01 Agencia Española de Protección de datos: la Institución

El régimen jurídico de la AEPD queda completado con el Reglamento UE 2016/679, con la

futura Ley Orgánica de Protección de datos, las disposiciones que se dicten en su
desarrollo; supletoriamente es de aplicación el artículo 110.1 de la Ley 40/2015, de Régimen
Jurídico del Sector Público:
Artículo 110
Régimen jurídico
1.Las autoridades administrativas independientes se regirán por su Ley de creación,
sus estatutos y la legislación especial de los sectores económicos sometidos a su
supervisión y, supletoriamente y en cuanto sea compatible con su naturaleza y autonomía,
por lo dispuesto en esta Ley, en particular lo dispuesto para organismos autónomos, la Ley
del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 47/2003,
de 26 de noviembre, el Real Decreto Legislativo 3/2011, de 14 de noviembre, la Ley
33/2003, de 3 de noviembre, así como el resto de las normas de derecho administrativo
general y especial que le sea de aplicación. En defecto de norma administrativa, se
aplicará el derecho común.
2.Las autoridades administrativas independientes estarán sujetas al principio de
sostenibilidad financiera de acuerdo con lo previsto en la Ley Orgánica 2/2012, de 27 de
abril.
Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015,
será “Agencia Española de Protección de Datos, Autoridad Administrativa Independiente” y se
relaciona con el Gobierno a través del Ministerio de Justicia.
El Gobierno aprobará el Estatuto de la AEPD mediante decreto.
Entre sus facultades la Agencia cuenta con la de elaboración y aprobación de su propio
presupuesto, el cual debe remitirse al Gobierno para ser integrado (independientemente) en los
Presupuestos Generales del Estado.
Por lo tanto, para el cumplimiento de sus fines contará con las asignaciones que se hayan
establecido con cargo a los Presupuestos Generales del Estado, los bienes y valores que
constituyen su patrimonio y los ingresos, ordinarios y extraordinarios, derivados del ejercicio de
sus actividades. Así mismo, contará con aquéllos que se deriven del ejercicio de las potestades
que el artículo 58 del RGPD establecen:
Artículo 58
Poderes
1.Cada autoridad de control dispondrá de todos los poderes de investigación indicados a
continuación: (…)
2.Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación: (…)
3.Cada autoridad de control dispondrá de todos los poderes de autorización y consultivos
indicados a continuación: (…)
El personal que integra la AEPD, tanto funcionario como laboral, se regirá por lo previsto
en el Real Decreto Legislativo 5/2015, Texto Refundido del Estatuto Básico del Empleado
Público y demás normativa reguladora de los funcionarios públicos y por la normativa laboral.
La AEPD cuenta en su cúspide con un Presidente a quien corresponde su dirección y
representación. Entre sus funciones se encuentra la de dictar resoluciones, circulares, … Es
plenamente independiente en el ejercicio de sus funciones, las cuales realizará con objetividad y
sin estar sujeto a instrucción alguna.
Su nombramiento es propuesto por el Ministerio de Justicia y se lleva a cabo por el
Gobierno. Su elección se realiza entre profesionales de reconocida competencia, con
conocimientos y experiencia acreditada para el desempeño de las funciones.
El mandato del Presidente se prolonga por cinco años, pudiendo ser renovado por otro período de
igual duración. Su cese se producirá por decisión propia o separación acordada por el Gobierno,
incumplimiento grave de obligaciones, incapacidad sobrevenida, condena por delito doloso, …
El Consejo Consultivo de la Agencia es el órgano colegiado de asesoramiento al
Presidente. Se compone por:
a.Un Diputado, propuesto por el Congreso de los Diputados.
b.Un Senador, propuesto por el Senado.
c.Un representante designado por el Consejo General del Poder Judicial.
d.Un representante de la Administración General del Estado, propuesto por el Ministro
de Justicia.
e.Un representante de cada Comunidad Autónoma que haya creado una Autoridad de
protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la
respectiva Comunidad Autónoma.
f.Un representante de la Administración Local, propuesto por la Federación Española
de Municipios y Provincias.
g.Un representante de los usuarios y consumidores, propuesto por el Consejo de
Consumidores y Usuarios.
h.Un representante de las entidades responsables y encargadas de los tratamientos,
propuesto por las Organizaciones Empresariales.
i.Un representante de los profesionales de la protección de datos, propuesto por el Ministro
de Justicia.
j.Un representante de los organismos o entidades de supervisión y resolución
extrajudicial de conflictos previstos en el Capítulo IV del Título V, propuesto por el Ministro
de Justicia.
k.Un experto en la materia, propuesto por el Consejo de Universidades.
La Intervención General de la Administración del Estado tendrá atribuida la gestión económica-
financiera de la AEPD, sin perjuicio de las competencias que correspondan al Tribunal de
Cuentas. Ver imagen
Potestades de la AEPD
INVESTIGACIÓN.- La actividad de investigación se desarrolla por la AEPD a través de los
procedimientos que el proyecto de Ley orgánica establece en su Título VIII, además de a
