¿Has oído hablar de la Agencia española de Protección de Datos? ¿Conoces sus funciones?

No te preocupes, en este post tendrás toda la información para conocer un poco más a este organismo.

Definición

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente que vela por el cumplimiento de la normativa de protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal.

Fue creada en 1993, tiene su sede en Madrid y su ámbito de actuación se extiende al conjunto de España.

Su función principal es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Respecto a su naturaleza la AEPD, es un ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.

Regulación

La legislación que regula su actividad se compone de:

LOPD anterior

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal regula este organismo en el Título VI. En él se refiere a la naturaleza, régimen jurídico aplicable, funciones y estructura. También se regula el Registro General de Protección de Datos, como órgano integrado en la AEPD.

Estatuto de la AEPD

A través del Real Decreto 428/1993, de 26 de marzo se aprueba el Estatuto de la Agencia Española de Protección de Datos. En esta norma se desarrolla el título VI de la LOPD.

Para asegurar la máxima eficacia en sus disposiciones, la LOPD encomienda el control de su cumplimiento y aplicación a un órgano independiente, al que atribuye el estatuto de ente de derecho público.

RGPD

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos regula, en los artículos 51 y 52, las Autoridades de Control. En España, la autoridad de control es la AEPD.

Establece la posibilidad de que existan una o varias autoridades públicas independientes para la supervisión y la aplicación del RGPD, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas. En estos supuestos de existencia de varias autoridades de control en un Estado miembro, se deberá designar la autoridad de control que representará a las demás autoridades de control del Estado miembro en el Comité, debiendo establecer un mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia.

Por otro lado, se estable el carácter de organismo independiente, estableciendo que actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes.

Nueva LOPD

La nueva LOPD, pendiente de aprobarse en España, regula también en su capítulo VI la AEPD adaptándola a lo establecido en el RGPD.

Estructura

La estructura de la AEPD se puede ver en este gráfico:

  • Director
  • Consejo Consultivo
  • Registro General de Protección de Datos
  • Inspección de Datos
  • Secretaría General de la Agencia

Director

Dirige y representa a la AEPD. Su mandato es de 4 años. Ejerce sus funciones con plena independencia y objetividad, sin estar sujeto a instrucción alguna.

Es nombrado por el Gobierno mediante Real Decreto de entre quienes componen el Consejo Consultivo y a propuesta del Ministro de Justicia. Tiene la consideración de alto cargo con rango de Subsecretario.

Puede cesar por:

  • expiración del mandato,
  • renuncia,
  • fallecimiento o
  • separación acordada por el Gobierno en caso de:
    • incumplimiento grave de sus obligaciones,
    • incapacidad sobrevenida para el ejercicio de su función,
    • incompatibilidad o
    • condena por un delito doloso.

Consejo Consultivo

Es el órgano colegiado de asesoramiento del Director, siendo éste elegido de entre sus miembros. Lo componen un total de 10 miembros nombrados por un periodo de cuatro años. Lo preside el Director de la Agencia y actúa como secretaria la titular de la Secretaría General.

El Consejo Consultivo se reúne cuando lo convoca el Director y, al menos, una vez cada seis meses. Emite informe en todas las cuestiones que le someta el Director, pudiendo formular propuestas en materia de protección de datos.

Registro General de Protección de Datos

Las funciones de este Registro son:

  • Gestión del Registro de Delegados de Protección de Datos.
  • Promoción de la elaboración de códigos de conducta y tramitación y valoración de las solicitudes de aprobación. Registro y publicación de los códigos de conducta.
  • Promoción de certificados, sellos y marcas en protección de datos.
  • Elaboración de cláusulas contractuales tipo de protección de datos para transferencias internacionales y su tramitación.
  • Tramitación y valoración de las solicitudes de autorización de transferencias internacionales de datos.
  • Tramitación y valoración de solicitudes de aprobación de normas corporativas vinculantes para transferencias internacionales de datos.
  • Elaboración de las cláusulas de encargados de tratamiento y su tramitación.
  • Realización de campañas de sensibilización de protección de datos.
  • Promoción de la sensibilización de los responsables y encargados del tratamiento acerca del cumplimiento del RGPD, con especial énfasis en las PYMES, las Administraciones Públicas y ONGs.
  • Elaboración de materiales, recursos y herramientas de ayuda a responsables y encargados en el cumplimiento de la normativa de protección de datos.
  • Atención a las consultas planteadas por responsables, encargados y delegados de protección de a través del canal INFORMA_RGPD.
  • Atención a las consultas presentadas por los ciudadanos sobre ejercicio de sus derechos y presentación de reclamaciones.
  • Coordinación de actividades formativas impartidas por el personal de la AEPD.
  • Gestión de las quejas y sugerencias que reciba la Agencia.

Inspección de datos

Entre las competencias de este órgano están:

  • La supervisión permanente del cumplimiento de la normativa en materia de protección de datos por parte de los responsables y encargados de los tratamientos, incluyendo la atención a los ciudadanos en el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, oposición a decisiones automatizadas, limitación al tratamiento y portabilidad.
  • Ejercicio de la potestad sancionadora.
  • Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.

Secretaría General

Sus funciones son:

  • Dar soporte y apoyo al adecuado funcionamiento de las distintas unidades de la Agencia.
  • Elaborar informes y propuestas.
  • Ejercer la secretaría del Consejo Consultivo.
  • Gestionar los asuntos de carácter general no atribuidos a otros órganos de la Agencia.

Funciones

Sus funciones completas son:

En relación con los afectados

  • Atender a sus peticiones y reclamaciones.
  • Información de los derechos reconocidos en la Ley.
  • Promover campañas de difusión a través de los medios.

En relación con quienes tratan datos

  • Emitir autorizaciones previstas en la Ley.
  • Requerir medidas de corrección.
  • Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
  • Ejercer la potestad sancionadora.
  • Recabar ayuda e información que precise.
  • Autorizar las transferencias internacionales de datos.

En la elaboración de normas

  • Informar los Proyectos de normas de desarrollo de la LOPD.
  • Informar los Proyectos de normas que incidan en materias de protección de datos.
  • Dictar Instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD.
  • Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.

En materia de telecomunicaciones

  • Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente.

Otras funciones

  • Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD).
  • Cooperación Internacional.
  • Representación de España en los foros internacionales en la materia.
  • Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
  • Elaboración de una Memoria Anual, presentada por conducto del Ministro de Justicia a las Cortes.

La AEPD dispone de una Carta de Servicios en la que informa a los ciudadanos y usuarios sobre los servicios que tienen encomendados, sobre los derechos que les asisten en relación con aquellos y sobre los compromisos de calidad en su prestación.

Autoridades autonómicas de Protección de Datos

En España existen agencias de protección de datos de carácter autonómico en Cataluña y en el País Vasco, con un ámbito de actuación limitado a los ficheros de titularidad pública declarados por las Administraciones autonómicas y locales de sus respectivas comunidades autónomas. Los ficheros privados de estas CCAA siguen siendo competencia de la Agencia Española de Protección de Datos.

Autoridad catalana de Protección de Datos

La Autoridad Catalana de Protección de Datos es el organismo independiente que tiene por objeto garantizar, en el ámbito de las competencias de la Generalidad, los derechos a la protección de datos personales y de acceso a la información vinculada a ellos.

El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los tratamientos que llevan a cabo:

  • Las instituciones públicas y Universidades catalanas.
  • La Administración de la Generalidad.
  • Los entes locales.
  • Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.

Autoridad vasca de Protección de Datos

La Agencia Vasca de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones, sobre los tratamientos de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por:

  • La Administración General de la Comunidad Autónoma, los órganos forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas.
  • El Parlamento Vasco.
  • El Tribunal Vasco de Cuentas Públicas.
  • El Consejo de Relaciones Laborales y el Consejo Económico y Social.
  • El Consejo Superior de Cooperativas.
  • La Comisión Arbitral.
  • Las corporaciones de derecho público del País Vasco.

Preguntas frecuentes

¿Cómo actúa la Agencia de Protección de Datos (AEPD)?

La actuación de la AEPD puede ser:

  • Inspección de oficio o
  • por denuncia de los afectados.

En caso de determinar que se ha cometido una infracción, puede multar de acuerdo con lo establecido en la normativa de Protección de Datos.

¿Cómo puedo denunciar ante la AEPD?

Si tienes pruebas o indicios que acrediten el incumplimiento de la normativa de Protección de Datos, puedes presentar un escrito de denuncia y enviarlo por correo postal o a través de la sede electrónica de la AEPD.

En dicha denuncia deberán aportarse los siguientes datos:

  • Nombre y apellidos del interesado y, en su caso, de la persona que lo represente.
  • Identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
  • Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
  • Lugar y fecha.
  • Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
  • Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).
  • Identificación de los presuntos responsables
  • Acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos denunciados.

¿Qué hago ante una inspección de la AEPD?

En caso de que un inspector de la AEPD se presente en tu empresa debes proporcionarle toda la información que te solicite.

La inspección puede realizarse de oficio (como labor preventiva) o mediante denuncia de un interesado.

No se requiere ningún preaviso, el inspector puede presentarse en su oficina, en su local o revisar su página web en cualquier momento.

Las actuaciones de oficio suelen preocuparse porque la empresa cumpla con la normativa LOPD en el momento en que la inspección llega. Si hay denuncia, sí se mira desde la fecha del hecho denunciado.

Los inspectores pueden solicitar toda la información que necesiten para realizar su función inspectora, como la petición de documentos o datos para examinarlos.

También pueden inspeccionar los equipos, como los ordenadores u otros dispositivos que utilice la empresa y esta tiene el deber de colaborar en lo que le pidan, calificándose como infracción (leve, grave o muy grave) en caso contrario.

El acta que levante el inspector tendrá presunción de veracidad y exactitud, por ello es muy importante ver cómo está redactada para poder atacarla en caso de que no se esté de acuerdo con la resolución.

¿Si tengo un ataque informático tengo que comunicárselo a la AEPD?

, debes notificar a la Agencia todos aquellos incidentes de seguridad que sufras en tu empresa. El RGPD establece que cualquier Responsable del tratamiento deberá notificar a la Autoridad de protección de datos competente, sin dilación indebida y de ser posible, a más tardar 72 horas después de que se haya tenido constancia, de la violación de la seguridad de los datos, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

Plantillas

Modelo de denuncia ante la AEPD

Modelo de notificación de brechas de seguridad a la AEPD

Datos de contacto de la AEPD

La AEPD dispone de una completa página web.

¿Necesitas cumplir el RGPD?

¿Qué es la Agencia Española de Protección de Datos (AEPD)?
4.7 (94%) 10 votos