El Parlamento Europeo,

–  Visto el artículo 8 de la Carta de los Derechos Fundamentales,

–  Visto el artículo 16 del Tratado de Funcionamiento de la Unión Europea,

–  Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE [Reglamento General de Protección de Datos (RGPD)](1),

–  Vista la declaración de la Comisión, de 24 de junio de 2020, sobre su Comunicación al Parlamento Europeo y al Consejo sobre la protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos,

–  Vista la Comunicación de la Comisión al Parlamento Europeo y al Consejo, de 24 de junio de 2020, sobre la protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos (COM(2020)0264),

–  Vista la Comunicación de la Comisión, de 24 de julio de 2019, titulada «Balance de las normas de protección de datos como catalizador de la confianza en la UE y fuera de sus fronteras» (COM(2019)0374),

–  Vista la contribución del Comité Europeo de Protección de Datos (CEPD) a la evaluación del RGPD en virtud del artículo 97, aprobada el 18 de febrero de 2020(2),

–  Vista la primera visión general del CEPD sobre la aplicación del RGPD titulada «First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities» (Primera visión general de la aplicación del RGPD, así como de la función y los medios de las autoridades de control nacionales) de 26 de febrero de 2019(3),

–  Vistas las directrices adoptadas por el CEPD de conformidad con el artículo 70, apartado 1, letra e), del RGPD,

–  Visto el artículo 132, apartado 2, de su Reglamento interno,

–  Vista la propuesta de Resolución de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior,

A.  Considerando que el RGPD es aplicable desde el 25 de mayo de 2018; que, a excepción de Eslovenia, todos los Estados miembros han adoptado nuevas leyes o adaptado su legislación nacional en materia de protección de datos;

B.  Considerando que, según la encuesta sobre los derechos fundamentales de la Agencia de los Derechos Fundamentales, las personas son cada vez más conscientes de sus derechos en virtud del RGPD; que, a pesar de que las organizaciones han adoptado medidas para facilitar el ejercicio de los derechos de los interesados, las personas siguen enfrentándose a dificultades a la hora de intentar ejercer estos derechos, en particular el derecho de acceso y el derecho a la portabilidad de los datos, así como a una mayor transparencia;

C.  Considerando que, desde el inicio de la aplicación del RGPD, ha aumentado enormemente el número de reclamaciones recibidas por las autoridades de control; que ello demuestra que los interesados son más conscientes de sus derechos y desean proteger sus datos personales de conformidad con el RGPD; que lo anterior también revela que siguen llevándose a cabo grandes cantidades de operaciones ilegales de tratamiento de datos;

D.  Considerando que muchas empresas han utilizado el período de transición entre la entrada en vigor del RGPD y su aplicación para realizar una «limpieza general» de los datos, evaluar qué tratamiento de datos se está llevando a cabo realmente y qué tratamiento de datos puede que ya no sea necesario o no esté justificado;

E.  Considerando que muchas autoridades de protección de datos no son capaces de hacer frente al número de reclamaciones; que muchas de dichas autoridades carecen de personal y de recursos suficientes, así como de un número suficiente de expertos en tecnología de la información;

F.  Considerando que el RGPD reconoce que el Derecho de los Estados miembros debe conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria, con el derecho a la protección de los datos personales; que el artículo 85 establece que la legislación de los Estados miembros debe prever exenciones para el tratamiento de datos realizado con fines periodísticos o de expresión académica, artística o literaria, si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información;

G.  Considerando que, como también subraya el CEPD, la protección de las fuentes periodísticas es la piedra angular de la libertad de prensa; que el RGPD no debe utilizarse de forma indebida contra los periodistas y para limitar el acceso a la información; que las autoridades nacionales no deben utilizarlo en ningún caso para reprimir la libertad de los medios de comunicación;

Observaciones generales

1.  Acoge con satisfacción el hecho de que el RGPD se haya convertido en una referencia mundial en materia de protección de datos personales y sea un factor de convergencia en el desarrollo de normas; se congratula de que el RGPD haya situado a la Unión a la vanguardia de los debates internacionales sobre protección de datos, y de que varios terceros países hayan adaptado sus leyes de protección de datos al RGPD; señala que el Convenio 108 del Consejo de Europa sobre protección de datos se ha adaptado al RGPD («Convenio 108+») y ya ha sido firmado por 42 países; insta a la Comisión y a los Estados miembros a que utilicen este impulso para ejercer presión, en el ámbito de las Naciones Unidas, la OCDE, el G-8 y el G-20, con vistas a la creación de normas internacionales inspiradas en los valores y principios europeos, sin menoscabar el RGPD; subraya que una posición europea dominante en este ámbito ayudaría a nuestro continente a defender mejor los derechos de nuestros ciudadanos, salvaguardar nuestros valores y principios, promover una innovación digital fiable y acelerar el crecimiento económico evitando la fragmentación;

2.  Concluye que, dos años después de su entrada en vigor, el RGPD ha sido un éxito en general, y conviene con la Comisión en que no es necesario actualizar o revisar la legislación por el momento;

3.  Reconoce que, hasta la próxima evaluación de la Comisión, es necesario seguir centrándose en la mejora de la aplicación del RGPD y en las acciones para reforzar su ejecución;

4.  Reconoce la necesidad de velar por la ejecución sólida y efectiva del RGPD en las grandes plataformas digitales, las empresas integradas y otros servicios digitales, en particular en los ámbitos de la publicidad en línea, la microsegmentación, la elaboración de perfiles algorítmicos y la clasificación, difusión y amplificación de contenidos;

Base jurídica para el tratamiento

5.  Subraya que las seis bases jurídicas establecidas en el artículo 6 del RGPD son igualmente válidas para el tratamiento de datos personales, y que una misma actividad de tratamiento puede estar comprendida en más de una base; insta a las autoridades de control de datos a que especifiquen que los responsables del tratamiento deben apoyarse en una única base jurídica para cada finalidad de las actividades de tratamiento e indicar la base jurídica sobre la que reposa su operación de tratamiento; manifiesta su preocupación por el hecho de que los responsables del tratamiento mencionen a menudo todas las bases jurídicas del RGPD en su política de privacidad sin dar más explicaciones y sin hacer referencia a la operación de tratamiento específica de que se trate; entiende que esta práctica obstaculiza la capacidad de los interesados y de las autoridades de control para evaluar si esas bases jurídicas son adecuadas; recuerda que, para tratar categorías especiales de datos personales, debe determinarse la base jurídica con arreglo al artículo 6 y una condición independiente para el tratamiento con arreglo al artículo 9; recuerda a los responsables del tratamiento su obligación legal de llevar a cabo una evaluación de impacto relativa a la protección de datos cuando el tratamiento de datos pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas;

6.  Recuerda que, desde el inicio de la aplicación del RGPD, por «consentimiento» se entiende toda manifestación de voluntad libre, específica, informada e inequívoca del interesado; subraya que esto también se aplica a la Directiva sobre la privacidad y las comunicaciones electrónicas; señala que la ejecución de un consentimiento válido sigue viéndose comprometida por el uso de «patrones oscuros», seguimientos generalizados y otras prácticas poco éticas; observa con preocupación que las personas son objeto a menudo de presiones financieras para otorgar su consentimiento a cambio de descuentos u otras ofertas comerciales, o se ven obligadas a otorgar su consentimiento cuando el acceso a un servicio está condicionado mediante disposiciones vinculantes, en contravención del artículo 7 del RGPD; recuerda las normas armonizadas del CEPD sobre lo que constituye un consentimiento válido, que sustituyen las diversas interpretaciones de muchas autoridades nacionales de protección de datos y evitan la fragmentación dentro del mercado único digital; recuerda asimismo las directrices del CEPD y de la Comisión en las que se establece que, en los casos en que el interesado haya dado inicialmente su consentimiento, pero los datos personales se traten posteriormente con una finalidad distinta de aquella a la que el interesado dio su consentimiento, el consentimiento inicial no puede legitimar un tratamiento ulterior, ya que el consentimiento debe ser informado y específico para ser válido; toma nota de las próximas directrices del CEPD sobre el tratamiento de datos personales para la investigación científica, que aportarán claridad sobre el significado del considerando 50 del RGPD;

7.  Manifiesta su preocupación por el hecho de que el «interés legítimo» se mencione muy a menudo de forma indebida como base jurídica para el tratamiento; señala que los responsables del tratamiento siguen basándose en el interés legítimo sin llevar a cabo la requerida ponderación de los intereses, que incluye una evaluación de los derechos fundamentales; expresa su especial preocupación por el hecho de que algunos Estados miembros estén adoptando legislación nacional para determinar las condiciones para el tratamiento sobre la base del interés legítimo, estableciendo un equilibrio entre los intereses respectivos del responsable del tratamiento y de las personas afectadas, mientras que el RGPD obliga a todos y cada uno de los responsables del tratamiento a llevar a cabo tal ponderación de forma individual y a utilizar esa base jurídica; manifiesta su preocupación por el hecho de que algunas interpretaciones nacionales del interés legítimo no respeten el considerando 47 y prohíban efectivamente el tratamiento sobre la base del interés legítimo; acoge con satisfacción el hecho de que el CEPD ya haya iniciado la labor de actualización del dictamen del Grupo de Trabajo del Artículo 29 (GT29) sobre la aplicación del interés legítimo como base jurídica para el tratamiento, con el fin de abordar las cuestiones destacadas en el informe de la Comisión;

Derechos de los interesados

8.  Subraya que es necesario facilitar el ejercicio de los derechos individuales previstos en el RGPD, como el relativo a la portabilidad de los datos o los derechos en el contexto del tratamiento automatizado, incluida la elaboración de perfiles; acoge con satisfacción las directrices del CEPD respecto a la toma de decisiones automatizada y sobre la portabilidad de los datos; observa que el derecho a la portabilidad de los datos no se ha aplicado plenamente en varios sectores; pide al CEPD que anime a las plataformas en línea a crear un punto de contacto único para todas sus plataformas digitales subyacentes, desde el cual las solicitudes de los usuarios puedan enviarse al destinatario correcto; señala que, en consonancia con el principio de minimización de los datos, la aplicación del derecho al anonimato impide efectivamente la divulgación no autorizada, la usurpación de identidad y otras formas de uso indebido de los datos personales;

