Carlos B Fernández. Coincidiendo con el comienzo de la aplicabilidad del Reglamento General de Protección de datos (LA LEY 6637/2016), el pasado 25 de mayo, se ha constituido el Comité europeo de protección de datos (CEPD).
Este órgano, regulado en los artículos 68 a 76 del RGPD (que deben interpretarse principalmente a la luz de sus Considerandos 135 a 140), tiene como finalidad principal, según establece el art. 70, garantizar “la aplicación coherente” del Reglamento.
Este órgano sustituye al conocido como Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE (LA LEY 5793/1995) y por ello comúnmente conocido como Grupo de Trabajo del artículo 29 o GT29.
Durante su primera sesión plenaria, celebrada el mismo día 25 de mayo, el Consejo eligió su Presidente (la austriaca Andrea Jelinek) y dos Vicepresidentes. El Presidente de EDPB dirigirá la Junta durante los próximos cinco años. Su papel será crucial para el éxito y la efectividad del GDPR (LA LEY 6637/2016).
Naturaleza del CEPD
Según el artículo 1 de su Reglamento interno, el Comité, como es generalmente conocido en el RGPD, es un organismo europeo con personalidad jurídica e independiente en la realización de sus tareas y el ejercicio de sus competencias, que contribuye a la aplicación coherente de las normas de protección de datos en toda la Unión Europea y promueve la cooperación entre las autoridades de protección de datos de la UE.
Su sede se encuentra en Bruselas, Bélgica.
Composición
El CEPD está compuesto por representantes de todas las autoridades nacionales de protección de datos más y del Supervisor Europeo de Protección de Datos (SEPD). La Comisión Europea tiene derecho a participar en las actividades y reuniones del Comité sin derecho de voto (art. 68.3 del RGPD).
Sus miembros elegirán por mayoría simple un presidente y dos vicepresidentes, cuyo mandato tendrá una duración de cinco años, renovables por una vez. La distribución de funciones entre el presidente y los vicepresidentes se realizará por medio de su reglamento interno (arts. 73 y 74 del RGPD).
Las funciones del presidente del Comité será: convocar las reuniones del Comité y preparar su orden del día; notificar las decisiones adoptadas por el Comité con arreglo al artículo 65 a la autoridad de control principal y a las autoridades de control interesadas y garantizar el ejercicio puntual de las funciones del Comité, en particular en relación con el mecanismo de coherencia a que se refiere el artículo 63 (art. 74 del RGPD).
El CEPD contará también con una secretaría, a cargo del Supervisor Europeo de Protección de Datos, pero que ejercerá sus funciones siguiendo exclusivamente las instrucciones del presidente del Comité.
Las condiciones de la cooperación entre el CEPD y el SEPD se rigen por un Memorando de entendimiento .
Misión del Comité
Según el art. 70.2 del RGPD y el art. 2 de su Reglamento interno, el CEPD tiene como objetivo principal garantizar la aplicación coherente del Reglamento General de Protección de Datos (LA LEY 6637/2016) y la Directiva europea sobre protección de datos en el ámbito policial, así como del resto de instrumentos legislativos establecidos por el Derecho de la Unión.
El Comité es también el órgano capacitado parea Podemos adoptar directrices generales para clarificar los términos de la legislación europea de protección de datos, proporcionando a todas las partes interesadas una interpretación coherente de sus derechos y obligaciones.
También está habilitados por el RGPD para tomar resoluciones vinculantes con respecto a las autoridades nacionales de supervisión para garantizar una aplicación coherente de la normativa.
El Comité actúa de acuerdo con su Reglamento interno y los principios rectores que se describen más adelante.
Cometido y responsabilidades
El art. 70 del RGPD establece que el Comité garantizará “la aplicación coherente” del Reglamento.
A tal efecto, a iniciativa propia o a instancia de la Comisión tendrá como principales funciones:
1) supervisar y garantizar la correcta aplicación del Reglamento en los casos contemplados en los artículos 64 (casos en los que debe emitir Dictamen) y 65 (supuestos de resolución de conflictos), sin perjuicio de las funciones de las autoridades de control nacionales;
2) asesorar a la Comisión
– Sobre toda cuestión relativa a la protección de datos personales en la Unión, en particular sobre cualquier propuesta de modificación del Reglamento y
– sobre el formato y los procedimientos para intercambiar información entre los responsables, los encargados y las autoridades de control en relación con las normas corporativas vinculantes;
3) emitir directrices, recomendaciones y buenas prácticas
– relativas a los procedimientos para la supresión de vínculos, copias o réplicas de los datos personales procedentes de servicios de comunicación a disposición pública a que se refiere el artículo 17 (Derecho de supresión o derecho al olvido), apartado 2;
– a fin de especificar más los criterios y requisitos de las decisiones basadas en perfiles en virtud del artículo 22, apartado 2;
– a fin de constatar las violaciones de la seguridad de los datos y determinar la dilación indebida a tenor del artículo 33, apartados 1 y 2, y con respecto a las circunstancias particulares en las que el responsable o el encargado del tratamiento debe notificar la violación de la seguridad de los datos personales;
– con respecto a las circunstancias en las que sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas a tenor del artículo 34, apartado 1;
– con el fin de especificar en mayor medida los criterios y requisitos para las transferencias de datos personales basadas en normas corporativas vinculantes a las que se hayan adherido los responsables del tratamiento y en normas corporativas vinculantes a las que se hayan adherido los encargados del tratamiento y en requisitos adicionales necesarios para garantizar la protección de los datos personales de los interesados a que se refiere el artículo 47;
– a fin de especificar en mayor medida los criterios y requisitos de las transferencias de datos personales sobre la base del artículo 49, apartado 1;
– a fin de establecer procedimientos comunes de información procedente de personas físicas sobre infracciones del presente Reglamento en virtud del artículo 54, apartado 2;
Además, deberá examinar la aplicación práctica de dichas directrices, recomendaciones y buenas prácticas.
