AEPD
¿Qué es la Agencia Española de Protección de Datos?
La Agencia Española de Protección de Datos (AEPD), cuya denominación oficial es "Agencia Española de Protección de Datos, Autoridad Administrativa Independiente" es un ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones y se relaciona con el Gobierno a través del Ministerio de Justicia.
Su régimen jurídico se regula en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que prevé además que el Gobierno, a propuesta de la propia AEPD, aprobará su estatuto mediante Real Decreto. También le es de aplicación la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.
Entre las funciones que prevé la LOPDGDD para la AEPD, está la de emitir autorizaciones; publicar circulares y directrices; atender peticiones y reclamaciones formuladas por las personas afectadas; proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal y requerir a los responsables y los encargados de los tratamientos la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones del Reglamento (UE) 2016/679, de 27 de abril de 2016 (RGPD 2016/679) y de la LOPDGDD y, en su caso, ordenar la cesación de los tratamientos e incluso la suspensión de transferencias internacionales de datos.
Le corresponde asimismo redactar su Memoria anual, que remite al Ministerio de Justicia, y elabora y aprueba su anteproyecto de presupuesto.
En el ámbito internacional, le corresponde la cooperación con organismos internacionales y órganos de las Comunidades Europeas en materia de protección de datos. En particular, presta asistencia a las autoridades designadas por los Estados parte en el Convenio 108 del Consejo de Europa de 28 de enero de 1981, sobre protección de las personas en relación con el tratamiento automatizado de los datos de carácter personal, a los efectos previstos en el artículo 13 del Convenio, siendo necesario tener en consideración que este Convenio fue actualizado en 2018, y respecto del Sistema de Información Schengen ejerce el control de los datos de carácter personal introducidos en la parte nacional española de la base de datos del citado Sistema.
Tiene también atribuidas competencias sancionadoras en virtud de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones y de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, en los términos previstos, respectivamente, en cada una de ellas. Y, sin perjuicio de esta competencia sancionadora, desempeñará las demás funciones y potestades que le atribuyan otras leyes o normas del Derecho de la Unión Europea.
En definitiva, supervisa la aplicación de la LOPDGDD y del RGPD 2016/679. Además, podrá desempeñar otras funciones que se le atribuyan.
¿Cómo es su organización interna?
La estructura orgánica de la Agencia está formada por los siguientes órganos: la Presidencia, el Consejo Consultivo, el Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General de la Agencia.
La Presidencia
Realiza funciones de dirección y de gestión. Representa a la Agencia, considerándose sus actos como propios de la misma. Además de ostentar su representación, dicta sus resoluciones, circulares y directrices. Está auxiliada por un Adjunto. Tanto la Presidencia como su Adjunto es nombrado, a propuesta del Ministerio de Justicia, por el Consejo de Ministros, mediante Real Decreto, de entre personas de reconocida competencia profesional, en particular en materia de protección de datos. Es independiente y no está sometida a mandato imperativo ni a instrucción de autoridad alguna. Su mandato es de cinco años, pudiendo ser renovado por otro período de igual duración. Cesa en el cargo a petición propia o por separación acordada por el Consejo de Ministros en caso de incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena firme por delito doloso.
Es competencia de la Presidencia dictar resoluciones sobre sobre códigos tipo, sobre transferencias internacionales, tutelas de derechos, procedimientos sancionadores y medidas cautelares. Además, ordena la incoación de expedientes disciplinarios, autoriza la entrada en locales y asume la coordinación con las autoridades autonómicas
La Presidencia, con sus actos y disposiciones pone fin a la vía administrativa, pudiendo recurrirse, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.
El Consejo Consultivo
Es el órgano colegiado de asesoramiento de la Presidencia y como tal informa en todas las cuestiones que le solicite. Formula propuestas en materia de protección de datos y se reúne cuando lo requiera la Presidencia y, en cualquier caso, al menos una vez cada seis meses.
Forman parte del Consejo quince Vocales nombrados por orden del Ministro de Justicia: un Diputado, propuesto por el Congreso de los Diputados; un representante designado por el Consejo General del Poder Judicial; un representante de la Administración General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia; un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autónoma; un experto propuesto por la Federación Española de Municipios y Provincias; un experto propuesto por el Consejo de Consumidores y Usuarios; dos expertos propuestos por las Organizaciones Empresariales; un representante de los profesionales de la protección de datos y de la privacidad, propuesto por la asociación de ámbito estatal con mayor número de asociados; un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en la LOPDGDD, propuesto por el Ministro de Justicia; un experto, propuesto por la Conferencia de Rectores de las Universidades Españolas; un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de ámbito estatal de las diferentes profesiones colegiadas, propuesto por el Ministro de Justicia; un representante de los profesionales de la seguridad de la información, propuesto por la asociación de ámbito estatal con mayor número de asociados; un experto en transparencia y acceso a la información pública propuesto por el Consejo de Transparencia y del Buen Gobierno; dos expertos propuestos por las organizaciones sindicales más representativas.
Sus decisiones no tienen carácter vinculante.
El Registro General de Protección de Datos
Entre sus funciones se encuentran las relativas a la gestión del registro de delegados de protección de datos; promover la elaboración de códigos de conducta, valorar las solicitudes de aprobación, el registro y la publicación de dichos códigos; elaborar los criterios para la acreditación de los organismos de supervisión de los códigos de conducta.
También, la elaboración y tramitación de cláusulas contractuales tipo de protección de datos para transferencias internacionales de datos; la tramitación y valoración de solicitudes de aprobación de normas corporativas vinculantes para transferencias internacionales de datos, así como promover la sensibilización sobre el cumplimiento del RGPD 2016/679, con especial atención a las PYMES, las Administraciones Públicas y ONGs.
La Inspección de Datos
Ejerce funciones inspectoras e instructoras. En cuanto a las primeras, le corresponde, entre otras, la comprobación de la legalidad de los tratamientos, para lo cual examina soportes y equipos, hace análisis de programas, examina los sistemas de transmisión y realiza auditorías informáticas; actúa ante denuncias de afectados o en supuestos de alarma social, es decir, de oficio; instruye los procedimientos sobre tutela de derechos y de infracción por las Administraciones Públicas. Para su cometido cuenta con Inspectores de datos que tienen consideración de autoridad pública y están obligados a guardar secreto.
También instruye los expedientes que resuelve la Presidencia referidos a la adopción de medidas cautelares y provisionales que requieran el ejercicio de la potestad sancionadora de la Agencia con relación a los responsables de los ficheros privados.
La Secretaría General de la Agencia
Desempeña tareas de apoyo al adecuado funcionamiento de la Agencia. Así, elabora informes y propuestas que le solicite la Presidencia; notifica las resoluciones de la Presidencia; ejerce la secretaría del Consejo Consultivo; gestiona los medios personales y materiales adscritos a la Agencia; atiende a la gestión económico-administrativa del presupuesto de la Agencia; lleva el inventario de bienes y derechos que se integren en el patrimonio de la Agencia y gestiona los asuntos de carácter general no atribuidos a otros órganos de la Agencia. Supervisa asimismo el Fondo de documentación y edita repertorios, memorias y publicaciones.
¿Qué repercusión tienen sus actos?
Sus actos están sujetos a la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Su régimen, tanto patrimonial como de contratación, es de derecho privado. Está sujeta al control externo del Tribunal Cuentas y al interno de la Intervención General de la Administración del Estado.
¿Existen órganos autonómicos en materia de protección de datos?
Se han creado Agencias Autonómicas de Protección de datos que pueden ejercer, dentro de su ámbito territorial, las mismas funciones que la estatal.
En la Comunidad Autónoma del País Vasco la normativa básica que regula la Agencia es la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos.
En la Comunidad Autónoma de Cataluña se regula en la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos, que derogó la anterior Ley 5/2002, de 19 de abril, y por el Decreto 48/2003 de 20 de febrero, se aprueba su Estatuto.
En la Comunidad Autónoma de Andalucía se regula en la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.
La Presidencia de la Agencia Española convoca regularmente a los órganos competentes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. A su vez la Agencia Española puede solicitar de los órganos correspondientes de las Comunidades Autónomas la información necesaria para el cumplimiento de sus funciones, así como facilitar a aquéllos la información que le soliciten a idénticos efectos.
Por último, en el caso de los tratamientos de datos personales efectuados con fines jurisdiccionales, es decir, en el ejercicio de las competencias atribuidas a los Juzgados y Tribunales, el ejercicio de las competencias atribuidas a la Agencia Española de Protección de Datos corresponderán al Consejo General del Poder Judicial (artículo 236 nonies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial).
¿Cómo regula el RGPD las autoridades de control?
El Reglamento Europeo de Protección de Datos —Reglamento 2016/679, de 27 de abril—, aplicable a partir del 25 de mayo de 2018, mantiene las autoridades independientes de control y con competencia en el territorio de su Estado miembro y contempla la posibilidad de que en un Estado miembro se puedan crear más de una autoridad de control (Cdos. 117 a 134 y arts. 51 a 54 del RGPD 2016/679). Prevé, con respecto a ellas, los siguientes extremos:
- • Funciones y poderes: (arts. 57 y 58 del RGPD 2016/679) Entre las novedades destaca la función de elaborar y mantener una lista relativa al requisito de evaluación de impacto relativa a la protección de datos (EIPD) y la de fomentar la creación de mecanismos de certificación de protección de datos o los poderes de revisar las certificaciones o realizar auditorías de protección de datos.
- • Se regulan mecanismos de cooperación entre la autoridad de control principal y las demás autoridades de control interesadas y mecanismos para una aplicación coherente del Reglamento con las demás autoridades de control y con la Comisión (Cdos. 135 a 140 y arts. 63 a 67 del RGPD 2016/679).
- • Se crea el Comité Europeo de Protección de Datos que sustituye al Grupo de trabajo del artículo 29 de la Directiva 95/46/CE y en el que se integra también el Supervisor Europeo de Protección de Datos. (Cdos. 139 y 140 y arts. 68 a 76 del RGPD 2016/679).
Recuerde que...
- • La AEPD se crea con el objeto de velar por el cumplimiento de la normativa en materia de protección de datos y controlar su aplicación.
- • Entre sus funciones, emite autorizaciones, publica instrucciones, atiende reclamaciones e informa a los afectos, y requiere a los responsables y encargados cuando es necesario.
- • Asimismo, tiene potestad sancionadora y ejerce funciones de control.
- • Internamente está integrada por el director, el consejo consultivo, el registro general, la inspección de datos y la secretaría general.
- • Las Comunidades Autónomas de País Vasco, Cataluña y Andalucía han creado agencias autonómicas de protección de datos que, dentro de su ámbito, ejercen las mismas funciones que la AEPD.