GDPR 19. L'Autoritat de control


Josep Aragonés Salvat     22/09/2016


Autoritats de control


El GDPR defineix a l'Autoritat de control a l'article 4, apartat 21, com l'autoritat pública independent establerta per un Estat membre d'acord amb el que disposa l'article 51, o sigui:
 
  • Supervisarà l'aplicació del Reglament per tal de protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament de les seves dades personals i a facilitar la lliure circulació de dades personals a la UE.
  • Contribuirà a l'aplicació coherent del Reglament a tota la UE, cooperant amb les altres Autoritats de control i amb la Comissió.
  • Quan hi hagi diverses Autoritats de control en un mateix Estat de la UE, es designarà una d'elles perquè les representi davant del Comitè.
  • Els Estats de la UE han de notificar a la Comissió totes les disposicions legals que adoptin relatives a les Autoritats de control de la seva competència.
 


Funcions de l'Autoritat de control


Cada Autoritat de control disposarà de les següents funcions:

Funcions que afecten a l'interessat:
 
  • Facilitar informació a l'interessat dels drets que li atorga el Reglament.
  • Facilitar la presentació de reclamacions mitjançant formularis per via electrònica o altres mitjans de comunicació.
  • Resoldre les reclamacions presentades per un interessat.


Funcions que afecten el Responsable i l'Encarregat del tractament:
 
  • Rebre les notificacions de violacions de seguretat del Responsable del tractament i, si escau, exigir la seva comunicació a l'interessat.
  • Adoptar clàusules contractuals tipus de protecció de dades per a:
    • La formalització de contractes entre el Responsable i l'Encarregat del tractament.
    • Realitzar transferències internacionals de dades mitjançant garanties adequades.
  • Autoritzar les clàusules contractuals establertes entre el Responsable del tractament, Encarregat del tractament o Destinataris per fer transferències internacionals de dades.
  • Elaborar i mantenir una llista dels tipus de tractament que requereixen una avaluació d'impacte i dels detalls que s'han d'incloure en la seva documentació.
  • Assessorar al Responsable o a l'Encarregat del tractament del procediment per a realitzar una consulta prèvia a l'Autoritat de control i, quan aquesta s'hagi produït i no sigui conforme al Reglament, comunicar-li per escrit en un termini màxim de 8 setmanes.


Funcions que afecten les garanties de compliment:
 
  • Establir els requisits de certificació i expedir els mecanismes de certificació, segells i marques de protecció de dades als Responsables o Encarregats del tractament que ho sol·licitin i renovar-los o retirar-los al seu venciment.
  • Elaborar i publicar els criteris per a l'acreditació d'un organisme de certificació o de supervisió de codis de conducta i expedir l'acreditació a aquests organismes.
  • Emetre un dictamen i aprovar els projectes de codis de conducta presentats per associacions i organismes que representin categories de Responsables o Encarregats del tractament.
  • Aprovar les normes corporatives vinculants sol·licitades per grups empresarials o per la unió d'empreses dedicades a una activitat econòmica conjunta que realitzen transferències internacionals de dades.
 


Poders de l'Autoritat de control


Cada autoritat de control disposarà dels següents poders investigadors:
 
  • Ordenar al Responsable i l'Encarregat del tractament o, si n'hi ha, al representant d'aquests, que facilitin qualsevol informació que requereixi per a l'exercici de les seves funcions.
  • Dur a terme investigacions en forma d'auditories de protecció de dades.
  • Dur a terme una revisió de les certificacions expedides.
  • Notificar al Responsable i l'Encarregat del tractament les presumptes infraccions del Reglament.
  • Obtenir del Responsable i de l'Encarregat del tractament l'accés a totes les dades personals i a tota la informació necessària per a l'exercici de les seves funcions.
  • Obtenir l'accés a tots els locals del Responsable i de l'Encarregat del tractament, inclosos qualsevol dels equips i mitjans de tractament de dades.


Cada autoritat de control disposarà dels següents poders correctors:
 
  • Formular advertències o amonestacions al Responsable i l'Encarregat del tractament quan les operacions de tractament puguin infringir el Reglament.
  • Ordenar al Responsable i l'Encarregat del tractament que atenguin les sol·licituds de l'interessat per exercir els seus drets d'acord amb el Reglament.
  • Ordenar al Responsable i l'Encarregat del tractament que realitzin el tractament d'acord amb el Reglament, en una forma i termini especificat.
  • Ordenar al Responsable del tractament la comunicació d'una violació de seguretat als interessats afectats per la mateixa.
  • Imposar una limitació temporal o definitiva del tractament.
  • Ordenar la rectificació, limitació o supressió de dades.
  • Retirar un certificat si no es compleixen els requisits legals.
  • Imposar una multa administrativa segons les circumstàncies de cada cas particular.
  • Ordenar la suspensió d'una transferència internacional de dades.
 


Drets


Dret a presentar una reclamació davant l'Autoritat de control

Tot interessat podrà reclamar davant l'Autoritat de control de qualsevol Estat de la UE, si considera que el tractament de les seves dades personals no s'ajusta al que disposa el Reglament.


Dret a un recurs judicial contra una Autoritat de control
  • Els Responsables o Encarregats del tractament tindran dret a un recurs judicial efectiu contra una decisió jurídicament vinculant de l'Autoritat de control que els afecti.
  • L'interessat tindrà dret a un recurs judicial efectiu en contra de l'Autoritat de control quan aquesta no doni curs a una reclamació o no l'hagi informat en 3 mesos.


Dret a un recurs judicial contra un Responsable o Encarregat del tractament
 
  • L'interessat tindrà dret a un recurs judicial efectiu contra un Responsable o Encarregat del tractament quan consideri que el tractament de les seves dades personals no s'ajusta al que disposa el Reglament.
  • Les accions contra el Responsable o Encarregat del tractament es poden exercir davant els òrgans jurídics de l'Estat de la UE on:
    • Estigui establert el Responsable o l'Encarregat del tractament.
    • Resideixi l'interessat, sempre que el Responsable o Encarregat del tractament no sigui una Autoritat pública que actuï en exercici del seu poder públic.


Dret a indemnització i responsabilitat

Tot interessat que hagi sofert perjudici material o immaterial com a conseqüència d'una vulneració del Reglament, tindrà dret a rebre una indemnització del Responsable o de l'Encarregat del tractament.
 
  • Si en el tractament participen més d'un Responsable o Encarregat del tractament, cada un d'ells serà considerat responsable de la totalitat del perjudici.
  • Quan un Responsable o Encarregat del tractament hagi pagat una compensació total per un perjudici tindrà dret a reclamar als altres participants del tractament la part de la compensació que els correspongui pel perjudici ocasionat.
  • L'Encarregat del tractament només serà responsable dels perjudicis provocats pel tractament quan hagi actuat al marge o en contra de les instruccions legals del Responsable del tractament o hagi incomplert les obligacions que li imposa Reglament.
  • Els Responsables o Encarregats del tractament estaran exempts de responsabilitats si aconsegueixen provar que no són responsables del fet que ha provocat el perjudici.


Dret a la representació de l'interessat

L'interessat tindrà dret a donar mandat a una entitat, organització o associació sense afany de lucre correctament constituïda, sempre que els objectius estatutaris d'aquestes siguin d'interès públic i actuïn en l'àmbit de la protecció dels drets i llibertats dels interessats en matèria de protecció de les seves dades personals, perquè presentin una reclamació en nom seu i que exerceixin els drets de:
 
  • Recurs judicial contra una Autoritat de control.
  • Recurs judicial contra un Responsable o Encarregat del tractament.
  • Indemnització i responsabilitat.
 


Sancions


Cada Autoritat de control podrà imposar multes administratives al Responsable i l'Encarregat del tractament o, si n'hi ha, al representant d'aquests, per infringir el Reglament garantint que seran efectives, proporcionades i dissuasòries.

Les multes administratives s'imposaran en funció de les circumstàncies de cada cas individual, tenint en compte les facultats investigadores i correctores conferides a l'Autoritat de control.


