guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Autoridades Nacionales de Control

Autoridades Nacionales de Control

Las autoridades de control son los organismos públicos e independientes que, en cada Estado Miembro, tienen como objetivo principal supervisar la aplicación del RGPD para garantizar la protección de los derechos y libertades de las personas físicas, así como facilitar la libre circulación de los datos de carácter personal en la UE.

Protección de datos

¿Cuál es el régimen jurídico aplicable a las autoridades nacionales de control?

El legislador europeo ha querido destacar la importancia de la total independencia con la que estas autoridades deberán desempeñar sus funciones y el ejercicio de sus poderes, al igual que sus propios miembros integrantes, que no podrán ser influidos externamente ni participar en actividades incompatibles con sus funciones.

En cuanto a la capacidad para el cumplimiento de sus funciones y ejercicio de sus poderes, estas autoridades deberán contar con los recursos necesarios, humanos, técnicos y financieros, así como locales e infraestructuras adecuados. Estarán controladas financieramente de forma que su independencia no se vea afectada, siendo su dotación presupuestaria anual, pública e independiente.

En España, la autoridad de control es la Agencia Española de Protección de Datos (AEPD) y cuenta con un presupuesto integrado en los Presupuestos Generales del Estado, estando sometida a los preceptos de la Ley 47/2003, de 26 de noviembre, General Presupuestaria que le sean de aplicación. Esta independencia no supone, por el contrario, que las autoridades queden exentas de supervisión. De este modo, en el caso de España, el control externo es ejercido por el Tribunal de Cuentas y el interno por la Intervención General del Estado (IGAE). Junto a la AEPD están también, en su respectivo ámbito competencial, es decir, la Comunidad Autónoma y las Entidades Locales, las autoridades de protección de datos de Cataluña, País Vasco y Andalucía.

El Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD 2016/679) describe las condiciones generales aplicables a los miembros de las autoridades de control, quienes deberán ser nombrados de modo transparente y entre personas que cuenten con las aptitudes profesionales necesarias para el desempeño de las funciones asignadas. Además, como ya hacía la LOPD, nuestro legislador regula en la LOPDGDD la composición del Consejo Consultivo de la Agencia, y establece, que el personal a su servicio será funcionario o laboral regido por la normativa reguladora de los empleados públicos. Todos los miembros de las autoridades estarán sometidos a un estricto secreto profesional, incluso finalizadas sus labores.

¿Qué competencias tienen?

Cada autoridad de control será competente en el territorio de su Estado Miembro, y también en aquellos territorios en los que se lleven a cabo tratamientos por parte de autoridades públicas u organismos privados, cuya finalidad sea dar cumplimiento a una obligación legal, sean necesarios para el cumplimiento de misiones realizadas en interés público o en el ejercicio de poderes públicos (arts. 55 y 56 RGPD 2016/679). En ningún caso será competente una autoridad para controlar las operaciones de tratamiento llevadas a cabo por tribunales en el ejercicio de sus funciones. Al respecto, las facultades de inspección, en el caso de órganos judiciales u oficinas judiciales, se llevará a cabo a través y por mediación del Consejo General del Poder Judicial.

Cuando estemos ante tratamientos transfronterizos llevados a cabo por entidades con establecimientos en diferentes Estados Miembros, la autoridad competente será aquella en la que radique el establecimiento principal del responsable o encargado que realice el tratamiento. Esta será denominada la autoridad de control principal o líder, y será la encargada de supervisar la actividad de estas organizaciones. Este modo de cooperación entre autoridades de diferentes Estados Miembros ha sido denominado como "One Stop Shop mechanism" o mecanismo de ventanilla única (considerando 127).

Una autoridad será competente en aquellos casos en los que reciba una reclamación relativa a un tratamiento que afecte únicamente a establecimientos o interesados de su Estado Miembro. En estos casos, la autoridad que reciba la reclamación deberá valorar si el caso tiene carácter transfronterizo antes de entrar a analizar el caso a nivel nacional. Si resultara que el tratamiento se produce en diferentes Estados Miembros, se debe abrir el procedimiento de cooperación y coherencia (art. 60 del RGPD 2016/679), con el objetivo de que entre todas las autoridades afectadas se llegue a una solución aceptable. Este procedimiento podría incluso dar lugar a la elevación del supuesto ante el Comité Europeo de Protección de Datos, quién será el encargado de mediar entre las autoridades de los diferentes Estados.

