Retomando nuestro análisis pormenorizado del Reglamento General de Protección de Datos (en adelante RGPD) y enriqueciéndolo con lo indicado en el Anteproyecto de LOPD. Hablamos hoy de las autoridades de control, artículos 51 al 59 del RGPD (dejando el análisis de la cooperación y coherencia entre autoridades artículos 60 a 67, para más adelante) y capítulos I y II del Anteproyecto.
El RGPD nos dice que cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes supervisar la aplicación coherente del Reglamento en toda la Unión. Por lo tanto el RGPD deja abierta la posibilidad de que exista más de una autoridad de control en un Estado miembro, pero se deberá designar una que represente a todas ellas en el Comité Europeo.
En España, y tal y como se indica en el Anteproyecto, la Agencia Española de Protección de Datos (en adelante AEPD) es la autoridad administrativa independiente de ámbito estatal y que tendrá la condición de representante de las autoridades de protección de datos en el Comité (art.45.1).
Por otra parte seguirán existiendo las autoridades autonómicas de protección de datos con funciones y poderes limitados a su ámbito territorial autonómico (art. 58 Anteproyecto).
Destaca el RGPD la importancia de la independencia de las autoridades de control, que deberán actuar en todo momento sin influencia externa, y sin permitir instrucción alguna. Para ello el RGPD exige a los Estados miembros que doten a sus respectivas autoridades de control de recursos humanos, técnicos y financieros suficientes para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes.
El Anteproyecto al respecto indica que la AEPD actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.
En relación con el régimen jurídico y competencia el RGPD establece que cada Estado miembro deberá establecer por ley al menos los siguientes elementos:
a. el establecimiento de cada autoridad de control,
b. cualificaciones, condiciones de idoneidad, normas y procedimientos necesarios para ser nombrado miembro de cada autoridad,
c. duración del mandato, y su carácter revocable o no, indicando el número de veces que podrá renovarse en su caso,
d. y por último las condiciones por las que se rigen las obligaciones del miembro y el personal de cada autoridad de control, así como las incompatibilidades con el cargo durante el mandato y después del mismo.
Asimismo, cada autoridad será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el presente Reglamento, no siendo extensible este control a las operaciones efectuadas por los tribunales en el ejercicio de su función judicial (art. 55.3 RGPD)
En España, respeto del régimen jurídico el Anteproyecto indica que la AEPD se regirá por lo dispuesto en el RGPD y que la AEPD propondrá al Gobierno la aprobación de su propio Estatuto aprobado por real decreto.
En relación al nombramiento del miembro que indica el RGPD, el artículo 49 del Anteproyecto habla de Presidente de la AEPD, como representante de la misma frente a la denominación actual de Director, además el Presidente de la AEPD será considerado como Secretario de Estado, frente a la consideración de Subsecretario de la Directora actual. Asimismo, el mencionado artículo establece que el Presidente deberá ejercer sus funciones con plena independencia y objetividad no estando sujeto a instrucción alguna, sin embargo, también dice que será nombrado por el Gobierno a propuesta del Ministro de Justicia.
Por último, el Presidente deberá ser un profesional de reconocida competencia y con conocimientos y experiencia acreditados. Su duración en el cargo será de cinco años, frente a los cuatro actuales y como novedad su cargo podrá ser renovado por otro periodo de igual duración.
Como vemos RGPD y Anteproyecto introducen novedades al respecto.
Seguiremos hablando de las funciones y poderes de las autoridades de control.