Valoració de les sancions

La decisió de l'Autoritat de control per imposar una multa administrativa i calcular el seu import tindrà en compte:
 
  • La naturalesa, gravetat i durada de la infracció en relació amb la finalitat del tractament.
  • El nombre d'interessats afectats.
  • El nivell dels perjudicis soferts pels interessats.
  • La intencionalitat o negligència de la infracció.
  • Les categories de dades afectades per la infracció.
  • El grau de responsabilitat del Responsable o Encarregat del tractament.
  • La reiteració d'infraccions del Responsable o Encarregat del tractament.
  • Les mesures preses pel Responsable o Encarregat del tractament per pal·liar els perjudicis soferts pels interessats.
  • El grau de cooperació amb l'Autoritat de control per tal de posar remei a la infracció i mitigar-ne els possibles efectes adversos.
  • La forma en què l'Autoritat de control ha tingut coneixement de la infracció (si s'ha notificat, o en la mesura que s'ha fet).
  • El compliment de les mesures ordenades prèviament per l'Autoritat de control contra el Responsable o Encarregat del tractament en relació amb el mateix assumpte.
  • L'adhesió a codis de conducta o als mecanismes de certificació aprovats per l'Autoritat de control.
  • Altres factors agreujants o atenuants aplicables a les circumstàncies del cas, com els beneficis financers obtinguts o les pèrdues evitades per la infracció.


Import de les sancions

Multa administrativa amb un màxim de l'import més elevat entre 10.000.000 € i el 2% del volum de negoci total anual global de l'exercici financer anterior, per a les infraccions de les següents disposicions del Reglament:
 
  • Condicions aplicables al consentiment del menor en relació amb els serveis de la societat de la informació.
  • Tractaments que no requereixen identificació.
  • Encarregats del tractament.
  • Coresponsables del tractament.
  • Tractaments sota l'autoritat del Responsable i de l'Encarregat del tractament.
  • Representants dels Responsable del tractament no establerts a la UE.
  • Registre de les activitats del tractament.
  • Protecció de dades des del disseny i per defecte.
  • Seguretat del tractament.
  • Avaluació d'impacte relativa a la protecció de dades.
  • Consultes prèvies.
  • Notificació d'una violació de seguretat a l'Autoritat de control.
  • Comunicació d'una violació de seguretat a l'interessat.
  • Garanties de certificació.
  • Organismes i procediments de certificació.
  • Designació del DPO.
  • Funcions del DPO.
  • Poders de l'DPO.
  • Cooperació amb l'Autoritat de control.


Multa administrativa amb un màxim de l'import més elevat entre 20.000.000 € i el 2% del volum de negoci total anual global de l'exercici financer anterior, per a les infraccions de les següents disposicions del Reglament:
 
  • Principis relatius al tractament de dades personals.
  • Licitud del tractament.
  • Condicions per al consentiment.
  • Tractament de categories especials de dades personals.
  • Transferències de dades personals a tercers països o organitzacions internacionals.
  • Disposicions relatives a situacions específiques de tractament de dades.
  • Drets de l'interessat.
  • No facilitar l'accés a l'Autoritat de control per exercir les seves facultats investigadores.
  • L'incompliment d'un requeriment de l'Autoritat de control.


Multa administrativa amb un màxim de l'import més elevat entre 20.000.000 € i el 4% del volum de negoci total anual global de l'exercici financer anterior, per a les infraccions de les següents disposicions del Reglament:
 
  • L'incompliment de les resolucions de l'Autoritat de control.


L'import total de les multes per unes mateixes operacions de tractament que incompleixin diverses disposicions del Reglament, no podrà superar la quantitat prevista per als incompliments més greus d'aquestes operacions.

Cada Estat de la UE podrà establir normes sobre la imposició de multes administratives a les autoritats i organismes públics establerts en l'esmentat Estat. 
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 18. Garanties de compliment     Tema següent: 20. Publicació del Reglament (UE) 2016/679



Informació relacionada