En virtud del RGPD, el cumplimiento es responsabilidad de las autoridades nacionales de protección de datos (DPA). Cada país del EEE tiene su propia autoridad independiente de protección de datos, que supervisa la aplicación del RGPD, incluida la tramitación de reclamaciones. Para el tratamiento de datos que tiene lugar en más de un país del EEE, el RGPD establece un sistema de cooperación entre las APD competentes, dentro del cual cooperan para llegar a un consenso. Encuentre una visión general de las APD.

El RGPD otorga ciertos derechos a las personas físicas, incluido el derecho a presentar una reclamación ante la autoridad competente cuando teman que se hayan vulnerado sus derechos de protección de datos.

Funciones y competencias de las autoridades de protección de datos (APD)

Tareas de las APD

Cada APD del EEE tiene la responsabilidad de supervisar y hacer cumplir la aplicación del RGPD y promover la concienciación pública y la comprensión de los riesgos, normas, salvaguardas y derechos en relación con el tratamiento de datos personales. Las APD también tienen la tarea de asesorar al parlamento nacional, al gobierno y a otras instituciones y organismos, así como proporcionar información a cualquier persona sobre el ejercicio de sus derechos. Las APD también promueven el conocimiento de los responsables y encargados del tratamiento de sus obligaciones en virtud del RGPD. Las APD tramitan quejas de particulares, llevan a cabo investigaciones sobre la correcta aplicación del RGPD y cooperan con otras APD en la aplicación del RGPD. Las autoridades también son responsables de:

  • adoptar y autorizar cláusulas contractuales tipo;
  • aprobar normas corporativas vinculantes;
  • aprobar códigos de conducta;
  • fomentar el establecimiento de mecanismos de certificación de la protección de datos;
  • contribuir a las actividades del CEPD;
  • cumplir con cualquier otra tarea relacionada con la protección de datos personales.

Competencias de las APD

Con el RGPD, las APD nacionales vieron aumentar significativamente sus competencias de ejecución. El artículo 58 del RGPD define las competencias de cada una de esas autoridades nacionales, dividiéndolas claramente en tres grupos principales:

  • competencias de investigación;
  • competencias correctivas;
  • competencias consultivas.

Competencias de investigación

Las APD ejercen sus facultades de investigación para determinar si existe una infracción del RGPD, su alcance exacto y naturaleza. Entre otros, las APD pueden:

  • Ordenar a las organizaciones que faciliten cualquier información relacionada con la investigación;
  • Realizar investigaciones en forma de auditorías de protección de datos y notificar a las organizaciones una presunta infracción del RGPD.
  • Obtener acceso a todos los datos personales en poder de una organización y a toda la información necesaria para el desempeño de sus funciones, incluido el acceso a cualquiera de los locales de la organización, incluidos los equipos y medios de tratamiento de datos, de conformidad con la legislación procesal nacional y de la UE.
  • Llevar a cabo una revisión de las certificaciones emitidas de conformidad con el artículo 42, apartado 7, del RGPD

Competencias correctoras

Cuando a raíz de una investigación se establezca una infracción de las disposiciones del RGPD, o se considere que una operación de tratamiento entraña riesgos o no cumple requisitos específicos, las APD tienen derecho a ejercer una o varias de sus facultades correctoras, por ejemplo:

  • Advertencia o prohibición del tratamiento: en caso de que existan riesgos, las APD podrían emitir advertencias a las organizaciones, con el fin de evitar que sus operaciones de procesamiento infrinjan las disposiciones del RGPD. Las APD también pueden ordenar una limitación temporal o definitiva, incluida la prohibición de las actividades de procesamiento de las organizaciones, así como ordenarles que comuniquen a las personas afectadas las violaciones de datos que se hayan producido.
  • Orden de cumplimiento: con el fin de garantizar el cumplimiento del RGPD o para tratar casos en los que no se cumplen ciertos criterios o requisitos, las APD tienen el poder de ordenar a las organizaciones que cumplan con las solicitudes de las personas para ejercer sus derechos en virtud del RGPD. Cuando proceda, se podrá ordenar a las organizaciones que ajusten sus operaciones de tratamiento a las disposiciones del RGPD de una manera y en un plazo determinados.
  • Suspensión de los flujos de datos o retirada de la certificación: además, las APD también podrían ejercer sus competencias para suspender cualquier flujo de datos a destinatarios en terceros países o a organizaciones internacionales. Además, podrían retirar la certificación u ordenar al organismo de certificación que retire una certificación emitida de conformidad con los artículos 42 y 43 del RGPD. En los casos en que los requisitos de certificación no se cumplan o hayan dejado de cumplirse, ordenar al organismo de certificación que no expida la certificación.
  • Amonestaciones: en el caso de infracciones constatadas, las APD pueden amonestar a las organizaciones.
  • Multas administrativas: Las APD también pueden imponer multas administrativas definidas de conformidad con el artículo 83 del RGPD, además o en lugar de las demás medidas enumeradas anteriormente. El régimen de sanciones administrativas requiere una evaluación caso por caso de las circunstancias de cada infracción individual. La evaluación debe tener en cuenta factores como la naturaleza, la gravedad y la duración de la infracción, el carácter intencionado o negligente, las medidas de mitigación de daños que puedan haberse aplicado, las medidas técnicas y organizativas (es decir, de seguridad) que se hayan aplicado y la forma en que la APD tuvo conocimiento del asunto.

