Unitat 5: Les autoritats de protecció de dades
5.1 Les autoritats de control independents
Qué són i quines són
Les autoritats de control són les entitats encarregades de vetllar per la garantia del dret a la protecció de dades personals i pel conjunt de drets i llibertats que es puguin veure afectats per aquest tractament.
Aquesta figura no és nova, sinó que ja la recollien la Directiva 95/46/CE i el conjunt de legislacions dels estats membres. Es considera que és un institut de garantia imprescindible, un element essencial, per considerar que un estat garanteix adequadament el dret a la protecció de dades personals, i és inexcusable que se'n garanteixi de manera efectiva la independència.
- Agència Espanyola de Protecció de Dades
- Autoritat Catalana de Protecció de Dades
- Agència Basca de Protecció de Dades
- Consell de Transparència i Protecció de Dades d'Andalusia
La regulació d'aquestes entitats està pendent de modificació per adaptar-la a l'RGPD, excepte en el cas de l'Agència Espanyola, la regulació de la qual està a l'LOPDGDD i al seu Estatut, aprovat pel Reial Decret 389/2021, d'1 de juny
D'acord amb el que estableix la Llei orgànica 7/2021, aquestes mateixes autoritats de control també gaudeixen de competència pel que fa als tractaments que duen a terme les autoritats competents del seu àmbit de competència amb fins de prevenció, detecció, investigació i enjudiciament d'infraccions penals i d'execució de sancions penals, regulats per aquesta Llei orgànica.
Competència, funcions i poders establerts en el RGPD
El RGPD no introdueix grans canvis respecte de les característiques i les funcions de les autoritats, ja que continuen sent les encarregades de vetllar pel dret a la protecció de dades. Es manté la característica essencial de les autoritats: el requisit d'independència davant de qualsevol ingerència externa.
En aquest sentit, el RGPD sí que remarca la necessitat que l'Estat garanteixi que l'autoritat disposi dels recursos humans, tècnics i financers, i dels locals i les infraestructures necessaris, per complir les seves funcions i per exercir els poders que té encomanats.
Competència
Es manté la possibilitat que en un estat hi hagi diverses autoritats de control (com és el cas d’Espanya), però, a diferència del que succeïa, el RGPD no exclou cap funció respecte de les diverses autoritats que puguin haver-hi; tot i que sí que pot variar l'exercici d’aquestes funcions en aplicació dels mecanismes de cooperació i coherència.
Així, l'article 56 del RGPD indica que, sens perjudici de les competències que una autoritat té atribuïdes, l'autoritat de control de l'establiment principal o de l'únic establiment del responsable o de l’encarregat del tractament és competent per actuar com a autoritat de control principal per al tractament transfronterer efectuat per aquest responsable o encarregat, de conformitat amb el procediment de cooperació establert en l'article 60 del RGPD.
Per descomptat, cada autoritat de control és competent per tractar una reclamació que li sigui presentada o una possible infracció del RGPD, en cas que es refereixi únicament a un establiment situat en el seu estat o només afecti persones interessades al seu estat (i n'ha d'informar l'autoritat de control principal).
Funcions
El RGPD regula en l'article 57 les funcions atribuïdes a les autoritats de control, en concret:
a) Controlar i garantir l’aplicació del Reglament.
b) Promoure la sensibilització del públic i que comprenguin els riscos, les normes, les garanties i els drets en relació amb el tractament. Les activitats adreçades específicament als nens han de ser objecte d’especial atenció.
c) Assessorar, de conformitat amb el dret dels estats membres, el parlament nacional, el govern i altres institucions i organismes, sobre les mesures legislatives i administratives relatives a la protecció dels drets i les llibertats de les persones físiques pel que fa al tractament.
d) Promoure la sensibilització dels responsables i els encarregats del tractament sobre les obligacions que els corresponen.
e) Prèvia sol·licitud, facilitar informació a qualsevol persona interessada sobre l'exercici dels seus drets, en virtut del que disposa el Reglament, i si escau cooperar amb les autoritats de control d'altres estats membres amb aquesta finalitat.
f) Tractar les reclamacions presentades per una persona interessada o un organisme, una organització o una associació, de conformitat amb l'article 80, investigar, en la mesura oportuna, el motiu de la reclamació, i informar la persona reclamant sobre el curs i el resultat de la investigació en un termini raonable, en particular si és necessària una nova investigació o una coordinació més estreta amb una altra autoritat de control.
