Amb la finalitat de supervisar l'aplicació de l'RGPD, aquest Reglament atribueix a les autoritats de control i, per tant a l'AEPD, un seguit de funcions i de potestats en els articles 57 i 58, respectivament, que conformen les seves competències i que es reflecteixen en les funcions previstes en els articles 47, i 51-56 de la LOPDGDD.
Les funcions que l'RGPD atribueix a les autoritats de control i, per tant a l'AEPD, són:
- Controlar la seva aplicació de l'RGPD i fer-lo aplicar;
- Promoure la sensibilització del públic i la seva comprensió dels riscs, les normes, les garanties i els drets en relació amb el tractament de dades. Cal posar una atenció especial a les activitats adreçades específicament als infants;
- Assessorar, de conformitat amb el dret intern, el Parlament nacional, el Govern i altres institucions i organismes sobre les mesures legislatives i administratives relatives a la protecció dels drets i les llibertats de les persones físiques respecte al tractament;
- Promoure la sensibilització dels responsables i els encarregats del tractament sobre les obligacions que tenen en virtut de l'RGPD;
- Si se li sol·licita prèviament, facilitar informació a qualsevol interessat en relació amb l'exercici dels seus drets en virtut de l'RGPD i, si escau, cooperar a aquest efecte amb les autoritats de control d'altres estats membres;
- Tractar les reclamacions presentades per un interessat o per un organisme, una organització o una associació, i investigar, en la mesura oportuna, el motiu de la reclamació i informar el reclamant sobre el curs i el resultat de la investigació en un termini raonable, en particular si són necessàries noves investigacions o una coordinació més estreta amb una altra autoritat de control;
- Cooperar, en particular compartint informació, amb altres autoritats de control i oferir assistència mútua per garantir la coherència en l'aplicació i l'execució de l'RGPD;
- Dur a terme investigacions sobre l'aplicació de l'RGPD, en particular basant-se en informació rebuda d'una altra autoritat de control o una altra autoritat pública;
- Fer un seguiment de canvis que siguin d'interès, en la mesura en què tenguin incidència en la protecció de dades personals, en particular el desenvolupament de les tecnologies de la informació i la comunicació i les pràctiques comercials;
- Adoptar les clàusules contractuals tipus per als encarregats del tractament i les transferències internacionals de dades;
- Elaborar i mantenir una llista relativa al requisit de l'avaluació d'impacte relativa a la protecció de dades;
- Oferir assessorament sobre les operacions de tractament de dades personals en els casos en què una avaluació d'impacte mostri que el tractament comportaria un alt risc si el responsable no pren mesures per mitigar-ho;
- Fomentar l'elaboració de codis de conducta i dictaminar i aprovar els codis de conducta d'àmbit nacional que donen suficients garanties;
- Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades, i aprovar els criteris de certificació;
- Revisar periòdicament, si escau, les certificacions expedides;
- Elaborar i publicar els criteris per a l'acreditació d'organismes de supervisió dels codis de conducta i d'organismes de certificació;
- Acreditar els organismes de supervisió dels codis de conducta i els organismes de certificació;
- Autoritzar les clàusules contractuals presentades en contractes «ad hoc» i en disposicions incorporades a acords administratius entre autoritats i organismes públics que incloguin les garanties adequades per fer transferències internacionals de dades;
- Aprovar BCR;
- Contribuir a les activitats del Comitè Europeu de Protecció de Dades;
- Dur registres interns de les infraccions d'aquest Reglament i de les mesures adoptades en l'exercici dels poders correctius, i
- Qualsevol altra funció relacionada amb la protecció de les dades personals.
Per la seva banda, i per a l'exercici de les funcions referides, l'article 58 de l'RGPD atribueix a les autoritats de control els poders i les atribucions següents:
Poders d'investigació:
- Ordenar al responsable i a l'encarregat del tractament i, si escau, al representant del responsable o de l'encarregat que facilitin qualsevol informació que requereixin per complir les seves funcions;
-
Dur a terme investigacions en forma d'auditories de protecció de dades;
-
Revisar les certificacions;
-
Notificar al responsable o a l'encarregat del tractament les presumptes infraccions de l'RGPD;
-
Obtenir del responsable i de l'encarregat del tractament l'accés a totes les dades personals i a tota la informació necessària per a l'exercici de les seves funcions;
-
Obtenir l'accés a tots els locals del responsable i de l'encarregat del tractament, incloent-hi qualssevol equips i mitjans de tractament de dades, de conformitat amb el dret processal de la Unió o dels estats membres.
Poders correctius:
-
Sancionar qualsevol responsable o encarregat del tractament amb una advertència quan les operacions de tractament previstes puguin infringir el que disposa l'RGPD;
-
Sancionar qualsevol responsable o encarregat del tractament amb una advertència quan les operacions de tractament hagin infringit el que disposa l'RGPD;
-
Ordenar al responsable o a l'encarregat del tractament que atenguin les sol·licituds d'exercici dels drets de l'interessat en virtut de l'RGPD;
-
Ordenar al responsable o a l'encarregat del tractament que les operacions de tractament s'ajustin a les disposicions de l'RGPD, quan escaigui, d'una determinada manera i dins un termini especificat;
-
Ordenar al responsable del tractament que comuniqui a l'interessat les violacions de la seguretat de les dades personals;
-
Imposar una limitació temporal o definitiva del tractament, cosa que inclou prohibir-lo.
-
Ordenar la rectificació o supressió de dades personals o la limitació de tractament i la notificació d'aquestes mesures als destinataris a qui s'hagin comunicat dades personals;
-
Retirar una certificació o ordenar a l'organisme de certificació que retiri una certificació o que no s'emeti si no es compleixen o si deixen de complir-se els requisits per a la certificació;
-
Imposar una multa administrativa, a més o en comptes de les mesures esmentades en aquest apartat, segons les circumstàncies de cada cas particular;
-
Ordenar la suspensió dels fluxos de dades cap a un destinatari situat en un tercer país o cap a una organització internacional.
Poders d'autorització i consultius:
-
Assessorar el responsable del tractament de conformitat amb el procediment de consulta prèvia sobre les operacions de tractament de dades personals en els casos en què una avaluació d'impacte mostri que el tractament comportaria un risc alt si el responsable no pren mesures per mitigar-lo;
-
Emetre, per iniciativa pròpia o amb sol·licitud prèvia, dictàmens destinats al Parlament nacional, al Govern de l'Estat membre o, de conformitat amb el dret intern, a altres institucions i organismes, així com al públic, sobre qualsevol assumpte relacionat amb la protecció de les dades personals;
-
Autoritzar amb caràcter previ el tractament de dades fet per un responsable en l'exercici d'una missió duita a terme en interès públic, en particular el tractament en relació amb la protecció social i la salut pública, sempre que es determini en el dret nacional;
-
Emetre un dictamen i aprovar projectes de codis de conducta;
-
Acreditar els organismes de certificació;
-
Expedir certificacions i aprovar criteris de certificació;
-
Autoritzar les transferències internacionals basades en clàusules contractuals «ad hoc» i en disposicions incorporades a acords administratius entre autoritats i organismes públics;
-
Autoritzar els acords administratius per a les transferències internacionals de dades entre autoritats i organismes públics;
-
Aprovar normes corporatives vinculants.
En l'exercici de les funcions d'inspecció atribuïdes a l'AEPD, els funcionaris que la desenvolupen tenen la consideració d'autoritat pública, segons el que s'estipula en la LOPDGDD.