Conoce Atico34 - Solicita presupuesto
GlosarioLOPDGDD & RGPD

Funciones de la AEPD (Agencia Española de Protección de Datos)

Para poder velar por el cumplimiento de la normativa de protección de datos, la Agencia Española de Protección de Datos (AEPD) tiene encomendadas una serie de funciones y competencias, pero ¿cuáles son esas funciones de la AEPD?  En este artículo repasaremos las principales funciones y potestades de la AEPD.

¿Cuáles son las funciones de la AEPD?

Para poder cumplir con su objetivo, la AEPD tiene, como decíamos, la ley la ha dotado de una serie funciones y poderes. Entre las principales funciones de la AEPD, establecidas entre los artículos 57 y 58 del RGPD y el artículo 47 de la LOPDGDD, destacamos la atención de peticiones y reclamaciones de los ciudadanos afectados por vulneraciones de protección de datos, emisión de circulares y directrices en materia de protección de datos, investigación, requerir a responsables y encargados del tratamiento la adopción de medidas para garantizar el cumplimiento de la normativa y poder sancionador.

Pero estas son solo algunas de las funciones más destacadas de la AEPD, a continuación vemos más en detalle el resto de funciones y competencias de la AEPD.

Principales funciones de la AEPD

Como autoridad de control y de acuerdo al artículo 57 del RGPD, estas son las funciones de la Agencia Española de Protección de Datos:

  • Controlar la aplicación del RGPD y la LOPDGDD.
  • Promover la sensibilización del público y la comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos personales.
  • Asesorar al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de sus datos.
  • Promover la sensibilización de responsables y encargados del tratamiento sobre sus obligaciones.
  • Facilitar información a cualquier interesado en relación con el ejercicio de sus derechos y, en su caso, cooperar a tal fin con otras autoridades de control.
  • Procesar cualquier denuncia en la Agencia de Protección de Datos recibida de interesados, organismos u organizaciones de acuerdo al artículo 80 del RGPD, e investigar el motivo de la denuncia, informando al reclamante sobre el curso y resultado de la investigación en un plazo razonable.
  • Cooperar con otras autoridades de control y prestar asistencia mutua.
  • Llevar a cabo investigaciones sobre la aplicación del RGPD, basándose en la información recibida de otra autoridad de control u otra autoridad pública.
  • Llevar un seguimiento de cambios que puedan afectar a la protección de datos personales, en concreto, en el desarrollo de las TIC y las prácticas comerciales.
  • Adoptar las cláusulas contractuales tipo AEPD a las que se refiere el artículo 28.8 y el artículo 46.2.d) del RGPD.
  • Elaborar y mantener una lista de cuándo es necesario realizar una evaluación de impacto en protección de datos.
  • Asesorar sobre las operaciones de tratamiento contempladas en el artículo 36.2 del RGPD.
  • Promover la elaboración de códigos de conducta de acuerdo al artículo 40.1, y dictaminar y aprobarlos, cuando den suficientes garantías con arreglo al artículo 40.5.
  • Fomentar la creación de mecanismos de certificación de la protección de datos, sellos y marcas, y aprobar los criterios de certificación.
  • Llevar a cabo una revisión periódica de las certificaciones expedidas.
  • Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta y de organismos de certificación.
  • Acreditar los organismos de supervisión de los códigos de conducta y de organismo de certificación.
  • Autorizar las cláusulas contractuales y disposiciones a las que se refiere el artículo 46.3 del RGPD.
  • Aprobar normas corporativas vinculantes.
  • Contribuir a las actividades del Comité.
  • Llevar registros internos de las infracciones del RGPD y de las medidas adoptadas.
  • Desempeñar cualquier otra función relacionada con la protección de datos personales.

El desempeño de estas funciones, tal y como establece el RGPD, será gratuito para los interesados (es decir, para las personas), así como para los Delegados de Protección de Datos, si bien, la AEPD podrá establecer una tasa basada en los costes administrativos cuando las solicitudes o reclamaciones que reciba sean infundadas o excesivas (en el sentido de repetitivas), en cuyo caso, además, podrá negarse a atenderlas. En estos dos supuestos, será necesario que la propia AEPD demuestre y justifique el carácter infundado o excesivo de las solicitudes o reclamaciones.

Poderes de la AEPD

Como decíamos, aparte de las citadas funciones, la Agencia de Protección de Datos tiene también asignados una serie de poderes, establecidos en el artículo 58 del RGPD:

  • De investigación (art. 58.1):
    • Ordenar al responsable y al encargado del tratamiento que faciliten cualquier información que requiera para el desempeño de sus funciones.
    • Llevar a cabo investigaciones en forma de auditoría de protección de datos.
    • Revisar las certificaciones expedidas en virtud del artículo 42.7 del RGPD.
    • Notificar a responsables y encargados del tratamiento de las presuntas infracciones de la normativa.
    • Obtener de responsables y encargados del tratamiento acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
    • Obtener acceso a todos los locales del responsable o encargado del tratamiento, incluidos los equipos y medios de tratamiento de datos, con conformidad al Derecho procesal de la UE o de los Estados miembros.
    • Además, la presidencia de la AEPD podrá acordar la realización de planes de auditoría preventiva para los tratamientos de sectores concretos de actividad, para comprobar el cumplimiento del RGPD y la LOPDGDD. El resultado de estos planes de auditoría podrá dar lugar a directrices generales o específicas de la AEPD para la adaptación de ese sector a la normativa, directrices que serán de obligado cumplimiento. Estos planes de auditoría pueden realizarse sobre el sector completo o sobre un responsable o responsables concretos de ese sector.
  • Correctivos (art. 58.2):
    • Sancionar a responsables o encargados del tratamiento con una advertencia, cuando las operaciones de tratamiento previstas puedan infringir la normativa.
    • Sancionar a responsables o encargados del tratamiento con apercibimiento, cuando las operaciones de tratamiento hayan infringido lo dispuesto en la normativa.
    • Ordenador al responsable o el encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado.
    • Ordenador a responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones de la normativa. Y si, procede, que lo hagan de una forma determinada y dentro de un plazo específico.
    • Ordenar al responsable del tratamiento que comunique a los interesados una brecha de seguridad sufrida.
    • Limitar temporal o definitivamente o prohibir un tratamiento de datos.
    • Ordenar la rectificación, supresión o limitación de tratamiento de datos personales y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado los datos.
    • Retirar una certificación u ordenador al organismo certificador que la retire.
    • Imponer sanciones de la AEPD (multas administrativas) con arreglo al artículo 83 del RGPD.
    • Ordenador la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
  • De autorización y consultivos (58.3):
    • Asesorar al responsable del tratamiento conforme al procedimiento de consulta previa.
    • Emitir dictámenes, por iniciativa propia o a petición, destinados al Parlamento, al Gobierno, a otras instituciones y organismos y al público, en materia de protección de datos.
    • Autorizar el tratamiento de datos de un responsable en el ejercicio de una misión realizada en interés público, en particular el tratamiento en relación con la protección social y la salud pública.
    • Emitir dictamen y aprobar proyectos de códigos de conducta.
    • Acreditar los organismos de certificación.
    • Expedir certificaciones y aprobar criterios de certificación.
    • Adoptar las cláusulas tipo de protección de datos de los artículos 28.8 y 46.2.d).
    • Autorizar las cláusulas contractuales indicadas en el artículo 46.3.a).
    • Autorizar los acuerdos administrativos contemplados en el artículo 46.3.b).
    • Aprobar normas corporativas vinculantes.

Otras funciones de la AEPD

Aparte de las funciones y poderes vistos en puntos anteriores, la AEPD también realiza las siguientes funciones:

  • Tutelar los derechos y garantías de las personas abonadas y usuarias en el ámbito de las comunicaciones electrónicas, incluidas las comunicaciones comerciales no solicitadas a través de correo electrónico (spam).
  • Recibir notificaciones de incidentes de seguridad en los sistemas de los proveedores de servicios de comunicaciones electrónicas, que puedan afectar a datos personales.
  • Cooperación con diversos organismos internacionales y con los órganos de la UE en materia de protección de datos.
  • Representación de España en foros internacionales.
  • Elaboración de la Memoria Anual de la Agencia, que se presenta ante las Cortes; se trata de un informe anual en el que se recogen todas las actividades desarrolladas por la AEPD, que puede incluir una lista de infracciones notificadas y medidas correctivas adoptadas.

Cómo veis, la lista de funciones de la AEPD es extensa, ya que, cómo decíamos al principio, es el organismo independiente y de control encargado de velar por el cumplimiento de la normativa de protección de datos en España.