9.  Destaca que el respeto del derecho a ser informado exige que las empresas faciliten información de manera concisa, transparente, inteligible y de fácil acceso y que eviten adoptar un enfoque legalista a la hora de redactar los avisos de protección de datos; expresa su preocupación por el hecho de que algunas empresas sigan incumpliendo sus obligaciones en virtud del artículo 12, apartado 1, del RGPD y no faciliten toda la información pertinente recomendada por el CEPD, incluida la lista de las entidades con las que comparten datos; recuerda que la obligación de facilitar información sencilla y accesible es especialmente estricta en lo que se refiere a los niños; manifiesta su preocupación por la escasez generalizada de mecanismos eficaces de acceso a los datos para los interesados; señala que, a menudo, las personas no son capaces de obligar a las plataformas de internet a revelarles sus perfiles de comportamiento; expresa su preocupación por el hecho de que, con demasiada frecuencia, las empresas ignoran que los datos inferidos son también datos personales, sujetos a todas las garantías previstas en el RGPD;

Pequeñas empresas y organizaciones

10.  Observa que algunas partes interesadas refieren que la aplicación del RGPD plantea dificultades especiales para las pequeñas y medianas empresas (pymes), las empresas emergentes, las organizaciones y las asociaciones, incluidas las escuelas, así como los clubes y las sociedades; observa, no obstante, que muchos de los derechos y obligaciones del RGPD no son nuevos, sino que ya estaban en vigor en virtud de la Directiva 95/46/CE(4), aunque su aplicación fuese poco frecuente; considera que el RGPD y su ejecución no deben comportar consecuencias indeseadas en materia de conformidad para las empresas más pequeñas, pero no para las grandes empresas; estima que las autoridades nacionales y las campañas de información de la Comisión deben ofrecer más apoyo, información y formación para contribuir al aumento del conocimiento, la calidad de la aplicación y la sensibilización sobre los requisitos y la finalidad del RGPD;

11.  Señala que no existen excepciones para las pymes, las empresas emergentes, las organizaciones y las asociaciones, incluidas las escuelas, los clubes y las sociedades, que están sujetas al ámbito de aplicación del RGPD; pide, por tanto, al CEPD que proporcione información clara para evitar cualquier confusión en la interpretación del RGPD y que cree una herramienta práctica del RGPD para facilitar su aplicación por parte de las pymes, las empresas emergentes, las organizaciones y las asociaciones, incluidas las escuelas, los clubes y las sociedades, con actividades de tratamiento de bajo riesgo; pide a los Estados miembros que pongan a disposición de las autoridades de protección de datos medios suficientes para difundir información acerca de estas herramientas prácticas; anima al CEPD a que desarrolle modelos de política de privacidad que las organizaciones puedan utilizar, ayudándolas así a demostrar su cumplimiento del RGPD en la práctica sin tener que depender de costosos servicios de terceros;

Ejecución

12.  Expresa su preocupación por la ejecución desigual y, en ocasiones, inexistente del RGPD por parte de las autoridades nacionales de protección de datos más de dos años después del inicio de su aplicación, y lamenta, por tanto, que la situación de ejecución no haya mejorado sustancialmente respecto de la situación con arreglo a la Directiva 95/46/CE;

13.  Toma nota de que se presentaron alrededor de 275 000 denuncias y se impusieron 785 multas administrativas por infracciones diferentes durante los primeros 18 meses de aplicación del RGPD, pero señala que hasta la fecha solo se ha hecho seguimiento de un porcentaje muy reducido de las denuncias presentadas; es consciente de los problemas causados por las violaciones de la seguridad de los datos personales, y recuerda las orientaciones actuales del CEPD, que ofrecen claridad sobre el calendario de notificación, comunicación a los interesados y vías de recurso, entre otros; señala que un formulario normalizado europeo de notificación de violaciones de datos podría ser beneficioso para armonizar los diversos enfoques nacionales; lamenta, no obstante, que el importe de las multas varíe significativamente entre los distintos Estados miembros y que algunas multas impuestas a grandes empresas sean demasiado bajas para tener el efecto disuasorio previsto contra las violaciones de la protección de datos; pide a las autoridades de protección de datos que refuercen la ejecución, el enjuiciamiento y las sanciones en el caso de las violaciones de la protección de datos, que hagan pleno uso de las posibilidades que ofrece el RGPD para imponer multas y utilicen otras medidas correctivas; subraya que las prohibiciones de tratamiento o la obligación de suprimir los datos personales obtenidos de manera no conforme con el RGPD pueden tener un efecto disuasorio igual o superior al de las multas; pide a la Comisión y al CEPD que armonicen las sanciones mediante la presentación de directrices y criterios claros, como ha hecho la conferencia de autoridades de control alemanas, con el fin de aumentar la seguridad jurídica y evitar que las empresas se establezcan en los lugares donde se impongan las sanciones más bajas;

14.  Observa con preocupación la duración de la investigación de los casos por parte de algunas autoridades de protección de datos y su efecto adverso en la ejecución efectiva del Reglamento y en la confianza de los ciudadanos; insta a las autoridades de protección de datos a que aceleren la resolución de los casos y que utilicen toda la gama de posibilidades en virtud del RGPD, en particular en caso de infracciones sistemáticas y persistentes, incluidas aquellas con intereses remunerados y con un gran número de interesados afectados;

15.  Manifiesta su preocupación por que las autoridades de control de 21 Estados del total de 31 Estados que aplican el RGPD, esto es, todos los Estados de la Unión Europea, del Espacio Económico Europeo y el Reino Unido hayan declarado explícitamente que carecen de recursos humanos, técnicos y financieros, locales e infraestructura suficientes para desempeñar eficazmente sus tareas y ejercer sus competencias; manifiesta su preocupación, asimismo, por la falta de personal técnico especializado en la mayoría de las autoridades de control de toda la Unión, lo que dificulta las investigaciones y la ejecución; observa con preocupación que las autoridades de control se encuentran bajo presión debido a la creciente disparidad entre su responsabilidad de protección de los datos personales y sus recursos para hacerlo; observa, además, que los servicios digitales serán cada vez más complejos debido al mayor uso de innovaciones como la inteligencia artificial (es decir, el empeoramiento del problema de la transparencia limitada en el tratamiento de datos, especialmente en el caso de la formación algorítmica); señala, por tanto, la importancia de que las autoridades de control de la Unión, así como el CEPD, dispongan de suficientes recursos financieros, técnicos y humanos para poder hacer frente rápida pero exhaustivamente a un número cada vez mayor de casos complejos y que requieren una gran cantidad de recursos, y para coordinar y facilitar la cooperación entre las autoridades nacionales de protección de datos, hacer seguimiento adecuadamente de la aplicación del RGPD y proteger los derechos y libertades fundamentales; expresa su preocupación por que la insuficiencia de recursos de las autoridades de protección de datos, en particular cuando se comparan con los ingresos de las grandes empresas de tecnología de la información, pueda dar lugar a acuerdos entre ambas, a fin de limitar el coste de los procedimientos largos y engorrosos;

16.  Pide a la Comisión que estudie la posibilidad de obligar a las grandes empresas tecnológicas multinacionales a pagar su propia supervisión mediante la introducción de un impuesto digital de la Unión;

17.  Observa con preocupación que la falta de control del cumplimiento por parte de las autoridades de protección de datos y la inacción por parte de la Comisión para abordar la falta de recursos de las autoridades de protección de datos hacen recaer la carga de la ejecución en los ciudadanos cuando interponen demandas de protección de datos ante un órgano jurisdiccional; expresa su preocupación por el hecho de que, en ocasiones, los tribunales ordenen que se indemnice a los demandantes particulares sin ordenar a la organización o empresa que solucione problemas estructurales; estima que las ejecuciones a nivel privado pueden generar una importante jurisprudencia pero no sustituyen la ejecución a cargo de las autoridades de protección de datos ni la actuación de la Comisión para hacer frente a la falta de recursos; lamenta que estos Estados miembros incumplan el artículo 52, apartado 4, del RGPD; pide, por tanto, a los Estados miembros que cumplan su obligación jurídica en virtud del artículo 52, apartado 4, de asignar suficientes fondos a sus autoridades de protección de datos, a fin de permitirles llevar a cabo su trabajo de la mejor manera posible y garantizar unas condiciones de competencia equitativas a escala europea en la aplicación del RGPD; lamenta que la Comisión todavía no haya iniciado los procedimientos de infracción contra los Estados miembros que hayan incumplido sus obligaciones en virtud del RGPD e insta a la Comisión a que lo haga sin demora; pide a la Comisión y al CEPD que organicen un seguimiento de la Comunicación de la Comisión de 24 de junio de 2020 que evalúe el funcionamiento del RGPD y su aplicación;

18.  Lamenta que la mayoría de los Estados miembros haya optado por no aplicar el artículo 80, apartado 2, del RGPD; pide a todos los Estados miembros que hagan uso del artículo 80, apartado 2, y que apliquen el derecho a presentar reclamaciones y a dirigirse ante un órgano jurisdiccional sin que el interesado les haya otorgado mandato; pide a los Estados miembros que aclaren la posición de los reclamantes en los procedimientos con arreglo a la legislación nacional relativa a los procedimientos administrativos aplicables a las autoridades de control; señala que esto debe aclarar que los reclamantes no se limitan a un papel pasivo durante el procedimiento, sino que deben poder intervenir en diferentes fases;

Cooperación y coherencia

19.  Señala que una aplicación deficiente es especialmente evidente en las reclamaciones transfronterizas, y lamenta que las autoridades de protección de datos de catorce Estados miembros no dispongan de los recursos adecuados para contribuir a los mecanismos de cooperación y coherencia; pide al CEPD que redoble sus esfuerzos por garantizar la correcta aplicación de los artículos 60 y 63 del RGPD, y recuerda a las autoridades de control que hagan uso, en circunstancias excepcionales, del procedimiento de urgencia del artículo 66 del RGPD, en particular de las medidas provisionales;

