La Autoridad de control en el GDPR


     21/10/2016

 

22/09/2016 | FS Consultores S.L.

Autoridades de control


El GDPR define a la Autoridad de control en el artículo 4, apartado 21, como la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51,  o sea:
 
  • Supervisará la aplicación del Reglamento con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos personales y a facilitar la libre circulación de datos personales en la UE.
  • Contribuirá a la aplicación coherente del Reglamento en toda la UE, cooperando con las otras Autoridades de control y con la Comisión.
  • Cuando existan varias Autoridades de control en un mismo Estado de la UE, se designará a una de ellas para que las represente ante el Comité.
  • Los Estados de la UE deberán notificar a la Comisión todas las disposiciones legales que adopten relativas a las Autoridades de control de su competencia.
 
 

Funciones de la Autoridad de control


Cada Autoridad de control dispondrá de las siguientes funciones:

Funciones que afectan al interesado:
 
  • Facilitar información al interesado de los derechos que le otorga el Reglamento.
  • Facilitar la presentación de reclamaciones mediante formularios por vía electrónica u otros medios de comunicación.
  • Resolver las reclamaciones presentadas por un interesado.


Funciones que afectan al Responsable y al Encargado del tratamiento:
 
  • Recibir las notificaciones de violaciones de seguridad del Responsable del tratamiento y, si procede, exigir su comunicación al interesado.
  • Adoptar cláusulas contractuales tipo de protección de datos para:
    • La formalización de contratos entre el Responsable y el Encargado del tratamiento.
    • Realizar transferencias internacionales de datos mediante garantías adecuadas.
  • Autorizar las cláusulas contractuales establecidas entre el Responsable del tratamiento, Encargado del tratamiento o Destinatarios para realizar transferencias internacionales de datos.
  • Elaborar y mantener una lista de los tipos de tratamiento que requieren una evaluación de impacto y de los detalles que se deben incluir en su documentación.
  • Asesorar al Responsable o al Encargado del tratamiento del procedimiento para realizar una consulta previa a la Autoridad de control y, cuando ésta se haya producido y no sea conforme al Reglamento, comunicárselo por escrito en un plazo máximo de 8 semanas.


Funciones que afectan a las garantías de cumplimiento:
 
  • Establecer los requisitos de certificación y expedir los mecanismos de certificación, sellos y marcas de protección de datos a los Responsables o Encargados del tratamiento que lo soliciten y renovarlos o retirarlos a su vencimiento.
  • Elaborar y publicar los criterios para la acreditación de un organismo de certificación o de supervisión de códigos de conducta y expedir la acreditación a tales organismos.
  • Emitir un dictamen y aprobar los proyectos de códigos de conducta presentados por asociaciones y organismos que representen a categorías de Responsables o Encargados del tratamiento.
  • Aprobar las normas corporativas vinculantes solicitadas por grupos empresariales o por la unión de empresas dedicadas a una actividad económica conjunta que realicen transferencias internacionales de datos.
 
 

Poderes de la Autoridad de control


Cada Autoridad de control dispondrá de los siguientes poderes investigadores:
 
  • Ordenar al Responsable y al Encargado del tratamiento o, si lo hubiere, al representante de estos, que faciliten cualquier información que requiera para el desempeño de sus funciones.
  • Llevar a cabo investigaciones en forma de auditorías de protección de datos.
  • Llevar a cabo una revisión de las certificaciones expedidas.
  • Notificar al Responsable y al Encargado del tratamiento las presuntas infracciones del Reglamento.
  • Obtener del Responsable y del Encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
  • Obtener el acceso a todos los locales del Responsable y del Encargado del tratamiento, incluidos cualquiera de los equipos y medios de tratamiento de datos.


 Cada Autoridad de control dispondrá de los siguientes poderes correctores:
 
  • Formular advertencias o amonestaciones al Responsable y al Encargado del tratamiento cuando las operaciones de tratamiento puedan infringir el Reglamento.
  • Ordenar al Responsable y al Encargado del tratamiento que atiendan las solicitudes del interesado para ejercer sus derechos con arreglo al Reglamento.
  • Ordenar al Responsable y al Encargado del tratamiento que realicen el tratamiento en consonancia con el Reglamento, en una forma y plazo especificado.
  • Ordenar al Responsable del tratamiento la comunicación de una violación de seguridad a los interesados afectados por la misma.
  • Imponer una limitación temporal o definitiva del tratamiento.
  • Ordenar la rectificación, limitación o supresión de datos.
  • Retirar una certificación si no se cumplen los requisitos legales.
  • Imponer una multa administrativa según las circunstancias de cada caso particular.
  • Ordenar la suspensión de una transferencia internacional de datos.
 
 

Derechos


Derecho a presentar una reclamación ante la Autoridad de control

Todo interesado podrá reclamar ante la Autoridad de control de cualquier Estado de la UE, si considera que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el Reglamento.


Derecho a un recurso judicial contra una Autoridad de control
 
  • Los Responsables o Encargados del tratamiento tendrán derecho a un recurso judicial efectivo contra una decisión jurídicamente vinculante de la Autoridad de control que les afecte.
  • El interesado tendrá derecho a un recurso judicial efectivo en contra de la Autoridad de control cuando ésta no de curso a una reclamación o no le haya informado en 3 meses.


Derecho a un recurso judicial contra un Responsable o Encargado del tratamiento
 
  • El interesado tendrá derecho a un recurso judicial efectivo contra un Responsable o Encargado del tratamiento cuando considere que el tratamiento de sus datos personales no se ajusta a lo dispuesto en el Reglamento.
  • Las acciones contra el Responsable o Encargado del tratamiento podrán ejercitarse ante los órganos jurídicos del Estado de la UE donde:
    • Esté establecido el Responsable o el Encargado del tratamiento.
    • Resida el interesado, siempre y cuando el Responsable o Encargado del tratamiento no sea una Autoridad pública que actúe en ejercicio de su poder público.


Derecho a indemnización y responsabilidad

Todo interesado que haya sufrido perjuicio material o inmaterial como consecuencia de una vulneración del Reglamento, tendrá derecho a recibir una indemnización del Responsable o del Encargado del tratamiento.
 
  • Si en el tratamiento participan más de un Responsable o Encargado del tratamiento, cada uno de ellos será considerado responsable de la totalidad del perjuicio.
  • Cuando un Responsable o Encargado del tratamiento haya pagado una compensación total por un perjuicio tendrá derecho a reclamar a los demás participantes del tratamiento la parte de la compensación que les corresponda por el perjuicio ocasionado.
  • El Encargado del tratamiento solo será responsable de los perjuicios provocados por el tratamiento cuando haya actuado al margen o en contra de las instrucciones legales del Responsable del tratamiento o haya incumplido las obligaciones que le impone Reglamento.
  • Los Responsables o Encargados del tratamiento estarán exentos de responsabilidades si consiguen probar que no son responsables del hecho que ha provocado el perjuicio.


Derecho a la representación del interesado

El interesado tendrá derecho a dar mandato a una entidad, organización o asociación sin afán de lucro correctamente constituida, cuyos objetivos estatutarios sean de interés público y actúen en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que presenten una reclamación en su nombre y que ejerzan los derechos de:
 
  • Recurso judicial contra una Autoridad de control.
  • Recurso judicial contra un Responsable o Encargado del tratamiento.
  • Indemnización y responsabilidad.
 


Sanciones


Cada Autoridad de control podrá imponer multas administrativas al Responsable y al Encargado del tratamiento o, si lo hubiere, al representante de estos, por infringir el Reglamento garantizando que serán efectivas, proporcionadas y disuasorias.

Las multas administrativas se impondrán en función de las circunstancias de cada caso individual, teniendo en cuenta las facultades investigadoras y correctoras conferidas a la Autoridad de control.


Valoración de las sanciones

La decisión de la Autoridad de control para imponer una multa administrativa y calcular su importe tendrá en cuenta:
 
  • La naturaleza, gravedad y duración de la infracción en relación con el fin del tratamiento.
  • El número de interesados afectados.
  • El nivel de los perjuicios sufridos por los interesados.
  • La intencionalidad o negligencia de la infracción.
  • Las categorías de datos afectados por la infracción.
  • El grado de responsabilidad del Responsable o Encargado del tratamiento.
  • La reiteración de infracciones del Responsable o Encargado del tratamiento.
  • Las medidas tomadas por el Responsable o Encargado del tratamiento para paliar los perjuicios sufridos por los interesados.
  • El grado de cooperación con la Autoridad de control con el fin de remediar la infracción y mitigar sus posibles efectos adversos.
  • La forma en que la Autoridad de control ha tenido conocimiento de la infracción (si se ha notificado, o en la medida que se ha hecho).
  • El cumplimiento de las medidas ordenadas previamente por la Autoridad de control contra el Responsable o Encargado del tratamiento en relación con el mismo asunto.
  • La adhesión a códigos de conducta o a mecanismos de certificación aprobados por la Autoridad de control.
  • Otros factores agravantes o atenuantes aplicables a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas por la infracción.


Importe de las sanciones

Multa administrativa con un máximo del importe más elevado entre 10.000.000 € y el 2% del total de la facturación mundial anual del ejercicio financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
 
  • Condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información.
  • Tratamientos que no requieren identificación.
  • Encargados del tratamiento.
  • Corresponsables del tratamiento.
  • Tratamientos bajo la autoridad del Responsable y del Encargado del tratamiento.
  • Representantes de los Responsable del tratamiento no establecidos en la UE.
  • Registro de las actividades del tratamiento.
  • Protección de datos desde el diseño y por defecto.
  • Seguridad del tratamiento.
  • Evaluación de impacto relativa a la protección de datos.
  • Consultas previas.
  • Notificación de una violación de seguridad a la Autoridad de control.
  • Comunicación de una violación de seguridad al interesado.
  • Garantías de certificación.
  • Organismos y procedimientos de certificación.
  • Designación del DPO.
  • Funciones del DPO.
  • Poderes del DPO.
  • Cooperación con la Autoridad de control.
 

Multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 2% del total de la facturación mundial anual del ejercicio financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
 
  • Principios relativos al tratamiento de datos personales.
  • Licitud del tratamiento.
  • Condiciones para el consentimiento.
  • Tratamiento de categorías especiales de datos personales.
  • Transferencias de datos personales a terceros países u organizaciones internacionales.
  • Disposiciones relativas a situaciones específicas de tratamiento de datos.
  • Derechos del interesado.
  • No facilitar el acceso a la Autoridad de control para ejercer sus facultades investigadoras.
  • El incumplimiento de un requerimiento de la Autoridad de control.
 

Multa administrativa con un máximo del importe más elevado entre 20.000.000 € y el 4% del total de la facturación mundial anual del ejercicio financiero anterior, para las infracciones de las siguientes disposiciones del Reglamento:
 
  • El incumplimiento de las resoluciones de la Autoridad de control.


El importe total de las multas para unas mismas operaciones de tratamiento que incumplan diversas disposiciones del Reglamento, no podrá superar la cantidad prevista para los incumplimientos más graves de dichas operaciones.

Cada Estado de la UE podrá establecer normas sobre la imposición de multas administrativas a las Autoridades y Organismos públicos establecidos en dicho Estado.

 
 Josep Aragonés Salvat
 

Información relacionada