Autoridades Autonómicas de Protección de Datos.
Competencias y funciones (Artículos 57 y 58 del RGPD y Artículo 45 de la LO 3/2018).
El Reglamento General de Protección de Datos (RGPD) establece en su artículo 51 que cada Estado miembro designará una o varias autoridades de control independientes encargadas de supervisar la aplicación del RGPD. Estas autoridades tienen como objetivo proteger los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales y facilitar la libre circulación de estos datos dentro de la Unión. En España, además de la Agencia Española de Protección de Datos (AEPD), existen autoridades autonómicas de protección de datos.
Aunque el esquema menciona específicamente el artículo 45 de la LO 3/2018, este artículo no aparece directamente en el texto proporcionado. Sin embargo, el Título VII Capítulo II de la LO 3/2018 está dedicado a las autoridades autonómicas de protección de datos.
Las competencias y funciones de las autoridades de control, incluyendo las autonómicas, se derivan principalmente de los artículos 57 y 58 del RGPD.
Artículo 57 del RGPD: Funciones.
Según el artículo 57 del RGPD, cada autoridad de control tiene las siguientes funciones:
- Controlar y hacer cumplir el RGPD.
- Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos personales, prestando especial atención a las actividades dirigidas a los niños.
- Asesorar, con arreglo al Derecho de los Estados miembros, al parlamento nacional, al gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
- Promover la sensibilización de los responsables y encargados del tratamiento acerca de sus obligaciones en virtud del RGPD.
- Facilitar información a los interesados sobre el ejercicio de sus derechos y cooperar con las autoridades de control de otros Estados miembros a tal fin.
- Tramitar las reclamaciones presentadas por los interesados o por organismos, organizaciones o asociaciones, investigar su fundamento e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable.
- Cooperar con otras autoridades de control, en particular compartiendo información y prestando asistencia mutua para garantizar la coherencia en la aplicación y ejecución del RGPD.
- Llevar a cabo investigaciones sobre la aplicación del RGPD, basándose en información recibida de otras autoridades de control u otras autoridades públicas.
- Hacer un seguimiento de los cambios que puedan afectar a la protección de datos personales, como el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
- Adoptar cláusulas contractuales tipo.
- Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos.
- Ofrecer asesoramiento sobre operaciones de tratamiento que entrañen un alto riesgo.
- Alentar la elaboración de códigos de conducta, y dictaminar y aprobar los códigos de conducta que den suficientes garantías.
- Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos, y aprobar los criterios de certificación.
- Llevar a cabo revisiones periódicas de las certificaciones expedidas.
- Elaborar y publicar los requisitos para la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.
- Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.
- Autorizar cláusulas contractuales y disposiciones.
- Aprobar normas corporativas vinculantes.
- Contribuir a las actividades del Comité Europeo de Protección de Datos.
- Llevar registros internos de las infracciones del RGPD y de las medidas adoptadas.
Artículo 58 del RGPD: Poderes.
Para el desempeño de sus funciones, las autoridades de control, como la AEPD y las autoridades autonómicas, disponen de diversos poderes, según el artículo 58 del RGPD:
- Poderes de investigación (artículo 58.1):
- Ordenar al responsable y al encargado del tratamiento, y en su caso a sus representantes, que faciliten cualquier información necesaria para el desempeño de sus funciones.
- Llevar a cabo investigaciones en forma de auditorías de protección de datos.
- Llevar a cabo una revisión de las certificaciones expedidas.
- Notificar al responsable o al encargado del tratamiento las presuntas infracciones del RGPD.
- Obtener acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
- Obtener acceso a todos los locales del responsable y del encargado del tratamiento, incluidos equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.
- Poderes correctivos (artículo 58.2):
- Dirigir advertencias cuando las operaciones de tratamiento puedan infringir el RGPD.
- Dirigir apercibimientos cuando las operaciones de tratamiento hayan infringido el RGPD.
- Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado.
- Ordenar que las operaciones de tratamiento se ajusten al RGPD, de una determinada manera y dentro de un plazo especificado.
- Ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales.
- Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
- Imponer sanciones administrativas con arreglo al artículo 83 del RGPD, en función de cada caso concreto.
- Ordenar la suspensión de los flujos de datos hacia un destinatario en un tercer país u organización internacional.
- Poderes de autorización y consultivos (artículo 58.3):
- Asesorar al responsable del tratamiento en el procedimiento de consulta previa.
- Emitir dictámenes, por iniciativa propia o previa solicitud, destinados al parlamento nacional, al gobierno del Estado miembro o a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de datos personales.
