Para que la aplicación de la protección de datos sea coherente en todos los Estados miembros de la UE y el EEE (Espacio Económico Europeo), existe un organismo europeo que se encarga de ello, además de otras funciones que le competen; nos referimos al Comité Europeo de Protección de Datos (CEPD).
En este artículo hablamos de:
¿Qué es el Comité Europeo de Protección de Datos?
El Comité Europeo de Protección de Datos es un organismo creado tras la entrada en vigor del RGPD, encargado de garantizar y supervisar la correcta aplicación del Reglamento y la Directiva de protección de datos en el ámbito penal en todos los Estados miembros de la UE, asegurándose de que estas normativas se apliquen de forma coherente en ellos.
El CEPD es también el órgano asesor de la Comisión Europea respecto a la protección de datos dentro la UE y el EEE y se ocupa de promover la cooperación entre las diferentes autoridades nacionales de protección de datos.
Su regulación, composición y funciones están recogidas en el Capítulo VII, Sección 3 del RGPD.
La sede del Comité Europeo de Protección de Datos está en Bruselas.
Del Grupo de Trabajo del artículo 29 al Comité Europeo de Protección de Datos
Creado por la Directiva 95/46/CE, el Grupo de Trabajo del artículo 29 era el órgano independiente encargado del asesoramiento en materia de privacidad y protección de datos para la UE y el EEE. Con la entrada en vigor del RGPD, la Directiva quedaba derogada y el GT29 fue sustituido por el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos (SEPD).
Actualmente, el CEPD y el SEPD son los dos organismos europeos encargados de supervisar y asesorar en la aplicación de la normativa y los principios de la protección de datos dentro de la UE, Noruega, Liechtenstein e Islandia.
¿Quién compone el Comité Europeo de Protección de Datos?
La composición del Comité Europeo de Protección de Datos está formada por un presidente y dos vicepresidentes, así como un representante de todas las autoridades nacionales de protección de datos (incluidas las de Noruega, Liechtenstein e Islandia, y que en España es la AEPD) y el Supervisor Europeo de Protección de Datos.
Además, para las operaciones rutinarias, el CEPD cuenta con el apoyo analítico, administrativo y logístico de una Secretaría facilitada por el SEPD. Los miembros de esta secretaría trabajan siguiendo las instrucciones dadas por el presidente del Comité Europeo de Protección de Datos.
Así mismo, la Comisión Europea también puede participar de las funciones que lleva a cabo el CEPD, pero no tiene derecho a voto.
¿Cómo se elige a los miembros del CEPD?
El presidente y los dos vicepresidentes son elegidos entre los miembros del CEPD por mayoría simple, por un período de 5 años, renovable.
¿Quién es el SEPD?
Aparte de las funciones de Secretaría del CEPD, el Supervisor Europeo de Protección de Datos es una autoridad independiente, que también se encarga de la supervisión y asesoramiento del tratamiento de datos personales en el ámbito de las instituciones europeas (Parlamento Europeo, Comisión Europea y Banco Central Europeo).
También se encarga de recibir reclamaciones de afectados por el tratamiento de datos personales y llevar a cabo, si procede, un análisis e investigación de estas denuncias por vulneración de protección de datos. Así mismo, coopera con las autoridades nacionales de protección de datos de cada Estado miembro para asegurar que la protección de datos sea similar en todos los países de la UE y el EEE.
¿Cómo funciona el CEPD?
Ahora que ya sabemos por quién está compuesto el Comité Europeo de Protección de Datos, veamos cómo funciona.
El CEPD se reúne periódicamente en Bruselas para debatir y tomar decisiones sobre cuestiones relacionadas con la protección de datos en el ámbito de la UE. Estas cuestiones son previamente tratadas y trabajadas en reuniones de subgrupos de expertos y de la Secretaría del CEPD.
Las decisiones sobre las cuestiones propuestas se toman en las reuniones plenarias, es decir, cuando todos sus miembros están presentes.
Por su parte, el presidente del CEPD tiene las siguientes funciones:
- Convoca las reuniones del CEPD y prepara el orden del día de las mismas.
- En caso de conflicto entre las autoridades nacionales de protección de datos, notifica las resoluciones alcanzadas por el CEPD al respecto.
- Asegura la realización de las funciones del CEPD.
En cuanto a la Secretaría, esta tiene las siguientes funciones:
- Tratar los asuntos ordinarios del CEPD.
- Llevar a cabo la comunicación entre los miembros del CEPD, su presidente y la Comisión Europea.
- La comunicación con los ciudadanos y otras entidades.
- Traducciones de la información necesaria.
- Notificaciones internas y externas a través de medios electrónicos.
- Preparar las materias a tratar en las reuniones del CEPD.
