Читать книгу Anuario de Derecho Administrativo 2017 - Miguel Ángel Recuerda Girela - Страница 68

El Reglamento atribuye a las autoridades de control nacionales amplias facultades de supervisión, inspección, acceso, interpretación, regulación, evitación de conductas y sanción. Del listado que exponemos a continuación a modo de ejemplo se desprende, en nuestra opinión, que el legislador comunitario ha querido reforzar su papel otorgándole unas competencias que recuerdan a las de las autoridades de defensa de la competencia.

El Capítulo VI está dedicado a estos organismos y en él se establecen las normas sobre independencia, competencia, funciones y poderes. Se trata de listados amplios, que les atribuyen (artículo 57):

■ El control de la aplicación del Reglamento y hacerlo aplicar.

■ Promover la sensibilización del público y su comprensión de los riesgos, garantías y derechos, y la de los responsables y encargados acerca de las obligaciones que les incumben.

■ Tratar las reclamaciones de los interesados.

■ Llevar a cabo investigaciones.

■ Hacer un seguimiento de los cambios de interés, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.

■ Adoptar cláusulas contractuales tipo en relación con el contrato que debe regir el tratamiento de datos por parte de un encargado vinculado a un responsable. Ello debe hacerse de acuerdo con el mecanismo de coherencia que establece el propio Reglamento, lo cual implica que el Comité Europeo de Protección de Datos emitirá un informe cada vez que la autoridad de control le comunique que tiene intención de aprobar este tipo de cláusulas (artículo 28).

■ Establecer y publicar la lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto. También podrán establecer y publicar una lista de aquellos tratamientos que no requieran este tipo de evaluación. En ambos casos se deberá comunicar la lista al Comité Europeo de Protección de Datos, en el marco del mecanismo de coherencia (artículo 35.4 y 35.5).

■ Promover la elaboración de códigos de conducta que contribuyan a la correcta aplicación del Reglamento.

■ Someter al Comité Europeo de Protección de Datos el proyecto que fije los criterios de acreditación de los organismos que vayan a realizar la supervisión del cumplimiento de códigos de conducta aprobados (artículo 41).

■ Promover la creación de mecanismos de certificación y de sellos y marcas de protección de datos a fin de poder demostrar el cumplimiento del Reglamento en las operaciones de tratamiento que se realicen por responsables y encargados. Además, las autoridades de control son competentes para aprobar los criterios de certificación y pueden expedir certificaciones ellas mismas. También emitirán los criterios para la acreditación de los organismos de certificación (artículos 42 y 43).

■ Aprobar las normas corporativas vinculantes para regir la transferencia de datos a terceros Estados. Estas normas constituyen una de las opciones que el Reglamento prevé como garantía adecuada para las transferencias internacionales a Estados cuando no existe una decisión de adecuación, es decir, cuando la Comisión Europea no haya establecido que el país en cuestión cumple con las garantías exigibles en materia de protección de datos (artículo 46).

Solo se prevé la gratuidad del desempeño de estas funciones para el interesado y, en su caso, para el delegado, no para el responsable (artículo 57). Ello resulta llamativo desde una doble perspectiva: (i) buena parte de estas funciones supondrán una carga para el responsable y (ii) la mayoría de los responsables son microempresas o Pymes, que pueden requerir de mayor asistencia por parte de las autoridades y, sin embargo, son a quienes podría resultar más gravoso el pago de una compensación por la misma.

Por lo demás, llama la atención el listado igualmente amplio de los poderes de investigación que se les confieren: ordenar al responsable y al encargado «que faciliten cualquier información que requiera en el desempeño de sus funciones» [artículo 58.1.a)]; realizar auditorías de protección de datos; acceder a todos los datos personales, a todos los locales del responsable y del encargado, incluidos cualesquiera equipos y medios de tratamiento; etc. Entre los poderes correctivos figuran la sanción con advertencia; apercibimiento; orden de atender las solicitudes de ejercicio de derechos del interesado; prohibición del tratamiento; rectificación o supresión de datos personales o limitación de tratamiento; multas económicas; etc. (artículo 58).

El Comité Europeo de Protección de Datos se configura como un organismo con personalidad jurídica que estará compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos (artículo 68). Las funciones que el Reglamento le atribuye para garantizar la aplicación coherente de esta norma son igualmente amplias y, en nuestra opinión, incluyen una potestad normativa de facto en lo que respecta, por ejemplo, a la emisión de directrices, recomendaciones y buenas prácticas para promover dicha aplicación coherente y otras finalidades.