Si la autoridad principal no asume el mando en el caso concreto, se deberá recurrir a otros mecanismos de cooperación. Se establece el mecanismo de asistencia mutua (art. 61 del RGPD 2016/679), para garantizar que las solicitudes de información entre autoridades de control se realicen de manera efectiva, limitando los plazos de respuesta y estableciendo la obligación de contestar, salvo que no sea competente o la respuesta infringiera preceptos legales. Además, se podrán llevar a cabo operaciones conjuntas (art. 62 del RGPD 2016/679), en el marco de investigaciones y medidas de ejecución entre las diferentes autoridades de control. No obstante, será la autoridad de control principal la única que mantenga comunicaciones con el responsable o encargado.

Sobre esto destacamos las conclusiones de 13 de enero de 2021, asunto C-645/19 (Facebook vs DPA Belga), donde el Abogado General del Tribunal de Justicia de la Unión Europea recuerda que el RGPD permite que, en situaciones específicas, la autoridad de protección de datos de un Estado miembro ejercite acciones judiciales por una supuesta infracción en relación con un tratamiento transfronterizo de datos tanto en el país donde la presunta empresa infractora tenga su sede principal, como en las de los países donde haya delegaciones. Por tanto, aunque el RGPD otorga un papel importante a la autoridad de protección de datos principal, esta no puede ser considerada la única encargada de velar por el cumplimiento del RGPD en situaciones transfronterizas.

Así, el Abogado General señala que la autoridad de protección de datos principal debe cooperar estrechamente con las demás autoridades en cuatro situaciones específicas. En primer lugar, cuando las autoridades nacionales de protección de datos actúen fuera del ámbito material del RGPD; en segundo lugar, cuando investiguen tratamientos transfronterizos de datos efectuados por autoridades públicas, en interés público, en el ejercicio de poderes públicos o por responsables del tratamiento que no tengan un establecimiento en la Unión; en tercer lugar, cuando adopten medidas urgentes; y, en cuarto lugar, cuando intervengan como consecuencia de la decisión de la autoridad de protección de datos principal de no tratar un caso.

¿Qué funciones tienen?

El Reglamento establece una serie de funciones que deberán asumir las autoridades de control (art. 57 RGPD 2016/679):

  • Supervisar e investigar la correcta aplicación del RGPD;
  • Sensibilizar y concienciar a la población, especialmente a niños, así como a los responsables y encargados del tratamiento;
  • Asesorar al Gobierno y demás instituciones y organismos públicos sobre medidas legislativas y administrativas;
  • Informar a los interesados sobre sus derechos. En este sentido, la AEPD dispone de un Canal del Ciudadano en el que trata de informar y ayudar a los ciudadanos en relación con sus derechos sobre protección de datos;
  • Tratar e informar de la investigación sobre reclamaciones presentadas por interesados y organismos;
  • Cooperar con otras autoridades de control y contribuir a las actividades del Comité;
  • Evaluar cambios en tecnologías de la información y comunicación o prácticas comerciales con incidencia en protección de datos;
  • Adoptar cláusulas contractuales tipo y autorizar las cláusulas no tipo. En este ámbito, la AEPD ha adoptado una cláusula adicional a las de la Comisión, específica para transferencias de datos entre un encargado y el subencargado del tratamiento;
  • Elaborar y mantener actualizada la lista de organizaciones obligadas a realizar PIAS (evaluaciones de impacto de protección de datos), así como responder a las consultas previas (art. 36 del RGPD 2016/679);
  • Fomentar y gestionar todas las acciones encaminadas a establecer códigos de conductay mecanismos de certificación;
  • Aprobar las normas corporativas vinculantes (la AEPD no ha liderado aún ningún proyecto);
  • Registrar infracciones y medidas adoptadas;

En cuanto a las reclamaciones, estas serán de presentación gratuita, salvo que sean infundadas y repetitivas.

Recuerde que…

  • La autoridad de control en España es la Agencia Española de Protección de Datos (AEPD), y, en sus respectivos ámbitos competenciales, están las autoridades autonómicas de protección de datos.
  • Cada autoridad de control es competente en el territorio de su Estado Miembro.
  • En tratamientos transfronterizos hechos por entidades sitas en varios Estados Miembros, es competente la autoridad del país donde radique el establecimiento principal.
  • El modo de cooperación entre autoridades de diferentes Estados Miembros ha sido denominado como "One Stop Shop mechanism" o mecanismo de ventanilla única.
  • Las reclamaciones ante la AEPD son gratuitas, salvo que sean infundadas o reiterativas.
Subir