CEPD (Comité Europeo de Protección de Datos)

El CEPD (Comité Europeo de Protección de Datos) es el órgano europeo que garantiza la aplicación coherente del RGPD, emite directrices, resuelve conflictos y coordina a las autoridades nacionales de protección de datos.

Qué es el Comité Europeo de Protección de Datos (CEPD)

El Comité Europeo de Protección de Datos (CEPD) es un organismo independiente de la Unión Europea, creado por el Reglamento General de Protección de Datos (RGPD). Su función principal es garantizar una aplicación coherente de la normativa europea sobre protección de datos en todos los Estados miembros. El CEPD está formado por representantes de las autoridades nacionales de protección de datos de cada país, así como del Supervisor Europeo de Protección de Datos (SEPD), y actúa de forma colegiada.

Cuál es su objetivo

El objetivo del CEPD es asegurar una interpretación uniforme del RGPD y otras normas europeas sobre protección de datos, promoviendo una protección eficaz y homogénea de los derechos fundamentales en toda la UE. Para ello, el Comité ofrece directrices, asesora a las instituciones europeas y coordina decisiones conjuntas entre autoridades nacionales.

Sus funciones

Entre las funciones principales del CEPD destacan:

• Emitir directrices y recomendaciones sobre la aplicación del RGPD y otras normativas relacionadas.
• Adoptar decisiones vinculantes en procedimientos de cooperación entre autoridades nacionales.
• Resolver conflictos entre autoridades de protección de datos sobre tratamientos transfronterizos.
• Asesorar a la Comisión Europea y a otros organismos sobre legislación y políticas en materia de protección de datos.
• Promover la cooperación entre autoridades nacionales para una aplicación coherente del marco normativo.

El CEPD emite directrices, resuelve disputas, asesora a instituciones europeas y promueve la coherencia en la protección de datos.

Quiénes lo forman

El CEPD está compuesto por:

• Un representante de cada autoridad nacional de protección de datos de los Estados miembros.
• Un representante del Supervisor Europeo de Protección de Datos (SEPD).

La presidencia del CEPD se elige entre sus miembros y tiene un mandato de cinco años, renovable una sola vez. También cuenta con vicepresidencias y una secretaría permanente para el apoyo técnico y administrativo.

Cómo se relaciona con el resto de autoridades de protección de datos de los países miembros de la UE 

El CEPD no sustituye a las autoridades nacionales de protección de datos, sino que actúa como órgano de coordinación y armonización. Las autoridades continúan siendo competentes en sus respectivos países, pero deben cooperar entre sí bajo el mecanismo de ventanilla única y resolver conflictos transfronterizos conforme a las directrices y decisiones del CEPD. Además, el CEPD puede intervenir en casos concretos cuando exista discrepancia entre autoridades o cuando una cuestión afecte a varios Estados miembros.

El CEPD y el Delegado de Protección de Datos

Aunque el CEPD no interactúa directamente con los Delegados de Protección de Datos (DPO), su labor es esencial para guiar su actividad. Las directrices publicadas por el Comité orientan sobre aspectos fundamentales del RGPD, muchos de los cuales afectan directamente a las funciones del DPO, como la legitimación de tratamientos, transferencias internacionales, consentimiento, o evaluaciones de impacto. Por tanto, los DPO deben estar al día de los pronunciamientos del CEPD, ya que constituyen la interpretación de referencia del marco europeo de protección de datos.

Normativas y guías del CEPD de interés para el DPO

El CEPD ha publicado numerosas guías que son de gran utilidad para los DPO. Algunas especialmente relevantes son:

• Guía sobre Delegados de Protección de Datos: requisitos, designación, funciones e independencia.
• Directrices sobre evaluaciones de impacto (EIPD): cuándo aplicarlas y cómo realizarlas.
• Guía sobre consentimiento válido: criterios para obtenerlo correctamente según el RGPD.
• Opiniones sobre transferencias internacionales: cláusulas tipo, binding corporate rules, y excepciones.
• Guías sectoriales para el tratamiento de datos en contextos como salud, marketing o empleo.