través de los planes de auditoría preventivas. Ver imagen
Existe un deber genérico sobre todas las Administraciones de colaboración; de esta forma, se
encuentran obligadas a proporcionar a la Agencia cuantos datos, justificantes, declaraciones y
antecedentes sean necesarios para el desempeño de su actividad de investigación.
Cuando la información contenga datos de carácter personal entrará en juego el artículo 6.1.c) del
RGPD:
Artículo 6
Licitud del tratamiento.
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
c. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al
responsable del tratamiento
El proyecto de Ley Orgánica confiere a la Agencia la prerrogativa de recabar de las
Administraciones Públicas informaciones y datos imprescindibles de los presuntos responsables
de conductas que pudieran suponer infracciones del Reglamento cuando no haya podido realizar
la identificación por otros medios en la fase de actuaciones previas de investigación.
No obstante, esta facultad queda limitada respecto de las informaciones suministradas por la
Seguridad Social o por la Administración Tributaria, pues se limitará a la necesaria para concluir la
identificación inequívoca de aquél frente a quien se han de dirigir las actuaciones de investigación
en los supuestos de entramados societarios que impidan el conocimiento directo del presunto
responsable de las conductas contrarias a la normativa vigente.
Si aun así resulta imposible identificar al presunto infractor, la Agencia podrá recabar de
los operadores que presten servicios de comunicaciones electrónicas disponibles al público
y de los prestadores de servicios de la sociedad de información los datos de que dispongan y que
resulten imprescindibles para esta identificación. Así, los datos que se podrán recabar por este
método serán:
a. Cuando la conducta se hubiera realizado mediante la utilización de un servicio de
telefonía fija o móvil:
1. El número de teléfono de origen de la llamada en caso de que el mismo se hubiese
ocultado.
2. que corresponda ese número de teléfono.
3. El nombre, número de documento identificativo y dirección del abonado o usuario
registrado a la mera confirmación de que se ha realizado una llamada específica
entre dos números en una determinada fecha y hora.
b. Cuando la conducta se hubiera realizado mediante la utilización de un servicio de la
sociedad de la información:
1. La identificación de la dirección de protocolo de Internet desde que se hubiera
llevado a cabo la conducta y la fecha y hora de su realización.
2. Si la conducta se hubiese llevado a cabo mediante correo electrónico, la
identificación de la dirección de protocolo de Internet desde la que se creó la cuenta
de correo y la fecha y hora en que la misma fue creada.
3. El nombre, número de documento identificativo y dirección del abonado o del
usuario registrado al que se le hubiera asignado la dirección de Protocolo de
Internet a la que se refieren los dos párrafos anteriores.
Para la cesión de estos datos se demanda requerimiento previo motivado de la AEPD, en el marco
de las actuaciones de investigación que se inicien a consecuencia de denuncia del afectado en
relación a la conducta de una persona jurídica o respecto de la utilización de sistemas que
permitan la divulgación de datos sin restricciones de datos personales.
En el resto de supuestos debe mediar autorización judicial.
¿Qué alcance tienen las inspecciones de la Agencia? En el uso de sus facultades, los inspectores
de la misma podrán:
• Recabar informaciones para el cumplimiento de las mismas.
• Realizar inspecciones.
• Requerir la exhibición o el envió de datos o documentos necesarios.
• Examen de los mismos en el lugar donde se hallen depositados o donde se lleven a cabo
los tratamientos.
• Obtención de copias de éstos.
• Inspección de equipos físicos y lógicos.
• Requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte
de tratamiento investigados.
En aquellos supuestos en los que la inspección requiera de la entrada en domicilio habrá de
realizarse conforme con las normas procesales.
Las investigaciones que recaigan sobre órganos u Oficinas Judiciales se realizarán a través y por
mediación del Consejo General del Poder Judicial.
Planes de Auditoría Previa
Su realización se lleva a cabo previo acuerdo del Presidente de la Agencia y se
circunscribirán a los tratamientos de un sector concreto de actividad.
Objetivo de los mismos es analizar el cumplimiento del Reglamento europeo y de la Ley Orgánica.
De los planes de auditoría resultarán directrices, generales o específicas para un concreto
responsable o encargado de los tratamientos, dictadas por el Presidente de la Agencia y a través
de las que se asegurará la plena adaptación del sector o del responsable a las dos normas
citadas.
Caracteriza a estas directrices su obligado cumplimiento por el concreto responsable o sector de
actividad.
Otras Potestades
1. Potestades de regulación: el Presidente AEPD podrá dictar disposiciones al objeto de
fijar criterios de actuación de esta autoridad respecto de la aplicación del Reglamento y la
Ley Orgánica. Las mismas se denominan "Circulares de la Agencia Española de
Protección de Datos".

En su procedimiento de elaboración, establecido en el Estatuto de la propia Agencia,

se recabarán los informes técnicos y jurídicos necesarios, así como la audiencia de los
interesados. Serán obligatorias tras su publicación en el Boletín Oficial del Estado.
2. Acción exterior: la Agencia es el organismo competente para la protección de las
personas físicas en lo relativo al tratamiento de datos de carácter personal derivado de la
aplicación de cualquier Convenio Internacional en el que nuestro país sea parte y atribuya
a una autoridad nacional de control dicha competencia.

Así mismo, la Agencia es representante común de las autoridades de Protección de Datos

ante el Comité Europeo de Protección de Datos, sobre el que el Reglamento europeo
dispone:
Artículo 68
Comité Europeo de Protección de Datos
1. Se crea el Comité Europeo de Protección de Datos («Comité»), como organismo
de la Unión, que gozará de personalidad jurídica.
2. El Comité estará representado por su presidente.
3. El Comité estará compuesto por el director de una autoridad de control de cada
Estado miembro y por el Supervisor Europeo de Protección de Datos o sus
representantes respectivos.
4. Cuando en un Estado miembro estén encargados de controlar la aplicación de
las disposiciones del presente Reglamento varias autoridades de control, se
nombrará a un representante común de conformidad con el Derecho de ese Estado
miembro.
5. La Comisión tendrá derecho a participar en las actividades y reuniones del Comité,
sin derecho a voto. La Comisión designará un representante. El presidente del
Comité comunicará a la Comisión las actividades del Comité.
6. En los casos a que se refiere el artículo 65, el Supervisor Europeo de
Protección de Datos sólo tendrá derecho a voto en las decisiones relativas a los
principios y normas aplicables a las instituciones, órganos y organismos de la Unión
 que correspondan en cuanto al fondo a las contempladas en el presente
Reglamento.
3. Otras funciones.
a. Participar en reuniones y foros internacionales de ámbito diferente a la Unión
Europea.
b. Participar, como autoridad española, en las organizaciones internacionales
competentes en materia de protección de datos, en comités, grupos de trabajo,
de estudio y de colaboración de organizaciones internacionales que traten materias
relativas al este derecho fundamental.
c. Colaborar con autoridades, instituciones, organismos y Administraciones de otros
Estados con la finalidad de promover, impulsar y desarrollar el derecho a la
protección de datos.

02 Autoridades Autonómicas de Protección de Datos

Las autoridades autonómicas de protección de datos ejercerán sus funciones respecto de:
•Tratamientos de los que sean responsables las entidades integrantes del sector
público de la correspondiente CCAA o de las Entidades Locales que la componen, así
como de quienes presten servicios a través de las formas de gestión directa o indirecta.
•Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las
funciones públicas en materias que sean competencia de la correspondiente
Administración Autonómica o Local.
•Tratamientos expresamente previstos por sus respectivos Estatutos de Autonomía.
Las funciones que concretamente podrán desarrollar se establecen en el artículo 57 del
Reglamento Europeo: (Ver fotografía)
El desempeño de estas funciones será gratuito.
Por su parte, el artículo 58 del Reglamento recoge los denominados "poderes" de las
Autoridades autonómicas de protección de datos:
•Poderes de Investigación

•
•Poderes Correctivos Ver imagen
•
•Poderes de Autorización y Consultivos
 •
Cada autoridad de control elaborará un informe de carácter anual en el que quedarán reflejadas
sus actividades. En el mismo se podrá incluir una lista de infracciones notificadas y de las medidas
adoptadas.
Estos informes se transmitirán al Parlamento, al Gobierno y a las demás autoridades designadas;
además, estarán a disposición del público, de la Comisión y del Comité.
La nueva Ley Orgánica establece la llamada "Cooperación institucional": el Presidente de la
Agencia convocará regularmente a las autoridades autonómicas de protección de datos para
contribuir a una aplicación coherente del Reglamento y la propia Ley.
Si el Presidente de la AEPD comprobase que un tratamiento llevado a cabo por las Comunidades
Autónomas en materias de la competencia de las autoridades autonómicas de protección de datos
vulnerase el Reglamento, instará a éstas a la adopción de las medidas necesarias para su
cesación.
De no adoptarse estas medidas en el plazo de un mes, el Presidente podrá requerir a la
Administración que corresponda al fin de que se adopten las medidas correctoras necesarias
en el plazo que se fije para ello.
Y, en el supuesto de que la Administración apelada no atendiese el requerimiento efectuado, la
Agencia queda facultada para ejercer las acciones procedentes ante la Jurisdicción Contencioso-
Administrativa.
Coordinación en el marco de los procedimientos establecidos en el Reglamento.
1.En caso de emisión de dictamen por el Comité Europeo de Protección de Datos: a
través de la Agencia se practicarán las comunicaciones entre el Comité Europeo de
Protección Datos y las autoridades autonómicas de protección de datos, cuando éstas, en
el ámbito de sus competencias deban someter su proyecto de decisión al Comité o
soliciten el examen de un asunto.
2.Intervención en caso de tratamientos transfronterizos: las autoridades autonómicas
de protección de datos ostentarán la condición de autoridad de control principal o
 interesadas respecto del procedimiento establecido en el artículo 60 del Reglamento,
cuando el tratamiento se lleve a cabo por un responsable o un encargado del tratamiento
de los previstos en el artículo 56 del mismo que no desarrollase significativamente
tratamientos de la misma naturaleza en el resto del territorio español.

En estos casos, las autoridades autonómicas intervendrán en los procedimientos

informando a la Agencia sobre su desarrollo.
3.Caso de resolución de conflictos por el Comité Europeo de Protección de Datos: a
través de la Agencia se practicarán las comunicaciones entre el Comité Europeo de
Protección de Datos y las autoridades autonómicas cuando éstas, como autoridades
principales, soliciten de aquél la emisión de una decisión vinculante.
Estas decisiones se regulan en el artículo 65 del RGPD, y tienen como finalidad la aplicación
correcta y coherente del mismo frente a situaciones tales como la que se puede producir cuando
una autoridad de control interesada manifieste objeciones motivadas respecto de un proyecto de
decisión de la autoridad principal o se haya rechazado por ésta dicha objeción.
Las autoridades autonómicas de protección que actúen en los procedimientos previstos en
el artículo 65 del Reglamento como autoridad interesada no principal, informará a la Agencia de
la remisión del asunto al Comité Europeo, poniendo a su disposición toda la información y
documentación necesaria para su tramitación.