630 - Contenido de las funciones de la Agencia Española de Protección de Datos

El artículo 47 de la LOPDGDD otorga a la AEPD el deber de supervisar la aplicación de la referida ley orgánica, así como del RGPD, y de ejercer las funciones y potestades de los artículos 57 y 58 del RGPD, así como las previstas en la LOPDGDD y en las disposiciones de desarrollo, y en aquellas que le sean atribuidas por normas de derecho de la Unión Europea. 

A TENER EN CUENTA. El RGPD hace referencia a las autoridades de control de cada Estado miembro, por lo que, en el marco jurídico español, se entiende aplicable a la Agencia Española de Protección de Datos. 

Funciones de la AEPD como autoridad de control

Conforme al artículo 57 del RGPD, la AEPD como autoridad de control tiene las siguientes funciones:

• Controlar la aplicación del RGPD y del resto de la normativa de protección de datos, y hacerlo aplicar.
• Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención.
• Asesorar, con arreglo al derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
• Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del RGPD.
• Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del RGPD y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros.
• Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80 del RGPD, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control. Cada autoridad de control debe facilitar la presentación de estas reclamaciones a través de medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación. 
• Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.
• Llevar a cabo investigaciones sobre la aplicación del RGPD, en particular basándose en la información recibida de otra autoridad de control u otra autoridad pública.
• Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
• Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, del RGPD y el artículo 46, apartado 2, letra d) del RGPD. 
• Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4 del RGPD.
• Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2 del RGPD, para los casos de posible vulneración del reglamento cuando se realice consulta previa por el responsable (atención al citado precepto).
• Alentar la elaboración de códigos de conducta y dictaminar y aprobar los códigos de conducta que den suficientes garantías, todo ello con arreglo al artículo 40, apartados 1 y 5, del RGPD.
• Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos y aprobar los criterios de certificación, de conformidad, respectivamente, con el artículo 42, apartados 1 y 5, del RGPD.
• Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7, del RGPD.
• Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
• Efectuar la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación con arreglo, respectivamente, a los artículos 41 y 43 del RGPD.
• Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3, del RGPD.
• Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD.
• Contribuir a las actividades del Comité.
• Llevar registros internos de las infracciones del RGPD y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, del RGPD.
• Desempeñar cualquier otra función relacionada con la protección de los datos personales.

Como recoge también el artículo 57, apartados 3 y 4, del RGPD, el desempeño de estas funciones será gratuita para el interesado o para el DPD, con posibilidad de establecer una tasa basada en los costes administrativos cuando las solicitudes fueran infundadas o excesivas (repetitivas). En este caso, la autoridad de control también se podrá negar a actuar respecto de la solicitud, siempre demostrando fehacientemente tal carácter infundado o excesivo.

Poderes de la AEPD como autoridad de control

a) Poderes de investigación de la AEPD (art. 58.1 del RGPD)

En base al art. 58.1 de la AEPD, cada autoridad de control dispondrá de estos poderes de investigación: 

• Ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones.
• Llevar a cabo investigaciones en forma de auditorías de protección de datos.
• Llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7, del RGPD.
• Notificar al responsable o al encargado del tratamiento las presuntas infracciones del RGPD.
• Obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
• Obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el derecho procesal de la Unión o de los Estados miembros.

La LOPDGDD aporta, en sus artículos 51 a 53 bis, las siguientes concreciones respecto a la potestad de investigación:

• La AEPD debe desarrollar su investigación a través de las actuaciones previstas en el título VIII de la LOPDGDD (que regula las autoridades de protección de datos), y de los planes de auditoría preventivas.
• Si se diera actuación conjunta de investigación con autoridades de control de otros Estados miembros, estas se someterán a la LOPDGDD y actuarán bajo la dirección y en presencia de la AEPD. 
• Se llevan a cabo por los funcionarios de la AEPD o por funcionarios ajenos a ella habilitados expresamente por su presidencia, recibirán el nombre de agentes de autoridad en el ejercicio de sus funciones y estarán sometidos al deber de secreto profesional, durante el ejercicio y una vez cesado en él. 
• Existe deber de colaboración por parte de las AAPP (se incluye, a este efecto, la Administración tributaria y la Seguridad Social) con la AEPD, ofreciendo datos, informes, antecedentes y justificantes necesarios para desarrollar la investigación, estando amparada la licitud de este tratamiento conforme al artículo 6, apartado 1.c) del RGPD.
• La AEPD, cuando no haya podido recabar la información por otros medios, podrá hacerlo a través de operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de información.
• Pueden realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos obtener copia de ellos, inspeccionar equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. Si en estos supuestos fuera necesario la entrada al domicilio constitucionalmente protegido del inspeccionado, será precisa la correspondiente autorización judicial. 
• El nuevo artículo 53 bis señala que las actuaciones de investigación podrán realizarse a través de sistemas digitales que, mediante la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado. Además, deben garantizar la transmisión y recepción seguras de los documentos e información que se intercambien, y, en su caso, recoger las evidencias necesarias y el resultado de las actuaciones realizadas asegurando su autoría, autenticidad e integridad.

