¿Quién es el actor?
La autoridad de supervisión es una autoridad pública independiente creada por los Estados miembros de la UE. Las leyes sólo son eficaces si se supervisa su cumplimiento y se sancionan las infracciones. Por esta razón, el RGPD constituye autoridades de control independientes en su capítulo 6. De manera menos formal, también se denominan Autoridades de Protección de Datos o APD. Las APD forman parte del poder ejecutivo y trabajan de forma independiente para poder supervisar a otros organismos gubernamentales.
¿Cuáles son sus tareas?
Las autoridades de control o APD son responsables de supervisar y hacer cumplir la aplicación del RGPD. Además, promoverán la concienciación y la comprensión del público en cuestiones relacionadas con el tratamiento de datos. También tienen como objetivo promover la concienciación sobre las obligaciones de los controladores y procesadores de datos personales en virtud del RGPD.
La autoridad de control es una de las personas de contacto para que los interesados presenten una reclamación sobre malas prácticas y está facultada para realizar investigaciones sobre las mismas. La autoridad de control también establece los criterios de certificación para demostrar el cumplimiento.
Las tareas precisas de las autoridades de supervisión se regulan en el art. 57 DEL RGPD. El siguiente subconjunto de las 22 tareas enumeradas en el art. 57(1) proporciona una idea general:
- Supervisar y hacer cumplir el RGPD.
- Promover el conocimiento de los derechos y obligaciones relacionados con la protección de datos entre los interesados, el público, los responsables y los encargados del tratamiento.
- Gestionar las reclamaciones presentadas por los interesados.
- Realización de investigaciones
- Adoptar, autorizar o aprobar diferentes tipos de cláusulas contractuales, disposiciones o normas corporativas vinculantes.
Para hacer cumplir el RGPD, las autoridades de supervisión tienen “poderes correctivos” (art. 58(2) del RGPD) que van desde simples advertencias, pasando por multas administrativas, hasta la imposición de una prohibición de tratamiento.
¿Cuáles son sus derechos y responsabilidades?
La autoridad de control es responsable de velar por la correcta aplicación del RGPD en el tratamiento de los datos personales. Para ello, la autoridad de control debe actuar de forma independiente en el ejercicio de sus competencias, incluidas las competencias de investigación, las competencias correctoras y las sanciones, la facultad de imponer una limitación temporal o definitiva, incluida la prohibición, del tratamiento, así como la imposición de multas administrativas. En particular, cada medida debe ser adecuada, necesaria y proporcionada para garantizar el cumplimiento del RGPD. Los Estados miembros de la UE deben garantizar que la autoridad de control disponga de suficientes recursos financieros, humanos y técnicos.
¿Tienen todos los Estados miembros una Autoridad de Supervisión?
“Cada Estado miembro establecerá una o varias autoridades públicas [de supervisión] independientes que se encargarán de controlar la aplicación [del RGPD]. ” (art. 51(1) del RGPD).
En la práctica, esto significa que algunos Estados miembros tienen una única autoridad nacional de supervisión, mientras que otros tienen varias. Por ejemplo, Francia tiene una única autoridad de supervisión llamada Comisión Nacional de Informática y Libertades (CNIL)[1]. Alemania, en cambio, tiene múltiples autoridades de supervisión. Todas están al mismo nivel, pero son responsables y competentes de diferentes tipos de actividades de tratamiento: las actividades de tratamiento de los organismos federales y ciertos tipos específicos de tratamiento son responsabilidad del comisario federal de protección de datos y libertad de información[2]; la competencia de otras actividades de tratamiento públicas y privadas se subdivide geográficamente por estado federal (Bundesland); las autoridades de protección de datos específicas de las iglesias son responsables de las actividades de tratamiento de las iglesias.
¿Puedo recurrir las decisiones de la autoridad de control? ¿Cuál es el máximo tribunal de apelación?
Las decisiones de una autoridad de control pueden recurrirse ante los tribunales (art. 78 del RGPD). Esto se suele hacer en un tribunal administrativo nacional. La decisión de esta primera instancia puede ser recurrida en tribunales de nivel superior hasta el tribunal supremo nacional. Más allá, la máxima autoridad judicial es el Tribunal de Justicia Europeo.
Tenga en cuenta que no existe ningún mecanismo para que los responsables o encargados del tratamiento recurran una decisión de una autoridad de control de un Estado miembro ante el Comité Europeo de Protección de Datos.