La Comisión Europea propone modificar el RGPD: lectura crítica y propuestas prácticas

La Comisión Europea ha publicado recientemente una propuesta de reglamento destinado a simplificar determinadas obligaciones que afectan a microempresas, pequeñas y medianas empresas. Entre las medidas que se desgranan en ese documento, se incluye una propuesta de modificación del Reglamento General de Protección de Datos (RGPD). El espíritu que subyace a esta propuesta es, principalmente, flexibilizar algunas de las obligaciones de cumplimiento que contiene el RGPD, con el pretendido objetivo de ayudar a las empresas pequeñas y medianas a cumplirlo sin una excesiva carga burocrática, persiguiendo un ahorro de costes y un incremento de la eficiencia de los negocios.

Aunque el propósito y la intención son muy loables, el contenido de las propuestas podría errar el tiro al focalizar su objeto en algunos puntos que están lejos de ser el problema de las pymes para cumplir el RGPD.

En este artículo lo explicamos con ejemplos concretos y proponemos, a continuación, algunas modificaciones que serían útiles para mejorar la situación de cumplimiento y adaptarlo a la realidad de las empresas medianas y pequeñas.

1. Obligación de tener un Registro de Actividades del Tratamiento y sus excepciones

La principal medida que incluye la propuesta de la Comisión se refiere a la obligación de disponer de un Registro de Actividades del Tratamiento (RAT) establecida en el artículo 30 del RGPD. En concreto, la propuesta pretende ampliar el umbral de excepciones aplicables a esa obligación, de forma que un mayor número de empresas puedan decidir no confeccionar este registro.

La redacción actual del artículo 30 del RGPD incluye un punto 5 que contiene las siguientes excepciones:

“Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”.

Como es de apreciar, el texto obliga a cualquier empresa de más de 250 empleados y también a las que tengan menos de ese número si se da alguna de estas tres circunstancias: (i) que el tratamiento entrañe riesgo, (ii) que no sea ocasional o (iii) que incluya categorías especiales de datos o antecedentes penales.

El texto por el que se quiere sustituir el citado artículo 30.5 es el siguiente:

“Las obligaciones mencionadas en los párrafos 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 750 personas, a menos que el tratamiento que realice pueda entrañar un alto riesgo para los derechos y libertades de los interesados, en el sentido del Artículo 35”.

Como se puede observar, además del aumento en el umbral numérico de empleados, se eliminan dos de las tres circunstancias bajo las cuales las empresas pequeñas también tendrían que disponer de un RAT, como son que el tratamiento no sea ocasional o que incluya categorías especiales de datos personales.

Reflexionando sobre esta propuesta de modificación nos surgen las siguientes preguntas: no disponer de un RAT, ¿es realmente un alivio de carga burocrática? ¿Supone una mayor facilidad de cumplimiento para las pequeñas empresas? ¿Mejorará el nivel de cumplimiento?

2. Comentario a la propuesta de modificación

En nuestra opinión, esta propuesta de reforma plantea dudas por dos motivos: en primer lugar, porque no tiene en cuenta la génesis del actual artículo 30.5 y los motivos por los que se incluyó un criterio numérico en su texto. En segundo lugar, porque no tiene en consideración la esencia de lo que significa el RAT en un programa de cumplimento del RGPD e induce a equivocación en los sujetos obligados sobre cuál es el objetivo del RGPD en su finalidad más esencial.

• Aumento del número de empleados
  
  En cuanto al primero de los motivos, es necesario remontarnos a la evolución del texto del RGPD durante los cuatro años que duró su tramitación en las instituciones de la UE hasta su aprobación final y publicación en el Diario Oficial de la Unión Europea (DOUE) como norma de carácter obligatorio.
  
  En este sentido, es necesario recordar que, en alguna de sus versiones iniciales, el proyecto de RGPD contenía diversos casos en los que determinadas obligaciones se vinculaban a criterios numéricos de una u otra índole (por ejemplo, la obligación de designar Delegado de Protección de Datos -DPD- o representante en la Unión Europea se vinculaba en la versión inicial de la propuesta de RGPD a que la entidad responsable empleara a más de 250 personas; versiones posteriores lo vincularon a la existencia de tratamientos que afectaran a más de 5.000 interesados; finalmente decayeron estas barreras objetivas). En esa línea de objetivar obligaciones, el artículo 30 establecía la obligación de disponer de un RAT a empresas que tuvieran más de 250 trabajadores. En este caso, a diferencia de los otros en los que las referencias numéricas fueron eliminadas, el criterio numérico se mantuvo.
  
  Durante su periplo en las instituciones europeas, la tramitación del RGPD basculó entre el enfoque jurídico primordialmente basado en los ordenamientos napoleónicos de codificación, de corte administrativista (derecho continental europeo) y el enfoque anglosajón (Common Law, con un componente de “accountability”).
  