- Elaborar y publicar informes y dictámenes sobre la resolución de conflictos entre las autoridades nacionales de protección de datos y sobre otros informes emitidos por el CEPD.
Funciones del Comité Europeo de Protección de Datos
Las funciones del Comité Europeo de Protección de Datos están reguladas en el artículo 70 del RGPD y son las siguientes:
- Garantizar y supervisar la aplicación coherente del RGPD en la UE y el EEE, sin perjuicio de las competencias que tengan atribuidas las autoridades nacionales de protección de datos.
- Asesorar a la Comisión Europea sobre protección de datos y los procesos para comunicar la información referente a normas corporativas vinculantes entre responsables del tratamiento de datos, encargados del tratamiento y autoridades nacionales de protección de datos.
- Elaborar recomendaciones, directrices y buenas prácticas respecto a:
- Requisitos y criterios para la elaboración de perfiles de ciudadanos.
- Cómo determinar si se han producido violaciones de seguridad y los criterios para definir el significado de «sin dilación indebida».
- Condiciones para la realización de transferencias internacionales de datos basadas en normas corporativas vinculantes a las que se hayan adherido los responsables y encargados del tratamiento.
- Cláusulas adicionales para garantizar la protección de datos de carácter personal.
- Promover e impulsar la creación de códigos de conducta, procesos de certificación y confección de sellos de protección de datos de acuerdo a las directrices del RGPD.
- Acreditar organismos de certificación y supervisarlos de manera periódica. Llevar el registro de estas entidades acreditadas.
- Dar directrices a la Comisión Europea sobre los requisitos de certificación que prevé el RGPD, la obligación de información y sobre la verificación de si un tercer país u organización (fuera de la UE o el EEE) cuentan con un adecuado nivel de protección de datos.
- Facilitar el intercambio de información y la colaboración entre las diferentes autoridades nacionales de control. Promover intercambios de personal entre ellas y crear programas de formación comunes. Así como intercambiar documentos e información con otras autoridades de protección de datos fuera de la UE y el EEE.
- Emitir informes sobre las decisiones de las autoridades de control de acuerdo al mecanismo de coherencia y sobre los códigos de conducta hechos en la UE.
- Creación de un registro electrónico público para recoger las resoluciones adoptadas por las autoridades de control (que es una de las funciones de la AEPD), así como de los tribunales en cuestiones relativas al mecanismo de coherencia.
Mecanismo de coherencia
El mecanismo de coherencia tiene como objetivo asegurar que el RGPD se aplique de forma coherente y correcta en toda la UE y el EEE, de manera que «obliga» a las autoridades nacionales de protección de datos a colaborar entre sí y, si procede, con la Comisión Europea.
Así, el CEPD funciona como un «mediador» cuando surgen conflictos entre las medidas que vaya a adoptar una autoridad nacional de protección de datos que puedan afectar a otros Estados miembros de la UE o cuando surge un conflicto entre diferentes autoridades de protección de datos. En estos casos, el CEPD emitirá un dictamen o una decisión vinculante para poner fin al conflicto.
Así, el CEPD emitirá un dictamen cuando una autoridad nacional de protección de datos vaya a adoptar una decisión sobre:
- Listas de operaciones de tratamiento supeditadas a la obligación de realizar una evaluación de impacto de protección de datos.
- La aprobación de criterios aplicables a la acreditación de organismos de certificación de acuerdo al RGPD.
- Autorizar cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatarios de los datos personales de un tercer país u organización internacional. Así como aquellas que tengan por objeto la aprobación de normas corporativas vinculantes.
Por otro lado, el CEPD emitirá decisiones vinculantes cuando se produzca alguno de estos conflictos entre autoridades nacionales de control:
- Una autoridad de protección de datos interesada haya manifestado una objeción pertinente y motivada sobre un proyecto de decisión de la autoridad principal, o cuando esta la hubiera rechazado por no ser pertinente o no estar motivada.
- No haya acuerdo sobre cuál de las autoridades de protección de datos interesadas es competente para establecer el responsable o encargado del tratamiento principal.
- Cuando una autoridad de protección de datos competente no haya solicitado un dictamen, siendo necesario, o no siga el dictamen emitido por el CEPD.
Informe anual sobre protección de datos
Finalmente, el Comité Europeo de Protección de Datos también tiene como función la creación de un informe anual sobre protección de datos personales respecto a los tratamientos de datos dentro de la UE y en terceros países y organizaciones internacionales. A dicho informe se le adjuntará un análisis de la aplicación práctica de las directrices, buenas prácticas y decisiones vinculantes que el organismo haya emitido.
El informe del CEPD es enviado al Parlamento Europeo, al Consejo de Europa y a la Comisión Europea y publicado.