Por otra parte, el reglamento crea un procedimiento de cooperación entre los países de la Unión Europea en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.
Procedimientos transfronterizos
La aplicación del RGPD exige en muchos casos recabar el criterio de las autoridades de protección de datos de otros Estados miembros de la Unión Europea para actuar de forma coordinada en aquellos supuestos que afecten a varios países.
Según los datos de la Agencia Española de Protección de Datos, en las dos primeras semanas de aplicación del RGPD se abrieron 17 procedimientos transnacionales referidos, sobre todo, al ejercicio del“derecho al olvido”, el tratamiento de datos o la política de privacidad ylos términos de servicio de grandes entidades tecnológicas. Dichos expedientes tienen un potencial impacto en millones de ciudadanos europeos. Las autoridades de protección de datos de la UE estiman que el número de estos procedimientos transfronterizos podría situarse entre 13.000 a 16.000 al año.
Era por tanto necesario incorporar a la normativa española las especificidades de estos procedimientos transfronterizos y prever aspectos como su suspensión o la interrupción de los plazos de prescripción mientras las autoridades correspondientes revisan dichos procedimientos.
El reglamento europeo distingue en la práctica tres tipos de tratamientos a los que aplica distintas normas procedimentales: los tratamientos transfronterizos, los transfronterizos con relevancia local en un Estado miembro y aquéllos exclusivamente nacionales. En el caso de los dos primeros supuestos, la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisiónde “observaciones pertinentes motivadas”, y prevé el sometimiento de laresolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.
Todo ello imponía la necesidad de incorporar al procedimiento por presuntas infracciones fases específicas como la admisión a trámite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Española de Protección de Datos no tramite la reclamación, pero pueda tener que resolver sobre la misma.
El Real Decreto-ley incluye la previsión de suspender los procedimientos cuando sea necesario recabar el parecer de las autoridades de otros Estados europeos. De no hacerlo así, esos expedientes podrían caducar, con las consecuencias negativas que ello conlleva no sólo respecto de la aplicación en España del reglamento europeo, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto a su privacidad en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal.