Autoridades autonómicas en materia de protección de datos en la LO 3 /2018 (LOPDGDD) y en el RGPD. Funciones.

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 12/02/2019

A nivel autonómico, encontramos las siguientes entidades que poseen personalidad jurídica propia y plena autonomía e independencia en el ejercicio de sus funciones:

- la Autoridad Catalana de Protección de Datos,

- la Agencia Vasca de Protección de Datos y

- el Consejo de Transparencia y Protección de Datos de Andalucía*.

Tal y como establece el artículo 57.1 de la LOPDGDD, las autoridades autonómicas de protección de datos de carácter personal podrán ejercer las funciones establecidas en los arts. 57 y 58 del RGPD, de acuerdo con la normativa autónomica, cuando se refieran a:

  1. Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
  2. Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
  3. Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.

Además, podrán dictar, en relación con los tratamientos sometidos a su competencia, circulares con el alcance y los efectos establecidos para la AEPD en el artículo 55 de la nueva Ley Orgánica.

En aras de la cooperación institucional, la Presidencia de la AEPD convocará (por iniciativa propia o cuando lo solicite otra autoridad) a las autoridades autonómicas de protección de datos para contribuir a la aplicación coherente del RGPD y de la  ley orgánica. En todo caso, se celebrarán reuniones semestrales de cooperación. Igualmente, la Presidencia de la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán solicitar y deberán intercambiarse mutuamente la información necesaria para el cumplimiento de sus funciones y, en particular, la relativa a la actividad del Comité Europeo de Protección de Datos. Asimismo, podrán constituir grupos de trabajo para tratar asuntos específicos de interés común (artículo 58 LOPDGDD).

 

Cuando la Presidencia de la AEPD considere que un tratamiento llevado a cabo en materias que fueran competencia de las autoridades autonómicas de protección de datos vulnera el RGPD podrá requerirlas a que adopten, en el plazo de un mes, las medidas necesarias para su cesación. Si la autoridad autonómica no atendiere en plazo el requerimiento o las medidas adoptadas no supusiesen la cesación en el tratamiento ilícito, la AEPD podrá ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa.

Se practicarán por conducto de la Agencia Española de Protección de Datos todas las comunicaciones entre el Comité Europeo de Protección de Datos y las autoridades autonómicas de protección de datos cuando éstas, como autoridades competentes, deban someter su proyecto de decisión al citado comité o le soliciten el examen de un asunto en virtud de lo establecido en los apartados 1 y 2 del artículo 64 del RGPD. En estos casos, la Agencia Española de Protección de Datos será asistida por un representante de la Autoridad autonómica en su intervención ante el Comité.

Así mismo, conforme al artículo 61 de la LOPDGDD, en el caso de Intervención en caso de tratamientos transfronterizos:

1. Las autoridades autonómicas de protección de datos ostentarán la condición de autoridad de control principal o interesada en el procedimiento establecido por el artículo 60 del Reglamento (UE) 2016/679 cuando se refiera a un tratamiento previsto en el artículo 57 de esta ley orgánica que se llevara a cabo por un responsable o encargado del tratamiento de los previstos en el artículo 56 del Reglamento (UE) 2016/679, salvo que desarrollase significativamente tratamientos de la misma naturaleza en el resto del territorio español.

2. Corresponderá en estos casos a las autoridades autonómicas intervenir en los procedimientos establecidos en el artículo 60 del Reglamento (UE) 2016/679, informando a la Agencia Española de Protección de Datos sobre su desarrollo en los supuestos en que deba aplicarse el mecanismo de coherencia.

En cuanto a la coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de Datos, el artículo 62 de la LOPDGDD establece que:

1. Se practicarán por conducto de la Agencia Española de Protección de Datos todas las comunicaciones entre el Comité Europeo de Protección de Datos y las autoridades autonómicas de protección de datos cuando estas, como autoridades principales, deban solicitar del citado Comité la emisión de una decisión vinculante según lo previsto en el artículo 65 del Reglamento (UE) 2016/679.

2. Las autoridades autonómicas de protección de datos que tengan la condición de autoridad interesada no principal en un procedimiento de los previstos en el artículo 65 del Reglamento (UE) 2016/679 informarán a la Agencia Española de Protección de Datos cuando el asunto sea remitido al Comité Europeo de Protección de Datos, facilitándole la documentación e información necesarias para su tramitación.

La Agencia Española de Protección de Datos será asistida por un representante de la autoridad autonómica interesada en su intervención ante el mencionado comité.

 

Con respecto a las Funciones que específicamente tienen definidas las autoridades autonómicas en nuestro país, actualmente son las siguientes:

- la Autoridad Catalana de Protección de Datos -> La normativa reguladora de dicha autoridad está formada por: el RGPD, la LOPDGDD, la Constitución Española, el Estatuto de Autonomía de Cataluña (art. 4.1, 15, 20, 23, 27, 28, 30, 31, 76, 78, 156, 182.3), la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos, y el Decreto 48/2003, de 20 de febrero, por el que se aprueba el Estatuto de la Agencia Catalana de Protección de Datos. En cuanto a las funciones de la Autoridad Catalana de Protección de Datos son las siguientes:

  1. Controlar y garantizar la aplicación del Reglamento General de Protección de Datos (RGPD).
  2. Promover la sensibilización y la comprensión del público respecto de los riesgos, las normas, las garantías y los derechos relacionados con el tratamiento. Las actividades dirigidas específicamente a los niños debe ser objeto de una atención especial.
  3. Asesorar, de conformidad con el derecho de los estados miembros, el parlamento nacional, el gobierno y otras instituciones y organismos, sobre las medidas legislativas y administrativas relativas a la protección de los derechos y las libertades de las personas físicas con respecto al tratamiento.
  4. Promover la sensibilización de los responsables y los encargados del tratamiento sobre las obligaciones que les corresponden en virtud de este Reglamento.
  5. Previa solicitud, facilitar información a cualquier interesado sobre el ejercicio de sus derechos, en virtud de lo que dispone este Reglamento, y si procede cooperar con las autoridades de control de otros estados miembros con esta finalidad.
  6. Tramitar las reclamaciones presentadas por un interesado o por un organismo, una organización o una asociación, de conformidad con el artículo 80 del RGPD; asimismo, investigar el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si es necesaria una nueva investigación o una coordinación más estrecha con otra autoridad de control.
  7. Cooperar con otras autoridades de control, en particular compartiendo información, y prestar asistencia mutua con la finalidad de garantizar la coherencia en la aplicación y la ejecución del RGPD.
  8. Llevar a cabo investigaciones sobre la aplicación del RGPD, en particular de acuerdo con la información recibida de otra autoridad de control o de otra autoridad pública.
  9. Hacer un seguimiento de cambios relevantes que tienen incidencia en la protección de datos personales, en particular los relativos al desarrollo de las tecnologías de la información y la comunicación y a las prácticas comerciales.
  10. Adoptar las cláusulas contractuales tipo mencionadas en el artículo 28, apartado 8, y en el artículo 46, apartado 2, letra d), del RGPD.
  11. Elaborar y mantener una lista sobre el requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4, del RGPD.
  12. Ofrecer asesoramiento sobre las operaciones de tratamiento que prevé el artículo 36, apartado 2, del RGPD.
  13. Animar la elaboración de códigos de conducta, de conformidad con el artículo 40, apartado 1, del RGPD, y dictaminar y aprobar los códigos de conducta que ofrecen garantías suficientes, de conformidad con el artículo 40, apartado 5, del RGPD.
  14. Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos, de conformidad con el artículo 42, apartado 1, del RGPD, y aprobar los criterios de certificación, de conformidad con el artículo 42, apartado 5, del RGPD.
  15. Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud de lo que dispone el artículo 42, apartado 7, del RGPD.
  16. Elaborar y publicar los criterios para acreditar los organismos de supervisión de los códigos de conducta, de conformidad con el artículo 41 del RGPD, y de los organismos de certificación, de conformidad con el artículo 43 del RGPD.
  17. Acreditar los organismos de supervisión de los códigos de conducta, de conformidad con el artículo 41 del RGPD, y los organismos de certificación, de conformidad con el artículo 43 del mismo Reglamento.
  18. Autorizar las cláusulas contractuales y las disposiciones a que se refiere el artículo 46, apartado 3, del RGPD.
  19. Aprobar normas corporativas vinculantes, de conformidad con lo que dispone el artículo 47 del RGPD.
  20. Contribuir a las actividades del Comité Europeo de Protección de Datos.
  21. Llevar registros internos de las infracciones del RGPD y de las medidas que se han adoptado, de conformidad con el artículo 58, apartado 2 del Reglamento.
  22. Llevar a cabo cualquier otra función relacionada con la protección de los datos personales.

En este sentido, la Ley 32/2010, del 1 de octubre, de la Autoridad Catalana de Protección de Datos, entre otras funciones regula las de:

  • Responder las consultas que formulan las entidades de su ámbito de actuación sobre la protección de datos de carácter personal en poder de las administraciones públicas y colaborar con estas entidades, en la difusión de las obligaciones derivadas de la legislación reguladora de estas materias.
  • Emitir el informe preceptivo sobre las disposiciones que afectan a la protección de datos de carácter personal.
  • Elaborar planes de auditoría.

- la Agencia Vasca de Protección de Datos -> cuando ejerce potestades administrativas, sujeta su actividad a la Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015 de Régimen Jurídico del Sector Público. En el resto de su actividad se somete a lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre de protección de datos personales y garantía de los derechos digitales, en la Ley 2/2004 del Parlamento Vasco y en las disposiciones de desarrollo de las mismas y en la Ley 2/1998 de potestad sancionadora de las Administraciones Públicas de la Comunidad Autónoma del País Vasco. La Agencia Vasca de Protección de Datos tiene la consideración de autoridad de control, y la ley le garantiza la plena independencia y objetividad en el ejercicio de su cometido. Las funciones de la Agencia Vasca de Protección de Datos le vienen fijadas en el artículo 17 de la Ley 2/2004. Dichas funciones son las siguientes:

  1. Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
  2. Emitir las autorizaciones previstas en las leyes y reglamentos.
  3. Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la legislación vigente en materia de protección de datos.
  4. Atender las peticiones y reclamaciones formuladas por los afectados.
  5. Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal.
  6. Requerir a los responsables y a los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a la legislación en vigor y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros cuando no se ajuste a dicha legislación, salvo en la que se refiera a transferencias internacionales de datos.
  7. Ejercer la potestad sancionadora y, en su caso, proponer la iniciación de procedimientos disciplinarios contra quienes estime responsables de las infracciones tipificadas en el artículo 22 de esta ley, así como adoptar las medidas cautelares que procedan, salvo en lo que se refiera a las transferencias internacionales de datos. Todo ello en los términos previstos en esta ley.
  8. Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta ley.
  9. Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.
  10. Velar por la publicidad de la existencia de los ficheros de datos con carácter personal, a cuyo efecto publicará anualmente una relación de dichos ficheros con la información adicional que el director de la Agencia Vasca de Protección de Datos determine.
  11. Redactar una memoria anual y remitirla a la Vicepresidencia del Gobierno Vasco.
  12. Velar por el cumplimiento de las disposiciones que la legislación sobre la función estadística pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 24.
  13. Colaborar con la Agencia de Protección de Datos del Estado y entidades similares de otras comunidades autónomas en cuantas actividades sean necesarias para una mejor protección de la seguridad de los ficheros de datos de carácter personal y de los derechos de los ciudadanos en relación con los mismos.
  14. Atender a las consultas que en materia de protección de datos de carácter personal le formulen las administraciones públicas, instituciones y corporaciones a que se refiere el artículo 2.1 de esta ley, así como otras personas físicas o jurídicas, en relación con los tratamientos de datos de carácter personal incluidos en el ámbito de aplicación de esta ley.
  15. Cuantas otras le sean atribuidas por las leyes y reglamentos.

- el Consejo de Transparencia y Protección de Datos de Andalucía * -> si bien, debido a que este Consejo aún no ha asumido materialmente la competencia ejecutiva sobre protección de datos personales, es la Agencia estatal la llamada a resolver las consultas que puedan plantearse acerca de la aplicabilidad del límite del derecho de protección de datos a las obligaciones de publicidad activa establecidas en la Ley de Transparencia Pública de Andalucía. Así pues, aunque esta Ley atribuye expresamente a la Dirección del Consejo la función de “resolver las consultas que en materia de... protección de datos le planteen las administraciones y las entidades sujetas a esta Ley” [art. 48.1 e)], a fin de evitar los problemas de inseguridad jurídica que acarrearía para los sujetos obligados que el Consejo abordase este tipo de consultas -con un resultado, quizá, no necesariamente coincidente con el que sostenga la AEPD-, se ha optado por seguir la línea directriz de ésta y, en consecuencia, dejar en suspenso el ejercicio de dicha función en tanto que el Consejo no asuma de forma efectiva la competencia ejecutiva en la materia.

 

No hay versiones para este comentario

Protección de datos
Comité europeo de protección de datos
Datos personales
Autoridad de control de datos
Estatutos de autonomía
Código de conducta
Persona física
Encargado del tratamiento
Condición de autoridad o funcionario público
Personalidad jurídica
Administración local
Cláusula contractual
Tratamiento transfronterizo
Autoridad de control principal
Jurisdicción contencioso-administrativa
Tratamiento de datos personales
Mecanismo de coherencia
Potestades administrativas
Evaluación de impacto en protección de datos
Actividades de tratamiento de datos
Mecanismo de certificación
Normas corporativas vinculantes
Potestad sancionadora
Asistencia mutua
Normas corporativas vinculantes

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)

    Orden: Administrativo Fecha última revisión: 12/02/2019

    Tal y como indica el artículo 47 de la LOPDGDD, "corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del RGPD y, en particular, ejercer las funciones establecidas en el artículo 57 y las pote...

  • Transferencias internacionales de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liec...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Códigos de conducta en materia de protección de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Los Códigos de conducta están regulados en los artículos 40 y 41 del RGPD y en el artículo 38 de la nueva LOPDGDD.Los códigos de conducta constituyen la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a par...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados