¿Has oído hablar del Supervisor Europeo de Protección de Datos? ¿Cuáles son sus funciones? ¿Dónde se regula? Si te interesa conocer un poco más sobre esta figura no te pierdas este post.
¿Quién es el Supervisor europeo de Protección de Datos?
Es una autoridad supervisora independiente a nivel europeo.
El objetivo del Supervisor Europeo de Protección de Datos es garantizar que las instituciones y órganos europeos respeten el derecho a la intimidad y la protección de datos cuando tratan datos de carácter personal y desarrollan nuevas políticas.
Las instituciones y organismos de la Unión Europea, en el ejercicio de sus funciones, tratan información personal de los ciudadanos en diversos formatos (electrónico, textos, imágenes).
El tratamiento incluye las actividades de:
- Recogida
- Registro
- Almacenamiento
- Recuperación
- Envío
- Bloqueo
- Supresión de datos
La función del Supervisor Europeo de Protección de Datos (SEPD) es defender el cumplimiento de las estrictas normas de protección de la intimidad que regulan esas actividades.
El Supervisor Europeo de Protección de datos es una de las figuras principales de la Agencia Europea de Protección de Datos, denominada Comité Europeo de Protección de Datos (CEPD).
Es elegido por un mandato de 5 años renovables. En la actualidad esta figura está representada por Wojciech Wiewiórowski, quien desempeña sus funciones en la sede del Servicio Europeo de Protección de Datos en Bruselas (Bélgica).
Normativa aplicable al Supervisor Europeo de Protección de Datos
La figura del Supervisor Europeo de Protección de Datos se crea en 2004.
Esta autoridad se regula en el Reglamento 45/2001 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
Este Reglamento es el instrumento normativo sobre protección de datos que rige el tratamiento de datos por parte de las instituciones europeas. Actualmente se encuentra en proceso de revisión. La Comisión adoptó una propuesta que sigue actualmente los trámites europeos de adopción de normativa, con la intención de seguir la línea marcada por el RGPD.
¿Cuáles son las funciones del SEPD?
Las principales funciones del Supervisor Europeo de Protección de Datos pueden ser de tres tipos:
- Supervisión
- Consulta
- Cooperación
Vamos a analizar cada una de ellas.
Supervisión
El cumplimiento del Reglamento sobre protección de datos en la administración de la UE también se verifica de forma rigurosa mediante la evaluación periódica de indicadores de rendimiento sobre todas las instituciones y órganos de la UE.
Además de esa supervisión general, realiza inspecciones in situ para medir el grado de conformidad en la práctica.
La función supervisora del SEPD incluye también la investigación de las reclamaciones presentadas por los miembros del personal de la UE. O por cualquier persona que crea que sus datos personales han sido tratados inadecuadamente por parte de una institución o un órgano europeo.
Como ejemplos de reclamaciones más habituales están:
- Vulneraciones de la confidencialidad
- Acceso a los datos
- Derecho de rectificación
- Supresión de datos
- Recopilación excesiva o la utilización ilegal de datos por parte del responsable del tratamiento.
El SEPD realiza también la supervisión de otras formas, como:
- Asesoramiento sobre medidas administrativas
- Elaboración de directrices temáticas.
Consulta
El SEPD aconseja sobre asuntos de protección de datos en una serie de ámbitos de intervención política a la Comisión Europea, al Parlamento Europeo y al Consejo de Europa.
Esta función consultiva está relacionada con las propuestas de nuevas leyes, así como con otras iniciativas que pueden afectar a la protección de datos personales en la UE.
Un dictamen formal es habitualmente el resultado de esta función.
Pero el SEPD también aconseja a través de comentarios o documentos de orientación.
Igualmente, supervisa los avances tecnológicos que afectan a la protección de datos.
El SEPD ha prestado especial atención a otros aspectos significativos, entre los que se incluyen:
- Acuerdo «TFTP-SWIFT» que regula el acceso a la información financiera,
- Examen de la Directiva sobre la privacidad y las comunicaciones electrónicas,
- Novedades relacionadas con el Programa de Estocolmo sobre las políticas de Justicia e Interior,
- Verificación del sistema Eurodac y del Reglamento de Dublín sobre política de asilo, y
- Acceso público a los documentos.
