuvo en gran medida igual, el supuesto gran cambio fue la estricta aplicación del GDPR. 5 años después, las autoridades y los tribunales nacionales dejan en gran medida en la estacada al legislador europeo, a pesar de un presupuesto de más de 330 millones de euros en 2022.
noyb ofrece los siguientes recursos con motivo del 5º aniversario:
- Detallado datos sobre los más de 800 casos de noybrelacionados con el RGPDdatos que muestran que más del 85% de todos los casos de noyb no se han resuelto: 470 reclamaciones llevan más de un año y medio a la espera de una decisión
- noyb's "Mapa de trampas del GDPR"con muchas de las cuestiones procesales nacionales en las que se puede hacer clic
- «Perfiles de países» con cuestiones específicas en Austria, Bélgica, Francia, Alemaniagrecia (ES/ GR), Irlanda, Italia, Luxemburgo, Países Bajos (ES/ NL), Polonia y España
- Nuestro sitio web con una propuesta de Reglamento de Procedimientos GDPR que podría superar muchos de los problemas de aplicación del GDPR
Meta La multa de 1.200 millones de euros es un ejemplo de que la aplicación no funciona. Aunque una multa de 1.200 millones de euros (que se retrasó estratégicamente hasta la semana de los «cinco años del RGPD») puede acaparar titulares, en realidad refleja que la aplicación no funciona. El CPD no solo tardó más de diez años en adoptar una primera decisión (que ahora será recurrida), sino que además Max Schrems tuvo que emprender tres acciones judiciales contra el CPD irlandés para obligarle a hacer su trabajo. Esto incluyó que el Tribunal de Justicia de la UE (TJUE) y el EDPB dijeran tres veces al DPC irlandés que gestionar eficazmente el caso. El coste de este litigio se estima en más de 10 millones de euros.
Choque de la legislación de la UE con la práctica nacional. El RGPD se aprobó en el Parlamento Europeo con una mayoría del 96%, y todos los Estados miembros menos uno apoyaron la ley. Sin embargo, los legisladores nacionales y la práctica nacional chocaron poco después. Casi todos los Estados miembros tienen algún truco o cuestión de procedimiento para socavar el RGPD. Esto va desde añadir conceptos como un «umbral» para las violaciones de la privacidad, hasta considerar que «tramitar» una reclamación también puede significar simplemente tirarla a la basura. Otros ejemplos son que las autoridades de Francia o Suecia consideran que un denunciante no es parte en su propio procedimiento, mientras que en Polonia la autoridad exige que viajes a Varsovia para hacer fotos con el móvil de tu expediente. Hemos elaborado un resumen en nuestro «Mapa de trampas del GDPR» para mostrar algunas de las trampas en las que acaban cayendo los ciudadanos de a pie.
Max Schrems, presidente de noyb.eu: «El RGPD tuvo un respaldo político muy fuerte. Cinco años después de su entrada en vigor, vemos mucha resistencia por parte de las autoridades y los tribunales para hacer cumplir la ley. El legislador ha hablado, pero los tribunales y las autoridades nacionales encuentran constantemente nuevas formas de no escuchar. A menudo da la sensación de que se gasta más energía en socavar el RGPD que en cumplirlo. Aunque las empresas saben que Irlanda es la jurisdicción «a la que acudir» en caso de incumplimiento, apenas hay una jurisdicción «a la que acudir» para los ciudadanos, ya que hay problemas de cumplimiento en básicamente todos los Estados miembros. »
Retrasos sistemáticos. Mientras que una multa excepcional acapara los titulares internacionales, la base de datos de casos de noyb, mucho más amplia, muestra que las autoridades de protección de datos (APD) en gran medida no aplican el RGPD a su debido tiempo. De los más de 800 casos que noyb presentó el año pasadosin embargo, el RGPD exige a las empresas que atiendan las solicitudes en el plazo de un mes, mientras que las legislaciones nacionales suelen requerir decisiones en un plazo de 3 a 6 meses.
Max Schrems: "En muchas jurisdicciones se obtiene una decisión después de dos años en el mejor de los casos, si es que alguna vez se obtiene una decisión. La práctica se aleja mucho de la intención del legislador de disponer de una vía fácil y gratuita para reclamar. Perdemos la mayor parte de nuestro tiempo persiguiendo gestores de casos, expedientes y autoridades"
Falta de procedimientos y decisiones jurídicas adecuadas. Además de los largos retrasos, los casos que se cerraron fueron en gran parte resueltos o retirados por las partes (aproximadamente el 6% en el caso de noyb) o hubo algún otro resultado (3,4%), como la salida de la empresa del mercado de la UE. Sólo en el 3,9% de los casos hubo una resolución judicial por parte de la APD.
Max Schrems: «Muchas autoridades lo intentan todo para evitar una decisión. A menudo se limitan a 'cerrar’ los casos sin una decisión o negocian con las empresas, rogándoles que sean tan amables de cumplir la ley. Apenas hay una sanción directa para una infracción directa de la ley»
Las empresas aprendieron a ignorar el GDPR. Aunque en un principio el sector había montado en cólera por el GDPR y sus elevadas multas, los últimos años han demostrado que este efecto disuasorio se ha desvanecido rápidamente. La realidad demuestra que el legislador no pudo limitarse a legislar una cultura de cumplimiento. El RGPD se ha convertido a menudo en un mero tigre de papel.
Max Schrems: "La realidad ha demostrado que laUE fue incapaz de legislar una 'cultura de aplicación’. Las empresas más agresivas han comprendido rápidamente que las consecuencias en gran medida solo existen sobre el papel y han continuado con sus modelos de negocio. A puerta cerrada, las empresas son muy francas sobre el hecho de que no temen en absoluto a las autoridades. Son sobre todo las empresas ya razonables las que invierten en el cumplimiento"
Llamamiento a la armonización y el cumplimiento. Al cumplirse el 5º aniversario del RGPD, necesitamos urgentemente que las autoridades cambien de marcha y avancen hacia una cultura de aplicación seria. A ello también podría contribuir la idea de la Comisión Europea de aprobar un reglamento de procedimiento de la UE. Sin embargo sin embargo, esta solución legislativa tendría que ser para superar los numerosos problemas de los procedimientos actuales. Muchos Estados miembros también pueden mejorar sus procedimientos. Enumeramos los problemas más comunes en países concretos: Austria, Bélgica, Francia, Alemaniagrecia (ES/ GR), Irlanda, Italia, Luxemburgo, Países Bajos (ES/ NL), Polonia y España.
Max Schrems: «Después de cinco años, el tiempo de las orientaciones y los períodos de gracia ha terminado claramente. Si no hay una disuasión general, es probable que las autoridades vuelvan a perder el control de la situación". La Comisión Europea propuso un nuevo reglamento para solucionar los problemas de procedimiento. Unas normas de procedimiento claras son una buena idea, pero deben ser exhaustivas para solucionar realmente el problema»
Acción civil necesaria y reparación colectiva. Solo en 2023, se impusieron a Meta casi 2.000 millones de euros en multas como resultado de los diligentes esfuerzos y acciones legales de noyb, lo que hace que la acción civil sea más relevante que nunca. Con la inminente introducción de la Directiva de Recurso Colectivo de la UE, los usuarios tendrán la oportunidad de agrupar sus esfuerzos de litigación a través de demandas conjuntas de «acción colectiva». Este enfoque no solo elude la dependencia de los APD, sino que también posee el potencial de un efecto disuasorio más impactante que las Que las multas del RGPD, que son en gran medida teóricas.