La Agencia Española de Protección de Datos es la entidad pública encargada de velar por la aplicación de la ley de protección de datos vigente en España, es decir, de vigilar el cumplimiento del Reglamento General de Protección de Datos y de la LOPDGDD.
En este artículo te contaremos qué es la Agencia de Protección de Datos, la evolución histórica de la AEPD así como su régimen jurídico, y las funciones de la autoridad de control en materia de protección de datos en España.
Qué es la Agencia de Protección de Datos
La Agencia de Protección de Datos nació en el año 1994 al amparo de la LORTAD (1992), la primera ley de protección de datos en el ordenamiento jurídico español, y del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos.
Desde aquel momento la Agencia de Protección de Datos se creaba como un ente público independiente al que se encomendaba el control de la aplicación de la ley de protección de datos.
Al frente de la Agencia de Protección de Datos se sitúa un Director caracterizado igualmente por el rasgo de “absoluta independencia” y con un mandato fijo que solo podría ser recortado por un numerus clausus de causas de cesación.
También por mandato del legislador, se integraba en la Agencia de Protección de Datos un Registro General de Protección de Datos que sería el órgano de la Agencia encargado de inscribir los ficheros automatizados de titularidad tanto pública como privada.
El sistema de notificaciones de ficheros relativos a protección de datos estaría vigente hasta poco antes de la plena aplicación del Reglamento General de Protección de Datos.
Dicho sistema de notificaciones y la potestad inspectora y sancionadora de la Agencia de Protección de Datos fueron sus rasgos más conocidos a nivel popular y empresarial durante muchos años.
Ya no es necesario notificar los ficheros al Registro General de Protección de Datos de la AEPD. Desconfíe de consultoras y empresas de adaptación al RGPD que pretendan venderle este servicio.
Desde la aprobación del RGPD la Agencia Española de Protección de Datos viene realizando un diligente esfuerzo en los aspectos de concienciación y divulgación de la nueva ley de protección de datos y del cambio de modelo (el modelo proactivo de gestión de la protección de datos), llegando a participar activamente en los nuevos canales de comunicación, como puedan ser el blog y las redes sociales y promoviendo con impacto positivo su vocación de sensibilización en la materia.
El nombre de la Agencia de Protección de Datos
Hasta la reforma del artículo 37.2 de la Ley de Protección de Datos de 1999 (LOPD) operada por la Ley 62/2003, 30 diciembre, de medidas fiscales, administrativas y del orden social, el nombre oficial de la Agencia fue el de Agencia de Protección de Datos.
Durante años la Agencia Española de Protección de Datos utilizó el dominio de internet agpd.es lo que suscitó que la Agencia fuera conocida también como Agencia General de Protección de Datos, pero dicho nombre no se correspondía a una denominación oficial.
Con la plena aplicación del RGPD la Agencia Española de Protección de Datos inutilizó el dominio agpd.es y ubicó definitivamente su sitio web en el dominio aepd.es (acrónimo de Agencia Española de Protección de Datos).
Las leyes de protección de datos en España y la AEPD
Examinaremos ahora la evolución histórica de la Agencia de Protección de Datos, teniendo en cuenta cómo ha sido modificado el régimen jurídico de esta autoridad de control con las sucesivas leyes de protección de datos que se han promulgado en nuestro país.
La Agencia de Protección de Datos y la LORTAD
Como decíamos, la Agencia de Protección de Datos nace con la primera ley de protección de datos que llevaba a efecto el mandato del constituyente expresado en el artículo 18.4 de la Constitución.
Eran los primeros pasos de la autoridad de control en materia de protección de datos en España.
Los puestos de trabajo de los órganos y servicios que integraban la Agencia de Protección de Datos serían desempeñados por funcionarios de las Administraciones Públicas y por personal contratado al efecto.
Entre sus órganos más importantes, el Consejo Consultivo. De hecho, el Director de la Agencia de Protección de Datos era nombrado de entre sus miembros. Componían este Consejo Consultivo:
➡ Un Diputado, propuesto por el Congreso de los Diputados.
➡ Un Senador, propuesto por la correspondiente Cámara.
➡ Un representante de la Administración Central, designado por el Gobierno.
➡ Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias.
➡ Un miembro de la Real Academia de la Historia, propuesto por la misma.
➡ Un experto en la materia, propuesto por el Consejo Superior de Universidades.
➡ Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente.
➡ Un representante de las Comunidades Autónomas, cuya propuesta se realizará a través del procedimiento que se establezca en las disposiciones de desarrollo de esta Ley.
➡ Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente.
¿Qué funciones tenía la Agencia de Protección de Datos en la LORTAD?
La primera ley de protección de datos en España confiaba a la Agencia de Protección de datos las siguientes funciones:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación y cancelación de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
c) Dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de la presente Ley.
d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento automatizado de los datos de carácter personal.
f) Ordenar la cesación de los tratamientos de datos de carácter personal y la cancelación de los ficheros, cuando no se ajusten a las disposiciones de la presente Ley.
g) Ejercer la potestad sancionadora en los términos previstos por el título VII de la presente Ley.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros automatizados de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 45.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
El artículo 39 de la LORTAD configuraba la potestad inspectora de protección de datos, con unas facultades asimilables a la de Inspección de Tributos o de Trabajo, y teniendo los inspectores en el desempeño de sus funciones la consideración de autoridad pública.
La Agencia de Protección de Datos en la LOPD de 1999
La segunda ley de protección de datos del ordenamiento jurídico español fue la Ley Orgánica de Protección de Datos (L.O. 15/1999 o LOPD).
Esta ley dedicaba su título VI a la regulación de la Agencia de Protección de Datos.
Los órganos de la Agencia de Protección de Datos no variaban respecto a la LORTAD. Se recalcan los rasgos de independencia y objetividad del Director de la AEPD, que “no estará sujeto a instrucción alguna” y sigue teniendo la consideración de alto cargo.
El artículo 37 de la LOPD de 1999 (ley ya derogada por la LOPDGDD) configuraba las funciones de la Agencia de Protección de Datos como sigue:
a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.
c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley.
d) Atender las peticiones y reclamaciones formuladas por las personas afectadas.
e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley.
h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley.
i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
j) Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine.
k) Redactar una memoria anual y remitirla al Ministerio de Justicia.
l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales.
m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46.
n) Cuantas otras le sean atribuidas por normas legales o reglamentarias.
Como vemos, las funciones de la Agencia de Protección de Datos eran prácticamente las mismas que las establecidas en la LORTAD.
La Agencia Española de Protección de Datos en el Reglamento de desarrollo de la LOPD
El Reglamento de la LOPD (Real Decreto 1720/2007) no afecta a la configuración de la autoridad nacional de protección de datos ni a sus funciones.
El Reglamento va a recoger en su Título IX las especialidades que diferencias a los distintos procedimientos tramitados por la Agencia Española de Protección de Datos respecto de los procedimientos generales previstos en la anterior Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC de 1992).
También el RLOPD va a desarrollar los procedimientos en materia de potestad sancionadora de la Agencia Española de Protección de Datos para “recoger” las atribuciones que a la autoridad de protección de datos le confieren tanto la LSSI (Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico), como la LGT (Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones).
La Agencia Española de Protección de Datos y el RGPD
Como es obvio, el Reglamento General de Protección de Datos no contiene ninguna referencia textual concreta a la Agencia Española de Protección de Datos.
El RGPD atribuye a la autoridad de control de cada Estado miembro la supervisión del cumplimiento del Reglamento General de Protección de Datos.
El Capítulo VI del RGPD regula las características básicas de cada autoridad de control independiente a fin de que cada Estado miembro garantice la independencia, las compentencias, las funciones y los poderes de las mismas.
El Capítulo VII del RGPD contiene las normas básicas cooperación y coherencia entre autoridades de control, así como la imbricación funcional de las autoridades independientes de protección de datos con la autoridad “central” de protección de datos europea, el Comité Europeo de Protección de Datos.
Como decíamos en la introducción, es a partir de la entrada en vigor del RGPD (mayo de 2016, aplicación plena del mismo en mayo 2018) cuando vemos a la Agencia Española de Protección de Datos en un papel divulgador y concienciador de la importancia de la nueva norma en materia de protección de datos, convirtiéndose incluso en ejemplo para otras muchas organizaciones en aspectos de transparencia y de comunicación externa.
En palabras de la propia AEPD ( concretamente de la Memoria Anual de la Agencia Española de Protección de Datos correspondiente al año 2018)
“La supresión de la obligación de notificar ficheros al Registro General de Protección de Datos; la obligatoria aplicación del principio de responsabilidad proactiva; la mayor flexibilidad en el régimen de transferencias internacionales de datos; la nueva regulación de los códigos de conducta y el lanzamiento del registro de Delegados de Protección de Datos ha supuesto una transformación interna sustancial…”
La Agencia Española de Protección de Datos y la LOPDGDD
La Ley Orgánica de Protección de Datos de 2018 (L.O. 3/2018, de 5 de diciembre) dedica el Capítulo I de su Título VII (Autoridades de Protección de Datos) a la Agencia Española de Protección de Datos, si bien la propia ley de protección de datos contiene múltiples referencias textuales a la autoridad de control a lo largo de todo su articulado.
La LOPDGDD sigue configurando a la AEPD como un autoridad independiente que se relaciona con el Gobierno a través del Ministerio de Justicia
Régimen jurídico de la Agencia Española de Protección de Datos según la LOPDGDD
La Agencia Española de Protección de Datos se rige por lo dispuesto:
1) en el RGPD
2) en la LOPDGDD y
3) en las disposiciones de desarrollo de dicha ley de protección de datos
Supletoriamente, en la medida su aplicación sea compatible con el rasgo de plena independencia de la AEPD, la institución se regirá por las normas citadas en el artículo 110.1 de la Ley 40/2015.
Funciones de la Agencia Española de Protección de Datos según la LOPDGDD
El artículo 47 LOPDGDD efectúa una remisión en cuanto a funciones y potestades de la AEPD a lo dispuesto en los artículos 57 y 58 del Reglamento General de Protección de Datos.
Luego, son funciones de la AEPD las siguientes:
📌 controlar la aplicación del RGPD y hacerlo aplicar;
📌promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención;
📌 asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento;
📌 promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del Reglamento General de Protección de Datos;
📌 previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del RGPD y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros;
📌 tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80 RGPD, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control;
📌 cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento;
📌 llevar a cabo investigaciones sobre la aplicación del RGPD, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública;
📌 hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales;
📌 adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);
📌 elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4;
📌 ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2;
📌 alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5;
📌 fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5;
📌 llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7;
📌 elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
📌 efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43;
📌 autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3;
📌 aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47;
📌 contribuir a las actividades del Comité;
📌 llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2, y
📌 desempeñar cualquier otra función relacionada con la protección de los datos personales.
Además, la AEPD facilitará la presentación de reclamaciones, estableciendo un formulario de presentación que pueda cumplimentarse también por medios electrónicos.
El desempeño de las funciones de la AEPD ha de ser gratuito para interesados y, en su caso, para los Delegados de Protección de Datos.
No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la Agencia Española de Protección de Datos podrá establecer una tasa razonable basada en los costes administrativos, o negarse a actuar respecto de la solicitud.
Directores de la Agencia Española de Protección de Datos
Estos son las personas que han ostentado el alto cargo de Director o Directora de la Agencia Española de Protección de Datos desde su creación a la actualidad, con el período de su mandato:
✔ D. Juan José Martín-Casallo López (1993-1998)
✔ D. Juan Manuel Fernández López (1998-2002)
✔ D. José Luis Piñar Mañas (2002-2007)
✔ D. Artemi Rallo Lombarte (2007-2011)
✔ D. José Luis Rodríguez Álvarez (2011-2015)
✔ Dña. Mar España Martí (2015-2019)
El artículo 48 de la LOPDGDD regula la nueva estructura directiva de la Agencia Española de Protección de Datos.
Dirigirá la Agencia Española de Protección de Datos una Presidencia que ostentará su representación y dictará sus resoluciones, circulares y directrices. Y dicha Presidencia (el Presidente o Presidenta de la AEPD) estará auxiliada por un Adjunto.
Tanto la Presidencia de la Agencia Española de Protección de Datos como el Adjunto serán nombrados, para una mandato de cinco años, por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos.
La Presidencia y el Adjunto de la Agencia Española de Protección de Datos serán nombrados por el Consejo de Ministros mediante real decreto.
Otras Agencias de Protección de Datos en España
En la labor de supervisar el cumplimiento de la ley de protección de datos en España existen, junto a la Agencia Española de Protección de Datos, tres agencias autonómicas.
🔘 Autoridad Catalana de Protección de Datos
🔘 Agencia Vasca de Protección de Datos
🔘 Consejo de Transparencia y Protección de Datos de Andalucía
La LOPDGDD dedica a las Agencias autonómicas de Protección de Datos el Capítulo II del Título VII.
El ámbito funcional de dichas Agencias autonómicas, de conformidad con los artículos 57 y 58 del Reglamento 2016/679 (RGPD) y el artículo 57 de la LOPDGDD, sería el siguiente:
a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.