g) Cooperar, en particular compartint informació, amb altres autoritats de control, i prestar assistència mútua amb la finalitat de garantir la coherència en l'aplicació i l’execució del Reglament.
h) Dur a terme investigacions sobre l'aplicació del Reglament, en particular d’acord amb la informació rebuda d'una altra autoritat de control o d’una altra autoritat pública.
i) Fer un seguiment de canvis rellevants, en la mesura que tinguin incidència en la protecció de dades personals, en particular el desenvolupament de les tecnologies de la informació i la comunicació i les pràctiques comercials.
j) Adoptar les clàusules contractuals tipus relatives als encarregats del tractament i en matèria de transferències internacionals.
k) Elaborar i mantenir una llista relativa al requisit de l'avaluació d'impacte relativa a la protecció de dades.
l) Oferir assessorament sobre les operacions de tractament sotmeses a consulta prèvia.
m) Encoratjar l'elaboració de codis de conducta i dictaminar i aprovar els codis de conducta que ofereixen garanties suficients.
n) Fomentar la creació de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades, i aprovar els criteris de certificació.
o) Dur a terme, si escau, una revisió periòdica de les certificacions expedides.
p) Elaborar i publicar els criteris per acreditar els organismes de supervisió dels codis de conducta, i dels organismes de certificació.
q) Efectuar l’acreditació dels organismes de supervisió dels codis de conducta, i els organismes de certificació.
r) Autoritzar les clàusules contractuals i les disposicions en matèria de transferències internacionals quan hi hagi autorització de l’autoritat de control.
s) Aprovar normes corporatives vinculants.
t) Contribuir a les activitats del Comitè.
u) Portar registres interns de les infraccions del Reglament i de les mesures adoptades mitjançant l’exercici dels poders correctius regulats en l’article 58.2 del RGPD.
v) Dur a terme qualsevol altra funció relacionada amb la protecció de les dades personals.
El títol VII de la LOPDGDD està dedicat a les autoritats de control, i lògicament se centra sobretot en l'Agència Espanyola de Protecció de Dades, a la qual dedica els articles del 44-56. D'altra banda, els articles 57-62 es refereixen a les autoritats de control autonòmiques. A aquest respecte, l'article 57 de la LOPDGDD enumera tractaments de dades respecte dels quals les autoritats autonòmiques poden exercir les seves competències, precepte que complementa el que disposen els estatuts d'autonomia respectius (art. 156 de l'EAC, en el cas de l'APDCAT). D'altra banda, l'article 58 de la LOPDGDD es refereix a diverses qüestions vinculades a la cooperació institucional, principi que regeix en les relacions entre les diferents autoritats de control espanyoles, les quals no estan sotmeses al principi de jerarquia, sinó de competència.
Poders
El conjunt de funcions atribuïdes a les autoritats es porten a terme mitjançant tres tipus de potestats regulades en l'article 58 del RGPD: poders d'investigació, poders correctius i poders d'autorització i consultius.
1. Poders d’investigació
Quant als poders d'investigació (art. 58.1):
a) Ordenar al responsable i a l'encarregat del tractament que facilitin qualsevol informació que necessiti per complir les seves funcions.
b) Dur a terme investigacions en forma d'auditories de protecció de dades.
c) Dur a terme una revisió de les certificacions de protecció de dades.
d) Notificar al responsable o a l'encarregat del tractament les presumptes infraccions del Reglament.
e) Obtenir del responsable i de l'encarregat del tractament l'accés a totes les dades personals i a tota la informació necessària per exercir les seves funcions.
f) Obtenir l'accés a tots els locals del responsable i de l'encarregat del tractament, incloent-hi qualssevol equips i mitjans de tractament de dades, de conformitat amb el dret processal de la UE o dels estats membres.
2. Poders correctius
Quant als poders correctius (art. 58.2):
a) Adreçar a qualsevol responsable o encarregat del tractament una advertència, si les operacions de tractament previstes poden infringir el que disposa el Reglament.
b) Adreçar a qualsevol responsable o encarregat del tractament una amonestació ("apercibimiento" en la versió castellana), si les operacions de tractament han infringit el que disposa el Reglament."
c) Ordenar al responsable o a l’encarregat del tractament que atengui les sol·licituds d'exercici dels drets de la persona interessada.
d) Ordenar al responsable o a l’encarregat del tractament que les operacions de tractament s'ajustin a les disposicions del Reglament, d'una determinada manera i dins d'un termini especificat, si escau.
e) Ordenar al responsable del tractament que comuniqui a la persona interessada les violacions de la seguretat de les seves dades personals.
f) Imposar una limitació temporal o definitiva del tractament, incloent-hi la prohibició.
g) Ordenar la rectificació o la supressió de dades personals o la limitació de tractament, i la notificació d’aquestes mesures als destinataris als quals s'han comunicat dades personals.
h) Retirar una certificació o ordenar a l'organisme de certificació que retiri una certificació emesa, o ordenar a l'organisme de certificació que no s'emeti si no es compleixen els requisits per a la certificació o si es deixen de complir.
i) Imposar una multa administrativa de conformitat amb l’article 83, a més de les mesures esmentades en aquest apartat o en lloc d’aquestes, segons les circumstàncies de cada cas particular.
j) Ordenar la suspensió dels fluxos de dades cap a un destinatari situat en un país tercer o cap a una organització internacional.
3. Poders d’autorització i consultius
Quant als poders d'autorització i consultius (art. 58.3):
a) Assessorar el responsable del tractament, d’acord amb el procediment de consulta prèvia.
b) Emetre, per iniciativa pròpia o prèvia sol·licitud, dictàmens destinats al parlament nacional, al govern de l'Estat membre o, d’acord amb el dret dels estats membres, a altres institucions i organismes, així com al públic, sobre qualsevol assumpte relacionat amb la protecció de les dades personals.
c) Autoritzar determinats tractaments realitzats en exercici d’una missió d’interès públic, si el dret de l'Estat membre requereix aquesta autorització prèvia.
d) Emetre un dictamen i aprovar projectes de codis de conducta.
e) Acreditar els organismes de certificació.
f) Expedir certificacions i aprovar criteris de certificació.
g) Adoptar les clàusules tipus de protecció de dades en relació amb els encarregats del tractament i les transferències internacionals per aportar garanties adequades.
h) Autoritzar les clàusules contractuals per a transferències internacionals quan hi hagi una autorització de l’autoritat de control (art. 46.3 del RGPD).
i) Autoritzar els acords administratius per fer transferències internacionals amb garanties adequades (art. 46.3.b del RGPD).
j) Aprovar normes corporatives vinculants.
L'article 58.4 del RGPD precisa que l'exercici de tots aquests poders està subjecte a les garanties adequades, incloent-hi la tutela judicial efectiva i el respecte de les garanties processals, que estableix el dret de la UE i dels estats membres, de conformitat amb la Carta. Així, en el cas del poder correctiu consistent en la imposició de sancions, cal tramitar el procediment administratiu sancionador corresponent, tal com subratlla també l'article 83.8 del RGPD.
Així mateix, l'article 58.6 del RGPD autoritza els estats membres a atribuir per llei altres poders a les autoritats de control.
5.2 El Comitè Europeu de Protecció de Dades
El Comitè Europeu de Protecció de Dades (en endavant, CEPD) és regulat en els articles 68-76 del RGPD.
Aquest comitè substitueix el Grup de l’article 29, creat per la Directiva 95/46/CE, i té per funció fomentar l'aplicació coherent del RGPD.
Si en un estat membre hi ha diverses autoritats de control, s'ha de nomenar un representant comú de conformitat amb el dret d'aquest estat membre i la CE té dret a participar en les activitats i les reunions del CEPD, sense dret a vot. A aquest respecte, l'article 44.2 de la LOPDGDD atribueix a l'AEPD la condició de representant comú de les autoritats de protecció de dades del Regne d’Espanya al CEPD.
Característiques del CEPD
- Actua amb total independència en l'acompliment de les seves funcions o l'exercici de les seves competències.
- No sol·licita ni admet instruccions de ningú en l'acompliment de les seves funcions o l'exercici de les seves competències; sens perjudici de la possibilitat d'assessorar la CE sobre tota qüestió relativa a la protecció de dades personals a la UE, en particular sobre qualsevol proposta de modificació del RGPD (art. 70.1.b), quan la CE sol·liciti assessorament del CEPD (art. 70.2).
- Els debats són confidencials quan el CEPD ho consideri necessari, i l'accés als documents presentats als membres del CEPD, als experts i als representants de terceres parts, es regeix pel Reglament (CE) n. 1049/2001 del Parlament Europeu i del Consell.
Funcions del CEPD
Les seves funcions van adreçades a garantir l'aplicació coherent del RGPD i, per fer-ho, a iniciativa pròpia o a instància de la CE, pot efectuar actuacions per:
- Supervisar i garantir l'aplicació correcta del RGPD en els casos en què les autoritats li sol·licitin dictamen.
- Assessorar la CE sobre qualsevol qüestió relativa a la protecció de dades personals a la UE; en particular, sobre el format i els procediments per intercanviar informació entre els responsables, els encarregats i les autoritats de control en relació amb les normes corporatives vinculants.
- Examinar, a iniciativa pròpia, a instància d'un dels seus membres o de la CE, qualsevol qüestió relativa a l'aplicació del RGPD, i emetre directrius, recomanacions i bones pràctiques per promoure'n una aplicació coherent.
- Emetre directrius, recomanacions i bones pràctiques (amb relació a qüestions relatives als procediments per suprimir vincles, còpies o rèpliques de les dades personals procedents de serveis de comunicació a disposició pública; per especificar més els criteris i requisits de les decisions basades en perfils; per comprovar les violacions de la seguretat de les dades i determinar, si escau, la dilació indeguda, i pel que fa a les circumstàncies particulars en què el responsable o l'encarregat del tractament ha de notificar la violació de la seguretat de les dades personals; respecte de les circumstàncies en què sigui probable que la violació de la seguretat de les dades personals comporti un alt risc per als drets i les llibertats de les persones físiques; per especificar en major mesura els criteris i requisits per a les transferències de dades personals basades en normes corporatives vinculants a les quals s'hagin adherit els responsables del tractament i els encarregats del tractament, i en requisits addicionals necessaris per garantir la protecció de les dades personals; per especificar en major mesura els criteris i requisits de les transferències de dades personals a fi d'establir procediments comuns d'informació procedent de persones físiques sobre infraccions del RGPD, i pel que fa a les normes relatives a l'establiment de l'autoritat de control).
- Formular directrius per a les autoritats de control, relatives a l'aplicació de les mesures vinculades als poders de recerca o correcció, autorització i consultives, així com respecte de la fixació de multes administratives.
- Examinar l'aplicació pràctica de les directrius, recomanacions i bones pràctiques en matèria de coherència i d'elaboració o de perfils.
- Encoratjar l'elaboració de codis de conducta i l'establiment de mecanismes de certificació de la protecció de dades i de segells i marques de protecció de dades (acreditar els organismes de certificació i fer-ne una revisió periòdica, i portar un registre públic dels organismes acreditats i dels responsables o dels encarregats del tractament acreditats establerts en països tercers).
- Especificar els requisits per acreditar els organismes de certificació.
- Facilitar a la CE un dictamen sobre els requisits de certificació; sobre les icones per facilitar el dret d'informació, per avaluar l'adequació del nivell de protecció en un país tercer o una organització internacional, en particular per avaluar si un país tercer, un territori o un o diversos sectors específics d'aquest país tercer, o una organització internacional, ja no garanteixen un nivell de protecció adequat.
- Promoure la cooperació i els intercanvis bilaterals i multilaterals efectius d'informació i de bones pràctiques entre les autoritats de control; promoure programes de formació comuns i facilitar intercanvis de personal entre les autoritats de control i, quan escaigui, amb les autoritats de control de països tercers o amb organitzacions internacionals, i promoure l'intercanvi de coneixements i documentació sobre legislació i pràctiques en matèria de protecció de dades amb les autoritats de control encarregades de la protecció de dades a escala mundial.
- Portar un registre electrònic, d'accés públic, de les decisions adoptades per les autoritats de control i els tribunals sobre els assumptes tractats en el marc del mecanisme de coherència.
Informe anual del CEPD
El CEPD ha d'elaborar un informe anual en matèria de protecció de les persones físiques pel que fa al tractament a la UE i, si escau, a països tercers i en organitzacions internacionals.
L'informe ha d'incloure un examen de l'aplicació pràctica de les directrius, recomanacions i bones pràctiques en matèria de coherència i elaboració de perfils.
L'informe s'ha de fer públic i s'ha de trametre al Parlament Europeu, al Consell i a la CE.
Procediment de presa de decisions
Com a regla general, el CEPD pren les decisions per majoria simple dels seus membres. El RGPD pot establir altres majories.
En el cas de l'aprovació del reglament intern, el CEPD l'ha d'adoptar per majoria de dos terços dels seus membres.
5.3 Cooperació i coherència
Per entendre aquests mecanismes cal que primer tinguem clar una sèrie de conceptes.