  “Accountability” es un concepto jurídico que no tiene traducción directa al español. La versión española del RGPD lo traduce como “responsabilidad proactiva”, mientras que el Reglamento de Inteligencia Artificial lo traduce como “rendición de cuentas”. El contenido completo del “accountability” incluye: (i) la obligación de cumplir una obligación determinada, (ii) de ser capaz de demostrar el cumplimiento en todo momento y (iii) la rendición de cuentas o responsabilidad en caso de incumplimiento de cualquiera de las dos obligaciones anteriores.
  
  El resultado final de ese recorrido fue una norma híbrida, que incluye artículos representativos de ambos esquemas jurídicos. Así, por ejemplo, podemos ver en los artículos 13 y 14 (obligación de informar), en el artículo 28 (contenido del acuerdo de encargado del tratamiento) y en el artículo 30 (RAT) una representación clara de la tradición más administrativista y, por el contrario, en los artículos 5.2 (principio de responsabilidad proactiva), artículo 25 (privacidad desde el diseño y privacidad por defecto) o artículo 32 (seguridad del tratamiento) como claras representaciones del Common Law.
  
  La revisión final y el consenso que fue necesario alcanzar para poder publicar una norma aceptada por todos no fue nada sencilla. A todas luces el acuerdo político alcanzado pasaba por la eliminación de las referencias objetivas de cumplimiento y su sustitución por la flexibilización y adaptación al caso concreto, aplicando criterios de análisis de riesgo. De este modo, se eliminaron las menciones ya señaladas (número de empleados o de tratamientos para DPD, número de empleados o de interesados afectados para representante en la UE...) y se sustituyeron por obligaciones concretas o por conceptos jurídicos indeterminados, porque se entendía que el cumplimiento de la norma no debía fijarse en función de umbrales, sino que el criterio más importante era el de riesgo para los derechos y libertades de los interesados cuyos datos se tratan. Como resulta obvio, el riesgo de un tratamiento para las personas no depende ni del número de empleados de la entidad que trata los datos ni de ningún otro criterio objetivo. Puede haber una empresa con 1.000 empleados cuyos tratamientos de datos sean de menor riesgo que los que realiza otra empresa de 25 empleados.
  
  Pues bien, en esa tarea final de eliminación de listones numéricos, el que figura en el artículo 30.5 del RGPD no puede calificarse sino como un olvido de última hora, puesto que la conveniencia de disponer de un RAT no tiene nada que ver con el número de empleados de la entidad. En todo caso, incluso aunque esa redacción no fuera fruto de un olvido, el propio texto incluye suficientes “excepciones a la excepción” que, en la práctica, vienen a suponer que el RAT sea una obligación en una gran mayoría de casos, teniendo en cuenta el alto nivel actual de uso de la tecnología.
  
  Por tanto, el incremento del umbral de empleados para la obligación del RAT no resulta entendible.
• Dudas sobre la flexibilización general
  
  El segundo comentario que se puede hacer al enfoque de la propuesta de modificación con respecto a la obligación de tener un RAT tiene que ver con la propia esencia de lo que es un RAT y el lugar que ocupa en un esquema de cumplimiento del RGPD. No hay que perder de vista que la propuesta se plantea siete años después de la obligatoria aplicación de la norma, cuando ya tenemos suficiente experiencia y criterios prácticos y jurídicos para entender de verdad lo que es un RAT, su importancia y lo que significa.
  
  Como hemos visto, además del criterio numérico referido a los empleados, la propuesta elimina la obligación de disponer de un RAT cuando existan tratamientos que supongan un riesgo para los derechos y libertades de los interesados (se sustituye por “un alto riesgo”), cuando se trate de tratamientos no ocasionales y cuando se traten datos de categorías especiales.
  
  Es necesario recordar aquí que el RAT puede calificarse como la columna vertebral de un programa de cumplimiento del RGPD. Y ello es así porque, más allá de una mera obligación formal de redacción de un documento, el RAT constituye el inventario detallado de tratamientos de datos que realiza el responsable del tratamiento. Esto, a su vez, resulta imprescindible para dar cumplimiento a muchas otras obligaciones del RGPD. La más inmediata, la obligación de informar (artículo 13), que exige al responsable del tratamiento trasladar al interesado todos los elementos importantes que afectan al tratamiento. Esos elementos se encuentran ordenados y detallados en el RAT y, por ese motivo, la redacción de una política de privacidad sin un RAT se convierte en una labor farragosa y abstracta. La misma importancia tiene el RAT en relación con la verificación de las obligaciones de conservación de datos, las medidas de seguridad, las transferencias internacionales, el control y seguimiento de encargados del tratamiento o las cesiones de datos. Todo ello se encuentra reflejado en el RAT y sirve como guía de cumplimiento del RGPD.
  
