Régimen jurídico y funcio...personales
Ver Indice
»

Última revisión
26/09/2024

datos

640 - Régimen jurídico y funciones de las autoridades autonómicas de protección de datos personales

Tiempo de lectura: 5 min

Tiempo de lectura: 5 min

Relacionados:

Vademecum: datos

Fecha última revisión: 25/09/2024

Resumen:

El artículo 57 de la LOPDGDD reconoce a las autoridades autonómicas de protección de datos una serie de funciones que recogen los artículos 57 y 58 del RGPD (como controlar la aplicación del RGPD, asesoramiento sobre las medidas legislativas y administrativas, promover la sensibilización del público, etc).

Además, la LOPDGDD establece la cooperación institucional entre la AEPD y las autoridades autonómicas, la cesación de tratamientos contrarios al RGPD y la coordinación de las autoridades autonómicas en los procedimientos establecidos en el RGPD.


Funciones y poderes de las autoridades autonómicas de protección de datos impuestos por el RGPD

El artículo 57 de la LOPDGDD reconoce a las autoridades autonómicas de protección de datos una relación de funciones que recogen los artículos 57 y 58 del RGPD. De manera sucinta:

  • Controlar la aplicación del RGPD.
  • Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos, con especial atención de las actividades dirigidas a niños.
  • Asesorar sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
  • Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en el tratamiento de datos.
  • Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos.
  • Cooperar a fin del cumplimiento de obligaciones en tratamiento de datos, con las autoridades de control de otros Estados miembros.
  • Tratar las reclamaciones presentadas por un interesado o por un organismo.
  • Cooperar compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.
  • Llevar a cabo investigaciones sobre la aplicación del RGPD.
  • Hacer un seguimiento de cambios que sean de interés en lo relativo a materia en la protección de datos personales.
  • Adoptar cláusulas contractuales tipo.
  • Elaborar y mantener una lista relativa a la EIPD. 
  • Ofrecer asesoramiento sobre las operaciones de tratamiento relativa a la consulta previa (art. 36 del RGPD).
  • Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que den suficientes garantías.
  • Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos, y llevar a cabo la revisión periódica de estas certificaciones. 
  • Elaborar y publicar los requisitos para la acreditación de organismos de supervisión de los códigos de conducta y efectuar tal acreditación. 
  • Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3, del RGPD.
  • Aprobar normas corporativas vinculantes.
  • Contribuir a las actividades del Comité Europeo de Protección de Datos. 
  • Levar registros internos de las infracciones del RGPD y de las medidas adoptadas.
  • Poderes de investigación.
  • Poderes correctivos.
  • Poderes de autorización y consultivos.

Todo ello, cuando tales funciones o poderes se refieran a:

  • Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente comunidad autónoma o de las entidades locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
  • Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración autonómica o local.
  • Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos estatutos de autonomía.

Como también indica el apartado 2 del citado artículo 57 de la LOPDGDD, estas autoridades pueden dictar, en relación con los tratamientos sometidos a su competencia, circulares que tendrán el alance y efectos contemplados en el artículo 55 de la LOPDGDD, siendo obligatorios una vez se publiquen en el documento oficial correspondiente.

Funciones y poderes de las autoridades autonómicas de protección de datos impuestos por la LOPDGDD

a) Cooperación institucional (art. 58 de la LOPDGDD)

La LOPDGDD también ordena la cooperación institucional con el fin de que se contribuya por parte de las autoridades autonómicas a la aplicación del RGPD y de la LOPDGDD, siendo convocadas a tal efecto las autoridades autonómicas por la Presidencia de la AEPD, ya sea por iniciativa propia o solicitud de otra autoridad. Así, el artículo 58 de la LOPDGDD establece que, en todo caso, se harán reuniones semestrales de cooperación.

La Presidencia de la AEPD y las autoridades autonómicas pueden solicitar, y deben intercambiarse mutuamente, toda la información necesaria para el cumplimiento de sus funciones, en especial la relativa a la actividad del Comité Europeo de Protección de Datos, pudiendo crear grupos de trabajo para tratar asuntos de interés común.

b) Cesación de tratamientos contrarios al RGPD (art. 59 de la LOPDGDD)

La Presidencia de la AEPD puede considerar que un tratamiento llevado a cabo en materias competencia de las autoridades autonómicas de protección de datos vulnera el RGPD. En esos casos, puede requerir a estas autoridades para que, en el plazo de 1 mes, adopten las medidas necesarias para cesar ese tratamiento, acudiendo a la vía contencioso-administrativa en caso de no responder a tal requerimiento. 

c) Coordinación de las autoridades autonómicas en protección de datos en los procedimientos establecidos en el RGPD (artículos 60 a 62 de la LOPDGDD)

Al respecto sobre este punto debe resaltarse:

  • En las decisiones que deban someterse al Comité Europeo de Protección de Datos o que quieran someterse al examen por tal organismo, las comunicaciones de este Comité con las autoridades autonómicas se practica por conducto de la AEPD, que será asistida por un representante de dicha autoridad autonómica. 
  • Para los asuntos de intervención en caso de tratamientos transfronterizos, será autoridad de control principal la autoridad autonómica en aquellos procedimientos de cooperación cuando se refiera a tratamientos del artículo 57 de la LOPDGDD (citados en las líneas anteriores). Este tratamiento se llevará a cabo por un responsable o encargado que se indique conforme al artículo 56 del RGPD, salvo que el tratamiento desarrollase otros de la misma naturaleza en el resto del territorio español.
  • En los asuntos de cooperación las autoridades autonómicas intervendrán e informarán a la AEPD cuando debiera aplicarse el mecanismo de coherencia.
  • Si la autoridad autonómica debe solicitar decisión vinculante del Comité Europeo (en aras del artículo 65 del RGPD), la comunicación entre ambos se practicará por conducto de la AEPD, asistida por un representante de la citada autoridad autonómica.
  • En la resolución de conflictos por el Comité Europeo (del art. 65 del RGPD), las autoridades autonómicas interesadas como no principal deben informar a la AEPD cuando el asunto se remita al Comité Europeo facilitándole también la documentación e información necesarias para su tramitación.