En primer lloc, en els casos en què estiguin implicats tant el responsable com l'encarregat, l'autoritat de control principal competent ha de continuar sent l'autoritat de control de l'Estat en el qual el responsable té el seu establiment principal, i l'autoritat de control de l'encarregat s'ha de considerar autoritat de control interessada i ha de participar en el procediment de cooperació.
A més, quan el tractament l'efectuen autoritats públiques o organismes privats en interès públic, les normes sobre l'autoritat de control principal i el mecanisme de finestreta única no s'han d'aplicar. En aquests casos, l'única autoritat de control competent per exercir els poders conferits pel RGPD ha de ser l'autoritat de control de l’Estat en el qual estan establerts l'autoritat pública o l'organisme privat.
Aquests instruments volen solucionar els problemes que hi van haver amb la Directiva 95/46, que va ser interpretada de maneres molt diverses per les autoritats de protecció de dades i va produir situacions d'inseguretat jurídica en les entitats que havien de complir les obligacions establertes i que tractaven dades en diferents estats.
Cooperació
El mecanisme de cooperació vol establir un sistema de col·laboració entre les autoritats que sigui ràpid i eficaç. Mitjançant la distribució de competències, es vol evitar que en un mateix cas intervinguin diferents autoritats. Aquest model de finestreta única es basa a identificar una única autoritat de control principal en situacions de tractaments transfronterers per evitar que les entitats es vegin sotmeses a diferents autoritats de protecció de dades.
Per determinar com actua cadascuna, es diferencia entre l’autoritat principal i les autoritats interessades. En aquest context, el Grup de l'article 29 va elaborar una guia de directrius per ajudar a determinar quina és l'autoritat principal i quines les autoritats interessades.
En primer lloc, per determinar com aplicar el sistema de finestreta única és important tenir present la definició de tractament transfronterer de l’article 4.23 del RGPD, on es diferencien dos supòsits:
a) El tractament de dades personals efectuat en el context de les activitats d'establiments en més d'un estat membre d'un responsable o d’un encarregat del tractament a la UE, si el responsable o l'encarregat està establert en més d'un estat membre.
b) El tractament de dades personals efectuat en el context de les activitats d'un únic establiment d'un responsable o d’un encarregat del tractament a la UE, però que afecta o pot afectar substancialment persones interessades en més d'un estat membre.
D’altra banda, i segons el que estableix l’article 56 del RGPD, l'autoritat de control principal és l'autoritat de control de l'establiment principal o l'únic establiment del responsable o de l'encarregat del tractament.
Per tant, també entra en joc la definició d'"establiment principal" de l'article 4.16 del RGPD:
a) Pel que fa a un responsable amb establiments en més d'un estat: és el lloc de la seva administració central a la UE, tret que les decisions sobre les finalitats dels mitjans del tractament es prenguin en un altre establiment del responsable a la UE i aquest últim establiment tingui el poder de fer aplicar aquestes decisions, en aquest cas, l'establiment que hagi adoptat dites decisions s'ha de considerar establiment principal. b) Pel que fa a un encarregat amb establiments en més d'un estat: és el lloc de la seva administració central a la UE o, si no en té, l'establiment de l'encarregat a la UE en el qual es desenvolupen les principals activitats de tractament en el context de les activitats d'un establiment de l'encarregat, en la mesura que l'encarregat és subjecte a obligacions específiques establertes pel RGPD.
Finalment, cal tenir present que, atesa la importància, especialment en el context d'Internet, dels operadors internacionals que tenen la seva administració central fora de la UE, el Grup de l'article 29 va indicar que, en relació amb les empreses amb establiment als estats de la UE però amb l’administració central situada fora de la UE, i quan els establiments a la UE no tenen poder de decisió sobre el tractament, s'admet com a solució pragmàtica que sigui l'empresa mateixa la que identifiqui l'establiment a la UE que actuarà com a establiment principal, que ha de tenir capacitat per aplicar decisions sobre les activitats de tractament i la possibilitat d'assumir responsabilitats.
Un cop determinada l'autoritat principal atenent a l'establiment principal o únic del responsable o de l’encarregat del tractament, s'ha d'aplicar el procediment de cooperació regulat en l'article 60, que estableix l'obligació d'informar les autoritats interessades i d'enviar-los una proposta de decisió perquè puguin opinar en el termini de quatre setmanes i, si ho consideren oportú, emetre una objecció pertinent motivada.
Si l'autoritat principal té en compte l'objecció i modifica la proposta, l'ha de tornar a sotmetre a les autoritats interessades (dues setmanes) i, si les objeccions no són acceptades, s'ha d'anar al mecanisme de coherència.
