Última revisión
datos
630 - Contenido de las funciones de la Agencia Española de Protección de Datos
Relacionados:
Vademecum: Datos
Fecha última revisión: 28/05/2024
Resumen:
La Agencia Española de Protección de Datos es el organismo encargado de supervisar y hacer cumplir la Ley Orgánica de Protección de Datos y la normativa de la Unión Europea y, como autoridad de control debe controlar la aplicación de esta normativa, promover la sensibilización del público, asesorar, prestar información, investigar reclamaciones, cooperar con otras autoridades, así como aprobar códigos de conducta, certificaciones, etc. Las funciones desempeñadas por la AEPD son gratuitas para el interesado o el responsable de datos, salvo cuando estas sean consideradas infundadas o excesivas.
El artículo 47 de la
A TENER EN CUENTA. El
Funciones de la AEPD como autoridad de control
Conforme al artículo 57 del
- Controlar la aplicación del
RGPD y del resto de la normativa de protección de datos, y hacerlo aplicar. - Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención.
- Asesorar, con arreglo al derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
- Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del
RGPD . - Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del
RGPD y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros. - Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80 del
RGPD , e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control. Cada autoridad de control debe facilitar la presentación de estas reclamaciones a través de medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. - Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del
RGPD . - Llevar a cabo investigaciones sobre la aplicación del
RGPD , en particular basándose en la información recibida de otra autoridad de control u otra autoridad pública. - Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
- Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, del
RGPD y el artículo 46, apartado 2, letra d) delRGPD . - Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4 del
RGPD . - Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2 del
RGPD , para los casos de posible vulneración del reglamento cuando se realice consulta previa por el responsable (atención al citado precepto). - Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que den suficientes garantías, todo ello con arreglo al artículo 40, apartados 1 y 5, del
RGPD . - Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos y aprobar los criterios de certificación, de conformidad, respectivamente, con el artículo 42, apartados 1 y 5, del
RGPD . - Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7, del
RGPD . - Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del
RGPD . - Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación con arreglo, respectivamente, a los artículos 41 y 43 del
RGPD . - Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3, del
RGPD . - Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del
RGPD . - Contribuir a las actividades del Comité.
- Llevar registros internos de las infracciones del RGPD y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, del
RGPD . - Desempeñar cualquier otra función relacionada con la protección de los datos personales.
Como recoge también el artículo 57, apartados 3 y 4, del
Poderes de la AEPD como autoridad de control
a) Poderes de investigación de la AEPD (art. 58.1 del
En base al art. 58.1 de la AEPD, cada autoridad de control dispondrá de estos poderes de investigación:
- Ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones.
- Llevar a cabo investigaciones en forma de auditorías de protección de datos.
- Llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7, del
RGPD . - Notificar al responsable o al encargado del tratamiento las presuntas infracciones del
RGPD . - Obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
- Obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el derecho procesal de la Unión o de los Estados miembros.
La
- La AEPD debe desarrollar su investigación a través de las actuaciones previstas en el título VIII de la
LOPDGDD (que regula las autoridades de protección de datos), y de los planes de auditoría preventivas. - Si se diera actuación conjunta de investigación con autoridades de control de otros Estados miembros, estas se someterán a la
LOPDGDD y actuarán bajo la dirección y en presencia de la AEPD. - Se llevan a cabo por los funcionarios de la AEPD o por funcionarios ajenos a ella habilitados expresamente por su presidencia, recibirán el nombre de agentes de autoridad en el ejercicio de sus funciones y estarán sometidos al deber de secreto profesional, durante el ejercicio y una vez cesado en él.
- Existe deber de colaboración por parte de las AAPP (se incluye, a este efecto, la Administración tributaria y la Seguridad Social) con la AEPD, ofreciendo datos, informes, antecedentes y justificantes necesarios para desarrollar la investigación, estando amparada la licitud de este tratamiento conforme al artículo 6, apartado 1.c) del
RGPD . - La AEPD, cuando no haya podido recabar la información por otros medios, podrá hacerlo a través de operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de información.
- Pueden realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos obtener copia de ellos, inspeccionar equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. Si en estos supuestos fuera necesario la entrada al domicilio constitucionalmente protegido del inspeccionado, será precisa la correspondiente autorización judicial.
- El nuevo artículo 53 bis señala que las actuaciones de investigación podrán realizarse a través de sistemas digitales que, mediante la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado. Además, deben garantizar la transmisión y recepción seguras de los documentos e información que se intercambien, y, en su caso, recoger las evidencias necesarias y el resultado de las actuaciones realizadas asegurando su autoría, autenticidad e integridad.
La utilización de estos sistemas se producirá cuando lo determine la Agencia y requerirá la conformidad del inspeccionado en relación con su uso y con la fecha y hora de su desarrollo.
Asimismo, conforme al artículo 54 de la
b) Poderes correctivos de la AEPD (art. 58.2 del
La AEPD, como autoridad de control, podrá revisar el tratamiento de datos realizado por los respectivos responsables y encargados del tratamiento, en este sentido, podrá:
- Sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir el
RGPD . - Sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el
RGPD . - Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del
RGPD . - Ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
RGPD , cuando proceda, de una determinada manera y dentro de un plazo especificado. - Ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales.
- Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
- Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 del
RGPD y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a los artículos 17, apartado 2, y 19 delRGPD . - Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43 del
RGPD , u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación. - Imponer una multa administrativa con arreglo al artículo 83 del
RGPD , además o en lugar de las medidas anteriores, según las circunstancias de cada caso particular. - Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
c) Poderes de autorización y consultivos de la AEPD (art. 58.3 del
Respecto a la capacidad de las autoridades de control de regular y asesorar en el tratamiento de los datos, atendiendo a lo establecido en el
- Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36 del
RGPD . - Emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales.
- Autorizar el tratamiento a que se refiere el artículo 36, apartado 5, del
RGPD , si el derecho del Estado miembro requiere tal autorización previa. - Emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad con lo dispuesto en el artículo 40, apartado 5, del
RGPD . - Acreditar los organismos de certificación con arreglo al artículo 43 del
RGPD . - Expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42, apartado 5, del
RGPD . - Adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) el
RGPD . - Autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a), del
RGPD (relativas a las transferencias de datos mediante garantías adecuadas). - Autorizar los acuerdos administrativos contemplados en el artículo 46, apartado 3, letra b), del
RGPD . - Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del
RGPD .
En la aplicación del articulado expuesto, es interesante citar la Circular 1/2019, de 7 de marzo, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, realizada por la Agencia Española de Protección de Datos. El objeto de esta Circular es regular el tratamiento de esos datos personales al amparo del artículo 58 bis de la
Otras potestades de la AEPD
a) Potestades impuestas por la
La
1. Potestades de regulación (art. 55 de la
2. Acción exterior en materia de protección de datos (art. 56 de la
- Debe informar a las autoridades autonómicas de la protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia.
- Participa en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las autoridades de control independientes en materia de protección de datos.
- Participa, como autoridad española, en las organizaciones internacionales competentes en materia de protección de datos, en los comités o grupos de trabajo, de estudio y de colaboración de organizaciones internacionales que traten materias que afecten al derecho fundamental a la protección de datos personales y en otros foros o grupos de trabajo internacionales, en el marco de la acción exterior del Estado.
- Colabora con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.
b) Funciones desarrolladas por la página oficial de la AEPD
Por otro lado, la página oficial de la AEPD también desarrolla otras funciones, en concreto:
- Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente (spam).
- Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los sistemas de los proveedores de servicios de comunicaciones electrónicas que puedan afectar a datos personales.
- Cooperar con diversos organismos internacionales y de la Unión Europea en materia de protección de datos.
- Representar a España en los foros internacionales en la materia.
- Elaborar una memoria anual, que es presentada por el director de la agencia ante las Cortes.
c) Funciones de cooperación impuestas por el
En cuanto a la cooperación y coherencia con otras autoridades de control interesadas y operaciones conjuntas, a grandes rasgos, debe destacarse:
- Conforme al artículo 60 del
- Conforme al artículo 61 del
- El artículo 62 del
d) Obligación de la AEPD de emitir el informe de actividad conforme al
Atendiendo a lo dispuesto en el art. 59 del
e) Marco de Actuación de Responsabilidad Social de la AEPD
La AEPD presentó, a través de su directora, en marzo de 2019, su Marco de Actuación de Responsabilidad Social de la Agencia. Surge como respuesta a la Agenda 2030 aprobada por Naciones Unidas, que incluye 17 Objetivos de Desarrollo Sostenible (ODS) y que supone una oportunidad para los gobiernos, sociedades, empresas, organizaciones e instituciones, de emprender un nuevo camino en el que construir un mundo mejor y más justo.
El Marco de Actuación de Responsabilidad Social es resultado del trabajo de la AEPD, la colaboración con el Pacto Mundial de Naciones Unidas y la participación de la ciudadanía y otras organizaciones, se alinea a la Agenda 2030 y plantea los compromisos internos y externos de la organización con los 17 objetivos de desarrollo. Para ello la AEPD ha identificado 100 acciones:
- 70 % relativas a compromisos con la sociedad.
- 13 % respecto a compromisos internos con los empleados y empleadas.
- 10 % relacionadas con el respeto al medio ambiente.
- 7 % que coinciden con el buen gobierno y la transparencia.