¿Qué es el Comité Europeo de Protección de Datos?

Todos conocemos la existencia de una nueva normativa que regula la protección de los datos personales. Y existen diversos organismos tanto de control como de regulación de esta materia a nivel europeo y de cada Estado miembro.

El Comité europeo de Protección de Datos (CEPD) es uno de esos organismos. Y aquí te explico más sobre su regulación y funciones.

Comité Europeo de Protección de Datos, ¿qué es?

Se trata de un organismo creado por el RGPD para garantizar y supervisar la correcta aplicación de esta normativa. Es el órgano asesor de la Comisión Europea en materia de Protección de datos, labor desempeñada anteriormente por el Grupo de Trabajo del artículo 29 (GT29).

Paso del GT29 al CEPD

El GT29 fue creado por la Directiva 95/46/CE, derogada por el RGPD, como órgano independiente con funciones de asesoramiento en temas de privacidad y Protección de datos.

Dentro de sus funciones estaba el asesoramiento a la Comisión Europea acerca del nivel de protección de datos en la Unión Europea y en terceros países. También elaboraba informes para la Comisión Europea sobre los códigos de conducta en el ámbito europeo.

A partir del 25 de mayo de 2018, con la entrada en vigor del RGPD, se derogó esa Directiva y tanto el CEPD como el Supervisor europeo de Protección de datos quedaron integrados en el GT29. Este organismo se regula en el capítulo VII, sección 3 del RGPD.

El Supervisor europeo de Protección de Datos (SEPD) es también una autoridad independiente que supervisa el tratamiento de datos personales en el ámbito del Parlamento europeo, la Comisión europea y el Banco Central europeo. También le corresponde investigar y analizar las reclamaciones presentadas por los afectados por dichos tratamientos. Aparte de esas funciones de control, realiza también tareas de asesoramiento a entidades e instituciones de la UE sobre protección de datos. Y coopera con las autoridades de protección de datos de cada Estado miembro para asegurar que la protección de datos personales sea adecuada y similar en todos los países de la UE.

El Supervisor europeo de Protección de Datos realiza funciones de secretaría respecto al CEPD, otorgándole ayuda logística y administrativa.

 Composición del CEPD

El CEPD está representado por su Presidente y, entre sus miembros, se eligen varios vicepresidentes.

El CEPD se encarga de garantizar una coherente aplicación del RGPD en todos los países de la UE, fomentar la cooperación entre las distintas autoridades de protección de datos de la UE y asesorar a la Comisión sobre el nivel de protección de datos existente en terceros países.

Se trata de una entidad con personalidad jurídica propia que está compuesto por los directores de las distintas autoridades de protección de datos de los Estados miembros de la UE y por el SEPD. En caso de que un país miembro tenga varias autoridades de protección de datos, como es el caso de España, debe nombrar un representante común. Así, la AEPD es la representante de nuestro país en el CEPD.

El CEPD dispone también de una Secretaría donde realizan sus funciones personas a cargo del Supervisor europeo de Protección de datos.

La Comisión europea también participa en las funciones realizadas por el CEPD, aunque no tiene derecho a voto.

Funciones de la Presidencia

El Presidente es quien representa al CEPD y tiene encomendadas las siguientes funciones:

• Convoca y prepara el orden del día de las reuniones del CEPD.
• Notifica las resoluciones del CEPD en casos de conflictos entre las autoridades de protección de datos de varios países.
• Asegura la realización de las funciones del CEPD.

Funciones de la Secretaría

Esta Secretaría depende del SEPD y realiza las funciones que le atribuye el RGPD bajo las instrucciones del presidente del CEPD.

La Secretaría está formada por personal designado por el SEPD pero depende de un superior diferente del personal del SEPD para garantizar su independencia. Sus funciones son de apoyo logístico, administrativo y analítico.

Particularmente, la Secretaría tiene responsabilidades sobre:

• Asuntos corrientes del CEPD
• Comunicación entre miembros del CEPD, su presidente y la Comisión europea
• Comunicación con el público y con otras entidades
• Traducción de la información necesaria
• Notificaciones internas y externas a través de medios electrónicos
• Preparar las reuniones del CEPD
• Elaboración y publicación de informes y dictámenes sobre la resolución de conflictos entre autoridades de protección de datos y sobre otros informes adoptados por el CEPD.

Funciones del CEPD

Las funciones que el artículo 70 del RGPD atribuye al CEPD son:

• Garantizar y supervisar una aplicación coherente del RGPD en los supuestos previstos en esta normativa y sin perjuicio de las competencias atribuidas a las autoridades de protección de datos de cada país.
• Asesorar a la Comisión europea en temas de protección de datos y sobre los procesos para comunicar información referente a normas corporativas vinculantes entre responsables, encargados y autoridades de protección de datos.
• Elaborar recomendaciones, directrices y buenas prácticas sobre:
  • requisitos y criterios para la elaboración de perfiles de ciudadanos,
  • cómo considerar que existe una violación de seguridad de datos personales y los criterios para determinar el significado del término «sin dilación indebida»,
  • condiciones para realizar transferencias internacionales de datos fundamentadas en normas corporativas vinculantes a las que se hayan adherido los responsables y encargados del tratamiento,
  • cláusulas adicionales para garantizar la protección de los datos personales de los ciudadanos.
• Impulsar la creación de códigos de conducta, el desarrollo de procesos de certificación en protección de datos y la confección de sellos de protección de datos según el RGPD.
• Acreditar a los organismos de certificación y realizar su revisión periódica. También llevar un registro de las entidades acreditadas.
• Proporcionar directrices a la Comisión europea sobre los requisitos de certificación previstos en el RGPD, la obligación de información exigida y sobre la verificación de si un tercer país u organización internacional tiene un adecuado nivel de protección de datos.
• Facilitar los intercambios de información y la colaboración entre las distintas autoridades de control. Crear programas comunes de formación y promover intercambios de personal entre las autoridades de control. E intercambiar documentos e información entre autoridades de protección de datos de todo el mundo.
• Emitir informes sobre las decisiones de las autoridades de control según el mecanismo de coherencia y sobre los códigos de conducta elaborados en la UE.
• Crear un registro electrónico público que recoja las resoluciones adoptadas por las autoridades de control y los tribunales en cuestiones referidas al mecanismo de coherencia.

Mecanismo de coherencia

La finalidad del mecanismo de coherencia es asegurar una aplicación correcta y coherente del RGPD en toda la UE. Este mecanismo supone que las autoridades nacionales de protección de datos deben colaborar entre sí y, en su caso, con la Comisión europea.

Si van a adoptarse por parte de las autoridades de protección de datos de los Estados miembros medidas que afecten otros países en la UE en materia de protección de datos o existe un conflicto entre dichas autoridades, le corresponde al CEPD emitir, según corresponda, un dictamen o una decisión vinculante.

En concreto, el CEPD emitirá un dictamen, salvo que previamente hubiera emitido un dictamen sobre el mismo asunto, cuando una autoridad nacional de protección de datos vaya a adoptar una decisión sobre materias tales como:

• adoptar una lista de las operaciones de tratamiento supeditadas al requisito de la evaluación de impacto relativa a la protección de datos;
• aprobar los criterios aplicables a la acreditación de un organismo o un organismo de certificación conforme al RGPD;
• tenga por objeto autorizar las cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional o tenga por objeto la aprobación de normas corporativas vinculantes.

El CEPD tiene asignada también la función de resolver conflictos que se produzcan entre autoridades de control. En esos casos deberá adoptar decisiones para garantizar la adecuada y coherente aplicación del RGPD.

En concreto, el CEPD adoptará decisiones vinculantes cuando se produzca alguno de estos tres tipos de conflicto:

• una autoridad de protección de datos interesada haya manifestado una objeción pertinente y motivada a un proyecto de decisión de la autoridad principal, o esta haya rechazado dicha objeción por no ser pertinente o no estar motivada;
• no haya acuerdo sobre cuál de las autoridades de protección de datos interesadas es competente para el establecimiento principal del responsable o encargado del tratamiento,
• una autoridad de protección de datos competente no solicite dictamen cuando sea necesario o no siga el dictamen que emita el CEPD.

Informe anual sobre Protección de datos

El RGPD atribuye también al CEPD la función de confeccionar un informe anual en materia de protección de datos personales referido a los tratamientos de datos en la UE y en terceros países y organizaciones internacionales, en caso de que proceda. A ese informe se le añadirá un análisis de la aplicación práctica de las directrices, buenas prácticas y decisiones vinculantes que el CEPD ha emitido.

Este informe se enviará al Parlamento Europeo, al Consejo y a la Comisión y se publicará.