11 de Diciembre de 2024 /
Actualizado hace 1 hour | ISSN: 2805-6396

Openx ID [25](728x110)

1/ 5

Noticias gratuitas restantes. Suscríbete y consulta actualidad jurídica al instante.

Noticias / Internacional


Identificación de la autoridad de supervisión principal en la UE: novedades de la Directriz 8/2022 del CEPD

12 de Diciembre de 2023

Reproducir
Nota:
169386
Imagen
Identificación de la autoridad de supervisión principal en la UE: novedades de la Directriz 8/2022 del CEPD (Bigstock)

Laura Grisales Rendón

Estudiante de doctorado y LL. M. en Derecho europeo y transnacional de PI y TI (Georg-August-Universität Göttingen

 

Mateus Mello Garrute

Mágíster en Derecho Europeo y Transnacional de la Propiedad Intelectual y de las Tecnologías de la Información (Georg-August-Universität Göttingen)

La versión final de la Directriz 8/2022 se adoptó el 28 de marzo del 2023, siendo el resultado de años de desarrollo que iniciaron con la Directriz WP244 rev.01, adoptada el 5 de abril del 2017 por el Grupo de Trabajo del artículo 29 y ratificada el 25 de mayo del 2018 por el Comité Europeo de Protección de Datos (CEPD), que sustituyó al Grupo de trabajo del artículo 29. Posteriormente, se adoptó, el 10 de octubre del 2022, la Directriz 8/2022 en su versión 1.0. Esta se sometió a consulta pública hasta el 2 de diciembre del 2022. Sin embargo, las disposiciones relativas a los responsables conjuntos del tratamiento de datos personales y al establecimiento principal se mantuvieron en su versión final, la 2.0.

La nueva directriz tiene por objeto proporcionar orientación para identificar a la autoridad de control principal de un responsable o encargado del tratamiento de datos. Para cumplir con su objetivo, la directriz abarca varios temas, como los conceptos clave y los pasos para la identificación, el papel de la autoridad de supervisión en cuestión, el tratamiento local o dentro del país, y la cuestión de las empresas no establecidas en la Unión Europea (UE). Además, contiene un anexo con preguntas destinadas a orientar la identificación de la autoridad de control principal.

El objetivo de este artículo es presentar una breve visión general de las directrices mencionadas y del concepto de autoridad de control principal previsto en el Reglamento General de Protección de Datos (RGPD) de la UE.

Conceptos clave

Antes de analizar la diferencia entre la versión antigua y la actualizada de la Directriz 8/2022, es esencial comprender el concepto de autoridad de control principal.

Cuando el tratamiento de datos se limita a un único Estado miembro o el responsable o el encargado del tratamiento tiene un establecimiento en un único Estado miembro, la autoridad de protección de datos competente es la de ese Estado miembro. Pero, ¿qué ocurriría si el responsable (o el encargado) del tratamiento tiene (i) establecimientos en varios Estados miembros o (ii) el tratamiento afecta a personas que viven en varios Estados miembros? ¿Qué autoridad sería competente?

Para responder a estas preguntas, se introdujo en el RGPD el concepto de autoridad de control principal. Mientras que el concepto de autoridad de control se define en el artículo 4o, apartado 21, del RGPD -es decir, “’autoridad de control’: una autoridad pública independiente creada por un Estado miembro de conformidad con el artículo 51”-, el concepto de autoridad de control principal se desarrolla en el artículo 56 del RGDP. Según el apartado 1, en el contexto del tratamiento transfronterizo, la autoridad de control del establecimiento principal o del establecimiento único del responsable o del encargado del tratamiento será la autoridad de control principal. Esto significa que la autoridad principal será competente en relación con el tratamiento transfronterizo y, de conformidad con el apartado 6, será el único interlocutor del responsable o del encargado del tratamiento para el mencionado tratamiento realizado por ellos. Además, el considerando 124 del RGPD establece que la autoridad de control principal debe cooperar con las demás autoridades de control afectadas[1].

1. Tratamiento transfronterizo: Es importante señalar que el "tratamiento transfronterizo" tiene un significado específico en el RGPD y no debe confundirse con las transferencias internacionales de datos (es decir, las transferencias de datos personales fuera de la UE/EEE). Mientras que este último no se define en el Reglamento de la UE, el "tratamiento transfronterizo" se establece en el artículo 4(23), in litteris:

“… se entenderá por "tratamiento transfronterizo: (a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

(b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro”.

2. Establecimiento principal: La Directriz 8/2022 del CEPD se remite expresamente al artículo 4o, apartado 16, del GDPR para definir el "establecimiento principal", citando:

“(a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

(b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento”.

En virtud del artículo 4o del RGPD, se presume que la administración central del responsable del tratamiento en la UE es el establecimiento principal, ya que es donde se toman las decisiones sobre los fines y los medios del tratamiento de datos personales. Sin embargo, pueden darse situaciones en las que las decisiones se tomen de forma autónoma en un establecimiento distinto de la administración central. Por lo tanto, potencialmente, podría identificarse inicialmente más de una autoridad de control principal.

