La Unión Europea pretende «simplificar» el GDPR pero sacrifica la privacidad de los usuarios

La Comisión Europea (CE) está considerando un paquete «Digital Omnibus» que reescribiría sustancialmente la legislación de privacidad de la UE, particularmente el emblemático Reglamento General de Protección de Datos (GDPR). Aunque no es definitivo, este proyecto representa una amenaza real para los derechos digitales de millones de usuarios europeos.

El GDPR es el modelo más completo de legislación de privacidad en todo el mundo. Si bien no es perfecto y sufre de una aplicación desigual, complejidades y ciertas cargas administrativas, el paquete omnibus está lleno de ideas confusas que, en conjunto, debilitarán significativamente las protecciones de privacidad de los usuarios bajo la promesa de reducir la burocracia.

Una idea buena no justifica el resto del desastre

El paquete contiene al menos una propuesta positiva: mejorar las reglas de consentimiento para que los usuarios puedan establecer automáticamente preferencias de consentimiento que se apliquen en todos los sitios web. Aunque eliminar la fatiga de las cookies es bienvenido, no vale la pena el precio que pagarán los usuarios si se adopta el resto de la propuesta.

La CE necesita volver al punto de partida si quiere lograr el objetivo de simplificar las regulaciones de la UE sin destruir la privacidad de los usuarios.

Redefiniendo qué constituye «datos personales»

El paquete digital forma parte de una Agenda de Simplificación más amplia para reducir los costos de cumplimiento y las cargas administrativas para las empresas, haciéndose eco del llamado del Informe Draghi para impulsar la productividad e innovación. Las empresas se han quejado de la burocracia del GDPR desde su creación, y las nuevas reglas supuestamente facilitarán el cumplimiento y acelerarán el desarrollo de IA en la UE.

El cambio más preocupante: datos personales «variables»

La propuesta más llamativa busca estrechar la definición de datos personales, la base misma del GDPR. Actualmente, la información cuenta como datos personales si alguien puede identificar razonablemente a una persona a partir de ella, ya sea directamente o combinándola con otra información.

La propuesta abandona esta prueba relativamente simple en favor de una variable: si los datos son «personales» depende de lo que una entidad específica dice que puede hacer razonablemente o es probable que haga con ellos.

Este movimiento estructural hacia estándares específicos por entidad creará:

• Confusión legal y práctica masiva, ya que los mismos datos podrían tratarse como personales para algunos actores pero no para otros
• Un camino para que las empresas eviten las obligaciones establecidas del GDPR mediante reestructuración operacional para separar identificadores de otra información
• Poder discrecional para la Comisión, un órgano ejecutivo político, para definir qué cuenta como datos pseudonimizados no identificables

Privilegios especiales para la IA

En nombre de facilitar la innovación en IA, que a menudo depende de grandes conjuntos de datos donde pueden aparecer residualmente datos sensibles, el paquete digital trata el desarrollo de IA como un «interés legítimo». Esto otorga a las empresas de IA una base legal amplia para procesar datos personales, a menos que las personas se opongan activamente.

Datos sensibles para sistemas de IA

Otra enmienda crearía una nueva excepción que permite que incluso datos personales sensibles se usen para sistemas de IA bajo ciertas circunstancias. Aunque no es un permiso general, las medidas «organizacionales y técnicas» que se requieren son vagas, dejando a las empresas amplia discreción.

Combinadas con la nueva prueba de datos personales, estos privilegios de IA significan que los derechos fundamentales de protección de datos, que se supone deben aplicarse uniformemente, probablemente variarán en la práctica dependiendo de los objetivos tecnológicos y comerciales de una empresa.

Reformas adicionales preocupantes

Hay ajustes adicionales, muchos de ellos problemáticos:

• Cambios en las reglas de toma de decisiones automatizada (facilitando que las empresas aleguen que es necesario para un servicio o contrato)
• Requisitos de transparencia reducidos (menos explicación sobre cómo se usan los datos de los usuarios)
• Derechos de acceso a datos revisados (supuestamente para abordar solicitudes abusivas)

El paquete digital va más allá del GDPR, pretendiendo optimizar todo el libro de reglas digitales de Europa, incluyendo la Directiva e-Privacy, reglas de ciberseguridad, la Ley de IA y la Ley de Datos.

La única mejora real: señales automáticas del navegador

Hay una propuesta que realmente podría simplificar algo importante para los usuarios: requerir que las interfaces online respeten señales de consentimiento automatizadas, permitiendo a los usuarios rechazar automáticamente el consentimiento en todos los sitios web en lugar de hacer clic en popups de cookies en cada uno.

Sin embargo, el diablo está en los detalles:

• El formato exacto será determinado por organizaciones de estándares técnicos donde las grandes empresas tecnológicas históricamente han presionado por estándares que funcionen a su favor
• Los sistemas operativos móviles están excluidos de este requisito, una omisión significativa
• Eximir completamente a los proveedores de servicios de medios crea una laguna legal

Un panorama legal confuso

El uso del proceso «Omnibus» por parte de la Comisión pretende agilizar la elaboración de leyes agrupando múltiples cambios. Sin embargo, avanza con evidencia más débil de la que requeriría una reforma estructural sustantiva, violando principios básicos de Mejor Regulación, como coherencia y propproporcionalidad.

El resultado es lo opuesto a «simple». Las empresas enfrentarán un panorama legal confuso mientras deben cumplir con reglas que pronto pueden pausarse y luego revivirse nuevamente. Esto suena más como «complificación» que simplificación.

El paquete digital no es definitivo

Evaluar la legislación existente es parte de un ciclo legislativo sensato, y clarificar y simplificar procesos y prácticas complejas no es mala idea. Desafortunadamente, el paquete digital no da en el blanco al hacer los procesos aún más complejos, a expensas de la protección de datos personales.

La simplificación no requiere desechar los derechos digitales. La CE debería tener esto en mente mientras lanza su verificación de realidad de legislación central como la Ley de Servicios Digitales y la Ley de Mercados Digitales, donde ordenar puede derivar fácilmente en el tipo de arreglo bien intencionado que termina pareciéndose a la infame restauración del ecce homo.