El nivel máximo de la posible sanción dependerá del tipo de infracción:

  • puede llegar a un máximo de 10 millones EUR o el 2 % del volumen de negocios anual total a nivel mundial en el ejercicio financiero anterior (por ejemplo, por una infracción de la «privacidad desde el diseño y por defecto», el incumplimiento de la obligación de celebrar un contrato de tratamiento de datos, o la no realización de una evaluación de impacto en la protección de datos o el nombramiento de un delegado de protección de datos) con arreglo al artículo 83, apartado 4, del RGPD; o
  • puede llegar a un máximo de 20 millones o el 4 % del volumen de negocios total anual a nivel mundial en el ejercicio financiero anterior (por ejemplo, por una infracción de los principios básicos relativos al tratamiento, por el tratamiento ilícito de datos personales sin base legal o por violación de los derechos de los interesados) en virtud del artículo 83.5 del RGPD.

Puede encontrar más detalles sobre las multas administrativas asociadas con incumplimientos de varios artículos del RGPD en el artículo 83 del RGPD y las directrices del CEPD sobre el cálculo de las multas administrativas en virtud del RGPD.

Competencias de asesoramiento

Cada DPA tiene un cierto papel de autorización y asesoramiento bajo el RGPD, a través del cual pueden proporcionar apoyo a las organizaciones y autorizar actividades específicas de procesamiento. Algunos ejemplos son:

  • Consulta previa: asesorar a los responsables del tratamiento de datos de conformidad con el procedimiento de consulta previa previsto en el artículo 36 del RGPD.
  • Dictámenes sobre actividades legislativas: emitir, por propia iniciativa o previa solicitud, dictámenes a su Parlamento nacional, gobierno o, de conformidad con la legislación nacional, a otras instituciones y organismos, así como al público en general sobre cualquier cuestión relacionada con la protección de datos personales.
  • Códigos de conducta y certificación: aprobar proyectos de códigos de conducta, acreditar organismos de certificación o emitir certificaciones y aprobar criterios de certificación.

El ejercicio de las facultades antes mencionadas de las autoridades de protección de datos está sujeto a las salvaguardias adecuadas, incluida la tutela judicial efectiva y las garantías procesales, tal como se establece en la legislación nacional y de la UE de conformidad con la Carta de los Derechos Fundamentales de la UE. Cada APD tiene la facultad de poner en conocimiento de las autoridades judiciales las infracciones del RGPD y, en su caso, iniciar o participar de otro modo en procedimientos legales, con el fin de hacer cumplir las disposiciones del RGPD. Su legislación nacional podrá conferir competencias adicionales a las APD.

Cooperación y ventanilla única

El RGPD se aplica en todo el EEE, utilizando un conjunto de normas de protección de datos para todos los países. Este enfoque apoya a las empresas internacionales, pero también a las PYME en sus esfuerzos por desarrollarse y crecer ofreciendo sus servicios en más de un país del EEE.

Con el fin de reducir la carga administrativa del tratamiento de datos personales en dos o más países del EEE, el RGPD proporciona un sistema de cooperación entre las APD, el llamado mecanismo de «ventanilla única», con el fin de llegar a un consenso entre las numerosas APD.

Cuando una organización trate datos en dos o más países del EEE, la autoridad competente que tramite una reclamación o una violación de datos, por ejemplo, será la del país en el que el responsable del tratamiento tenga su sede principal. Esto facilita las cosas para los responsables del tratamiento, ya que no tienen que cumplir con las diferentes leyes en cada país en el que operan. Además, solo tienen que interactuar con una APD. Dependiendo de tu tipo de negocio y de los productos y servicios que ofrezcas, el procesamiento transfronterizo también puede aplicarse a tu pyme. Muchas empresas más pequeñas, como tiendas en línea, sitios web de comercio electrónico, aplicaciones móviles e informáticas, ofrecen servicios en varios países.

