FUNCIONES EN EL RGPD
Autoridades nacionales de supervisión
Las autoridades nacionales de reglamentación tienen diversas competencias. Estos se establecen en el artículo 50 del RGPD.
Las autoridades nacionales de supervisión publican publicaciones y formulan recomendaciones
RGPD es un marco regulatorio integral y las consecuencias pueden ser devastadoras para las empresas que violan la regulación. Hay mucha información y muchas reglas para que las empresas y sus empleados realicen un seguimiento. Las autoridades nacionales de supervisión a menudo pueden encontrar información valiosa sobre el RGPD. Entre otras cosas, las recomendaciones y publicaciones emitidas por las autoridades nacionales de supervisión facilitan la comprensión del RGPD y ayudan a interpretar el marco regulador.
Entre otras cosas, una autoridad nacional de supervisión puede decidir lo siguiente, si una empresa viola las reglas del RGPD:
Reprimenda
Una amonestación es una advertencia formal de que una autoridad de control puede decidir, por ejemplo, si existe una violación del RGPD que no sea tan grave. Es una sanción más leve que una multa administrativa o una prohibición.
Multa administrativa
Una multa administrativa es una multa que una autoridad de control puede imponer por infracciones del RGPD. Esto puede ascender a un máximo de 20 millones de euros o el 4% de la facturación anual global (la más alta de las opciones). Tenga en cuenta que no son los interesados los que reciben el dinero de la multa administrativa, sino que la suma debe pagarse al estado.
Prohibición
Una autoridad de control puede decidir que un tratamiento de datos personales debe cesar y que la empresa no puede llevar a cabo dicho tratamiento.
Recurso ante un órgano jurisdiccional contra una decisión de una autoridad nacional de control
Es posible que una empresa recurra una decisión de una autoridad nacional de supervisión ante un tribunal. A partir de entonces, se puede apelar en las diversas instancias hasta el Tribunal Supremo, si el tribunal decide tomar el caso. Además, el Tribunal Supremo puede solicitar un dictamen a la Comisión Europea si no está seguro de su decisión.
Consulta previa previa a determinados tratamientos de datos personales
Para determinadas operaciones de tratamiento, una empresa puede tener que solicitar una consulta previa con la autoridad nacional de protección de datos antes de llevar a cabo el tratamiento deseado. Tenga en cuenta que la empresa debe realizar primero una evaluación de impacto. Además, la evaluación de impacto deberá estar bien documentada. Posteriormente, es posible que la empresa tenga que solicitar una consulta previa a la autoridad nacional de supervisión, si el riesgo para los derechos y libertades de las personas sigue siendo elevado.
Representantes de las autoridades nacionales de control en el Comité Europeo de Protección de Datos
Todas las autoridades nacionales de control de la UE/EEE tienen un miembro del Comité Europeo de Protección de Datos (CEPD). Por lo general, es la autoridad nacional de supervisión la que representa al país en el CEPD. El CEPD es un organismo independiente que, entre otras cosas, proporciona directrices a las autoridades nacionales de supervisión y trabaja para garantizar que el RGPD se aplique de la misma manera en todos los países de la Unión.
Si un interesado desea obtener una compensación por infracciones del RGPD
Si un interesado cree que una empresa, organización u organismo público ha violado el RGPD y quiere reclamar daños y perjuicios, el interesado debe iniciar una acción civil contra la empresa. Una autoridad de control no representa a los interesados en los procedimientos civiles. Además, el interesado debe ser responsable y pagar sus honorarios legales y costos similares debido al propio caso.
Sin embargo, puede ser beneficioso para un interesado en un caso civil contra una empresa, si la empresa en cuestión ha recibido una sentencia o decisión sobre la violación del RGPD de la autoridad nacional de control.
El Tribunal de Justicia de la Unión Europea se pronunció en un asunto que llegó al Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria
En Bulgaria, hubo un ciberataque en la oficina de impuestos que resultó en los datos personales de millones de personas que terminaron en Internet. Por lo tanto, varias personas, cuyos datos personales fueron objeto de la violación de datos personales, optaron por demandar a la autoridad tributaria. La reclamación se refería a la indemnización de los daños inmateriales causados por la violación de la seguridad de los datos personales.
El Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria planteó una petición de decisión prejudicial al Tribunal de Justicia de la Unión Europea. El TJUE consideró que el temor a un posible uso indebido de datos personales en el futuro puede constituir un daño inmaterial. Por lo tanto, puede ser posible obtener una indemnización. Tenga en cuenta, sin embargo, que el miedo debe estar bien fundado.