- Autorizar el tratamiento en los casos en que el Derecho de los Estados miembros lo requiera.
- Emitir un dictamen y aprobar proyectos de códigos de conducta.
- Acreditar los organismos de certificación.
- Expedir certificaciones y aprobar criterios de certificación.
- Adoptar cláusulas tipo de protección de datos.
- Autorizar las cláusulas contractuales.
- Autorizar los acuerdos administrativos entre autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
- Aprobar normas corporativas vinculantes.
Es importante destacar que la LO 3/2018 también establece disposiciones específicas sobre las autoridades autonómicas de protección de datos en su Título VII, Capítulo II, aunque el texto proporcionado no detalla su contenido específico más allá de su existencia. Sin embargo, se infiere que las autoridades autonómicas ejercerán competencias similares a la AEPD dentro de su ámbito territorial, en consonancia con lo establecido en el RGPD.
Ejemplos de autoridades autonómicas.
El texto menciona la existencia de autoridades autonómicas de protección de datos. Si bien no proporciona una lista exhaustiva, sí hace referencia al Consejo de Transparencia y Protección de Datos de Andalucía como un ejemplo de órgano autonómico con funciones en materia de protección de datos.
Según el texto, este Consejo tiene un Área de Protección de Datos encargada de las tareas relacionadas con esta materia. Además, el Consejo inició el ejercicio de sus funciones en materia de protección de datos de carácter personal el 1 de octubre de 2019, respecto de los tratamientos de los que sean responsables las instituciones autonómicas de Andalucía, la Administración de la Junta de Andalucía, la Administración Local en Andalucía y otras entidades dependientes, así como las universidades del sistema universitario andaluz.
Las funciones del Consejo de Transparencia y Protección de Datos de Andalucía en este ámbito incluyen:
- Resolver las reclamaciones presentadas en materia de protección de datos.
- Requerir a los responsables y encargados de tratamiento la adopción de medidas correctoras.
- Resolver las consultas que en materia de protección de datos le planteen las administraciones y entidades sujetas a la Ley 1/2014.
- Responder a las consultas que, con carácter facultativo, le planteen los órganos encargados de tramitar y resolver las solicitudes de acceso a la información, así como las consultas que le planteen los órganos competentes.
- Desempeñar las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas en su caso.
Este ejemplo ilustra cómo las comunidades autónomas pueden establecer sus propias autoridades para supervisar y garantizar el cumplimiento de la normativa de protección de datos dentro de su territorio, en el marco de las competencias que les atribuyen la legislación estatal y el RGPD.
Mecanismos de cooperación entre la AEPD y las autoridades autonómicas.
El texto destaca varios mecanismos de cooperación entre la Agencia Española de Protección de Datos (AEPD) y las autoridades autonómicas de protección de datos:
- Intercambio de información: La Presidencia de la AEPD y las autoridades autonómicas podrán solicitar y deberán intercambiarse mutuamente la información necesaria para el cumplimiento de sus funciones. Este intercambio es particularmente relevante en lo relativo a la actividad del Comité Europeo de Protección de Datos, asegurando así una coordinación a nivel europeo.
- Constitución de grupos de trabajo: Ambas partes tienen la facultad de constituir grupos de trabajo para abordar asuntos específicos de interés común. Esta colaboración permite aunar conocimientos y esfuerzos en la resolución de problemas y en la aplicación coherente de la normativa.
- Requerimiento de cese de tratamiento ilícito: Cuando la Presidencia de la AEPD considere que un tratamiento llevado a cabo en materias que fueran competencia de las autoridades autonómicas vulnera el RGPD, podrá requerirlas a que adopten, en el plazo de un mes, las medidas necesarias para su cesación. Este mecanismo otorga a la AEPD un papel de garante último del cumplimiento del RGPD en todo el territorio español.
- Acciones judiciales: Si la autoridad autonómica no atiende el requerimiento en plazo o si las medidas adoptadas no suponen el cese del tratamiento ilícito, la Agencia Española de Protección de Datos podrá ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa. Esta posibilidad asegura la efectividad de las decisiones de la AEPD en caso de desacuerdo o inacción por parte de las autoridades autonómicas en supuestos de infracción del RGPD.
Estos mecanismos demuestran la existencia de una estructura de cooperación multinivel en España para la supervisión y el cumplimiento de la normativa de protección de datos, donde la AEPD y las autoridades autonómicas trabajan conjuntamente, respetando sus respectivos ámbitos de competencia, para garantizar la protección de los derechos de los ciudadanos.