Si su pyme trata datos de personas físicas en diferentes países del EEE, estas obligado a determinar cuál es la APD competente, o la autoridad principal. Por lo general, se trata de la APD ubicada en el país del EEE donde se encuentra la sede de tu organización y donde se toman decisiones sobre los fines y medios de tratamiento de los datos personales.

En la práctica

  • Los minoristas en línea, por ejemplo, que venden ropa a través de sus tiendas web a clientes en varios países del EEE, pueden tratar datos personales y a menudo lo hacen. En tal caso transfronterizo, la autoridad competente debe ser el país del establecimiento principal del minorista en línea («principio de establecimiento»).

Una vez que hayas determinado qué DPA es la principal, solo necesitas comunicarse con ella. La APD principal coopera y participa en conversaciones con otras APD del EEE afectadas.

Cuando deba tramitarse una denuncia con un elemento transfronterizo en el contexto de la cooperación con otra APD, se adoptarán las siguientes medidas de cooperación:

  • Si otra APD recibió la denuncia, tiene la obligación de informar a la APD principal sobre el caso;
  • La APD de que se trate podrá participar en la elaboración de una decisión sobre la denuncia;
  • Durante la preparación de una decisión, la APD principal debe tener en cuenta la opinión de la APD afectada.

Determinación de la autoridad principal de protección de datos

Conceptos clave

Tratamiento transfronterizo de datos personales

Según el RGPD, la identificación de una autoridad principal de protección de datos solo es pertinente para las organizaciones que realizan el tratamiento transfronterizo de datos personales.

El RGPD define el «tratamiento transfronterizo» como:

  1. el tratamiento de datos personales que tenga lugar en más de un país del EEE en el que el responsable o encargado del tratamiento esté establecido en más de un país del EEE; o
  2. el tratamiento de datos personales que tiene lugar en un único establecimiento de una organización en el EEE pero que afecte o pueda afectar sustancialmente a personas en más de un país del EEE.

En la práctica

  • Esto significa que cuando una organización tenga establecimientos en Alemania y Croacia, por ejemplo, y el tratamiento de datos personales tenga lugar en el contexto de sus actividades, esto constituirá un tratamiento transfronterizo.
  • Otra posibilidad es que  la organización solo tenga un establecimiento en Alemania. Sin embargo, si su actividad de tratamiento afecta o puede afectar sustancialmente, a las personas físicas en Alemania y Croacia, esto también constituirá un tratamiento transfronterizo.

Comprensión de los «efectos sustanciales»

El hecho de que una organización trate una cantidad (incluso una gran cantidad) de datos personales de las personas, en varios países del EEE, no significa necesariamente que el tratamiento tenga o pueda tener un efecto sustancial. El tratamiento con poco o ningún efecto no constituye un tratamiento transfronterizo, independientemente de la cantidad de personas que afecte.

Las APD interpretarán «efecto sustancial» caso por caso. Tendrán en cuenta el contexto del tratamiento, el tipo de datos, la finalidad del tratamiento y factores tales como si el tratamiento:

  • causa, o es probable que cause, daño, pérdida o angustia a las personas;
  • tiene, o es probable que tenga, un efecto real en términos de limitar los derechos de las personas o negar una oportunidad;
  • afecta, o es probable que afecte a la salud, el bienestar o la tranquilidad de las personas;
  • afecta, o es probable que afecte a la situación o circunstancias financieras o económicas de las personas;
  • deja a las personas expuestas a la discriminación o a un trato injusto;
  • implica el análisis de categorías especiales de datos personales u otros datos intrusivos, en particular los datos personales de los niños;
  • causa, o es probable que haga que las personas cambien su comportamiento de manera significativa;
  • tiene consecuencias improbables, imprevistas o no deseadas para las personas;
  • provoca vergüenza u otros resultados negativos, incluido el daño a la reputación; o implica el tratamiento de una amplia gama de datos personales.

Autoridad principal de protección de datos

En pocas palabras, una «autoridad principal de protección de datos» o APD principal es la APD con la responsabilidad principal de ocuparse de una actividad de tratamiento de datos transfronteriza, por ejemplo, cuando una persona presenta una queja sobre el tratamiento de sus datos personales. La APD principal coordinará cualquier investigación y trabajará junto con las APD «afectadas». La identificación de la APD principal depende de la determinación de la ubicación del «establecimiento principal» o «establecimiento único» del responsable del tratamiento en la UE.

Si una organización está establecida en un solo país del EEE, tiene un único establecimiento en el EEE y la APD de ese país será la APD principal.

