¿Has oído hablar de la Agencia española de Protección de Datos? ¿Conoces sus funciones?
No te preocupes, en este post tendrás toda la información para conocer un poco más a este organismo.
Definición
La Agencia Española de Protección de Datos (AEPD) es la autoridad de control independiente que vela por el cumplimiento de la normativa de protección de datos y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal.
Fue creada en 1993, tiene su sede en Madrid y su ámbito de actuación se extiende al conjunto de España.
Su función principal es velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
Respecto a su naturaleza la AEPD, es un ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.
Regulación
La legislación que regula su actividad se compone de:
LOPD anterior
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal regula este organismo en el Título VI. En él se refiere a la naturaleza, régimen jurídico aplicable, funciones y estructura. También se regula el Registro General de Protección de Datos, como órgano integrado en la AEPD.
Estatuto de la AEPD
A través del Real Decreto 428/1993, de 26 de marzo se aprueba el Estatuto de la Agencia Española de Protección de Datos. En esta norma se desarrolla el título VI de la LOPD.
Para asegurar la máxima eficacia en sus disposiciones, la LOPD encomienda el control de su cumplimiento y aplicación a un órgano independiente, al que atribuye el estatuto de ente de derecho público.
RGPD
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos regula, en los artículos 51 y 52, las Autoridades de Control. En España, la autoridad de control es la AEPD.
Establece la posibilidad de que existan una o varias autoridades públicas independientes para la supervisión y la aplicación del RGPD, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas. En estos supuestos de existencia de varias autoridades de control en un Estado miembro, se deberá designar la autoridad de control que representará a las demás autoridades de control del Estado miembro en el Comité, debiendo establecer un mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia.
Por otro lado, se estable el carácter de organismo independiente, estableciendo que actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes.
Nueva LOPD
La nueva LOPD, pendiente de aprobarse en España, regula también en su capítulo VI la AEPD adaptándola a lo establecido en el RGPD.
Estructura
La estructura de la AEPD se puede ver en este gráfico:
- Director
- Consejo Consultivo
- Registro General de Protección de Datos
- Inspección de Datos
- Secretaría General de la Agencia
Director
Dirige y representa a la AEPD. Su mandato es de 4 años. Ejerce sus funciones con plena independencia y objetividad, sin estar sujeto a instrucción alguna.
Es nombrado por el Gobierno mediante Real Decreto de entre quienes componen el Consejo Consultivo y a propuesta del Ministro de Justicia. Tiene la consideración de alto cargo con rango de Subsecretario.
Puede cesar por:
- expiración del mandato,
- renuncia,
- fallecimiento o
- separación acordada por el Gobierno en caso de:
- incumplimiento grave de sus obligaciones,
- incapacidad sobrevenida para el ejercicio de su función,
- incompatibilidad o
- condena por un delito doloso.
Consejo Consultivo
Es el órgano colegiado de asesoramiento del Director, siendo éste elegido de entre sus miembros. Lo componen un total de 10 miembros nombrados por un periodo de cuatro años. Lo preside el Director de la Agencia y actúa como secretaria la titular de la Secretaría General.
El Consejo Consultivo se reúne cuando lo convoca el Director y, al menos, una vez cada seis meses. Emite informe en todas las cuestiones que le someta el Director, pudiendo formular propuestas en materia de protección de datos.
Registro General de Protección de Datos
Las funciones de este Registro son:
- Gestión del Registro de Delegados de Protección de Datos.
- Promoción de la elaboración de códigos de conducta y tramitación y valoración de las solicitudes de aprobación. Registro y publicación de los códigos de conducta.
- Promoción de certificados, sellos y marcas en protección de datos.
- Elaboración de cláusulas contractuales tipo de protección de datos para transferencias internacionales y su tramitación.
- Tramitación y valoración de las solicitudes de autorización de transferencias internacionales de datos.
- Tramitación y valoración de solicitudes de aprobación de normas corporativas vinculantes para transferencias internacionales de datos.
- Elaboración de las cláusulas de encargados de tratamiento y su tramitación.
- Realización de campañas de sensibilización de protección de datos.
- Promoción de la sensibilización de los responsables y encargados del tratamiento acerca del cumplimiento del RGPD, con especial énfasis en las PYMES, las Administraciones Públicas y ONGs.
- Elaboración de materiales, recursos y herramientas de ayuda a responsables y encargados en el cumplimiento de la normativa de protección de datos.
- Atención a las consultas planteadas por responsables, encargados y delegados de protección de a través del canal INFORMA_RGPD.
- Atención a las consultas presentadas por los ciudadanos sobre ejercicio de sus derechos y presentación de reclamaciones.
- Coordinación de actividades formativas impartidas por el personal de la AEPD.
- Gestión de las quejas y sugerencias que reciba la Agencia.
Inspección de datos
Entre las competencias de este órgano están:
- La supervisión permanente del cumplimiento de la normativa en materia de protección de datos por parte de los responsables y encargados de los tratamientos, incluyendo la atención a los ciudadanos en el ejercicio de sus derechos de acceso, rectificación, oposición, supresión, oposición a decisiones automatizadas, limitación al tratamiento y portabilidad.
