Una semana más nos centramos en analizar paso a paso el papel tan importante, sin la menor duda, que tienen las autoridades de control en el RGPD.
Y esa importancia, se ve reflejada no sólo en las funciones asignadas, de las que hablamos la semana pasada sino también en lo poderes conferidos en el RGPD a las autoridades de control, a través de un extenso artículo 58:
1. Poderes de investigación, las autoridades de control podrán:
– Ordenar a responsable y encargado que faciliten cualquier información que requiera para el desempeño de sus funciones.
– Obtener el acceso a todos los locales del responsable y encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento.
En España la Sección 2 del Título VI del Anteproyecto recoge las potestades de investigación de la Agencia Española de Protección de Datos (AEPD). El artículo 52 del Anteproyecto establece que corresponde a los funcionaros de la AEPD o funcionarios ajenos a ella, pero habilitados por el Presidente, llevar a cabo la actividad de investigación. Para ello y a través del artículo 54 les habilita a recabar todas las informaciones necesarias, realizar inspecciones, requerir exhibición, envío y obtención de copia, de los documentos y datos necesarios, incluso podrán exigir la ejecución de tratamientos y programas, y los soportes sujetos a investigación.
– Llevar a cabo investigaciones en forma de auditorías de protección de datos.
– Notificar al responsable/encargado las presuntas infracciones del presente Reglamento.
En el Anteproyecto se habla de planes de auditoría preventiva. El artículo 55 establece que el Presidente de la AEPD podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad.
Como resultado de la auditoría el Presidente podrá dictar la directrices necesarias, que serán de obligado cumplimiento, para asegurar la adaptación del sector a la normativa.
Actualmente la AEPD dispone la potestad de inspección que le otorga el artículo 40 de la vigente LOPD 1999, inspecciones de oficio que no tienen carácter sancionador sino preventivo como indica la propia Agencia Española de Protección de Datos.
2. Poderes correctivos:
– Sancionar a todo responsable/encargado con una advertencia o apercibimiento cuando las operaciones de tratamiento previstas pueden infringir lo dispuesto en el presente Reglamento.
– Imponer multa administrativas.
– Ordenar a responsables/encargados la correcta satisfacción de los derechos reconocidos en el RGPD a los afectados: notificación de violaciones de seguridad, limitación temporal o definitiva del tratamiento, rectificación o supresión de los datos personales etcétera.
– Suspender los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
Dedicaremos los correspondientes artículos para analizar con detalle el régimen sancionador regulado en el Anteproyecto.
3. Poderes de autorización y consultivos:
– Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa.
– Emitir por iniciativa propia o previa solicitud, dictámenes destinados a instituciones y organismos, así como al público sobre cualquier asunto relacionado con la protección de los datos personales.
– Aprobar proyectos de códigos de conducta y aprobar normas corporativas vinculantes.
– Adoptar cláusulas tipo de protección de datos.
En España y como comentábamos en el primer artículo de esta serie, el Anteproyecto recoge las potestades de regulación de la AEPD en el artículo 56, concedidas al Presidente de la AEPD que podrá dictar disposiciones de desarrollo y ejecución necesarias para la interpretación y cumplimiento de lo dispuesto en el Reglamento y la propia ley orgánica a través de los que se conocerán como Circulares de Protección de Datos, de obligado cumplimiento.
Por último indicar que los poderes conferidos a las autoridades de control en el RGPD están sujeto a las garantías procesales y de tutela judicial efectiva establecidas en el Derecho de la unión y de los Estados miembros.