Si una organización está establecida en más de un país del EEE, es necesario determinar su establecimiento principal, de modo que pueda identificarse la APD principal.

Establecimiento principal

Para determinar dónde se encuentra el establecimiento principal, es necesario identificar en primer lugar la ubicación de la administración central de la organización en el EEE («lugar de administración central; sede principal»), en su caso. Este es el lugar donde se toman las decisiones sobre los fines y medios del tratamiento de datos personales.

En los casos en que las decisiones relativas a diferentes actividades de tratamiento transfronterizo se tomen dentro de la administración central, habrá una única APD principal en el EEE para las diversas actividades de tratamiento de datos llevadas a cabo por la empresa multinacional. No obstante, pueden darse casos en que un establecimiento distinto del lugar de administración central adopte decisiones autónomas sobre los fines y medios de una actividad de tratamiento específica. En estas situaciones, será esencial que las empresas identifiquen con precisión dónde se toman las decisiones sobre el propósito y los medios de tratamiento. La correcta identificación del establecimiento principal redunda en interés de los responsables y encargados del tratamiento, ya que proporciona claridad en términos de qué DPA deben tratar con respecto a sus diversas obligaciones de cumplimiento en virtud del RGPD.

En la práctica

  • Un minorista de ropa tiene su sede (es decir, su «lugar de administración central») en Sofía, Bulgaria. Tiene establecimientos en varios otros países del EEE, que están en contacto con personas allí. Todos los establecimientos utilizan el mismo software para tratar los datos personales de los clientes con fines de marketing. Todas las decisiones sobre los fines y medios del tratamiento de los datos personales de los clientes con fines de marketing se toman en su sede central de Sofía. Esto significa que la APD principal de la empresa para esta actividad de procesamiento transfronterizo es la APD búlgara.

Organizaciones no establecidas en el EEE

Si tu organización no está establecida en el EEE, pero está sujeta al RGPD, ya que está dentro del ámbito territorial del RGPD, es posible que debas nombrar a un representante en uno de los países del EEE.

Sin embargo, si una organización no tiene un establecimiento en el EEE, la mera presencia de un representante en uno de los países del EEE no activa el sistema de «ventanilla única». Esto significa que las organizaciones sin establecimiento en el EEE deben tratar con las APD locales en todos los países del EEE en los que operan, a través de su representante local.

Papel del Comité Europeo de Protección de Datos

El CEPD es un organismo europeo independiente con personalidad jurídica que contribuye a la aplicación coherente de las normas de protección de datos en todo el EEE y promueve la cooperación entre las autoridades de protección de datos del EEE. El CEPD está compuesto por los jefes de las APD y el Supervisor Europeo de Protección de Datos (SEPD) o sus representantes.

Descubre más sobre el CEPD

En el CEPD, las APD trabajan juntas para:

  • proporcionar orientaciones generales (incluidas directrices, dictámenes, recomendaciones y mejores prácticas) sobre la legislación en materia de protección de datos, en particular el RGPD;
  • asesorar a la Comisión Europea sobre cualquier cuestión relacionada con la protección de datos personales y la nueva legislación propuesta en la UE;
  • adoptar decisiones y dictámenes de coherencia en los casos de protección de datos transfronterizos.

En lugar de responder a solicitudes específicas individuales, el CEPD emite orientaciones generales.

El CEPD ha adoptado varios documentos de orientación que son directamente relevantes para las empresas, incluidas las pymes. Estas directrices aclaran diferentes nociones del RGPD, como los principios básicos de tratamiento, la protección de datos desde el diseño y por defecto, las transferencias internacionales de datos y los derechos de los interesados. Puede encontrar una visión general de estos documentos aquí.

 

Mecanismo de coherencia

El mecanismo de coherencia puede tener un impacto directo en las PYME. En primer lugar, el mecanismo de coherencia puede activarse cuando la APD principal y las APD afectadas no pueden llegar a un consenso sobre un caso transfronterizo específico. En tales casos, el asunto se remitirá al CEPD, que adoptará una decisión vinculante para resolver el litigio.

Además, el CEPD emite dictámenes de coherencia sobre algunos proyectos de decisiones elaborados por las APD del EEE, que tienen efectos transfronterizos (por ejemplo, sobre un nuevo conjunto de contratos tipo o sobre códigos de conducta).

El CEPD también puede emitir dictámenes de coherencia sobre cualquier asunto de aplicación general del RGPD, o cualquier asunto que tenga efecto en más de un país del EEE. Este trabajo tiene como objetivo garantizar que el RGPD se entienda y aplique de manera coherente en diferentes países del EEE.