Autoridad de control de protección de datos ¿Qué es y dónde se regula?

En muchos de nuestros artículos sobre protección de datos hemos nombrado a la autoridad de control de protección de datos, pero ¿qué es esta autoridad de control?, ¿dónde y cómo se regula?, ¿cuáles son sus competencias, funciones y poderes?, ¿cuántas autoridades de control de protección de datos existen?

¿Qué es la autoridad de control en materia de protección de datos?

La autoridad de control en materia de protección de datos, o APD, es una autoridad pública e independiente que se ocupa de supervisar la aplicación y cumplimiento de la normativa de protección de datos, gracias a los poderes de investigación y correctivos que le han sido otorgados.

Así mismo, entre sus funciones, cómo veremos más adelante, también está asesorar en materia de protección de datos a entidades públicas y privadas, y tramitar las reclamaciones por vulneraciones o infracciones del RGPD y las legislaciones nacionales de protección de datos de entidades privadas y públicas, así como de particulares en determinados casos.

La normativa de protección de datos establece que cada Estado miembro de la UE deberá tener su correspondiente autoridad de control. Por lo tanto, en realidad no hablamos de una única autoridad de control, sino de varias autoridades de control, que además deben colaborar entre sí, para mantener la coherencia en la aplicación del RGPD en toda la UE.

¿Qué normativa regula la autoridad de control de protección de datos?

Las autoridades de control de la protección de datos están reguladas en el RGPD, en los artículos 51 a 67, en los que se establecen su independencia, su creación, su funcionamiento, su competencia, funciones y poderes, así como los mecanismos de cooperación y coherencia entre las diferentes autoridades de control de los Estados Miembros.

En España, las autoridades de control de protección de datos están reguladas en la LOPDGDD, en los artículos 44 a 62. En ellos se regula el funcionamiento y potestades de la Agencia Española de Protección de Datos (AEPD), así como de las autoridades autonómicas de protección de datos.

¿Cómo se regulan las autoridades de control de protección de datos?

Cómo decíamos, el RGPD establece que son los Estados miembros quienes deben establecer la creación de la autoridad o autoridades independientes de sus países, siempre de acuerdo a las condiciones generales para su funcionamiento, competencias, funciones y poderes recogidos en el Reglamento.

En ese sentido, cuando existan varias autoridades de control dentro de un mismo Estado, este deberá designar a una autoridad de control que representará a todas ante el Comité Europeo de Protección de Datos (CEPD). Esta autoridad de control, además, será la encargada de asegurarse que se mantiene la coherencia en el cumplimiento de la normativa.

Así mismo, las autoridades de control deben ser plenamente independientes y no sufrir ningún tipo de injerencia externa en el desempeño de sus funciones y poderes. En cuanto a sus miembros, no podrán ejercer ninguna actividad profesional o no que pueda ser incompatible con sus funciones.

La autoridad de control podrá disponer de su propio personal y los Estados miembros deberán dotarlas de los recursos humanos, técnicos, materiales y financieros necesarios y suficientes para el desempeño de sus funciones y poderes.

Cada Estado miembro deberá establecer la forma de nombramiento de los miembros de la autoridad de control, las aptitudes y formación necesarias para poder ser miembro, la duración del mandato de los miembros de autoridad de control, que no podrá ser inferior a cuatro años, si el mandato será o no renovable y cuántas veces podrá renovarse, así como las condiciones, prohibiciones e incompatibilidades durante el mandato y después del mismo.

Así mismo, los miembros de la autoridad de control solo podrán ser destituidos por conducta irregular grave o por dejar de cumplir las condiciones exigidas para el desempeño de sus funciones.

Finalmente, cada autoridad de control deberá elaborar un informe anual de sus actividades, que remitirá al Parlamento nacional, al Gobierno y a las demás autoridades que proceda según el Derecho de los Estados miembros. Este informe también se pondrá a disposición del público, de la Comisión y del Comité.

¿Cuántas autoridades de datos existen?

Sin contar las autoridades de control regionales, en la UE existen 28 autoridades de control, una por cada Estado miembro más el Supervisor Europeo de Protección de Datos (SEPD), que es una autoridad de control independiente para toda la UE. Podéis encontrar el resto de autoridades de control en el índice de las autoridades de control de protección de datos de la UE.

En cuanto a España, las autoridades de control son cuatro; la ya citada AEPD, que es quien ejerce como autoridad de control principal en España y de cara al CEPD, y las siguientes tres autoridades de control autonómicas:

•     La Autoridad Catalana de Protección de Datos
•     La Agencia Vasca de Protección de Datos
•     El Consejo de Transparencia y Protección de Datos de Andalucía

Las autoridades de control de protección de datos autonómicas pueden ejercer las funciones y potestades establecidas en los artículos 57 y 58 del RGPD cuando se refieran a:

• Tratamientos de los que sean responsables entidades del sector público de la Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial.
• Tratamientos realizados por personas físicas o jurídicas para el ejercicio de funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
• Tratamientos que estén expresamente previstos en los respectivos Estatutos de Autonomía.

Competencias de las autoridades de control de protección de datos

Cada autoridad de control de protección de datos será competente en su propio territorio (el Estado Miembro al que pertenezca), así como en aquellos territorios en los que se realicen tratamientos por parte de autoridades públicas u organismos privados, cuya finalidad sea cumplir una obligación legal o una misión en interés público o en el ejercicio de poderes públicos.

En el caso de tratamientos de datos transfronterizos, es decir, cuando las entidades responsables del tratamiento se encuentran en varios Estados Miembros, la autoridad de control competente será la del Estado Miembro en la que la entidad tenga su sede principal (establecimiento fiscal). Esta autoridad será considerada la autoridad de control principal y deberá supervisar las actividades de tratamiento de estas entidades.

Esta forma de cooperación entre las autoridades de control de diferentes Estados Miembros se denomina «mecanismo de ventanilla única». Un ejemplo del mismo es la autoridad de control de Irlanda, la Data Protection Commissioner, que gestiona las reclamaciones a empresas como Facebook, por tener allí su sede fiscal en Europa.

De manera que, aunque haya una autoridad de control interesada en estudiar una reclamación contra una entidad con presencia en varios Estados Miembros, antes deberá valorar si la reclamación puede tener carácter transfronterizo, dando inicio a un procedimiento de cooperación y coherencia, para que todas las autoridades de control que puedan verse afectadas adopten una solución aceptable e igual. En algunos de estos casos, es posible que el CEPD evalúe el caso y medie entre las diferentes autoridades.

La autoridad de control de protección de datos no es competente para controlar las actividades de tratamiento que lleven a cabo los tribunales de justicia en el desempeño de sus funciones.

Funciones de las autoridades de control

Las funciones de la autoridad de control de protección de datos de cualquier Estado Miembro están establecidas en el artículo 57 del RGPD y son las siguientes:

• Supervisar e investigar la aplicación del RGPD.
• Informar, sensibilizar y concienciar a la población, responsables y encargados de la importancia de la protección de datos personales.
• Asesorar a los gobiernos y otras instituciones y organismos públicos en materia de protección de datos, medidas legislativas y administrativas.
• Informar a los interesados (los titulares de los datos, es decir, las personas físicas) sobre sus derechos.
• Recibir, tramitar, archivar o resolver las reclamaciones recibidas.
• Cooperar con otras autoridades de control y contribuir a las actividades del CEPD.
• Evaluar cambios tecnológicos que puedan tener incidencia e impacto en la protección de datos.
• Adoptar cláusulas contractuales tipo y autorizar las cláusulas no tipo.
• Elaborar y actualizar la lista de entidades obligadas a realizar evaluaciones de impacto de protección de datos y responder las consultas previas al respecto.
• Fomentar y gestionar la creación de códigos de conducta y mecanismos de certificación en protección de datos.
• Aprobar las normas corporativas vinculantes.
• Registrar infracciones y medidas adoptadas.

Poderes de las autoridades de control de protección de datos

Por su parte, el artículo 58 del RGPD establece los poderes atribuidos a cada autoridad de control de protección de datos:

• Poderes de investigación:
  • Ordenar a responsables y encargados del tratamiento que faciliten cualquier información que requieran para el desempeño de sus funciones.
  • Realizar auditorías de protección de datos.
  • Revisar las certificaciones expedidas en virtud del artículo 42.7.
  • Notificar a responsables y encargados las presuntas infracciones cometidas.
  • Obtener de responsables y encargados el acceso a todos los datos personales y a toda la información necesaria para ejercer sus funciones.
  • Obtener acceso a todos los locales del responsable y encargado del tratamiento, incluidos los equipos y medios de tratamiento de datos, de acuerdo con el Derecho procesal de la UE o de los Estados miembros.
• Poderes correctivos:
  • Sancionar a responsables y encargados del tratamiento con una advertencia cuando las actividades de tratamiento puedan suponer una infracción del RGPD.
  • Sancionar a responsables y encargados del tratamiento con apercibimiento cuando las actividades de tratamiento hayan infringido el RGPD.
  • Ordenar a responsables o encargados del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado.
  • Ordenar a responsables o encargados del tratamiento que las actividades de tratamiento se ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y dentro de un plazo específico.
  • Ordenar a responsables del tratamiento que comuniquen a los interesados las brechas de seguridad.
  • Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
  • Ordenar la rectificación o supresión de datos personales o la limitación del tratamiento, y notificar dichas medidas a los interesados.
  • Imponer multa administrativa de acuerdo al artículo 83 del RGPD.
  • Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
• Poderes de autorización y consultivos:
  • Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa establecido en el artículo 36 del RGPD.
  • Emitir, por iniciativa propia o solicitud previa, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de datos personales.
  • Autorizar el tratamiento realizado por un responsable en el ejercicio de una misión realizada en interés público, en concreto, el tratamiento en relación con la protección social y la salud pública (art. 36.5)
  • Emitir dictamen y aprobar proyectos de códigos de conducta.
  • Acreditar los organismos de certificación.
  • Expedir certificaciones y aprobar criterios de certificación.
  • Adoptar cláusulas tipo de protección de datos.
  • Autorizar las cláusulas contractuales indicadas en el artículo 46.3.a.
  • Autorizar los acuerdos administrativos contemplados en el artículo 46.3.b.
  • Aprobar normas corporativas vinculantes.

En definitiva, las autoridades de control de protección de datos son los organismos independientes encargados de velar y supervisar el cumplimiento del RGPD en cada Estado miembro, de mantener la coherencia entre ellas y de investigar y sancionar las posibles infracciones cometidas por entidades privadas y públicas.