¿Qué y cuáles son las autoridades de control de la protección de datos? ¿Qué normativa las regula? ¿Cuáles son sus competencias? ¿Qué funciones tienen? ¿Cuál es la autoridad de control en España?
En este artículo hablamos de:
- ¿Qué son las autoridades de control de la protección de datos?
- ¿Dónde se regulan las autoridades de control de la protección de datos?
- ¿Qué competencias tienen las autoridades de control?
- ¿Cuáles son las funciones de las autoridades de control de la protección de datos?
- ¿Quién es la autoridad de control de la protección de datos en España?
¿Qué son las autoridades de control de la protección de datos?
Las autoridades de control de la protección de datos, o APD, son entidades públicas e independientes, cuyo objetivo es supervisar la aplicación y cumplimiento del RGPD en cada Estado Miembro y garantizar la protección de datos de las personas físicas, para lo que se les otorgan poderes de investigación y correctivos.
Además, ofrecen también asesoramiento experto en materia de protección de datos a entidades públicas y privadas, y tramitan las reclamaciones por vulneraciones o infracciones del RGPD y las legislaciones nacionales de protección de datos.
Cada Estado Miembro de la UE debe tener su correspondiente autoridad de control de acuerdo al RGPD.
¿Dónde se regulan las autoridades de control de la protección de datos?
Las autoridades de control de la protección de datos están reguladas en el RGPD, en los artículos 51 a 67, en los que se establecen su independencia, su creación, su funcionamiento, su competencia, funciones y poderes, así como los mecanismos de cooperación y coherencia entre las diferentes autoridades de control de los Estados Miembros.
En España, las autoridades de control de protección de datos están reguladas en la LOPDGDD, en los artículos 44 a 62. En ellos se regula el funcionamiento y potestades de la Agencia Española de Protección de Datos (AEPD), así como de las autoridades autonómicas de protección de datos.
¿Qué competencias tienen las autoridades de control?
Cada autoridad de control será competente en su propio territorio (el Estado Miembro al que pertenezca), así como en aquellos territorios en los que se realicen tratamientos por parte de autoridades públicas u organismos privados, cuya finalidad sea cumplir una obligación legal o una misión en interés público o en el ejercicio de poderes públicos.
En el caso de tratamientos de datos transfronterizos, es decir, cuando las entidades responsables del tratamiento se encuentran en varios Estados Miembros, la autoridad de control competente será la del Estado Miembro en la que la entidad tenga su sede principal (establecimiento fiscal). Esta autoridad será considerada la autoridad de control principal y deberá supervisar las actividades de tratamiento de estas entidades.
Esta forma de cooperación entre las autoridades de control de diferentes Estados Miembros se denomina «mecanismo de ventanilla única». Un ejemplo del mismo es la autoridad de control de Irlanda, la Data Protection Commissioner, que gestiona las reclamaciones a empresas como Facebook.
De manera que, aunque haya una autoridad de control interesada en estudiar una reclamación contra una entidad con presencia en varios Estados Miembros, antes deberá valorar si la reclamación puede tener carácter transfronterizo, dando inicio a un procedimiento de cooperación y coherencia, para que todas las autoridades de control que puedan verse afectadas adopten una solución aceptable e igual. En algunos de estos casos, es posible que el Comité Europeo de Protección de Datos (CEPD) evalúe el caso y medie entre las diferentes autoridades.
La autoridad de control de protección de datos no es competente para controlar las actividades de tratamiento que lleven a cabo los tribunales de justicia en el desempeño de sus funciones.
¿Cuáles son las funciones de las autoridades de control de la protección de datos?
Las funciones de la autoridad de control de cualquier Estado Miembro están establecidas en el artículo 57 del RGPD y son las siguientes:
- Supervisar e investigar la aplicación del RGPD.
- Informar, sensibilizar y concienciar a la población, responsables y encargados de la importancia de la protección de datos personales.
- Asesorar a los gobiernos y otras instituciones y organismos públicos en materia de protección de datos, medidas legislativas y administrativas.
- Informar a los interesados (los titulares de los datos, es decir, las personas físicas) sobre sus derechos.
- Recibir, tramitar, archivar o resolver las reclamaciones recibidas.
- Cooperar con otras autoridades de control y contribuir a las actividades del CEPD.
- Evaluar cambios tecnológicos que puedan tener incidencia e impacto en la protección de datos.
- Adoptar cláusulas contractuales tipo y autorizar las cláusulas no tipo.
- Elaborar y actualizar la lista de entidades obligadas a realizar evaluaciones de impacto de protección de datos y responder las consultas previas al respecto.
- Fomentar y gestionar la creación de códigos de conducta y mecanismos de certificación en protección de datos.
- Aprobar las normas corporativas vinculantes.
- Registrar infracciones y medidas adoptadas.
¿Quién es la autoridad de control de la protección de datos en España?
Como hemos adelantado, en España la autoridad de control de la protección de datos es la AEPD, tal y como establece la LOPDGDD.
Si queréis conocer quiénes son las autoridades de control en el resto de Estados Miembros, podéis consultarlo en este índice de las autoridades control de protección de datos.
¿Hay otras autoridades de control de protección de datos en España?
Como ya señalábamos más arriba, la LOPDGDD también habilita la creación de autoridades de control de protección de datos autonómicas. Actualmente existen tres autoridades de control autonómicas:
- La Autoridad Catalana de Protección de Datos
- La Agencia Vasca de Protección de Datos
- El Consejo de Transparencia y Protección de Datos de Andalucía
Estas autoridades de control podrán ejercer las funciones y potestades establecidas en los artículos 57 y 58 del RGPD cuando se refieran a:
- Tratamientos de los que sean responsables entidades del sector público de la Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial.
- Tratamientos realizados por personas físicas o jurídicas para el ejercicio de funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
- Tratamientos que estén expresamente previstos en los respectivos Estatutos de Autonomía.
Así mismo, la AEPD y las autoridades de control autonómicas deberán cooperar entre ellas para la debida aplicación del RGPD.