20.  Subraya la importancia del mecanismo de ventanilla única para proporcionar seguridad jurídica y reducir la carga administrativa tanto para las empresas como para los ciudadanos; expresa, sin embargo, gran preocupación por el funcionamiento del mecanismo de ventanilla única, en particular por lo que se refiere al papel de las autoridades irlandesa y luxemburguesa de protección de datos; observa que estas autoridades de protección de datos son las encargadas de tramitar un gran número de asuntos, puesto que muchas empresas tecnológicas han registrado su sede en la Unión en Irlanda o Luxemburgo; expresa su especial preocupación por el hecho de que, en general, la autoridad irlandesa de protección de datos archive la mayoría de los casos con un acuerdo en lugar de una sanción y por que los casos remitidos a Irlanda en 2018 ni siquiera hayan alcanzado la fase de proyecto de decisión de conformidad con el artículo 60, apartado 3, del RGPD; pide a estas autoridades de protección de datos que aceleren las investigaciones en curso sobre los asuntos de mayor relevancia para mostrar a los ciudadanos de la Unión que la protección de datos es un derecho protegido jurídicamente en la Unión; señala que el éxito del «mecanismo de ventanilla única» depende del tiempo y del esfuerzo que las autoridades de protección de datos puedan dedicar a la tramitación y la cooperación en casos transfronterizos individuales en el CEPD, y que la falta de voluntad política y de recursos tiene consecuencias inmediatas en el funcionamiento de este mecanismo;

21.  Observa incoherencias entre las directrices de los Estados miembros y las del CEPD; señala que las autoridades nacionales de protección de datos pueden realizar diferentes interpretaciones del RGPD, lo que da lugar a aplicaciones diferentes en los diversos Estados miembros; observa que esta situación está generando ventajas y desventajas geográficas para las empresas; insta a la Comisión a que evalúe si los procedimientos administrativos nacionales obstaculizan la plena eficacia de la cooperación de conformidad con el artículo 60 del RGPD y su aplicación eficaz; pide a las autoridades de protección de datos que se esfuercen por lograr una interpretación y unas orientaciones coherentes, facilitadas a través del CEPD; pide, en particular, al CEPD que siente las bases de un procedimiento administrativo común para tramitar las reclamaciones en asuntos transfronterizos en el marco de la cooperación establecida en virtud del artículo 60; insta a que esto se lleve a cabo mediante la publicación de orientaciones sobre calendarios comunes para llevar a cabo investigaciones y adoptar decisiones; pide al CEPD que refuerce el mecanismo de coherencia y lo haga obligatorio para cualquier asunto de aplicación general o con efectos transfronterizos, a fin de evitar planteamientos y decisiones incoherentes de las distintas autoridades de protección de datos, ya que esto comprometería la interpretación y aplicación uniformes del RGPD; considera que esta interpretación, esta aplicación y esta orientación comunes contribuirán a la creación y al éxito del mercado único digital;

22.  Pide al CEPD que publique el orden del día de sus reuniones con anterioridad y que facilite resúmenes más detallados de estas al público y al Parlamento;

Fragmentación de la aplicación del RGPD

23.  Lamenta que el uso por los Estados miembros de las cláusulas de especificación facultativas (por ejemplo, el tratamiento en interés público o por parte de las autoridades públicas sobre la base de la legislación del Estado miembro y la edad de los menores para dar su consentimiento) haya sido perjudicial para la consecución de la plena armonización de la protección de datos y para la eliminación de las condiciones de mercado divergentes para las empresas en toda la Unión, y expresa su preocupación por que esto pueda aumentar el coste del cumplimiento del RGPD; pide al CEPD que presente orientaciones sobre cómo abordar la diferente aplicación de las cláusulas de especificación facultativas entre los Estados miembros; pide a la Comisión que haga uso de sus competencias para intervenir en los Estados miembros en los que las medidas, acciones y decisiones nacionales socaven el espíritu, el objetivo y el texto del RGPD, con vistas a evitar una protección desigual de los ciudadanos y distorsiones del mercado; destaca en este contexto que los Estados miembros han adoptado una franja de edad diferente para el consentimiento parental; pide, por tanto, a la Comisión y a los Estados miembros que evalúen el impacto de esta fragmentación en las actividades de los menores y en su protección en línea; hace hincapié en que, en caso de conflicto entre la legislación nacional de un Estado miembro y el RGPD, deben prevalecer las disposiciones de este último;

24.  Expresa una profunda preocupación por el abuso del RGPD por parte de las autoridades públicas de algunos Estados miembros para limitar a periodistas y organizaciones no gubernamentales; coincide plenamente con la Comisión en que las normas de protección de datos no deben afectar al ejercicio de la libertad de expresión y de información, en especial ejerciendo un efecto paralizante o siendo interpretadas como una forma de presionar a los periodistas para que revelen sus fuentes; expresa, no obstante, su decepción por el hecho de que la Comisión aún no haya concluido su evaluación sobre el equilibrio entre el derecho a la protección de los datos personales y la libertad de expresión y de información, como se indica en el artículo 85 del RGPD; pide a la Comisión que finalice su evaluación de la legislación nacional a este respecto sin demoras indebidas y que utilice todos los instrumentos disponibles, incluidos los procedimientos de infracción, para garantizar que los Estados miembros cumplan el RGPD y limitar cualquier fragmentación del marco de protección de datos;

Protección de datos desde el diseño

25.  Pide a las autoridades de control que evalúen la aplicación del artículo 25 sobre protección de datos desde el diseño y por defecto, en particular con vistas a garantizar las medidas técnicas y operativas necesarias para aplicar los principios de minimización de los datos y limitación de la finalidad, y que determinen cómo ha afectado esta disposición a los fabricantes de tecnologías de tratamiento; celebra que el CEPD adoptara en octubre de 2020 las Directrices 04/2019 sobre protección de datos desde el diseño y por defecto en virtud del artículo 25, con el fin de contribuir a la claridad jurídica de los conceptos; pide a las autoridades de control que evalúen también el uso adecuado de los parámetros por defecto, tal como se establece en el artículo 25, apartado 2, también por parte de los principales proveedores de servicios en línea; recomienda que el CEPD adopte directrices para determinar en qué condiciones específicas y en qué (tipos de) casos los fabricantes de TIC deben considerarse responsables del tratamiento de conformidad con el artículo 4, apartado 7, en la medida en que determinan los medios de tratamiento; señala que las prácticas de protección de datos siguen dependiendo en gran medida de tareas manuales y formatos arbitrarios y se ven lastradas por la incompatibilidad de los sistemas; pide al CEPD que elabore directrices que ayuden a aplicar en la práctica los requisitos en materia de protección de datos, incluidas directrices respecto de las evaluaciones de impacto relativas a la protección de datos (artículo 35), la protección de datos desde el diseño y por defecto (artículo 25), la información a los interesados (artículos 12 a 14), el ejercicio de los derechos de los interesados (artículos 15 a 18 y 20 a 21) y el registro de las actividades de tratamiento (artículo 30); pide al CEPD que garantice que dichas directrices sean fáciles de aplicar y también legibles mecánicamente para permitir la comunicación máquina a máquina entre los interesados, los responsables del tratamiento y las autoridades de protección de datos (automatizando la protección de datos); pide a la Comisión que desarrolle iconos legibles mecánicamente con arreglo al artículo 12, apartado 8, para informar a los interesados, en estrecha coordinación con el CEPD; anima al CEPD y a las autoridades de control a que aprovechen todo el potencial del artículo 21, apartado 5, sobre formas automatizadas de oponerse al tratamiento de datos personales;

Directrices

26.  Pide al CEPD que armonice en la práctica la aplicación de los requisitos de protección de datos mediante el desarrollo de directrices, en particular la necesidad de evaluar los riesgos relacionados con el tratamiento de datos para los interesados (artículos 12 a 14), el ejercicio de los derechos de los interesados (artículos 15 a 18 y 20 a 21) y la aplicación del principio de rendición de cuentas; pide al CEPD que emita directrices que clasifiquen diferentes usos legítimos de la elaboración de perfiles en función de sus riesgos para los derechos y libertades de los interesados, junto con recomendaciones sobre medidas técnicas y organizativas adecuadas y una delimitación clara de los casos de uso ilegal; pide al CEPD que revise el Dictamen 05/2014 del Grupo de Trabajo del Artículo 29, de 10 de abril de 2014, sobre técnicas de anonimización y que establezca una lista de criterios inequívocos para lograr la anonimización; anima al CEPD a que aclare el tratamiento de datos con fines de recursos humanos; toma nota de la conclusión del CEPD de que debe mantenerse la necesidad de evaluar los riesgos relacionados con el tratamiento de datos, tal como se establece en el RGPD, ya que los riesgos para los interesados no están relacionados con el tamaño de los responsables del tratamiento de datos; pide un mejor uso del mecanismo en virtud del cual la Comisión puede solicitar asesoramiento al CEPD sobre las cuestiones contempladas por el RGPD;

27.  Observa que la pandemia de COVID-19 ha puesto de relieve la necesidad de una orientación clara por parte de las autoridades de protección de datos y del CEPD sobre la aplicación y la ejecución adecuadas del RGPD en las políticas de salud pública; recuerda, a este respecto, las Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19 y las Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto del brote de COVID-19; pide a la Comisión que garantice el pleno cumplimiento del RGPD al crear el espacio común europeo de datos sanitarios;

Flujos internacionales de datos personales y cooperación internacional

28.  Subraya la importancia de permitir la libre circulación de datos personales a escala internacional sin reducir el nivel de protección garantizado en el marco del RGPD; apoya la práctica de la Comisión de abordar la protección de datos y la circulación de datos personales al margen de los acuerdos comerciales; considera que la cooperación internacional en el ámbito de la protección de datos y la convergencia de las normas pertinentes hacia el RGPD mejorarán la confianza mutua, fomentarán la comprensión de los retos tecnológicos y jurídicos y, en última instancia, facilitarán los flujos transfronterizos de datos, que son de vital importancia para el comercio internacional; reconoce la existencia de requisitos jurídicos contradictorios para las empresas que desarrollan actividades en el ámbito del tratamiento de datos en la Unión, así como en países y territorios terceros, en particular los Estados Unidos;

29.  Subraya que las decisiones de adecuación no deben ser políticas, sino jurídicas; alienta la continuación de los esfuerzos para promover marcos jurídicos mundiales que permitan las transferencias de datos sobre la base del RGPD y del Convenio 108 + del Consejo de Europa; señala, asimismo, que las partes interesadas consideran que las decisiones de adecuación son un instrumento esencial para estos flujos de datos, ya que no los asocian a condiciones o autorizaciones adicionales; subraya, no obstante, que hasta ahora solo se han adoptado decisiones de adecuación para nueve países, a pesar de que muchos otros terceros países hayan adoptado recientemente nuevas leyes en materia de protección de datos, con normas y principios similares a los del RGPD; observa que, hasta la fecha, ningún mecanismo único que garantice la transferencia legal de datos personales comerciales entre la Unión y los Estados Unidos ha sido objeto de recurso ante el Tribunal de Justicia de la Unión Europea (TJUE);

30.  Acoge con satisfacción la adopción de la primera decisión de adecuación mutua entre la Unión y Japón, que ha creado la mayor zona de flujos de datos libres y seguros del mundo; pide, no obstante, a la Comisión que tenga en cuenta todas las cuestiones planteadas por el Parlamento en la primera revisión de este instrumento y que ponga los resultados a disposición del público lo antes posible, ya que la revisión debería haberse adoptado, a más tardar, en enero de 2021;

31.  Pide a la Comisión que publique el conjunto de criterios utilizados para determinar si se considera que un tercer país ofrece un nivel de protección «esencialmente equivalente» al que se procura en la Unión, sobre todo en lo que atañe al acceso a recursos y al acceso gubernamental a los datos; insiste en la necesidad de garantizar la aplicación efectiva y el cumplimiento de las disposiciones relativas a las transferencias o comunicaciones no autorizadas por el Derecho de la Unión de conformidad con el artículo 48 del RGPD, en particular en lo que respecta a las solicitudes de acceso a datos personales en la Unión por parte de autoridades de terceros países, y pide al CEPD y a las autoridades de protección de datos que faciliten orientación y garanticen el cumplimiento de estas disposiciones, también en la evaluación y el desarrollo de mecanismos de transferencia de datos personales;

32.  Pide a la Comisión que adopte actos delegados con el fin de especificar los requisitos que deben tenerse en cuenta para el mecanismo de certificación de protección de datos de conformidad con el artículo 42, apartado 1, a fin de impulsar el uso de este último, junto con compromisos vinculantes y exigibles del responsable o del encargado del tratamiento en el tercer país de aplicar las garantías adecuadas, también en lo que respecta a los derechos de los interesados, como medio para las transferencias internacionales, tal como se establece en el artículo 46, apartado 2, letra f);

33.  Reitera que los programas de vigilancia masiva que engloban la recogida de datos en bruto impiden las conclusiones de adecuación; insta a la Comisión a que aplique las conclusiones del TJUE en los asuntos Schrems I(5) y II(6) y Privacy International y otros (2020)(7) a todas las revisiones de las decisiones de adecuación, así como a las negociaciones en curso y futuras; recuerda que las transferencias amparadas en las excepciones para situaciones específicas en virtud del artículo 49 del RGPD deben seguir siendo excepcionales; celebra las directrices del CEPD y de las autoridades de protección de datos a este respecto y pide que garanticen una interpretación coherente en la aplicación y el control de dichas excepciones en consonancia con las Directrices 02/2018 del CEPD;

34.  Pide a las autoridades de protección de datos y a la Comisión que evalúen sistemáticamente si las normas de protección de datos se aplican en la práctica en terceros países, de conformidad con la jurisprudencia del TJUE;

35.  Insta a la Comisión a publicar sin demora indebida su revisión de las decisiones de adecuación adoptadas con arreglo a la Directiva de 1995; destaca que, a falta de una decisión de adecuación, las cláusulas contractuales tipo son la herramienta más utilizada para las transferencias internacionales de datos; toma nota de que el TJUE confirmó la validez de la Decisión 2010/87/UE sobre cláusulas contractuales tipo(8), al tiempo que exige una evaluación del nivel de protección concedido a los datos transferidos a un tercer país y de los aspectos pertinentes del sistema jurídico de dicho tercer país en lo que respecta al acceso de las autoridades públicas a los datos personales transferidos; insta a la Comisión a que acelere su trabajo sobre la modernización de las cláusulas contractuales tipo para las transferencias internacionales de datos a fin de garantizar la igualdad de condiciones para las pymes a escala internacional; acoge con satisfacción la publicación por parte de la Comisión de un proyecto de cláusulas contractuales tipo y el objetivo de facilitar su utilización y de abordar las deficiencias detectadas en las normas actuales;

36.  Recuerda las Directrices 1/2019 del CEPD sobre códigos de conducta y organismos de supervisión con arreglo al Reglamento (UE) 2016/679; reconoce que este instrumento está infrautilizado actualmente a pesar de garantizar el cumplimiento del RGPD cuando se utiliza junto con los compromisos vinculantes y exigibles del responsable o encargado del tratamiento en el tercer país para aplicar las salvaguardias adecuadas; destaca el potencial de este instrumento para apoyar mejor a las pymes y ofrecer una mayor seguridad jurídica en el contexto de las transferencias internacionales de datos entre diferentes sectores;

Futura legislación de la Unión

37.  Es de la opinión de que el RGPD, al ser tecnológicamente neutro, proporciona un marco normativo sólido para las tecnologías emergentes; considera, no obstante, que son necesarios esfuerzos adicionales para abordar cuestiones más amplias relativas a la digitalización, como las situaciones de monopolio y los desequilibrios de poder a través de una regulación específica, y considerar cuidadosamente la correlación del RGPD con cada nueva iniciativa legislativa a fin de garantizar la coherencia y colmar las lagunas jurídicas; recuerda a la Comisión su obligación de garantizar que las propuestas legislativas, como la gestión de datos, la ley de datos, la ley de servicios digitales o en materia de inteligencia artificial, cumplan siempre plenamente el RGPD y la Directiva sobre protección de datos en el ámbito penal(9); considera que los textos definitivos adoptados por los colegisladores a través de negociaciones interinstitucionales deben respetar plenamente el acervo en materia de protección de datos; lamenta, sin embargo, que la propia Comisión no siempre adopte un enfoque coherente en materia de protección de datos en las propuestas legislativas; subraya que una referencia a la aplicación del RGPD, o introducir la frase «sin perjuicio del RGPD», no hace que la propuesta sea automáticamente conforme con dicho Reglamento; pide a la Comisión que consulte al Supervisor Europeo de Protección de Datos (SEPD) y al CEPD cuando haya repercusiones en materia de protección de los derechos y libertades de las personas en lo que respecta al tratamiento de datos personales tras la adopción de propuestas de acto legislativo; pide, asimismo, a la Comisión que, cuando prepare propuestas o recomendaciones, se esfuerce por consultar al SEPD, a fin de garantizar la coherencia de las normas de protección de datos en toda la Unión, y que realice siempre una evaluación de impacto;

38.  Señala que la elaboración de perfiles, aunque solo esté permitida por el artículo 22 del RGPD en condiciones estrictas y rigurosas, se utiliza cada vez más, ya que las actividades en línea de las personas permiten una profunda comprensión de su psicología y su vida privada; observa que, dado que la elaboración de perfiles permite manipular el comportamiento de los usuarios, la recopilación y el tratamiento de datos personales sobre el uso de servicios digitales deben limitarse a la medida estrictamente necesaria para la prestación del servicio y la facturación a los usuarios; pide a la Comisión que proponga una legislación sectorial estricta en materia de protección de datos para categorías sensibles de datos personales en los casos en que aún no lo haya hecho; exige la estricta aplicación del RGPD en el tratamiento de datos personales;

39.  Pide que se dote a los consumidores de los conocimientos necesarios para que tomen decisiones informadas sobre las consecuencias para la privacidad del uso de las nuevas tecnologías y que se les garantice un tratamiento justo y transparente proporcionándoles opciones para que fácilmente otorguen su consentimiento al tratamiento de sus datos personales, o lo retiren, tal como se prevé en el RGPD;

Directiva sobre protección de datos en el ámbito penal

40.  Manifiesta su preocupación por el hecho de que las normas de protección de datos utilizadas en el ámbito penal sean en gran medida inadecuadas para cumplir con las competencias recientemente creadas en dicho ámbito; pide, por tanto, a la Comisión que evalúe la Directiva sobre protección de datos en el ámbito penal antes de lo previsto en ella y que haga pública dicha revisión;

Reglamento sobre la privacidad y las comunicaciones electrónicas

41.  Expresa su profunda preocupación por la falta de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas(10) por parte de los Estados miembros a la vista de los cambios introducidos por el RGPD; pide a la Comisión que acelere su evaluación e inicie procedimientos de infracción contra los Estados miembros que no hayan aplicado correctamente la Directiva sobre la privacidad y las comunicaciones electrónicas; expresa una gran preocupación por que el retraso en la reforma de la Directiva sobre la privacidad y las comunicaciones electrónicas, que debería haberse efectuado hace ya varios años, conduzca a un panorama jurídico fragmentado en la Unión, perjudicial tanto para las empresas como para los ciudadanos; recuerda que el Reglamento sobre la privacidad y las comunicaciones electrónicas(11) se concibió para complementar y detallar el RGPD y para que coincidiese con la entrada en vigor del RGPD; subraya que la reforma de las normas sobre la privacidad y las comunicaciones electrónicas no debe conducir a una disminución del nivel actual de protección que ofrecen el RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas; lamenta que el Consejo tardara cuatro años en adoptar finalmente su posición de negociación sobre la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas, mientras que el Parlamento adoptó la suya en octubre de 2017; recuerda la importancia de actualizar las normas sobre la privacidad y las comunicaciones electrónicas de 2002 y 2009 con el fin de mejorar la protección de los derechos fundamentales de los ciudadanos y la seguridad jurídica para las empresas, complementando así el RGPD;

o
o   o

42.  Encarga a su presidente que transmita la presente Resolución a la Comisión, al Consejo Europeo, a los Gobiernos y a los Parlamentos nacionales de los Estados miembros, al Comité Europeo de Protección de Datos y al Supervisor Europeo de Protección de Datos.

(1) DO L 119 de 4.5.2016, p. 1. (2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_contributiongdprevaluation_20200218.pdf (3) https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf (4) Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31). (5) Sentencia del Tribunal de Justicia, de 6 de octubre de 2015, Maximillian Schrems contra Data Protection Commissioner, asunto C-362/14, ECLI:EU:C:2015:650. (6) Sentencia del Tribunal de Justicia, de 16 de julio de 2020, Data Protection Commissioner contra Facebook Ireland Limited y Maximilian Schrems, C-311/18, ECLI:EU:C:2020:559. (7) Sentencias en el asunto C-623/17, Privacy International, y en los asuntos acumulados C-511/18 La Quadrature du Net y otros, C-512/18 French Data Network y otros, y C-520/18 Ordre des barreaux francophones et germanophone y otros. (8) Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE Parlamento Europeo y del Consejo, modificada por la Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016 (DO L 39 de 12.2.2010, p. 5). (9) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89). (10) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, (DO L 201 de 31.7.2002, p. 37). (11) Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (COM(2017)0010).