También está revisando el marco jurídico para la protección de datos, en respuesta a los nuevos retos planteados por la tecnología y la globalización. Conseguir este importante objetivo será el elemento principal de la agenda del SEPD en los próximos años.
Como parte de su función consultiva, también interviene en casos presentados al Tribunal de Justicia de las Comunidades Europeas que entran dentro de la esfera de sus competencias.
Cooperación
El SEPD coopera con otras autoridades competentes en el ámbito de la protección de datos con el fin de promover un enfoque coherente de la protección de datos en toda Europa.
La principal plataforma de cooperación entre las autoridades competentes en la protección de datos en Europa es el Grupo de trabajo del artículo 29 (grupo de protección de las personas sobre el tratamiento de datos personales).
El SEPD participa en las actividades del Grupo de Trabajo, que desempeña un papel importante en la aplicación uniforme de la Directiva sobre protección de datos. Estos han colaborado de manera eficaz en una serie de temas, pero sobre todo en la aplicación de la Directiva sobre protección de datos y en los retos planteados por las nuevas tecnologías.
También ha amparado las iniciativas establecidas para garantizar que los flujos de datos internacionales respeten los principios europeos de protección de datos.
Una de las funciones de cooperación más importantes es la relacionada con el sistema Eurodac. Aquí se comparten con las autoridades competentes en la protección de datos nacionales las responsabilidades de la supervisión.
El SEPD coopera con las autoridades competentes en la protección de datos en el el ámbito de la cooperación policial y judicial y con el Grupo de Trabajo de Policía y Justicia.
La cooperación también tiene lugar a través de la participación en dos destacadas conferencias anuales sobre protección de datos:
- Conferencia Europea de autoridades competentes en la protección de datos de los Estados miembros de la UE y del Consejo de Europa, y
- Conferencia Internacional de expertos en protección de datos, tanto del sector público como del ámbito privado.
Derechos de los ciudadanos respecto al tratamiento de datos personales por instituciones y organismos europeos
Como decimos, una de las principales funciones del Supervisor Europeo de Protección de Datos (SEPD) es garantizar que las instituciones y organismos de la Unión Europea cumplen con el Reglamento General de Protección de Datos (RGPD). Pero, ¿cuáles son los derechos que asisten a los ciudadanos?
Derecho a saber si un organismo europeo está tratando mis datos personales
Cualquier organismo europeo, mediante su responsable de tratamiento, debe informar a cualquier ciudadano del tratamiento de sus datos. En concreto, la información que debe proporcionar es la siguiente:
- Identidad del responsable del tratamiento
- Finalidad del tratamiento
- Destinatarios de os datos y si estos van a ser cedidos a terceros
- Derechos del ciudadano como titular de los datos.
Derecho a saber qué datos sobre mi persona se están tratando
El ciudadano no solo tiene derecho a saber que sus datos están siendo tratados, sino también a conocer qué datos están siendo objeto del tratamiento, y las vías para ejercer sus derechos. Por tanto, cualquier institución u organismo europeo debe ofrecer las siguientes posibilidades a cualquier ciudadano, de forma gratuita y fácilmente accesible:
- Acceso a sus datos personales y su tratamiento (finalidad, datos objetos del tratamiento, comunicación de datos a terceros, etc)
- Rectificación de aquellos datos personales que estén siendo objeto de tratamiento y que el ciudadano considere incompletos o inexactos.
- Bloqueo, supresión de los datos o limitación del tratamiento, en los supuestos contemplados por el RGPD.
Derecho de oposición al tratamiento de mis datos personales
Toda persona puede ejercer su derecho de oposición a que los datos sean objetos del tratamiento, siempre y cuando se trate de razones imperiosas y legítimas.
Asimismo, todo ciudadano de la UE debe ser informado de si los datos se van a comunicar a terceros para fines de mercadotecnia directa. En ese caso, la persona tiene derecho a oponerse a dicha cesión de datos.
¿Cómo actuar si se está realizado un tratamiento ilícito de mis datos personales?
Si alguna institución u organismo europeo está realizando un tratamiento ilícito de datos, el ciudadano puede actuar de varias maneras:
- En primera instancia, comunicar el tratamiento ilícito al responsable del tratamiento y solicitarle que tome medidas al respecto.