  La utilización de estos sistemas se producirá cuando lo determine la Agencia y requerirá la conformidad del inspeccionado en relación con su uso y con la fecha y hora de su desarrollo.

Asimismo, conforme al artículo 54 de la LOPDGDD, la presidencia de la AEPD podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad, con el objetivo de analizar el cumplimiento de las disposiciones del RGPD y de la LOPDGDD, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría. Como resultado de estos planes, la AEPD podrá dictar las directrices generales o específicas para un responsable o encargado que sean precisas para asegurar la plena adaptación del sector o responsable al RGPD y a la Ley Orgánica. Estas directrices serán de obligado cumplimiento para el sector o responsable al que se refieran.

b) Poderes correctivos de la AEPD (art. 58.2 del RGPD)

La AEPD, como autoridad de control, podrá revisar el tratamiento de datos realizado por los respectivos responsables y encargados del tratamiento, en este sentido, podrá:

• Sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir el RGPD.
• Sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el RGPD.
• Ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del RGPD.
• Ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del RGPD, cuando proceda, de una determinada manera y dentro de un plazo especificado.
• Ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales.
• Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
• Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 del RGPD y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a los artículos 17, apartado 2, y 19 del RGPD.
• Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43 del RGPD, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación.
• Imponer una multa administrativa con arreglo al artículo 83 del RGPD, además o en lugar de las medidas anteriores, según las circunstancias de cada caso particular.
• Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

c) Poderes de autorización y consultivos de la AEPD (art. 58.3 del RGPD)

Respecto a la capacidad de las autoridades de control de regular y asesorar en el tratamiento de los datos, atendiendo a lo establecido en el RGPD, la AEPD deberá:

• Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36 del RGPD.
• Emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales.
• Autorizar el tratamiento a que se refiere el artículo 36, apartado 5, del RGPD, si el derecho del Estado miembro requiere tal autorización previa.
• Emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad con lo dispuesto en el artículo 40, apartado 5, del RGPD.
• Acreditar los organismos de certificación con arreglo al artículo 43 del RGPD.
• Expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42, apartado 5, del RGPD.
• Adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) el RGPD.
• Autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a), del RGPD (relativas a las transferencias de datos mediante garantías adecuadas).
• Autorizar los acuerdos administrativos contemplados en el artículo 46, apartado 3, letra b), del RGPD.
• Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD. 

En la aplicación del articulado expuesto, es interesante citar la Circular 1/2019, de 7 de marzo, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, realizada por la Agencia Española de Protección de Datos. El objeto de esta Circular es regular el tratamiento de esos datos personales al amparo del artículo 58 bis de la LOREG. «Precisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, entre las que destacan las relativas a la evaluación de impacto, la consulta previa a la AEPD o la adopción de las oportunas medidas de seguridad», expone el preámbulo de la circular.

Otras potestades de la AEPD

a) Potestades impuestas por la LOPDGDD

La LOPDGDD ha establecido otras potestades a la AEPD:

1. Potestades de regulación (art. 55 de la LOPDGDD). La presidencia de la AEPD podrá dictar disposiciones que fijen criterios en base a los que debe responder su actuación y que se denominarán «Circulares de la AEPD». El procedimiento para su elaboración se sujetará a lo expuesto en el Estatuto de la AEPD, debiendo prever los informes técnicos y jurídicos que fueran necesarios y la audiencia a los interesados. Tendrán carácter obligatorio una vez se publiquen en el BOE.

2. Acción exterior en materia de protección de datos (art. 56 de la LOPDGDD). En relación al tratamiento de datos personales derivado de la aplicación de cualquier convenio internacional del que sea parte España, la AEPD:

- Debe informar a las autoridades autonómicas de la protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia.

- Participa en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las autoridades de control independientes en materia de protección de datos.

- Participa, como autoridad española, en las organizaciones internacionales competentes en materia de protección de datos, en los comités o grupos de trabajo, de estudio y de colaboración de organizaciones internacionales que traten materias que afecten al derecho fundamental a la protección de datos personales y en otros foros o grupos de trabajo internacionales, en el marco de la acción exterior del Estado.

- Colabora con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.

b) Funciones desarrolladas por la página oficial de la AEPD

Por otro lado, la página oficial de la AEPD también desarrolla otras funciones, en concreto:

- Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente (spam).

- Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los sistemas de los proveedores de servicios de comunicaciones electrónicas que puedan afectar a datos personales.

- Cooperar con diversos organismos internacionales y de la Unión Europea en materia de protección de datos.

- Representar a España en los foros internacionales en la materia.

- Elaborar una memoria anual, que es presentada por el director de la agencia ante las Cortes.

c) Funciones de cooperación impuestas por el RGPD

En cuanto a la cooperación y coherencia con otras autoridades de control interesadas y operaciones conjuntas, a grandes rasgos, debe destacarse:

- Conforme al artículo 60 del RGPD, la autoridad de control debe cooperar con las demás autoridades de control interesadas con el fin de llegar a un consenso, pudiendo a tal efecto intercambiarse la información que consideren pertinente y la autoridad de control puede a su vez solicitar a las demás interesadas que le presente asistencia mutua y realizar operaciones conjuntas, investigaciones o supervisión de la aplicación de medidas relativas a un responsable o encargado establecido en otro Estado miembro. En los proyectos de decisión, si alguna autoridad de control interesada formula objeción, la autoridad de control principal debe someter el asunto al mecanismo de coherencia especificado en el artículo 63 del RGPD.

- Conforme al artículo 61 del RGPD, las autoridades de control se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el RGPD de manera coherente, y tomarán medidas para asegurar una efectiva cooperación entre ellas. La asistencia mutua abarcará las solicitudes de información y las medidas de control, así como las solicitudes para llevar a cabo autorizaciones y consultas previas, inspecciones e investigaciones.

- El artículo 62 del RGPD ordena que las autoridades de control deben realizar, en su caso, operaciones conjuntas, incluidas investigaciones conjuntas y medidas de ejecución conjuntas, en las que participen miembros o personal de las autoridades de control de otros Estados miembros.

d) Obligación de la AEPD de emitir el informe de actividad conforme al RGPD

Atendiendo a lo dispuesto en el art. 59 del RGPD, otra función asignada a la autoridad de control es la elaboración de un informe anual de sus actividades, que pude incluir una lista de infracciones notificadas y de tipo de medidas correctivas adoptadas de conformidad con el artículo 58, apartado 2, del RGPD. Estos informes se transmitirán al Parlamento nacional, al Gobierno y a las demás autoridades designadas en virtud del derecho de los Estados miembros, y estarán a disposición del público, de la Comisión y del Comité.

e)  Marco de Actuación de Responsabilidad Social de la AEPD

La AEPD presentó, a través de su directora, en marzo de 2019, su Marco de Actuación de Responsabilidad Social de la Agencia. Surge como respuesta a la Agenda 2030 aprobada por Naciones Unidas, que incluye 17 Objetivos de Desarrollo Sostenible (ODS) y que supone una oportunidad para los gobiernos, sociedades, empresas, organizaciones e instituciones, de emprender un nuevo camino en el que construir un mundo mejor y más justo. 

El Marco de Actuación de Responsabilidad Social es resultado del trabajo de la AEPD, la colaboración con el Pacto Mundial de Naciones Unidas y la participación de la ciudadanía y otras organizaciones, se alinea a la Agenda 2030 y plantea los compromisos internos y externos de la organización con los 17 objetivos de desarrollo. Para ello la AEPD ha identificado 100 acciones:

- 70 % relativas a compromisos con la sociedad.

- 13 % respecto a compromisos internos con los empleados y empleadas.

- 10 % relacionadas con el respeto al medio ambiente.

- 7 % que coinciden con el buen gobierno y la transparencia.