  Cualquiera que haya realizado de forma rigurosa un proyecto de cumplimiento del RGPD sabe que sin el RAT la tarea se complica enormemente. Y, por ello, sorprende que se considere una “medida de flexibilización” el aumentar el número de casos en que no es necesario tener un RAT. La consecuencia, lejos de una flexibilización y mejora o una reducción de la burocracia, solo podría ser el empeoramiento en el nivel de cumplimiento del RGPD por parte de las pequeñas y medianas empresas, y la mayor dificultad en conseguir un buen programa de cumplimiento coherente y ordenado. Se podría generar una falsa sensación de cumplimiento en las empresas que se acojan a estas excepciones, que tendrán mayor dificultad en cumplir el RGPD en su totalidad. Y podría aumentar el número de empresas que seguirán cayendo, con mayor intensidad, en las redes de asesores sin escrúpulos que venden papel fotocopiado sin contenido válido (al no ser necesario un RAT, un programa vacío de contenido puede pasar desapercibido con mayor facilidad para alguien sin conocimientos en la materia).

3. Propuestas de mejora del RGPD

El RAT no sería, por tanto, el punto donde es necesario flexibilizar el RGPD. Y ahora analizamos qué medidas serían útiles de verdad para ayudar a las pequeñas y medianas empresas a cumplir la norma y, en definitiva, a proteger mejor los derechos y libertades de los interesados (que es lo verdaderamente importante).

Desde la experiencia de estos nueve años que han transcurrido desde la publicación y entrada en vigor del RGPD en 2016 y los 7 años de obligado cumplimiento desde aquel 25 de mayo de 2018, existen diversas mejoras que se podrían introducir, incluso sin necesidad de modificar ni una sola coma del RGPD. Algunos ejemplos:

• Promover de forma más eficiente la publicación de códigos de conducta o esquemas de certificación. La propuesta de modificación del RGPD que plantea la Comisión también incluye, como medidas segunda y tercera, la inclusión en el RGPD de una mención específica a medianas empresas (mid-cap) que se añade a la mención a pequeñas y medianas empresas que ya existía en los artículos en los que se recoge la posibilidad de aprobar códigos de conducta y esquemas de certificación. Lo que realmente hace falta, sin embargo, es incentivar que se lleven a cabo o promover su creación de forma activa, por ejemplo, publicando modelos de contenido para códigos de conducta que las asociaciones sectoriales puedan utilizar como referencia.
• Desarrollar documentación que permita dar cumplimiento a las evaluaciones de impacto para las transferencias internacionales de datos (DTIA). Actualmente resulta muy frustrante ver cómo innumerables empresas se ven obligadas a repetir el mismo ejercicio de análisis ya realizado previamente cientos de veces por otras empresas, teniendo que gastar ingentes cantidades de dinero para obtener un informe que bien podría haber realizado alguna de las administraciones públicas competentes. Por ejemplo, aunque una DTIA requiere de diversos inputs -algunos de ellos específicos al caso concreto-, la realidad es que muchos otros se refieren al análisis del ordenamiento jurídico y la aplicación de la norma en el país destinatario de los datos. El hecho de que cada empresa que va a realizar una transferencia internacional basada en cláusulas contractuales tipo (la gran mayoría) a un país determinado tenga que encargar un informe legal sobre ese mismo país supone una carga burocrática y económica injusta y desproporcionada, que podría eliminarse por completo con un único informe realizado por una institución nacional o europea sobre cada país. Ni qué decir tiene que la eliminación del RAT no reduciría este problema, real y cotidiano.
• Ayudar a la interpretación de la norma mediante la implementación de canales de consulta efectivos y útiles por parte de las autoridades de supervisión. Enfocar la supervisión hacia un proceso de discusión constructivo entre la autoridad y el responsable del tratamiento, de forma que se pueda avanzar en el cumplimiento más allá de los procedimientos sancionadores y que las empresas no teman acercarse a las autoridades y tengan la percepción de que van a recibir ayuda y no silencio o evasivas.
• Apoyar y ayudar a las empresas que sufren ataques cibernéticos a mejorar su situación en cuanto a la seguridad de la información porque, en la mayoría de los casos, si no todos, a pesar de haber invertido en ciberseguridad, las empresas se encuentran impotentes cuando sufren un ciberataque y ello supone, además, una sanción por parte de las autoridades de supervisión. El régimen sancionador debería ser la “última ratio” en la aplicación del RGPD, reservado para aquellos casos claros de incumplimiento doloso o recalcitrante, y no para los casos en que las empresas sufren situaciones no deseadas aun cuando han intentado cumplir la norma.

En definitiva y como conclusión, las modificaciones del RGPD destinadas a flexibilizar y mejorar la eficiencia de las empresas sin debilitar la protección de los datos personales deben ser bienvenidas y alentadas pero, quizá, sería más sencillo reflexionar sobre de qué forma se pueden conseguir esos mismos objetivos sin necesidad de modificar la norma (que tanto costó aprobar y tanta fortaleza tiene), atacando los problemas prácticos de su aplicación y facilitando su cumplimiento real y efectivo por parte de las entidades obligadas.