650 - ¿Cuáles son las funciones de las diferentes autoridades autonómicas de protección de datos?

Son tres la autoridades de control autonómicas de protección de datos:

• Autoridad Catalana de Protección de Datos (APDCAT).
• Agencia Vasca de Protección de Datos (AVPD).
• Consejo de Transparencia y Protección de Datos de Andalucía (CTPD).

Autoridad Catalana de Protección de Datos (APDCAT)

La Autoridad Catalana de Protección de Datos, anteriormente llamada Agencia Catalana de Protección de Datos, es un ente de derecho público y un organismo oficial de la Generalidad de Cataluña que responde directamente ante el Parlamento de Cataluña. Se trata de un organismo independiente que vela por garantizar, dentro de las competencias de la Generalitat, los derechos a la protección de datos personales y de acceso a la información que está vinculada.

La normativa reguladora de esta autoridad es:

• Estatuto de Autonomía de Cataluña (artículos 4.1, 15, 20, 23, 27, 28, 30, 31, 76, 78, 156, 182.3).
• Decreto 48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos.
• Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.
• Ley Orgánica 3/2018, de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (LOPDGDD).

CUESTIONES

1. ¿Cuáles son las funciones de la APDCAT?

Sin perjuicio de las funciones y poderes que le son propios al amparo de los artículos 57 y 58 del RGPD, la APDCAT debe informar sobre los derechos en materia de protección de datos, cómo se ejercen y hacerlos valer en caso de que no se respeten, y asesora sobre las obligaciones que prevé la legislación controlando que las entidades las cumplan. Así mismo, la Ley 32/2010, del 1 de octubre, de la Autoridad Catalana de Protección de Datos, entre otras funciones regula las de:

- Responder las consultas que formulan las entidades de su ámbito de actuación sobre la protección de datos de carácter personal en poder de las Administraciones públicas y colaborar con estas entidades, en la difusión de las obligaciones derivadas de la legislación reguladora de estas materias.

- Emitir el informe preceptivo sobre las disposiciones que afectan a la protección de datos de carácter personal.

- Elaborar planes de auditoría.

2. ¿Cuál es el ámbito de actuación de la APDCAT?

El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:

- Instituciones públicas.

- Administraciones de la Generalitat.

- Entes locales.

- Entidades autónomas, consorcios y otras entidades de derecho público vinculadas a la Administración de la Generalitat o a los entes locales, o que dependen de ella.

- Las entidades de derecho privado que cumplen, como mínimo, uno de estos tres requisitos con relación a la Generalitat, a los entes locales o a los entes que dependen:

• Su capital pertenece mayoritariamente a los referidos entes públicos.

• Sus ingresos presupuestarios provienen mayoritariamente de los anteriores entes públicos.

• En sus órganos directivos, los miembros designados por estos entes públicos son mayoría.

- Las otras entidades de derecho privado que prestan servicios públicos por medio de cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de estos servicios.

- Las universidades públicas y privadas, y entes dependientes de estas, que integran el sistema universitario catalán.

- Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalitat o de los entes locales, si se trata de ficheros o tratamientos destinados a ejercer estas funciones y el tratamiento se lleva a cabo en Cataluña.

- Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña.

3. ¿Cuál es la estructura de la APDCAT?

La APDCAT organiza sus funciones a través de los siguientes órganos:

- Consejo Asesor: órgano de asesoramiento y participación de la APDCAT.

- Dirección: dirige y representa la institución y ejerce las funciones con plena independencia y objetividad sin sujeción a ningún otro mandato imperativo ni instrucción. El/la director/a dicta las resoluciones y las instrucciones y aprueba las recomendaciones y dictámenes necesarios. 

- Secretaría General de la APDCAT:

• Gestiona los medios personales y materiales adscritos a la APDCAT.

• Gestiona y administra los presupuestos de la APDCAT.

• Controla el inventario de bienes y derechos que conforman el patrimonio de la APDCAT.

• Constituye y actualiza un fondo documental en materia de protección de datos personales.

• Elabora una memoria anual.

• Organiza conferencias, seminarios y otras actividades sobre protección de datos personales.

• Gestiona los sistemas de información mecanizados de la APDCAT. 

- Asesoría jurídica, emite informes sobre:

• Anteproyectos de ley, proyectos de disposiciones que elabore el Gobierno en virtud de delegación legislativa y proyectos de disposiciones de carácter general que afecten a la protección de datos personales.

• Instrucciones y recomendaciones para adecuar los tratamientos de datos a los principios de la legislación vigente en materia de protección de datos.

• El ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

• Consultas o peticiones dirigidas a la APDCAT.

• Reclamaciones o quejas formuladas a la APDCAT.

• Cualquier asesoramiento jurídico necesario para las actuaciones de la autoridad. 

- Área de Inspección y Técnica. Desempeña las potestades de inspección que se atribuyen a la APDCAT, en concreto:

• Examina los soportes de información que contienen datos personales, los equipos físicos y lógicos, los sistemas de transmisión y acceso a los datos.

• Realiza auditorías de los sistemas informáticos.

• Solicita la presentación o el envío de documentos y de datos.

• Instruye los expedientes sancionadores.

- Coordinación de Tecnología y Seguridad de la Información:

• Asesora estratégicamente a la Dirección de la APDCAT en aspectos tecnológicos, y analiza el impacto de las tecnologías emergentes en la privacidad.

• Ejerce la dirección de las tecnologías de la información y la comunicación de la APDCAT, y de responsable de seguridad corporativo.

• Dirige y coordina el asesoramiento y apoyo a todas las áreas en materia de tecnologías y seguridad de la información, según las necesidades y especificidades de cada área.

• Realiza la evaluación de impacto de riesgos de la APDCAT y la propuesta de acciones de soluciones multidisciplinares.

• Dirige y coordina el asesoramiento y apoyo a la Área de inspección en el ámbito de la seguridad de la información y los planes de auditorías preventivas.

- Delegado de protección de datos: punto de contacto de las personas interesada en ejercer los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento u otra cuestión relacionada con ello. 

Fuente para la respuesta a las tres cuestiones: página web de la Autoridad Catalana de Protección de Datos y Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos.

Agencia Vasca de Protección de Datos —Datuak Babesteko Euskal Bulegoa— (AVPD)

Se trata de un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones y que tiene como cometido la aplicación y vigilancia del cumplimiento de la LOPDGDD por lo que se refiere al tratamiento de los datos de carácter personal contenidos en ficheros de titularidad pública creados y mantenidos por los organismos autonómicos, forales y locales de la Comunidad Autónoma del País Vasco.

La normativa reguladora de esta AVPD es:

• Si ejerce potestades administrativas, estará sujeta su actividad a la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas y a la Ley 40/2015 de Régimen Jurídico del Sector Público.
• En  materia de adquisiciones patrimoniales y contratación, la AVPD está sujeta a derecho público. Sus bienes y derechos pertenecen al patrimonio de la Comunidad Autónoma del País Vasco. 
• Ley 2/1998, de 20 de febrero, de la potestad sancionadora de las Administraciones Públicas de la Comunidad Autónoma del País Vasco.
• Ley 2/2004 del Parlamento Vasco, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos.
• Resolución de 28 de noviembre de 2005 del Director de la Agencia Vasca de Protección de Datos por la que se desarrolla la estructura orgánica de la Agencia Vasca de Protección de Datos.
• Decreto 308/2005, de 18 de octubre, por el que se desarrolla la Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos.
• Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos. 
• Resolución de 17 de junio de 2013 de modificación de la estructura orgánica.
• Resolución de 1 de febrero de 2015, del Director de la Agencia Vasca de Protección de Datos, por la que se fija el sistema objetivo de turno para la designación de instructor en los procedimientos de infracción o sancionadores que tramite la AVPD.
• Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).

CUESTIONES

1. ¿Cuál es el ámbito de aplicación de la AVPD?

Conforme al artículo 2 de la Ley 2/2004, de 25 de febrero, esta norma reguladora de la AVPD es aplicable a la regulación los ficheros de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por:

- La Administración General de la comunidad autónoma, los órganos forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público.

- El Parlamento Vasco.

- El Tribunal Vasco de Cuentas Públicas.

- El Ararteko.

- El Consejo de Relaciones Laborales.

- El Consejo Económico y Social.

- El Consejo Superior de Cooperativas.

- La Agencia Vasca de Protección de Datos.

- La comisión arbitral.

- Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco.

- Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por la Ley del Parlamento Vasco, salvo que esta disponga lo contrario.

2. ¿Cuáles son las funciones de la AVPD?

El artículo 17 de la Ley 2/2004, de 25 de febrero, recoge las siguientes funciones, sin perjuicio de las que se reconocen en los artículos 57 y 58 del RGPD:

- Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. 

- Emitir las autorizaciones previstas en las leyes y reglamentos.

- Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la legislación vigente en materia de protección de datos.

- Atender las peticiones y reclamaciones formuladas por los afectados. 

- Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal. 

- Requerir a los responsables y a los encargados de los tratamientos, previa audiencia de estos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a la legislación en vigor y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros cuando no se ajuste a dicha legislación, salvo en la que se refiera a transferencias internacionales de datos. 

- Ejercer la potestad sancionadora y, en su caso, proponer la iniciación de procedimientos disciplinarios contra quienes estime responsables de las infracciones tipificadas en el artículo 22 de la Ley 2/2004, de 25 de febrero, así como adoptar las medidas cautelares que procedan, salvo en lo que se refiera a las transferencias internacionales de datos, todo ello en los términos previstos en esta ley. 

- Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen la Ley 2/2004, de 25 de febrero.

- Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones. 

- Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará anualmente una relación de dichos ficheros con la información adicional que el director de la AVPD determine.

- Redactar una memoria anual y remitirla a la vicepresidencia del Gobierno Vasco.

- Velar por el cumplimiento de las disposiciones que la legislación sobre la función estadística pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 24 de la Ley 2/2004, de 25 de febrero.

- Colaborar con la AEPD y entidades similares de otras comunidades autónomas en cuantas actividades sean necesarias para una mejor protección de la seguridad de los ficheros de datos de carácter personal y de los derechos de los ciudadanos en relación con los mismos. 

- Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2, apartado 1, de la Ley 2/2004, de 25 de febrero, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de la referida ley.

- Cuantas otras le sean atribuidas por las leyes y reglamentos.

3. ¿Cuál es la estructura de la AVPD?

La AVPD organiza sus funciones a través de los siguientes órganos:

- Órgano unipersonal: director/a. De este órgano son jerárquicamente dependientes:

• Registro y Auditoría de ficheros de datos de carácter personal: unidad administrativa de la AVPD a la que se adscribe el Registro de Protección de Datos que prevé el artículo 18 de la Ley 2/2004, de 25 de febrero. Entre sus funciones está la de promover la publicidad de la existencia de ficheros de datos de carácter personal que se encuentren en el ámbito de aplicación de la referida ley e inspeccionar y coordinar la red de colaboradores y colaboradoras en materia de protección de datos, así como hacer seguimiento del Plan de Sistemas de la propia Agencia y realizar estudios relacionados con las nuevas tecnologías.

• Asesoría Jurídica e Inspección: le corresponde la inspección, impulso e instrucción de los procedimientos derivados de las reclamaciones que formulen las personas para la tutela de sus derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, así como del derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles. También ha de instruir los procedimientos sancionadores seguidos contra las AAPP e instituciones vascas y sus encargados del tratamiento, la elaboración de informes, la respuesta a consultas y el asesoramiento jurídico interno de la AVPD.

• Secretaría General: se encarga de la gestión de RRHH y materiales, la gestión económica-administrativa, así como otras funciones relacionadas con la información general, formación y documentación, y de funciones de apoyo y ejecución o instrumentales para el resto de la AVPD.

- Órgano colegiado: Consejo Consultivo, cuya función es asesor al/ a la director/a.

Fuente: Página Web de la AVPD.

Consejo de Transparencia y Protección de Datos de Andalucía (CTPD)

Este organismo fue creado por el artículo 43 de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía. Se define como la autoridad independiente de control en materia de transparencia y protección de datos en la Comunidad Autónoma de Andalucía. Tiene la consideración de administración institucional, lo que significa que posee personalidad jurídica propia y plena autonomía e independencia en el ejercicio de sus funciones.

La normativa que rige el CTPD es:

• Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.
• Estatuto de Autonomía de Andalucía.
• Decreto 434/2015, de 29 de septiembre, que aprueba los Estatutos del CTPD.
• Acuerdo de 11 de septiembre de 2018, del Consejo de Gobierno, por el que se determina la asunción de las funciones en materia de protección de datos por el Consejo de la Transparencia y Protección de Datos de Andalucía.
• Orden de 1 de agosto de 2019, por la que se determina el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de la Transparencia y Protección de Datos de Andalucía.
• Ley Orgánica 3/2018, de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (LOPDGDD).
• Decreto 116/2021, de 2 de marzo, por el que se nombra al Director del Consejo de Transparencia y Protección de Datos de Andalucía.

CUESTIONES

1. ¿Qué objetivo tiene el CTPD?

Como se puede concluir de su definición, la finalidad del CTPD es velar por el cumplimiento de la normativa de transparencia pública, tanto en lo que se refiere a publicidad activa como a la defensa y salvaguarda del derecho de acceso a la información pública, y por el cumplimiento de la normativa de protección de datos en el ámbito de sus competencias.

2. ¿Cuál es el ámbito de actuación del CTPD?

El ámbito de actuación del CTPD comprende los tratamientos que llevan a cabo:

- El Parlamento de Andalucía, Defensor del Pueblo Andaluz y Cámara de Cuentas de Andalucía, en lo que afecta al ejercicio de sus funciones de carácter administrativo. 

- La Administración de la Junta de Andalucía y sus entidades instrumentales, públicas y privadas. 

- Las entidades locales andaluzas y sus entidades instrumentales, públicas y privadas.

- Las universidades públicas andaluzas y sus entidades dependientes.

- Las corporaciones de derecho público andaluzas y entidades asimilables, en lo relativo a sus actividades sujetas al derecho administrativo (colegios profesionales, cámaras de comercio, industria y navegación, federaciones deportivas, etc.). 

- Los sujetos y las entidades privados prestadores de servicios públicos o que ejerzan funciones delegadas de control u otro tipo de funciones administrativas (conciertos sanitarios, por ejemplo).  

- Los beneficiarios de subvenciones públicas y contratistas públicos.  

- Los partidos políticos, sindicatos, organizaciones empresariales, asociaciones, confesiones religiosas y otras entidades que perciban cierta cantidad de ayudas o subvenciones públicas.

3. ¿Cómo se estructura el CTPD?

El CTPD organiza sus funciones a través de los siguientes órganos:

- Órgano unipersonal: la dirección.

- Órgano colegiado de participación y consulta en materia de transparencia y protección de datos: la Comisión Consultiva de la Transparencia y la Protección de Datos que desarrolla las siguientes funciones:

• Asesorar a la dirección en el ejercicio de sus funciones.

• Formular propuestas a la dirección en el ámbito de las competencias del Consejo, especialmente en la elaboración de recomendaciones y directrices en las materias propias del Consejo. 

• Ser oída en el procedimiento sobre la separación de la persona titular de la dirección en los supuestos del artículo 47.4 c) de la Ley 1/2014, de 24 de junio (cese de la dirección del CTPD por separación acordada por el Consejo de Gobierno), así como de sus miembros.

• Informar, con carácter preceptivo, los anteproyectos de leyes y proyectos de disposiciones generales sobre las materias competencia del Consejo.

• Analizar la propuesta de informe anual con carácter previo a su remisión al Parlamento de Andalucía.

• Otras que les sean atribuidas por la dirección.

4. ¿Cuáles son las funciones del CTPD?

El CTPD realiza las siguientes funciones específicas:

- Controlar el cumplimiento de las obligaciones de publicidad activa. 

- Resolver las reclamaciones frente a las resoluciones de procedimientos de acceso a la información pública. 

- Adoptar criterios de interpretación uniforme de las obligaciones contenidas en la Ley 1/2014, de 24 de junio.  

- Resolver las consultas que en materia de transparencia o protección de datos le planteen las administraciones y entidades sujetas a la Ley 1/2014, de 24 de junio. 

- Instar la incoación de expedientes disciplinarios o sancionadores de acuerdo con las previsiones del título VI de la Ley 1/2014, de 24 de junio.  

- Velar por el cumplimiento de la normativa de protección de datos respecto a los ficheros de titularidad pública. 

- Informar los proyectos normativos relacionados con la transparencia.

Fuente para la resolución de estas cuestiones: página Web del CTPD.