La Agencia Española de Protección de Datos (AEPD)
Naturaleza jurídica: Autoridad administrativa independiente de ámbito estatal.
El artículo 44 de la LO 3/2018 reconoce a la Agencia Española de Protección de Datos (AEPD) como autoridad de control al declarar que esta es una autoridad administrativa independiente de ámbito estatal. Esta es una de las autoridades públicas independientes que cada Estado miembro debe establecer para supervisar la aplicación del RGPD. La AEPD está prevista en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada. Actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones. Su denominación oficial será «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente».
Independencia y sede.
La AEPD actúa con plena independencia del Gobierno, de las Administraciones Públicas y de cualquier interés empresarial o comercial. Ni su personal ni los miembros de sus órganos podrán aceptar ni solicitar instrucciones de ninguna entidad pública o privada. Se relaciona con el Gobierno a través del Ministerio de Justicia. La sede de la Agencia Española de Protección de Datos se encuentra en Madrid.
Funciones de la AEPD (Artículo 57 del RGPD y Artículo 47 de la LO 3/2018): Control, sensibilización, asesoramiento, tramitación de reclamaciones, etc.
Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de la LO 3/2018 y del RGPD. Conforme al artículo 57 del RGPD, en su territorio, la AEPD tiene las siguientes funciones:
- Controlar la aplicación del RGPD y hacerlo aplicar.
- Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento, prestando especial atención a las actividades dirigidas a los niños.
- Asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
- Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.
- Llevar a cabo investigaciones sobre la aplicación del RGPD, basándose en información recibida de otra autoridad de control u otra autoridad pública.
- Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
- Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) del RGPD.
- Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos.
- Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas cuando una evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
- Elaborar y publicar los requisitos para la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.
- Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.
- Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3 del RGPD.
- Aprobar normas corporativas vinculantes.
- Contribuir a las actividades del Comité Europeo de Protección de Datos.
- Llevar registros internos de las infracciones del RGPD y de las medidas adoptadas de conformidad con el artículo 58, apartado 2 del RGPD.
Poderes de investigación de la AEPD (Artículo 58.1 del RGPD y Artículo 51 de la LO 3/2018): Recabar información, auditorías, acceso a datos y locales.
Conforme al artículo 58.1 del RGPD, la AEPD dispone en su territorio de los siguientes poderes de investigación:
- Ordenar al responsable y al encargado del tratamiento y, en su caso, a su representante, que faciliten cualquier información que requiera para el desempeño de sus funciones.
- Llevar a cabo investigaciones en forma de auditorías de protección de datos.
- Llevar a cabo una revisión de las certificaciones expedidas.
- Notificar al responsable o al encargado del tratamiento las presuntas infracciones del RGPD.
- Obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
- Obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.
Conforme al artículo 51 de la LO 3/2018, la AEPD desarrolla su actividad de investigación a través de las actuaciones previstas en el Título VIII (Procedimientos en caso de posible vulneración de la normativa de protección de datos) y de los planes de auditoría preventivas. La actividad de investigación es llevada a cabo por funcionarios de la AEPD o por funcionarios ajenos habilitados expresamente por su Presidencia. Estos funcionarios tienen la consideración de agentes de la autoridad y están obligados a guardar secreto sobre la información que conozcan. La AEPD puede recabar información de las Administraciones Públicas y de particulares, estando estos obligados a proporcionarla. En actuaciones previas de investigación, si no se ha podido identificar por otros medios, la AEPD puede recabar información de las Administraciones Públicas, incluidos los datos imprescindibles para identificar a los responsables de posibles infracciones. También puede recabar datos de operadores de comunicaciones electrónicas y prestadores de servicios de la sociedad de la información para identificar a los presuntos responsables de conductas contrarias al RGPD y a la LO 3/2018. Quienes desarrollen la actividad de investigación pueden recabar informaciones precisas, realizar inspecciones, requerir la exhibición o envío de documentos y datos, examinarlos, obtener copias e inspeccionar equipos. Para acceder al domicilio constitucionalmente protegido del inspeccionado, se necesita consentimiento o autorización judicial.
Poderes correctivos de la AEPD (Artículo 58.2 del RGPD y Artículo 48 de la LO 3/2018): Advertencias, apercibimientos, multas, etc.
Conforme al artículo 58.2 del RGPD, la AEPD dispone de los siguientes poderes correctivos:
- Dirigir a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el RGPD.
- Dirigir a todo responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el RGPD.
- Ordenar al responsable o al encargado del tratamiento que cumpla las solicitudes de ejercicio de los derechos de los interesados en virtud del RGPD.
- Ordenar al responsable o al encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, en su caso, de una determinada manera y dentro de un plazo determinado.
- Ordenar la rectificación, supresión de datos personales o la limitación de tratamiento y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado los datos personales.
- Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación.
- Imponer una multa administrativa, además o en lugar de otras medidas, según las circunstancias de cada caso particular.
- Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
Poderes de autorización y consultivos de la AEPD (Artículo 58.3 del RGPD y Artículo 49 de la LO 3/2018): Dictámenes, aprobación de códigos, certificación.
Conforme al artículo 58.3 del RGPD, la AEPD dispone de los siguientes poderes de autorización y consultivos:
- Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa.
- Emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales.
- Autorizar el tratamiento cuando el Derecho de los Estados miembros obligue a los responsables del tratamiento a consultar a la autoridad de control y a recabar su autorización previa en relación con el tratamiento por un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.
- Emitir un dictamen y aprobar proyectos de códigos de conducta.
- Acreditar los organismos de certificación.
- Expedir certificaciones y aprobar criterios de certificación.
- Adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) del RGPD.
- Autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a) del RGPD.
- Autorizar los acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
- Aprobar normas corporativas vinculantes.
Otras potestades de la AEPD: Regulación (Circulares), Acción Exterior.
Potestades de Regulación
Conforme al artículo 55 de la LO 3/2018, la Presidencia de la AEPD puede dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación del RGPD y de la LO 3/2018. Estas disposiciones se denominan «Circulares de la Agencia Española de Protección de Datos». Su elaboración se sujeta a un procedimiento que incluye informes técnicos y jurídicos y audiencia a los interesados. Las circulares son obligatorias una vez publicadas en el Boletín Oficial del Estado.
Potestades de Acción Exterior
Según el artículo 56 de la LO 3/2018, corresponde a la AEPD la titularidad y el ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos. La AEPD es el organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos personales derivado de la aplicación de cualquier Convenio Internacional en el que sea parte el Reino de España que atribuya a una autoridad nacional de control esa competencia. Es también la representante común de las autoridades de Protección de Datos en el Comité Europeo de Protección de Datos. La AEPD participa en reuniones y foros internacionales, colabora con otras autoridades y puede suscribir acuerdos internacionales administrativos y no normativos.
Programación de la AEPD: Plan Estratégico y Memoria Anual.
Conforme al artículo 9 del Estatuto de la AEPD, la Presidencia aprueba, con carácter quinquenal, un Plan Estratégico que establece las líneas de actuación de la Agencia. El Plan Estratégico 2015-2019 contó con cinco ejes estratégicos. Según el artículo 10 del Estatuto de la AEPD, la Agencia elabora una Memoria anual sobre la aplicación del RGPD y demás normativa sobre protección de datos, que incluye información sobre el funcionamiento de la Agencia, tipos de infracciones y medidas adoptadas, así como un análisis de los problemas de protección de datos a escala nacional. La Memoria anual se remite a diversas instituciones y se publica en la página web de la Agencia.
