¿Cuáles son las funciones de las autoridades de control? RGPD y Anteproyecto LOPD. Parte II.

Siguiendo con nuestro estudio de las autoridades de control en el Reglamento General de Protección de Datos (RGPD), nos centramos hoy sus funciones y aprovecharemos para analizar lo que dice el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (Anteproyecto), al respecto y en relación con nuestra autoridad de control: Agencia Española de Protección de Datos (AEPD).

El artículo 57 del RGPD lista de forma amplia y detallada las funciones que deben asumir las autoridades de control. Nosotros destacamos las siguientes:

1. Controlar el RGPD y hacerlo aplicar.

En España y en el artículo 48 del Anteproyecto, se recoge esta función indicando que corresponde a la AEPD supervisar la aplicación del Reglamento. De nuevo se limita a remitirse al RGPD.

2. Promover la sensibilización del público y su comprensión de los riesgos, normas y derechos en relación con el tratamiento. Los niños como objetivo de especial atención.

3. Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.

En el Anteproyecto se recogen en el artículo 56 las potestades de regulación, indicando que el Presidente podrá dictar las disposiciones de desarrollo y ejecución necesarias para la interpretación y cumplimiento de lo dispuesto en el RGPD. Además, estas circulares de la Agencia Española de Protección de Datos serán obligatorias y publicadas en el BOE.

4. Cooperar compartiendo información con otras autoridades de control y prestar asistencia con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.

En España el artículo 57 del Anteproyecto regula lo que denomina <acción exterior> recogiendo en su apartado c) que la AEPD deberá colaborar con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos (…).

5. Llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública.

En España la sección segunda del Título VI del Anteproyecto regula las < potestades de investigación y planes de auditoría preventiva>, en concreto y sobre el punto en el que nos encontramos el artículo 53 recoge el donde se indica que las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarán obligadas a proporcionar a la AEPD los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigación. Y la cesión de estos datos sería lícita amparada en el cumplimiento de una obligación legal (art.6.1c).

6. Elaborar y mantener una lista relativa al requisito de evaluación de impacto. (Puedes ver nuestro artículo al respecto aquí).

7. Fomentar la creación de mecanismos de certificación, sellos y marcas de protección de datos y su revisión periódica.

En este mismo blog hemos hablado detalladamente del Esquema de Certificación del Delegado de Protección de Datos que la AEPD, en colaboración con la Entidad Nacional de Acreditación presentó el pasado 13 de Julio.

8. También serán funciones de las autoridades de control:

– autorizar cláusulas contractuales vinculantes respecto de las transferencias internacionales de datos;

– aprobar normas corporativas vinculantes;

– contribuir a las actividades del Comité; 

– y llevar registros internos de infracciones del RGPD y qué medidas se han adoptado al respecto;

Por último indicar que el desempeño de todas estas funciones por parte de las autoridades de control será gratuito para el interesado y también para el delegado de protección de datos, salvo que se detecte que las solicitudes son infundadas o excesivas debido a su carácter repetitivo, la autoridad podrá establecer tasa razonable basada en los costes administrativos o incluso negarse a actuar.

Parte I.

Parte III.