En relació amb aquest procediment de cooperació de l'article 60 del RGPD establert per als tractaments transfronterers, de conformitat amb l'article 61 de la LOPDGDD, l'APDCAT o les altres autoritats autonòmiques poden tenir la condició d’autoritat principal o interessada, tret que el responsable o l'encarregat duguin a terme significativament tractaments de la mateixa naturalesa a la resta del territori espanyol. Quan correspongui intervenir a l'APDCAT o a una altra autoritat autonòmica en els procediments de l'article 60 del RGPD i s'hagi d'aplicar el mecanisme de coherència de l'article 63 del RGPD, s'ha d'informar l'AEPD sobre el curs del procediment.
D'altra banda, per reforçar la cooperació, el RGPD regula els procediments d'assistència mútua (art. 61) i d'operacions conjuntes (art. 62).
Coherència
En cas de desacord, s'activa el mecanisme de coherència de l’article 63 del RGPD, que comporta que el CEPD entri en la presa de decisions. En definitiva, es vol establir una aplicació homogènia de la normativa de protecció de dades a tota la UE.
El mecanisme de coherència s'ha d'aplicar en els casos següents:
- Situacions concretes en què cal demanar dictamen previ al CEPD i que es regulen en l'article 64.
- Situacions de conflicte entre autoritats.
En l'article 64 es regulen les situacions en què cal demanar dictamen previ al CEPD, entre les quals trobem, per exemple, que l'autoritat de control competent ha de sotmetre a dictamen les propostes de decisió relatives a l'elaboració d'una llista de les operacions de tractament supeditades al requisit de l'avaluació d'impacte relativa a la protecció de dades, les propostes que afectin l'aprovació d'un codi de conducta o una modificació o ampliació d'un codi de conducta que té relació amb activitats de tractament en diversos estats, o les propostes que tinguin per objecte determinar les clàusules tipus de protecció de dades per a transferències internacionals mitjançant garanties adequades, i per a contractes d'encarregats del tractament, entre d'altres:
e) Les que tinguin per objecte autoritzar les clàusules contractuals que estableixen les garanties adequades per a transferències internacionals.
f) Les que tinguin per objecte aprovar normes corporatives vinculants.
En el cas de situacions de conflicte entre autoritats (art. 65), el CEPD també actua per resoldre discrepàncies o en casos d'incompliment, com, per exemple, en cas de desacord sobre quina és l'autoritat principal o quan l'autoritat principal rebutja les objeccions d'una autoritat interessada.
Finalment, cal tenir present que la decisió emesa és vinculant i s'ha de comunicar a totes les autoritats afectades i a la CE. També s'ha de publicar en el web del CEPD.
Per als supòsits en què el RGPD ha establert la intervenció del CEPD en el marc del mecanisme de coherència i afecten les autoritats autonòmiques, la LOPDGDD atribueix a l'AEPD la funció de coordinació. En concret, els articles 60 i 62 de la LOPDGDD disposen que les comunicacions entre les autoritats autonòmiques i el CEPD s'han de fer mitjançant l'AEPD, si bé aquesta ha de ser assistida per un representant de l’autoritat autonòmica interessada en la seva intervenció davant el CEDPD.
Procediment d'urgència
Finalment, per a circumstàncies extraordinàries i com a excepció al mecanisme de coherència, l’article 66 regula el procediment d’urgència que s’aplica quan una autoritat de control interessada considera que és urgent intervenir per protegir els drets i les llibertats de les persones interessades. En aquest cas pot adoptar immediatament mesures provisionals destinades a produir efectes jurídics al seu propi territori, amb un període de validesa determinat que no pot ser superior a tres mesos.
La mesura i els motius s'han de comunicar sense dilació a les altres autoritats de control interessades, al CEPD i a la CE.
Si l'autoritat que ha pres la mesura considera que cal adoptar urgentment mesures definitives, pot sol·licitar motivadament, amb caràcter urgent, un dictamen o una decisió vinculant urgent del CEPD.
En qualsevol cas, si l'autoritat de control que és competent no ha pres una mesura adequada en una situació en què és urgent intervenir per protegir els drets i les llibertats de les persones interessades, qualsevol autoritat de control pot sol·licitar al CEPD un dictamen o una decisió vinculant urgent, segons pertoqui. La sol·licitud s'ha de motivar, en particular la urgència de la intervenció.
Els dictàmens o les decisions vinculants urgents s’han d’adoptar en el termini de dues setmanes, per majoria simple dels membres del CEPD.