4) examinar, a iniciativa propia, a instancia de uno de sus miembros o de la Comisión, cualquier cuestión relativa a la aplicación del Reglamento, y emitir directrices, recomendaciones y buenas prácticas a fin de promover la aplicación coherente del mismo;
5) formular directrices para las autoridades de control, relativas a la aplicación de las medidas a que se refiere el artículo 58, apartados 1, 2 y 3, y la fijación de multas administrativas de conformidad con el artículo 83;
6) examinar la aplicación práctica de las directrices, recomendaciones y buenas prácticas a que se refieren las letras e) y f);
7) realizar la acreditación de los organismos de certificación y su revisión periódica en virtud del artículo 43, y llevará un registro público de los organismos acreditados en virtud del artículo 43, apartado 6, y de los responsables o los encargados del tratamiento acreditados establecidos en terceros países en virtud del artículo 42, apartado 7;
8) especificar los requisitos contemplados en el artículo 43, apartado 3, con miras a la acreditación de los organismos de certificación en virtud del artículo 42;
9) facilitar a la Comisión un dictamen:
– sobre los requisitos de certificación contemplados en el artículo 43, apartado 8;
– sobre los iconos a que se refiere el artículo 12, apartado 7;
– para evaluar la adecuación del nivel de protección en un tercer país u organización internacional, en particular para evaluar si un tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o una organización internacional, ya no garantizan un nivel de protección adecuado. A tal fin, la Comisión facilitará al Comité toda la documentación necesaria, incluida la correspondencia con el gobierno del tercer país, que se refiera a dicho tercer país, territorio o específico o a dicha organización internacional;
10) emitirá dictámenes sobre los proyectos de decisión de las autoridades de control en virtud del mecanismo de coherencia mencionado en el artículo 64, apartado 1, sobre los asuntos presentados en virtud del artículo 64, apartado 2, y sobre las decisiones vinculantes en virtud del artículo 65, incluidos los casos mencionados en el artículo 66;
11) emitir dictámenes sobre los códigos de conducta elaborados a escala de la Unión de conformidad con el artículo 40, apartado 9, y
12) llevar un registro electrónico, de acceso público, de las decisiones adoptadas por las autoridades de control y los tribunales sobre los asuntos tratados en el marco del mecanismo de coherencia..
El Comité debe elaborar un informe anual de sus actividades, que se publicará y enviará al Parlamento, el Consejo y la Comisión.
Principios rectores del Comité
El artículo 3 de su Reglamento interno establece los principios rectores de la actuación del Comité:
• Independencia e imparcialidad
Conforme al principio de independencia enunciado en el art. 69.1 del RGPD, el Comité “actuará con total independencia en el desempeño de sus funciones o [en] el ejercicio de sus competencias.”
• Buena gobernanza, integridad y buena conducta administrativa
De acuerdo con estos principios, el Comité actuará en interés público como un organismo experto, confiable y autorizado en el campo de la protección de datos, siguiendo buenos procesos de toma de decisiones y una sólida gestión financiera.
• Responsabilidad colegial
De acuerdo con las previsiones del RGPD y de la Directiva europea sobre protección de datos en el ámbito policial, el Comité se organizará y actuará colectivamente, como un cuerpo colegiado.
• Cooperación
El Comité promoverá la cooperación entre las autoridades nacionales y se esforzará por trabajar siempre que sea posible por consenso, sometido al RGPD y a la Directiva europea sobre protección de datos en el ámbito colegial.
• Transparencia
El Comité operará tan abiertamente como le sea posible por ser más eficiente y más responsable para las personas. En este sentido deberá explicar sus actividades en un lenguaje accesible a todos.
• Eficiencia y modernización
El Comité deberá operar de la manera más eficiente y flexible posible para alcanzar internamente el más alto nivel de sinergias entre sus miembros.
Para ello recurrirá a las nuevas tecnologías para ayudar a mejorar la eficiencia de los métodos de trabajo actuales, tales como la minimización de trámites y la provisión de un soporte administrativo eficiente.
• Proactividad
De acuerdo con este principio, el Comité, por propia iniciativa, anticipará y apoyará soluciones innovadoras para ayudar a superar los desafíos digitales que plantea la protección de datos.
De mismo modo, garantiza, mediante la participación efectiva de los interesados (miembros, observadores, personal y expertos invitados), que las necesidades y aspiraciones reales de los ciudadanos se tengan plenamente en cuenta.
«Se constituye el Comité Europeo de Protección de datos» diariolaley 31 Mayo 2018 diariolaley.laley.es/Content/Documento