Las instituciones europeas, como las empresas privadas, también tienen la obligación de cumplir con el Reglamento General de Protección de Datos (RGPD), para asegurarse de dicho cumplimiento, entre otras funciones, se creó la figura del Supervisor Europeo de Protección de Datos (SEPD); en este artículo explicaremos qué hace y cómo funciona esta autoridad independiente.
En este artículo hablamos de:
¿Quién es el Supervisor Europeo de Protección de Datos?
El Supervisor Europeo de Protección de Datos es la autoridad independiente para toda la UE, encargada de garantizar que las instituciones y órganos europeos respetan el derecho a la intimidad y la protección de datos cuando tratan datos de carácter personal y se desarrollan nuevas políticas que puedan implicar el tratamiento de dichos datos.
Es decir, el Supervisor Europeo de Protección de Datos es quien se encarga de asegurar que las propias instituciones de la UE aplican y cumplen el RGPD cuando llevan cabo actividades de tratamiento personales en el desarrollo de sus funciones, como son la recogida, el registro, el almacenamiento o la supresión de dichos datos.
Breve historia y funcionamiento del Supervisor Europeo de Protección de Datos
Si bien, la Comisión Europa, el Consejo y el Parlamento Europeo aprobaron la creación del SEPD en julio de 2002, sería en enero de 2004 cuando se nombraría a Peter Hustinx como primer Supervisor Europeo de Protección de Datos.
El Supervisor Europeo de Protección de Datos tiene su sede en Bruselas y actualmente el cargo lo ocupa (y lo hará al menos hasta 2024) el polaco Wojciech Wiewióroski.
El mandato del Supervisor Europeo de Protección de Datos es de 5 años, renovables y sus funciones y competencias están reguladas en el Capítulo VI del Reglamento (UE) 2018/1725, donde también se recoge su independencia institucional en su calidad de autoridad de control. Este Reglamento es el que recoge las normas para la protección de datos de las instituciones europeas, siempre en línea con los principios del RGPD.
Funciones del SEPD
Las funciones del Supervisor Europeo de Protección de Datos pueden dividirse en tres categorías principales: supervisión, asesoramiento y cooperación. Además, también se ocupa de facilitar la Secretaría del Comité Europeo de Protección de Datos (CEPD).
Supervisión
El SEPD supervisa el cumplimiento del Reglamento de protección de datos de las instituciones europeas que llevan a cabo el tratamiento de datos personales, tanto de ciudadanos de la UE como de los empleados que tienen a su cargo.
Esta función la llevan a cabo a través de la respuesta a consultas de los DPO (delegado de protección de datos) de las instituciones europeas, así como en la publicación de guías y directrices, la realización de auditorías para comprobar en la práctica el nivel de cumplimiento de las propias instituciones, la atención a reclamaciones de ciudadanos, realización de investigaciones (ya sean por iniciativa propia o derivadas de una reclamación) y el seguimiento de notificaciones de brechas de seguridad.
Asesoramiento
El SEPD también se ocupa de asesorar a las instituciones europeas en materia de protección de datos de carácter personal, además de cumplir con funciones consultivas para la Comisión Europea, el Parlamento Europeo y el Consejo de Europa en la propuesta y creación de nuevas leyes, como por ejemplo el reglamento e-Privacy, y otras iniciativas relacionadas con la protección de datos.
Para cumplir con esta función, el SEPD emite dictámenes formales que remite a las instituciones correspondientes.
También es función del SEPD supervisar los avances tecnológicos y cómo estos pueden impactar y afectar a la protección de datos personales y revisar el marco jurídico para actualizarlo a las nuevas realidades que estos avances y la globalización plantean.
Asimismo ejerce funciones consultivas para el Tribunal de Justicia de la UE en aquellos casos relacionados con sus competencias.
Cooperación
El SEPD también coopera con otras autoridades competentes en materia de protección de datos para conseguir alcanzar un enfoque coherente en toda la UE. En ese sentido, la principal autoridad con la que coopera es el CEPD, pero también lo hace con las autoridades nacionales de protección de datos. El SEPD también coopera con el sistema Eurodac.
Así mismo, han amparado las iniciativas establecidas para garantizar el cumplimiento del RGPD en los flujos de datos internacionales. Y participa en las siguientes conferencias, que se celebran con carácter anual, sobre protección de datos:
- Conferencia Europea de autoridades competentes en la protección de datos de los Estados miembros de la UE y el Consejo de Europa.
- Conferencia Internacional de expertos en protección de datos (del sector público y privado).
¿Cómo hacer una reclamación al Supervisor Europeo de Protección de Datos?
Como hemos dicho, entre lo que hace el Supervisor Europeo de Protección de Datos, está la función de recibir, revisar y dar seguimiento, si procede, a las reclamaciones en materia de protección de datos de los ciudadanos.
Para poder presentar una reclamación ante el SEPD, el afectado primero debe comunicar el uso indebido de sus datos a los funcionarios responsables del tratamiento y solicitar que cese dicho uso o se tomen medidas al respecto.
En caso de no recibir respuesta o esta sea insatisfactoria, el afectado deberá ponerse en contacto con el responsable de protección de datos de la institución u organismos europeo en el que se está cometiendo la infracción.
Si de aquí tampoco se obtiene respuesta o no es satisfactoria, entonces el afectado podrá realizar su reclamación ante el SEPD, rellenando el formulario correspondiente para ello. Una vez recibida la reclamación, el SEPD llevará a cabo una investigación y comunicará al afectado sus conclusiones; en caso de estar de acuerdo con ella, también informará de las medidas adoptadas.
Si el afectado aún no estuviera de acuerdo con la decisión del SEPD, todavía podrá recurrir al Tribunal de Justicia de la UE.
¿Quién puede reclamar ante el SEPD?
Cualquier ciudadano de la UE que crea que se ha vulnerado su derecho a la privacidad o se está haciendo un uso indebido de sus datos por parte de alguna institución europea, podrá reclamar ante el SEPD.
¿Cuándo podemos reclamar ante el SEPD?
Podemos reclamar ante el SEPD cuando se infringen los principios y obligaciones recogidas en el Reglamento de protección de datos, en concreto, cuando:
- Se están tratando datos de categorías especiales sin legitimación para ello.
- Se recaban más datos personales de los necesarios.
- Se nos deniega cualquiera de los derechos ARCO (actuales ARSULIPO), como el derecho de acceso a nuestros datos personales, el derecho de rectificación, supresión u oposición.
- Nuestros datos han sido compartidos con terceros sin nuestro consentimiento según el RGPD.
- Nuestros datos están siendo procesados de manera ilegal.
¿Cuándo no podemos reclamar?
No podremos reclamar ante el SEPD en los siguientes casos:
- Para modificar el contenido de documentos o impugnar o anular decisiones tomadas por una institución de la UE sobre nosotros. Para ello deberemos acudir directamente al TJUE.
- Casos de mala administración por parte de las instituciones europeas, en cuyo caso habrá que recurrir al Defensor del Pueblo Europeo.
- Cualquier reclamación relacionada con Eurojust, puesto que estas deben dirigirse a la Autoridad Común de Control de Eurojust.
- Reclamaciones relacionadas con el tratamiento de datos por parte de autoridades nacionales, regionales o locales, organizaciones privadas o sin ánimo de lucro, ya que estas deben hacerse ante la autoridad nacional de protección de datos correspondiente (en España, la AEPD).