Una autoridad nacional de supervisión puede tener varias funciones
Es posible que una autoridad nacional de supervisión trabaje en más áreas que solo RGPD. Por ejemplo, la vigilancia con cámara, que también está cubierta por el RGPD, pero que puede estar regulada por otras leyes y requerir permiso para llevarse a cabo. En Suecia, por ejemplo, es la autoridad nacional de supervisión del RGPD la que también toma decisiones con respecto a la vigilancia por cámara.
Autoridad de supervisión independiente
Una cosa que la Comisión Europea examina específicamente a la hora de decidir si un tercer país tiene o no un nivel adecuado de protección es precisamente si el país en cuestión tiene una autoridad nacional de supervisión independiente.
Si un tercer país (es decir, un país fuera de la UE / EEE) tiene un nivel adecuado de protección, se le permite transferir datos personales allí sin tener que tomar ninguna medida de seguridad especial u obtener permiso. Sin embargo, no es una empresa la que puede decidir si un país tiene un nivel de protección adecuado o no, ya que es solo la Comisión Europea la que decide al respecto.
Al realizar la evaluación, la Comisión Europea examina, entre otras cosas, si el país cuenta con una autoridad nacional de control independiente para tratar cuestiones de protección de datos, qué posibilidades jurídicas tienen los interesados, si el país respeta los derechos humanos, etc. Tenga en cuenta que, por ejemplo, una región o un Estado pueden tener un nivel adecuado de protección. En otras palabras, no necesariamente tiene que ser un país entero per se lo que abarca la decisión.
Tratamiento transfronterizo de datos personales
Cuando un tratamiento de datos personales está relacionado con dos o más países dentro de la UE, se trata de un tratamiento transfronterizo de datos personales. Puede ser que la empresa opere en varios países y envíe datos personales a la sede central ubicada en uno de los países para su administración. Otro ejemplo podría ser si el tratamiento de datos personales en un país específico es muy probable o afectará significativamente a los interesados en dos o más Estados miembros.
Autoridad de supervisión si una empresa opera en varios países de la UE
Por regla general, las empresas solo deben tener contacto con una autoridad de supervisión de un país. No importa si la empresa es un controlador de datos o un procesador de datos. Por ejemplo, la empresa no necesita notificar una violación de datos personales que involucre datos personales en varios países a la autoridad de protección de datos en cada país, sino solo a la autoridad de supervisión principal de la empresa. Por lo tanto, es importante saber cuál es. Es la autoridad supervisora en el país donde la empresa tiene su negocio principal.
Los interesados no necesitan saber cuál es la autoridad de control principal
Los interesados, por otro lado, pueden presentar una notificación de una violación del RGPD a su propia autoridad nacional de control ubicada en su país de residencia. Por lo tanto, no están obligados a presentar la notificación a la autoridad de control principal de la empresa. Las autoridades de supervisión de la Unión cooperarán y transferirán el caso a la autoridad de supervisión que sea más adecuada en el caso.
Varias autoridades de supervisión pueden llevar a cabo la supervisión
No es raro que los supervisores nacionales de varios países de la Unión cooperen y lleven a cabo conjuntamente una supervisión específica. Muchas de las empresas actuales son internacionales y tratan datos personales pertenecientes a personas que se encuentran en varios países de la UE/EEE. Si se produce una violación de datos personales en una empresa internacional de este tipo, los interesados de varios países pueden verse afectados por la violación. En tales casos, puede darse el caso de que una autoridad de supervisión lleve a cabo la supervisión, mientras que las autoridades de supervisión de los demás países aporten sus puntos de vista al respecto.
MÁS SOBRE LOS PAPELES
Controladores de datos según RGPD
Es el responsable del tratamiento quien determina la finalidad y los medios del tratamiento, y es responsable del tratamiento de los datos personales. No es un gerente o empleado de la empresa, sino la propia empresa la que desempeña este papel. Sin embargo, puede ser un individuo quien es el controlador de datos en algunos casos. Por ejemplo, si se trata de un comerciante individual, o una persona privada que ha instalado una cámara de vigilancia filmando una vía pública. El responsable del tratamiento debe, entre otras cosas, demostrar el cumplimiento del RGPD. Esto significa, entre otras cosas, tener acuerdos y documentos apropiados relacionados con RGPD.