Gloria González Fuster
Profesora Investigadora
Directora del Grupo de Investigación Law, Science, Technology & Society (LSTS) de la Vrije
Universiteit Brussel (VUB)
Tras el frenesí legislativo de los últimos años, el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), que hasta hace poco reinaba casi a solas como estrella de la protección de datos personales en el derecho digital europeo, se encuentra ahora rodeado de múltiples instrumentos que no va a ser posible ignorar. Conocidos en general por sus siglas en inglés (DGA, DMA, DGA, DA, AIA, etc.), son instrumentos que persiguen sus propios objetivos y siguen lógicas variopintas, pero que incluyen también numerosas referencias al RGPD, además de disposiciones que, aun sin nombrarlo, tendrán, o podrían tener, un impacto directo en el nivel de protección de datos del que se goza en la Unión Europea (UE). El posible impacto preocupa a algunos expertos, que tienden a moverse entre perplejidad e inquietud. Podría ser, en realidad, un impacto positivo, también para el RGPD.
Puede visualizarse el nuevo panorama como un puzle por hacer, en el que habría que poner orden lo antes posible. Esta parece ser la prioridad de los reguladores, a los que se intuye secretamente abrumados, entre otras cosas, por la creación reciente de nuevos actores responsables y un reparto aún muy «en construcción» de nuevas responsabilidades, una situación la que cada cual tiene que encontrar su lugar mientras interpreta según le conviene el lugar de los demás, de manera más o menos directamente compatible entre sectores y a través de las fronteras y de los distintos niveles de decisión implicados.
Coherencia, coherencia, coherencia: este es el eco que llega desde muchas instituciones. Lo que se necesita ahora, insisten, es ponerse a trabajar para desarrollar estrategias de acción congruentes. La Comisión Europea, por ejemplo, se comprometió en su segundo informe sobre la aplicación del RGPD, publicado en julio de 2024, a reflexionar sobre cómo abordar mejor la necesidad de una cooperación estructurada y eficiente entre todos los reguladores en materia digital. En su reacción a ese informe, en diciembre de 2024, el Comité Europeo de Protección de Datos (CEPD) subrayó la importancia de cooperar para mejorar esa congruencia, mostrándose dispuesto a contribuir y apuntando, de paso, que para coordinarse bien las autoridades de protección de datos necesitarían más recursos.
La necesidad de trabajar para garantizar una aplicación congruente del derecho digital europeo es indiscutible. Hay muchas preguntas pendientes, además de elementos que parecen, según cómo se mire, contradecirse o entrechocarse, o incluso moverse en dirección opuesta a la de los principios básicos clásicos del derecho a la protección de datos. Sería una pena, sin embargo, limitarse a afrontar los próximos años centrándose tan sólo en coordinar y remediar incongruencias.
El panorama actual del derecho digital europeo es, más que un puzle por hacer, una realidad nueva que está por descubrir - también por lo que se refiere a la protección de datos personales. Algunos de sus instrumentos clave se presentan abiertamente como complementando el marco normativo existente, mientras que otros puede que permitan avanzar hacia una mayor protección, aunque no fuera esa exactamente, o en absoluto, la intención del legislador. Para ello, es esencial prestarles la debida atención y tomárselos en serio, incluso cuando contienen algunas disposiciones capaces de ponerle los pelos de punta a parte de la doctrina sobre protección de datos personales.
El Reglamento de Gobernanza de Datos (o Data Governance Act, DGA), por ejemplo, no carece de defectos, entre los que brilla una concepción naíf y obsoleta del consentimiento, al que pone en un altar, a pesar de que los expertos en privacidad llevan años intentando sacarlo de ahí sea como sea. Más allá de este problema, que es un problema importante, el caso es que el DGA también tiene potencial para reforzar el ejercicio de los derechos del interesado que establece el RGPD, lo que podría ser de gran provecho. El DGA crea en efecto una categoría hasta ahora inexistente de proveedores de servicios «de intermediación de datos», cuya misión podrá ser, en particular, la de ayudar a las personas a ejercer sus derechos con arreglo al RGPD.
Si cerramos un ojo sobre el extraño hecho de que el DGA sitúe entre los derechos del interesado del RGPD los de conceder y retirar el consentimiento, actos que el RGPD, por su parte, nunca posicionó como tales (y que por tanto no aparecen en el capítulo del RGPD sobre derechos del interesado), podemos guardar otro abierto para ver el lado positivo de esta novedad. El lado positivo es que estos servicios, si alguien los desarrolla algún día de manera apropiada, podrían ayudar de verdad a los interesados a ejercer unos derechos que andan, en su inmensa mayoría, muy necesitados de ayuda: el derecho de acceso, por ejemplo, que está en el corazón de la protección de datos personales, protagoniza año tras año las estadísticas de motivos por los cuáles la gente acude a las autoridades de protección de datos para quejarse. Sobre el derecho a la portabilidad de datos, por citar otro, no se queja casi nadie, pero es probable que eso se deba a que lo conocen pocos y los que lo conocen bien no ven la utilidad de intentar ejercerlo.
Todo esto puede cambiar, quizás, si aceptamos que los derechos por mucho que sean personales a veces se ejercitan mejor bien acompañados que a solas. Esta idea, sobre la que el RGPD no dice nada en concreto, ha solido ser acogida hasta ahora por las autoridades de protección de datos con reticencia y frialdad, tal y como reflejan las directrices del CEPD sobre el derecho de acceso. Conviene, en definitiva, buscar en el derecho digital europeo actual no sólo coherencia, sino también algo de esperanza para un mundo digital mejor, si alguien se lo toma en serio.