- Si no se obtiene respuesta, o ésta no es satisfactoria, ponerse en contacto con los responsables de protección de datos del organismo en cuestión. En la propia web del Supervisor Europeo de Protección de Datos se puede encontrar la lista de responsables de cada institución.
- Poner una reclamación ante el Supervisor Europeo de Protección de Datos. Él se encargará de estudiar el caso y tomar las medidas necesarias.
- Si no se está de acuerdo con las decisiones tomadas por el SEPD, se puede recurrir ante el Tribunal de Justicia de las Comunidades Europeas.
¿Cómo reclamar ante el Supervisor europeo de Protección de Datos?
Las instituciones y organismos de la UE no deben tratar datos personales referidos a:
- Origen racial o étnico
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Pertenencia a sindicatos
- Salud o la orientación sexual de las personas, salvo que sean necesarios para la asistencia sanitaria.
En el caso de que una institución u organismo de la UE haya violado tu derecho a la intimidad, en primer lugar tendrás que informar de ello a los funcionarios responsables del tratamiento de tus datos en el departamento donde consideres que se cometió la infracción.
Si la respuesta que te den no te satisface, puedes contactar con el responsable de la protección de datos de la institución u organismo de la UE donde consideres que se produjo la infracción.
En el caso de que no obtengas respuesta o esta no sea satisfactoria, puedes presentar una reclamación ante el SEPD. Este llevará a cabo una investigación y te comunicará si está de acuerdo con tu reclamación, informándote de las medidas que haya podido adoptar para corregir la situación.
En principio, una queja ante el Supervisor Europeo de Protección de Datos será inadmisible si no se ha contactado primero con la institución o su oficial de protección de datos para rectificar el asunto.
Por ejemplo, si deseas acceder a tus datos, primero debes solicitar a la institución que te otorgue acceso. Si no te has comunicado con la institución antes de presentar una queja ante el SEPD, debes indicar el motivo en el formulario.
En caso de desacuerdo con la decisión del Supervisor Europeo de Protección de Datos, puedes reclamar ante el Tribunal de Justicia de la UE.
¿Quién puede presentar la reclamación?
Puede reclamar ante el SEPD:
- Cualquier persona que tenga relaciones con una institución de la UE puede quejarse del procesamiento de sus datos personales por parte de aquella;
- Cualquier persona que trabaje en una institución de la UE puede quejarse por el incumplimiento de las normas de protección de datos por parte de esta institución, incluso si no está personalmente afectado.
Las normas de protección de datos que deben seguir las instituciones de la UE se establecen en el Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos.
El Reglamento dice que si crees que tus derechos de protección de datos han sido infringidos por la administración de la UE puedes reclamar ante el Supervisor Europeo de Protección de Datos.
Por ejemplo:
- Si se recogen cantidades excesivas de tus datos personales;
- Si te han negado el acceso a tus datos personales;
- Cuando te han negado el derecho a rectificar datos personales inexactos o incompletos;
- Tus datos personales han sido compartidos con terceros sin tu consentimiento;
- Te niegan el derecho a bloquear o borrar datos personales inexactos o irrelevantes;
- Tus datos personales están siendo procesados ilegalmente.
Casos en los que no se puede reclamar al SEPD
El SEPD no tiene competencia para resolver las siguientes reclamaciones:
- Si quieres modificar el contenido de los documentos, o para impugnar o anular las decisiones que una institución de la UE pueda haber tomado sobre ti. En esos casos, debes abordar el asunto ante el Tribunal de Justicia de la UE.
- Casos de mala administración general. Estos deben dirigirse al Defensor del Pueblo Europeo.
- Relacionadas con Eurojust. Debes ponerte en contacto con la Autoridad Común de Control de Eurojust.
- Procesamiento de información personal por parte de autoridades nacionales, regionales o locales, empresas u organizaciones privadas u organizaciones sin fines de lucro. Debes contactar con la autoridad nacional de protección de datos correspondiente.
Información de contacto
Sede del Supervisor Europeo de Protección de Datos: Rue Wiertz/Wiertzstraat 60 B-1047 Bruxelles Belgique
Tel: +32 2 283 19 00
Fax: +32 2 283 19 50
Página web: https://edps.europa.eu/