La Parlamento Europeo ha aprobado recientemente nuevas disposiciones que clarifican y agilizan la cooperación entre autoridades de protección de datos en casos que implican el tratamiento de datos personales que afecta a más de un Estado miembro.
¿Qué se ha acordado?
- Se establecen plazos vinculantes para investigar y resolver quejas transfronterizas: por ejemplo, la autoridad líder («lead supervisory authority») deberá terminar la investigación y presentar un borrador de decisión en un plazo máximo de 15 meses, salvo que la complejidad del caso justifique una extensión de hasta 12 meses.
- Para los casos menos complejos (procedimiento simplificado) se establece un plazo más breve de 12 meses.
- Se introduce un mecanismo de resolución temprana («early resolution») para aquellos supuestos en los que la vulneración ha cesado y el reclamante no se opone en un plazo determinado.
- Mejora de los derechos procesales de los interesados: los reclamantes tendrán mayor acceso a la información del procedimiento, derecho a ser oídos antes de que se adopte la decisión, y las partes investigadas podrán comentar los borradores de decisión.
- Se armonizan los criterios de admisibilidad de quejas entre los distintos Estados miembros, de modo que haya mayor coherencia en los procesos.
¿Por qué es relevante?
Este nuevo marco responde a críticas persistentes: quejas de larga duración, procedimientos fragmentados entre diferentes autoridades nacionales, y una falta de previsibilidad tanto para los ciudadanos que reclaman como para las empresas objeto de investigaciones.
Para las empresas que operan en varios países de la Unión Europea, estas reglas ofrecen una mayor seguridad jurídica y una visión más clara de los plazos y procedimientos que se aplicarán cuando se investiguen tratamientos de datos con dimensión transfronteriza.
Implicaciones prácticas para profesionales del Derecho y compliance
- Es necesario revisar los protocolos internos de tratamiento de datos personales, en especial en organizaciones que procesan datos en más de un Estado miembro, o cuyas decisiones tienen efectos en varios países.
- Prever el riesgo de intervención coordinada por la autoridad líder y otras autoridades implicadas: diseñar estrategias de gestión de crisis y de cooperación con las autoridades competentes.
- Garantizar que los canales de comunicación con autoridades nacionales estén preparados para cumplir los nuevos plazos y requisitos de información (acceso a expedientes, comentarios de borradores, etc.).
- Actualizar la formación en materia de protección de datos para que los equipos sepan cuándo una actuación puede plantear un caso «transfronterizo» y, por tanto, entrar en este procedimiento armonizado.
Conclusión
La adopción de estas reglas representa un paso muy significativo en la efectividad práctica del RGPD en su dimensión europea. No solo por la claridad procedimental, sino también por la apuesta por la coherencia entre los sistemas nacionales de supervisión. Para la doctrina, supone un campo renovado de estudio en la cooperación administrativa europea; para las entidades reguladas, una nueva etapa que exige ajustes y vigilancia activa en el ámbito del cumplimiento normativo de datos personales.
Para acceder al texto oficial completo del nuevo Reglamento de procedimiento relativo a la cooperación transfronteriza en la aplicación del RGPD, será necesario consultar el Diario Oficial de la Unión Europea (DOUE), donde se publicará formalmente una vez finalizado el proceso legislativo y adoptada la versión definitiva por las instituciones competentes.
