guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Comité Europeo de Protección de Datos
Ocultar / Mostrar comentarios

Comité Europeo de Protección de Datos

El Comité Europeo de Protección de Datos (CEPD) fue creado por el Reglamento General de Protección de Datos (RGPD) para, entre otras funciones, supervisar y garantizar su correcta aplicación. Este Comité continúa, en lo esencial, con la labor desarrollada por el Grupo de Trabajo del Artículo 29 (GT29) como asesor de la Comisión Europea en materia de protección de datos.

Protección de datos
CEPD

Del GT29 al CEPD

El GT29 (antiguo Grupo de Trabajo del Artículo 29) fue creado en virtud del artículo 29 de la Directiva 95/46/CE, derogada por el Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD 2016/679), como un organismo independiente con, entre otros, fines consultivos en materia de protección de datos y privacidad. Entre sus cometidos estaban, por ejemplo, los relativos a asesorar a la Comisión Europea (en adelante la Comisión) sobre el nivel de protección de datos personales tanto en la Unión Europea (UE) como en terceros países, emitir un dictamen dirigido a la Comisión dictámenes sobre los códigos de conducta de ámbito europeo.

La Directiva 95/46/CE quedó derogada el 24 de mayo de 2018, siendo aplicable el RGPD 2016/679 a partir del 25 de mayo del 2018. El RGPD creó el CEPD, en el que, junto al Supervisor Europeo de Protección de Datos (SEPD), se integró el GT29.

Cabe señalar que en el ámbito de las instituciones y organismos de la UE, tales como la Comisión Europea, el Parlamento Europeo o el Banco Central Europeo, el Supervisor Europeo de Protección de Datos (SEPD) es una autoridad independiente que supervisa los tratamientos de datos personales de aquellas, examina e investiga las reclamaciones que se presenten por los interesados sobre los tratamientos de datos personales por dichas instituciones e inspecciona sus tratamientos de datos personales. Además de la función de control, tiene también atribuidas funciones de asesoramiento a las instituciones y organismos de la UE en materia de protección de datos personales y de cooperación con otras autoridades de protección de datos como, por ejemplo, las autoridades nacionales de protección de datos para promover una protección de datos coherente en toda la Unión Europea. En particular, y por lo que se refiere al CEPD, el SEPD proporciona apoyo administrativo y logístico, como parte de su función de secretaría.

Definición y composición del CEPD

El CEPD es un organismo independiente de la UE creado por el RGPD. Este organismo sustituyó al GT29. Cabe señalar que el CEPD está representado por su presidente y tiene varios vicepresidentes que son elegidos entre sus miembros.

Entre sus funciones, tiene asignada la relativa a fomentar la aplicación coherente del RGPD en la UE, asesorar a la Comisión sobre el nivel de protección de datos en terceros países u organizaciones internacionales y fomentar la cooperación entre las autoridades nacionales de protección de datos en la UE.

Este organismo, que tiene personalidad jurídica propia, está compuesto por el director o directora de una autoridad de protección de datos personales de cada Estado miembro y el SEPD, o, en su caso, por sus respectivos representantes. En concreto, si en un Estado miembro, como ocurre en España, hubiera varias autoridades de protección de datos, nombrarán a un representante común. En este sentido, la Agencia Española de Protección de Datos (AEPD) representa en el CEPD a las autoridades de protección de datos en España.

Además, el CEPD tiene una Secretaría, que está a cargo del SEPD, de manera que habrá personal de este último asignado a realizar el trabajo necesario.

Esto significa que el CEPD, con respecto al GT29 al que sustituye, tiene una nueva composición ya que cuenta con la plena participación del SEPD y tiene una Secretaría.

Aunque no forme parte del CEPD, la Comisión debe participa en las actividades que lleve a cabo aquél, pero sin derecho a voto.

Presidencia del CEPD y funciones del presidente o la presidenta

El presidente o la presidenta es quien representa al CEPD y tiene asignadas en el artículo 74 del RGPD 2016/679 las funciones relativas a:

  • a) Convocar las reuniones del CEPD y preparar el orden del día de estas reuniones;
  • b) En casos de conflictos entre las autoridades de protección de datos personales, notificar las decisiones adoptadas por el CEPD tanto a la principal como a las interesadas;
  • c) Garantizar, en particular, el ejercicio de las funciones puntuales del CEPD como es la relativa al mecanismo de coherencia.

Secretaría del CEPD

La Secretaría del CEPD está a cargo del SEPD y desempeña las funciones que están previstas en el RGPD siguiendo exclusivamente las instrucciones del presidente del CEPD.

En cuanto al personal de la Secretaría, se trata de personal del SEPD asignado a la misma que depende de un superior jerárquico que es distinto del personal del SEPD con la finalidad de garantizar la independencia y de que se sigan exclusivamente las instrucciones del presidente del CEPD.

En concreto, la Secretaría tiene asignadas funciones de apoyo analítico, administrativo y logístico al CEPD.

Sin perjuicio de dichas funciones, la Secretaría es, en particular, responsable de (artículo 75.6 del RGPD 2016/679):

  • a) Los asuntos corrientes del CEPD;
  • b) La comunicación entre los miembros del CEPD, su presidente y la Comisión;
  • c) La comunicación con otras instituciones y con el público;
  • d) La utilización de medios electrónicos para la comunicación interna y externa;
  • e) La traducción de la información pertinente;
  • f) La preparación y el seguimiento de las reuniones del CEPD, y
  • g) La preparación, redacción y publicación de dictámenes, decisiones relativas a solución de diferencias entre autoridades de control y otros textos adoptados por el Comité.

Funciones del CEPD

Con la finalidad de garantizar la aplicación coherente del RGPD en la UE, el CEPD cuenta con una amplia lista de funciones que, en su caso, podrá realizar por propia iniciativa o a instancia de la Comisión.

Las funciones que, en virtud del artículo 70.1 del RGPD 2016/679, tiene asignadas el CEPD, se refieren, en particular a:

  • Supervisar y garantizar la aplicación coherente del RGPD en los casos contemplados en el mismo y sin perjuicio de las funciones que corresponden a las autoridades nacionales de protección de datos;
  • Asesorar a la Comisión en materia de protección de datos y sobre el formato y los procedimientos para intercambiar información entre los responsables, los encargados y las autoridades de protección de datos en relación con las normas corporativas vinculantes;
  • Emitir directrices, recomendaciones y buenas prácticas, entre otras, sobre los criterios y requisitos de las decisiones basadas en perfiles, cómo constatar las violaciones de la seguridad de los datos y determinar el significado del término dilación indebida o especificar en mayor medida los criterios y requisitos para las transferencias de datos personales basadas en normas corporativas vinculantes a las que se hayan adherido los responsables del tratamiento y en normas corporativas vinculantes a las que se hayan adherido los encargados del tratamiento y en requisitos adicionales necesarios para garantizar la protección de los datos personales de los interesados;
  • Alentar la elaboración de códigos de conducta y el desarrollo de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos aprobados conforme al RGPD;
  • Realizar la acreditación de los organismos de certificación y su revisión periódica, así como llevar un registro público de los organismos acreditados conforme al RGPD;
  • Facilitar a la Comisión dictámenes sobre los requisitos de certificación contemplados en el artículo 43, apartado 8; los iconos en materia de información a los que se refiere el artículo 12, apartado 7, así como para evaluar la adecuación del nivel de protección en un tercer país u organización internacional, en particular para evaluar si un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de protección adecuado;
  • Promover la cooperación y los intercambios bilaterales y multilaterales efectivos de información y de buenas prácticas entre las autoridades de control; programas de formación comunes y facilitar intercambios de personal entre las autoridades de control y, cuando proceda, con las autoridades de control de terceros países o con organizaciones internacionales; el intercambio de conocimientos y documentación sobre legislación y prácticas en materia de protección de datos con las autoridades de control encargadas de la protección de datos a escala mundial;
  • Emitir dictámenes sobre los proyectos de decisión de las autoridades de control en virtud del mecanismo de coherencia, así como sobre los códigos de conducta elaborados a escala de la UE, y
  • Llevar un registro electrónico, de acceso público, de las decisiones adoptadas por las autoridades de control y los tribunales sobre los asuntos tratados en el marco del mecanismo de coherencia.

Mecanismo de coherencia

El mecanismo de coherencia tiene por objeto garantizar una aplicación sólida y coherente del RGPD en toda la UE. En virtud de este mecanismo, las autoridades nacionales de protección de datos cooperarán entre sí y, en su caso, con la Comisión.

Es en aquellos casos en los que las autoridades de protección de datos de los Estados miembros vayan a adoptar medidas que tengan implicaciones para otros países en la UE en materia de protección de datos (artículo 64 del RGPD 2016/679) o se produzca un conflicto entre dichas autoridades (artículo 65 del RGPD 2016/679), el CEPD será el que emita, según corresponda, un dictamen o una decisión vinculante.

En concreto, cuando una autoridad nacional de protección de datos vaya a adoptar una decisión sobre materias tales como adoptar una lista de las operaciones de tratamiento supeditadas al requisito de la evaluación de impacto relativa a la protección de datos; aprobar los criterios aplicables a la acreditación de un organismo o un organismo de certificación conforme al RGPD; tenga por objeto autorizar las cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o tenga por objeto la aprobación de normas corporativas vinculantes, el CEPD emitirá un dictamen, salvo que previamente hubiera emitido un dictamen sobre el mismo asunto.

Y por lo que se refiere a situaciones en las que haya un conflicto entre autoridades de protección de datos, el CEPD tiene asignada también la función de resolver conflictos, de manera que en estos casos adoptará decisiones con la finalidad de garantizar la aplicación correcta y coherente del RGPD. En concreto, el CEPD adoptará decisiones vinculantes cuando se produzca alguno de estos tres tipos de conflicto: a) una autoridad de protección de datos interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal, o esta haya rechazado dicha objeción por no ser pertinente o no estar motivada; b) no haya acuerdo sobre cuál de las autoridades de protección de datos interesadas es competente para el establecimiento principal del responsable o encargado del tratamiento, o c) una autoridad de protección de datos competente no solicite dictamen cuando sea necesario o no siga el dictamen que emita el CEPD (artículo 64 del RGPD 2016/679).

Informe anual en materia de protección de datos

En particular, como prevé el artículo 71 del RGPD 2016/679, el CEPD debe elaborar un informe anual en materia de protección de datos personales relativo a los tratamientos de datos en la UE y, si procede, en terceros países y organizaciones internacionales. Además, el informe incluirá un examen de la aplicación práctica de las directrices, buenas prácticas y decisiones vinculantes emitidas por el CEPD.

Este informe se hará público y se transmitirá al Parlamento Europeo, al Consejo y a la Comisión.

Recuerde que...

  • El CEPD está integrado por las autoridades de protección de datos de los Estados miembros y el Supervisor Europeo de Protección de Datos.
  • Es un organismo independiente, que actúa como asesor de la Comisión Europea en materia de protección de datos personales.
  • Además, supervisa y garantiza la aplicación del RGPD en la UE, sin perjuicio de las funciones que tengan también las autoridades nacionales.
  • La representación del CEPD corresponde al presidente o presidenta.
  • La Comisión participa en las actividades del CEPD, pero sin derecho a voto.
Subir