- La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán adoptar, conforme a lo dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales tipo para la realización de transferencias internacionales de datos, que se someterán previamente al dictamen del Comité Europeo de Protección de Datos previsto en el artículo 64 del citado reglamento.
- La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
El procedimiento se iniciará a instancia de una entidad situada en España y tendrá una duración máxima de nueve meses. Quedará suspendido como consecuencia de la remisión del expediente al Comité Europeo de Protección de Datos para que emita el dictamen al que se refiere el artículo 64.1.f) del Reglamento (UE) 2016/679, y continuará tras su notificación a la Agencia Española de Protección de Datos o a la autoridad autonómica de protección de datos competente.
1. Procedimientos Sancionadores
La AEPD puede iniciar procedimientos sancionadores cuando se detecta un incumplimiento de la normativa de protección de datos, ya sea a través de denuncias, investigaciones propias o notificaciones de otros organismos.
Supuestos de Adopción:
- Infracciones leves, graves y muy graves: La AEPD clasifica las infracciones según su gravedad, pudiendo imponer sanciones administrativas que van desde multas hasta otras medidas correctivas.
- Sanciones por incumplimiento de los principios de protección de datos: Como la licitud, transparencia, minimización de datos, etc.
- Sanciones por no cumplir con los derechos de los interesados: Como el derecho de acceso, rectificación, supresión (derecho al olvido), oposición, entre otros.
2. Resoluciones de Reclamaciones
Cuando un individuo presenta una reclamación ante la AEPD por el presunto incumplimiento de sus derechos en materia de protección de datos, la agencia tiene la facultad de resolver dicha reclamación.
Supuestos de Adopción:
- Derecho de acceso: Si un responsable del tratamiento niega o no responde adecuadamente a una solicitud de acceso a datos personales.
- Derecho de supresión (derecho al olvido): En caso de que un responsable no elimine los datos personales cuando así se le haya solicitado y no exista una razón legítima para conservarlos.
- Derecho a la portabilidad de los datos: En situaciones donde un individuo solicita la transferencia de sus datos personales y el responsable del tratamiento no cumple con dicha solicitud.
3. Medidas Cautelares
La AEPD puede adoptar medidas cautelares cuando lo considere necesario para proteger los derechos de los interesados de manera urgente, mientras se resuelve un procedimiento.
Supuestos de Adopción:
- Suspensión de un tratamiento de datos: Si se detecta un tratamiento que podría causar un daño significativo a los derechos de las personas.
- Bloqueo de datos personales: Cuando exista riesgo de que los datos se pierdan o sean manipulados mientras se investiga un incidente de seguridad.
4. Emisión de Dictámenes y Recomendaciones
La AEPD tiene la capacidad de emitir dictámenes y recomendaciones tanto de oficio como a solicitud de organismos públicos o privados, para orientar sobre el cumplimiento de la normativa.
Supuestos de Adopción:
- Orientación sobre nuevos desarrollos tecnológicos: Por ejemplo, cuando una empresa introduce una nueva tecnología que puede afectar la privacidad de los usuarios, la AEPD puede emitir recomendaciones sobre cómo debe gestionarse el tratamiento de datos.
- Revisión de políticas de privacidad: La AEPD puede revisar y recomendar cambios en las políticas de privacidad de las empresas para garantizar su cumplimiento con la normativa.
5. Supervisión y Auditoría
La AEPD puede realizar auditorías y actividades de supervisión para asegurar que las organizaciones cumplan con las obligaciones legales en materia de protección de datos.
Supuestos de Adopción:
- Supervisión de tratamientos de datos masivos: Como en el caso de grandes bases de datos de clientes o usuarios.
- Auditorías en sectores sensibles: Como el sanitario, financiero o de telecomunicaciones, donde la protección de los datos personales es crítica.
6. Resolución de Conflictos y Mediación
En algunos casos, la AEPD puede intervenir como mediador para resolver conflictos entre responsables del tratamiento y los interesados, evitando así un procedimiento sancionador.
Supuestos de Adopción:
- Conflictos sobre la rectificación de datos: Donde hay desacuerdo sobre la precisión de los datos personales.
- Disputas sobre el ejercicio de derechos: Como cuando una organización y un individuo no logran llegar a un acuerdo sobre el derecho de oposición.
7. Autorización y Registro de Tratamientos Especiales
En algunos casos, la AEPD debe autorizar ciertos tratamientos de datos que por su naturaleza requieren una aprobación previa, como puede ser el tratamiento de datos en el contexto de seguridad nacional o salud pública.
Supuestos de Adopción:
- Tratamientos de datos de salud en investigaciones médicas: Especialmente cuando estos tratamientos implican un riesgo significativo para la privacidad de los participantes.
- Transferencias internacionales de datos: Cuando se transfieren datos a países fuera del Espacio Económico Europeo sin un nivel adecuado de protección.
8. Publicación de Informes y Estudios
La AEPD también puede adoptar decisiones en forma de informes y estudios sobre el estado de la protección de datos en España, para informar y orientar tanto al público como a las organizaciones.
Supuestos de Adopción:
- Informes anuales de actividad: Donde se resumen las actuaciones de la AEPD y se identifican las tendencias en protección de datos.
- Estudios sobre el impacto de nuevas tecnologías: Evaluaciones del impacto que tecnologías emergentes pueden tener en la privacidad y protección de datos.