Desde la Asociación Profesional de Consultores en Protección de Datos venimos insistiendo en una idea que cada vez es más evidente: para entender cómo se está aplicando el RGPD hoy, no basta con leer la norma. Hay que seguir de cerca las decisiones del European Data Protection Board.

Y, si uno revisa algunas de sus decisiones vinculantes más relevantes, el mensaje es bastante claro.

1. Caso Meta: el consentimiento no es lo que algunas empresas creen

En varias decisiones vinculantes relativas a Meta Platforms, el EDPB corrigió el enfoque adoptado inicialmente por la autoridad irlandesa.

El punto clave era el uso de la “ejecución del contrato” como base jurídica para tratamientos publicitarios.

El EDPB fue claro:

• La publicidad comportamental no puede ampararse en la ejecución del contrato
• Debe basarse, en su caso, en consentimiento válido

Esto, que puede parecer obvio sobre el papel, ha tenido un impacto enorme en la práctica.

Muchas organizaciones han tenido que revisar sus bases legitimadoras.
Y no solo las grandes plataformas.

2. Transferencias internacionales: endurecimiento del enfoque

En distintos procedimientos, el EDPB ha reforzado el análisis sobre transferencias internacionales, especialmente tras el contexto generado por la sentencia Schrems II.

El mensaje que se desprende no es nuevo, pero sí más contundente:

• No basta con firmar cláusulas contractuales tipo
• Es necesario analizar el contexto real de la transferencia
• Y evaluar el acceso por parte de autoridades del país de destino

Esto enlaza directamente con el debate actual sobre el EU-US Data Privacy Framework.

En otras palabras: el instrumento jurídico no es suficiente si no va acompañado de análisis real.

3. TikTok y menores: especial rigor en datos sensibles

En decisiones relativas a TikTok, el EDPB ha reforzado el enfoque en la protección de menores.

Aquí el criterio es especialmente exigente:

• Mayor carga de transparencia
• Limitaciones claras en el tratamiento de datos
• Necesidad de medidas reforzadas de protección

Y esto no se limita a redes sociales.

Cualquier tratamiento que afecte a menores empieza a analizarse con un nivel de exigencia mucho mayor.

4. El verdadero mensaje del EDPB: menos flexibilidad, más rigor

Si uno conecta todas estas decisiones, hay un patrón bastante claro.

El EDPB está empujando hacia:

• Interpretaciones más estrictas del RGPD
• Menor margen para construcciones jurídicas “creativas”
• Mayor exigencia en la justificación de tratamientos

Dicho de forma directa:
lo que antes podía “colarse”, ahora difícilmente pasa.

5. Implicaciones reales para el asesoramiento

Esto tiene consecuencias muy concretas para consultores y DPD:

• No basta con aplicar criterios históricos
• Hay que revisar constantemente cómo evolucionan las decisiones europeas
• Y, sobre todo, anticipar hacia dónde va el regulador

Porque el riesgo no es solo incumplir.
El riesgo es asesorar con criterios que ya han quedado superados.

Conclusión

Las decisiones vinculantes del European Data Protection Board están redefiniendo, poco a poco, la aplicación práctica del Reglamento General de Protección de Datos.

No hacen ruido.
Pero cambian las reglas.

Y quien no las tenga en cuenta, probablemente seguirá aplicando un RGPD que ya no existe exactamente en esos términos.