Funciones y potestades de la Agencia Española de Protección de Datos (AEPD) en el RGPD y en la LOPDGDD

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 12/02/2019

Tal y como indica el artículo 47 de la LOPDGDD, "corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del RGPD y, en particular, ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 del RGPD, en la presente ley orgánica y en sus disposiciones de desarrollo.

Asimismo, corresponde a la Agencia Española de Protección de Datos el desempeño de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unión Europea".

Tal y como establece el artículo 57 del RGPD, cada Autoridad de Control tendrá, en su territorio, las siguientes Funciones:

  1. Controlar la aplicación del RGPD y del resto de la normativa de protección de datos, así como proceder a que se apliquen.
  2. Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención.
  3. Asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
  4. Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.
  5. Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros.
  6. Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80 del RGPD, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control.
  7. Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento.
  8. Llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública; i) hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
  9. Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) del RGPD.
  10. Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4 del RGPD.
  11. Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2 del RGPD.
  12. Alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5 del RGPD.
  13. Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5 del RGPD.
  14. Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7 del RGPD.
  15. Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
  16. Efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
  17. Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3 del RGPD.
  18. Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD.
  19. Contribuir a las actividades del Comité.
  20. Llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2 del RGPD.
  21. Desempeñar cualquier otra función relacionada con la protección de los datos personales.

Cada autoridad de control facilitará la presentación de las reclamaciones contempladas en la letra f), mediante medidas como un formulario de presentación de reclamaciones que pueda cumplimentarse también por medios electrónicos, sin excluir otros medios de comunicación.

El desempeño de las funciones de cada autoridad de control será gratuito para el interesado y, en su caso, para el delegado de protección de datos. Si bien cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de control podrá establecer una tasa razonable basada en los costes administrativos o negarse a actuar respecto de la solicitud. La carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de control.

 

Con respecto a los Poderes, cada autoridad de Control dispondrá de los siguientes, en base a lo dispuesto en el artículo 58 del RGPD. Además cada Estado miembro podrá establecer por ley que su autoridad de control tenga otros poderes además de los indicados:

1.- Poderes de investigación:

a) ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;

b) llevar a cabo investigaciones en forma de auditorías de protección de datos;

c) llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7;

d) notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;

e) obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;

f) obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros

La Agencia Española de Protección de Datos desarrollará su actividad de investigación a través de las actuaciones previstas en el Título VIII de la LOPDGDD y de los planes de auditoría preventivas. Estas actividades se llevarán a cabo por los funcionarios de la AEPD o por funcionarios ajenos a ella habilitados expresamente por su Presidencia. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él. (artículo 51 LOPDGDD)

Además las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarán obligados a proporcionar a la Agencia Española de Protección de Datos los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigación. Dicha comunicación estará amparado en el artículo 6.1.c) del RGPD (artículo 52 LOPDGDD).

Igualmente, la Presidencia de la Agencia Española de Protección de Datos podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad. Tendrán por objeto el análisis del cumplimiento de las disposiciones del RGPD y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría. Como resultado de estos planes, la AEPD podrá dictar las firectrices generales o específicas para un responsable o encargado que sean precisas para asegurar la plena adaptación del sector o responsable al RGPD y a la Ley Orgánica. Las directrices serán de obligado cumplimiento para el sector o responsable al que se refieran. (artículo 54 LOPDGDD)

2.- Poderes correctivos:

a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;

b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;

c) ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento;

d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;

e) ordenar al responsable del tratamiento que comunique al interesado las violaciones de la seguridad de los datos personales;

f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;

g) ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19;

h) retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación;

i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;

j) ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

3.- Poderes de autorización y consultivos:

a) asesorar al responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36;

b) emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales;

c) autorizar el tratamiento a que se refiere el artículo 36, apartado 5, si el Derecho del Estado miembro requiere tal autorización previa;

d) emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad con lo dispuesto en el artículo 40, apartado 5;

e) acreditar los organismos de certificación con arreglo al artículo 43;

f) expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42, apartado 5;

g) adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d);

h) autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a);

i) autorizar los acuerdos administrativos contemplados en el artículo 46, apartado 3, letra b);

j) aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47.

 

Igualmente, la LOPDGDD a establecido Otras potestades de la Agencia Española de Protección de Datos::

1.- Potestades de regulación. La Presidencia de la AEPD podrá dictar disposiciones que fijen cirterios a que responderá su actuación y que se denominarán "Circulares de la AEPD". Su elaboración se sujetará al procedimiento establecido en el Estatuto de la AEPD, que deberá prever los informes técnicos y jurídicos que fueran necesarios y la audiencia a los interesados. Las circulares serán obligatorias una vez publicadas en el Boletín Oficial del Estado. (artículo 55)

2.- Acción exterior. (artículo 56). Le corresponde a la AEPD la titularidad y ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos. La Agencia Española de Protección de Datos informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia. Además la AEPD:

a) Participará en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las autoridades de control independientes en materia de protección de datos.

b) Participará, como autoridad española, en las organizaciones internacionales competentes en materia de protección de datos, en los comités o grupos de trabajo, de estudio y de colaboración de organizaciones internacionales que traten materias que afecten al derecho fundamental a la protección de datos personales y en otros foros o grupos de trabajo internacionales, en el marco de la acción exterior del Estado.

c) Colaborará con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.

 

Cooperación y coherencia -> Finalmente, téngase presente que si al AEPD es la autoridad de control principal, cooperará con las demás autoridades de control interesadas, esforzándose por llegar a un consenso. En estos casos, la AEPD, como autoridad de control principal y las autoridades de control interesadas se intercambiarán toda información pertinente, pudiendo solicitar a esas otras autoridades de control interesadas que le presten asistencia mutua y pudiendo llevar a cabo operacions conjuntas, en particular para realizar investigaciones o supervisar la aplicación de medidas relativas a un responsable o encargado establecido en otro Estado miembro.

Igualmente y a fin de contribuir a la aplicación coherente del RGPD en toda la Unión, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia. Como excepción, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses (procedimiento de urgencia).

No hay versiones para este comentario

Protección de datos
Autoridad de control de datos
Encargado del tratamiento
Código de conducta
Datos personales
Actividades de investigación
Actividades de tratamiento de datos
Cláusula contractual
Funcionarios públicos
Normas corporativas vinculantes
Asistencia mutua
Normas corporativas vinculantes
Persona física
Evaluación de impacto en protección de datos
Mecanismo de certificación
Responsable del tratamiento
Delegado de protección
Tratamiento de datos personales
Agente de la autoridad
Autoridad de control interesada
Seguridad de los datos personales
Derechos fundamentales
Multa administrativa
Derecho al olvido
Autoridad de control principal
Acuerdos internacionales
Cláusulas tipo de protección de datos
Autoridad de control independiente
Comité europeo de protección de datos
Medidas provisionales
Mecanismo de coherencia
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Transferencias internacionales de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Las transferencias internacionales de datos suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (es decir, fuera de los países de la Unión Europea, más Liec...

  • Autoridades autonómicas en materia de protección de datos en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 12/02/2019

    A nivel autonómico, encontramos las siguientes entidades que poseen personalidad jurídica propia y plena autonomía e independencia en el ejercicio de sus funciones:- la Autoridad Catalana de Protección de Datos,- la Agencia Vasca de Protección d...

  • Introducción a la protección de datos

    Orden: Administrativo Fecha última revisión: 07/02/2019

    El nuevo Reglamento General de Protección de Datos de la Unión Europea (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de d...

  • Códigos de conducta en materia de protección de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 11/02/2019

    Los Códigos de conducta están regulados en los artículos 40 y 41 del RGPD y en el artículo 38 de la nueva LOPDGDD.Los códigos de conducta constituyen la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas a par...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados