La Comisión publica una importante propuesta de Reglamento europeo para reforzar el cumplimiento del RGPD en casos transfronterizos: ¿Qué cuestiones aborda?

El pasado 4 de julio de 2023 la Comisión Europea publicó una importante propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas procedimentales adicionales en lo que se refiere a la garantía del cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, general de protección de datos (RGPD). El todavía futuro Reglamento europeo establecería normas procedimentales adicionales aplicables a determinadas fases del proceso de investigación en asuntos transfronterizos para reforzar el mecanismo de cooperación y la resolución de conflictos en el marco del RGPD.

El tratamiento transfronterizo de datos personales está definido en el RGPD y puede dar lugar a dos situaciones, que son el tratamiento realizado en el contexto de las actividades de (i) “establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro” (art. 4.23.a) del RGPD) o (ii) “un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro” (art. 4.23.b) del RGPD).

En estos casos habría una autoridad de control principal, que es la “del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento” (art. 56.1 del RGPD) y una o varias autoridades interesadas, que serán las de los Estados miembros donde el responsable o el encargado del tratamiento tenga otros establecimientos, que no sean el principal, o donde estén los interesados a los que el tratamiento de datos afecte sustancialmente.

La propuesta de Reglamento, que aborda temas de gran importancia, se plantea como consecuencia de que la Comisión Europea haya constatado la existencia de diferencias en los procedimientos administrativos aplicados por las autoridades nacionales de protección de datos (en adelante, APDs), lo que afecta de manera negativa a los mecanismos de cooperación y resolución de conflictos previstos en los artículos 60 y ss. del RGPD. Además, en su propuesta la Comisión Europea señala que “estas diferencias también tienen consecuencias importantes para los derechos de las partes investigadas y de los reclamantes”.

Las cuestiones sobre las que se centra la propuesta de Reglamento son (i) las reclamaciones, ya que las APDs interpretan de manera diferente cuáles son los requisitos de forma aplicables a éstas; (ii) la necesidad de garantizar a las partes investigadas derechos procesales y garantías similares a las de un procedimiento penal, ya que los derechos a ser oídas y al acceso al expediente varían sustancialmente a nivel nacional; (iii) la necesidad de reforzar el procedimiento de cooperación transfronteriza por lo que se refiere a la presentación de objeciones pertinentes y motivadas dado que se dan diferencias entre las APDs, y (iv) la falta de plazos para las distintas fases del procedimiento de cooperación y resolución de conflictos.

Como soluciones, la propuesta de Reglamento (i) incluye como anexo un formulario único para la presentación de reclamaciones; especifica las normas de procedimiento a seguir por las APDs para el rechazo de reclamaciones y aclara las funciones de las autoridades principal e interesadas; (ii) armoniza los derechos procesales de las partes investigadas, tanto del derecho a ser oído como del derecho de acceso al expediente; (iii) mejora la cooperación y la resolución de conflictos mediante medidas tales como la posibilidad de que las APDs expresen su opinión en una fase temprana de la investigación; la inclusión de requisitos detallados sobre la forma y la estructura de las objeciones pertinentes y motivadas, o que el Comité Europeo de Protección de datos resuelva los desacuerdos entre APDs a través de una decisión vinculante urgente, y (iv) establece plazos para el procedimiento de resolución de conflictos.

El Reglamento entraría en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea y prevé varias disposiciones transitorias. Las disposiciones sobre el mecanismo de cooperación con arreglo al artículo 60 del RGPD (capítulo III) y el acceso al expediente administrativo y tratamiento de la información confidencial (capítulo IV) se aplicarán a las investigaciones, ya sean iniciadas de oficio o basadas en reclamaciones, que se inicien después de la entrada en vigor del Reglamento. Y en el caso de la resolución de conflictos (capítulo V) entre APDs, el Reglamento sería aplicable a todos los casos sometidos a este procedimiento después de su entrada en vigor.

En definitiva, el objeto del Reglamento propuesto es lograr la aplicación coherente del RGPD en el caso de tratamientos transfronterizos de datos, de manera que esto permita generar confianza en los interesados y “garantizar unas condiciones de competencia equitativas para todas las entidades que tratan datos personales”.