En estas situaciones, será esencial que las organizaciones identifiquen con precisión el establecimiento principal o donde se toman las decisiones sobre la finalidad y los medios del tratamiento de datos para tener claro quién es la autoridad de control con la que tienen que tratar en relación con sus obligaciones de cumplimiento en virtud del RGPD. Esto redunda en interés de los responsables del tratamiento. La esencia del principio de la autoridad de control principal en el RGPD es que la supervisión del tratamiento transfronterizo debe ser dirigida por una única autoridad de control en la UE sobre el tema del tratamiento de datos, es decir, el mecanismo de ventanilla única. En otras palabras, en los casos en que un responsable o encargado del tratamiento lleve a cabo un tratamiento transfronterizo, deberá tratar principalmente con la autoridad de control principal las cuestiones derivadas de dicho tratamiento.

No obstante, las autoridades de control principales deben cooperar con otras autoridades de protección de datos -a saber, las autoridades de control afectadas-, por ejemplo, asistencia mutua y operaciones conjuntas[2].

3. Autoridad de supervisión principal: El criterio para identificar a la autoridad de supervisión principal es la ubicación del “establecimiento principal” o “establecimiento único” en la UE.

Así, en el tratamiento transfronterizo de datos, la autoridad de control principal será la del Estado miembro de la UE en el que el encargado del tratamiento o el responsable del tratamiento tenga (i) su establecimiento único; o (ii) su establecimiento principal.

Por ejemplo, si una empresa tiene su sede en España, pero cuenta con otros establecimientos en los Países Bajos, Bélgica y Alemania, y el tratamiento de datos se lleva a cabo en todas estas organizaciones, la principal autoridad de control será la AEPD, la autoridad española de protección de datos.

Sin embargo, en un ejemplo diferente, Garante (la autoridad italiana de protección de datos) sería la autoridad de control principal si una empresa solo tuviera un establecimiento en Italia, siempre que dicha organización procese datos de forma que afecte (o pueda afectar sustancialmente) a personas no sólo en Italia, sino también en Bélgica, Alemania y Portugal.

¿Cuál es el papel de la autoridad de control principal?

Una autoridad de control principal tendrá la responsabilidad principal de ocuparse de una actividad transfronteriza de tratamiento de datos. Esto incluye la coordinación de las investigaciones en las que participen otras autoridades de control afectadas. Puede darse cuando (i) el responsable o el encargado del tratamiento estén establecidos en más de un Estado miembro de la UE y el tratamiento de datos personales se produzca en el contexto de las actividades de dichos establecimientos; o (ii) el responsable o el encargado del tratamiento tengan un único establecimiento en la UE, pero el tratamiento afecte o pueda afectar sustancialmente a personas físicas en más de un Estado miembro.

Pasos para identificar una autoridad de supervisión principal

El criterio clave para identificar a la autoridad de control principal es el establecimiento principal del responsable o encargado del tratamiento.

Como se ha explicado, puede haber ocasiones en las que no sea fácil determinar cuál es el establecimiento principal, bien porque el transformador o el responsable del tratamiento tengan establecimientos en más de un Estado miembro, bien porque el transformador no tenga establecimiento en la UE, bien porque haya varios responsables del tratamiento.

El siguiente cuadro muestra las opciones para determinar el establecimiento principal y quién sería la autoridad de supervisión principal.

Autoridad

Finalidad y novedades de las directrices actualizadas      

En comparación con la versión del 25 de mayo de 2018, el contenido de las versiones actualizadas es prácticamente el mismo. La diferencia sustancial está en el apartado 2.1.3, cuyo tema son los controladores o responsables conjuntos. Se ha incluido una aclaración adicional sobre la noción de establecimiento principal cuando existe un controlador o responsable conjunto.

Según la directriz anterior, los corresponsables debían designar el establecimiento principal para el tratamiento efectuado en la situación de corresponsabilidad. Sin embargo, las nueva directriz, tanto en su version 1.0 como en la 2.0 establece lo contrario: el establecimiento principal para los corresponsables no puede determinarse en una situación de corresponsabilidad.

La cuestión es que el RGPD no designa una autoridad de control principal en los casos de control conjunto. Por este motivo, la nueva directriz determina que cada responsable del tratamiento tendría un establecimiento principal y, por lo tanto, no puede designar un único establecimiento para todos los responsables conjuntos. Además, deben tenerse en cuenta las directrices sobre los conceptos de responsable y encargado del tratamiento en el. Aunque los corresponsables del tratamiento deben aclarar quién y cómo ejercen las funciones (a fin de cumplir las obligaciones que les impone el RGPD[3]), siguen siendo responsables del cumplimiento a título individual. En otras palabras, las orientaciones reiteran la obligación de cada responsable del tratamiento de cumplir las obligaciones exigidas por el RGPD y, cuando los responsables del tratamiento tengan varios establecimientos, cada uno de ellos debe tener un establecimiento principal definido.

De este modo, se aclara que no es posible, en virtud de los postulados legales, designar un establecimiento principal conjunto para ambos responsables conjuntos, es decir, el concepto de establecimiento principal se aplica a cada uno de ellos singularmente.

 

[1] Para más información sobre la "autoridad de control de que se trate", véase el artículo 4o, apartado 22, del RGPD.

[2] Artículo 60 del GDPR.

[3] Artículo 26 del GDPR.

 

 

Opina, Comenta

Openx inferior flotante [28](728x90)

Openx entre contenido [29](728x110)

Openx entre contenido [72](300x250)