- Ejercicio de la potestad sancionadora.
- Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del RGPD.
Secretaría General
Sus funciones son:
- Dar soporte y apoyo al adecuado funcionamiento de las distintas unidades de la Agencia.
- Elaborar informes y propuestas.
- Ejercer la secretaría del Consejo Consultivo.
- Gestionar los asuntos de carácter general no atribuidos a otros órganos de la Agencia.
Funciones
Sus funciones completas son:
En relación con los afectados
- Atender a sus peticiones y reclamaciones.
- Información de los derechos reconocidos en la Ley.
- Promover campañas de difusión a través de los medios.
En relación con quienes tratan datos
- Emitir autorizaciones previstas en la Ley.
- Requerir medidas de corrección.
- Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
- Ejercer la potestad sancionadora.
- Recabar ayuda e información que precise.
- Autorizar las transferencias internacionales de datos.
En la elaboración de normas
- Informar los Proyectos de normas de desarrollo de la LOPD.
- Informar los Proyectos de normas que incidan en materias de protección de datos.
- Dictar Instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD.
- Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.
En materia de telecomunicaciones
- Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente.
Otras funciones
- Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD).
- Cooperación Internacional.
- Representación de España en los foros internacionales en la materia.
- Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
- Elaboración de una Memoria Anual, presentada por conducto del Ministro de Justicia a las Cortes.
La AEPD dispone de una Carta de Servicios en la que informa a los ciudadanos y usuarios sobre los servicios que tienen encomendados, sobre los derechos que les asisten en relación con aquellos y sobre los compromisos de calidad en su prestación.
Autoridades autonómicas de Protección de Datos
En España existen agencias de protección de datos de carácter autonómico en Cataluña y en el País Vasco, con un ámbito de actuación limitado a los ficheros de titularidad pública declarados por las Administraciones autonómicas y locales de sus respectivas comunidades autónomas. Los ficheros privados de estas CCAA siguen siendo competencia de la Agencia Española de Protección de Datos.
Autoridad catalana de Protección de Datos
La Autoridad Catalana de Protección de Datos es el organismo independiente que tiene por objeto garantizar, en el ámbito de las competencias de la Generalidad, los derechos a la protección de datos personales y de acceso a la información vinculada a ellos.
El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los tratamientos que llevan a cabo:
- Las instituciones públicas y Universidades catalanas.
- La Administración de la Generalidad.
- Los entes locales.
- Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
Autoridad vasca de Protección de Datos
La Agencia Vasca de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones, sobre los tratamientos de datos de carácter personal creados o gestionados, para el ejercicio de potestades de derecho público, por:
- La Administración General de la Comunidad Autónoma, los órganos forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas.
- El Parlamento Vasco.
- El Tribunal Vasco de Cuentas Públicas.
- El Consejo de Relaciones Laborales y el Consejo Económico y Social.
- El Consejo Superior de Cooperativas.
- La Comisión Arbitral.
- Las corporaciones de derecho público del País Vasco.
Principales áreas de actuación de la AEPD
El ámbito de actuación de la AEPD se extiende a todo lo relacionado con temas de protección de datos pero se centra principalmente en seis áreas específicas.
1. Internet y redes sociales
Dentro de esta materia existen una serie de recursos para ayudar a los ciudadanos y las empresas:
- Información sobre el derecho a la supresión de datos personales (derecho «al olvido»)
- Vídeos para aprender a proteger -paso a paso- tu privacidad en navegadores, redes sociales y plataformas móviles
- ¿Cómo elimino fotos y vídeos de internet?
- Guía sobre la privacidad y la seguridad en internet
- Manual para la compra segura en internet
- Guía para la protección de datos y la prevención de delitos.
2. Reclamaciones de telecomunicaciones
El sector de las telecomunicaciones es el que más denuncias recibe, tanto por contrataciones fraudulentas como por inclusión indebida en ficheros de morosos. Por eso la AEPD dedica una sección específica para establecer:
- Qué puedo reclamar y dónde dirigirme
- Cómo puedo reclamar
- Documentación necesaria ante la AEPD
3. Publicidad no deseada
En este apartado la AEPD establece unos consejos básicos para dejar de recibir publicidad no deseada:
- Inscríbete en una Lista Robinson
- Utiliza las fórmulas
- Evita dar tu consentimiento
- Retira tu consentimiento
- Ejerce tu derecho de oposición
- Ejerce tu derecho de supresión
- Desaparece de las guías telefónicas
- Dónde reclamo el acoso telefónico?
- Sistema de mediación
4. Educación y menores
Este es el sector en el que más trabajos y publicaciones ha realizado. Existen varias infografías, vídeos y guías:
- Guía para centros educativos
- Sé legal en Internet
- Enséñales a ser legales en Internet
- No te enredes en Internet
- Guíales en Internet
- Cloud en el sector educativo
- Orientaciones para centros educativos privados
- Guía de privacidad y seguridad en Internet
- Guía de menores para padres y educadores sobre el uso de las redes sociales e internet por los menores (Asociación Profesional Española de Privacidad).
- Manual de Actuación contra el ciberacoso (Red.es)
5. Videovigilancia
Sobre videovigilancia la AEPD ha publicado:
- Fichas con los requisitos para cumplir la normativa de protección de datos en videovigilancia
- Cartel de aviso de videovigilancia
- Informes jurídicos
- Guía sobre el uso de videocámaras para seguridad y otras finalidades
6. Proyectos europeos
La Agencia Española de Protección de Datos participa de los siguientes proyectos europeos:
- PANELFIT: establecer directrices que servirán como normas operativas capaces de mitigar los problemas éticos y jurídicos que plantea el desarrollo de soluciones tecnológicas, a la vez que permitirán la innovación y el crecimiento económico mediante la creación de puestos de trabajo de alta cualificación y asegurando un nivel adecuado de privacidad y ciberseguridad.
- SMOOTH: tiene como objetivo facilitar el cumplimiento del Reglamento General de Protección de Datos a las microempresas europeas.
- TIME FOR DATA: proporcionar apoyo para la capacitación de las autoridades de supervisión de protección de datos y de los Delegados de Protección de Datos (DPD) de los organismos públicos sobre las implicaciones prácticas y posibles interpretaciones del RGPD.
Preguntas frecuentes
¿Cómo actúa la Agencia de Protección de Datos (AEPD)?
La actuación de la AEPD puede ser:
- Inspección de oficio o
- por denuncia de los afectados.
En caso de determinar que se ha cometido una infracción, puede multar de acuerdo con lo establecido en la normativa de Protección de Datos.
¿Cómo puedo denunciar ante la AEPD?
Si tienes pruebas o indicios que acrediten el incumplimiento de la normativa de Protección de Datos, puedes presentar un escrito de denuncia y enviarlo por correo postal o a través de la sede electrónica de la AEPD.
En dicha denuncia deberán aportarse los siguientes datos:
- Nombre y apellidos del interesado y, en su caso, de la persona que lo represente.
- Identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
- Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
- Lugar y fecha.
- Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
- Órgano, centro o unidad administrativa a la que se dirige. (En su caso sería la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).
- Identificación de los presuntos responsables
- Acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos denunciados.
¿Qué hago ante una inspección de la AEPD?
En caso de que un inspector de la AEPD se presente en tu empresa debes proporcionarle toda la información que te solicite.
La inspección puede realizarse de oficio (como labor preventiva) o mediante denuncia de un interesado.
No se requiere ningún preaviso, el inspector puede presentarse en su oficina, en su local o revisar su página web en cualquier momento.
Las actuaciones de oficio suelen preocuparse porque la empresa cumpla con la normativa LOPD en el momento en que la inspección llega. Si hay denuncia, sí se mira desde la fecha del hecho denunciado.
Los inspectores pueden solicitar toda la información que necesiten para realizar su función inspectora, como la petición de documentos o datos para examinarlos.
También pueden inspeccionar los equipos, como los ordenadores u otros dispositivos que utilice la empresa y esta tiene el deber de colaborar en lo que le pidan, calificándose como infracción (leve, grave o muy grave) en caso contrario.
El acta que levante el inspector tendrá presunción de veracidad y exactitud, por ello es muy importante ver cómo está redactada para poder atacarla en caso de que no se esté de acuerdo con la resolución.
¿Si tengo un ataque informático tengo que comunicárselo a la AEPD?
Sí, debes notificar a la Agencia todos aquellos incidentes de seguridad que sufras en tu empresa. El RGPD establece que cualquier Responsable del tratamiento deberá notificar a la Autoridad de protección de datos competente, sin dilación indebida y de ser posible, a más tardar 72 horas después de que se haya tenido constancia, de la violación de la seguridad de los datos, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
¿Por qué motivos me pueden denunciar?
Los motivos más relevantes por los que pueden denunciarte son los siguientes:
- tratar datos personales sin el consentimiento del afectado
- revelar datos personales, por ejemplo enviando un correo electrónico sin poner copia oculta
- usar fotografías de clientes sin su autorización
- enviar publicidad sin consentimiento
- utilizar los datos personales para otra finalidad diferente para lo que fueron recogidos
- comunicar datos personales sin el conocimiento del afectado
- no tener correctos los avisos legales y de privacidad de la página web.
Modelos
Denuncia ante la AEPD
Notificación de brechas de seguridad a la AEPD
Datos de contacto de la AEPD
- Dirección: C/ Jorge Juan, 6. 28001 Madrid.
- Teléfonos: 901 100 099 – 912 663 517
- Sede electrónica: sedeagpd.gob.es/sede-electronica-web/
La AEPD dispone de una completa página web.
También tiene un canal en YouTube donde publica vídeos y tutoriales en materia de protección de datos.