La Protección de Datos como competencia de las Administraciones Públicas ha dado lugar a la creación de organismos específicos.
Amador Martínez Herrera, Secretario General del Consejo de Transparencia y Protección de Datos de Andalucía, nos expone someramente en el siguiente artículo la creación, naturaleza y funciones de dichos órganos.
En la actualidad, en España existen cuatro autoridades de control en materia de protección de datos. Por orden cronológico de creación son:
- La Agencia de Protección de Datos (de ámbito nacional). 1992.
- La Autoridad Catalana de Protección de Datos (2002).
- La Agencia Vasca de Protección de Datos (2004).
- El Consejo de Transparencia y Protección de Datos de Andalucía (2014).
Debe subrayarse que la Comunidad de Madrid fue la primera Comunidad Autónoma en crear un ente de esta naturaleza en 1995. No obstante, dicho ente fue suprimido con efectos desde el 1 de enero de 2013 por virtud de la Ley 8/2012, de 28 de diciembre, de Medidas Fiscales y Administrativas de la Comunidad de Madrid 1; revirtiendo todas sus competencias a la Agencia Española de Protección de Datos.
La Agencia de Protección de Datos fue creada por el artículo 34.1 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, hoy derogada.
Dispone el artículo 44.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, es la de «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente» 3. Tiene su sede en Madrid y su ámbito de actuación se extiende al conjunto de España, salvo que se trate de materias de competencias de la Agencias vasca, catalana o andaluza. Su principal misión es velar por el cumplimiento de la legislación de protección de datos por parte de los responsables de los tratamientos (entidades públicas, empresas privadas, asociaciones, etc.) y controlar su aplicación a fin de garantizar el derecho fundamental a la protección de datos personales de los ciudadanos.
La representación de la Agencia la ostenta la Presidencia con un mandato de cinco años, que puede ser renovado para otro período de igual duración, y debe ejercer sus funciones con plena independencia y objetividad, sin estar sujeta a instrucción alguna en el ejercicio de sus funciones. La Presidencia de la Agencia Española de Protección de Datos está asesorada por un Consejo Consultivo compuesto por representantes de distintos sectores (Cortes Generales, Poder Judicial, Gobierno, expertos, etc).
Las competencias de la Agencia se extienden al sector público estatal y autonómico (excepción de las Comunidades que han asumido competencias al respecto) y al sector privado en todo el territorio nacional.
Por lo que respecta a las autoridades autonómicas, como se ha indicado, en la actualidad están funcionando tres.
La Autoridad Catalana de Protección de Datos es el organismo independiente que tiene por objeto garantizar, en el ámbito de las competencias de la Generalidad, los derechos a la protección de datos personales y de acceso a la información vinculada a ellos.
El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:
- Las instituciones públicas.
- La Administración de la Generalidad.
- Los entes locales.
- Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
- Las entidades de derecho privado que cumplan determinados requisitos.
- Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.
- Las personas físicas o jurídicas que cumplen determinadas funciones públicas.
- Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley.
Para el cumplimiento de las funciones que la ley le asigna, y dentro de su ámbito de actuación, corresponden a la Autoridad Catalana de Protección de Datos las funciones siguientes, entre otras:
- Velar por el cumplimiento de la legislación vigente sobre protección de datos de carácter personal.
- Resolver las reclamaciones de tutela formuladas por las personas afectadas respecto al ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
- Promover, en el ámbito de sus competencias, la divulgación de los derechos de las personas con relación a la protección de datos y el acceso a la información, y la evaluación del impacto sobre la privacidad.
La Agencia Vasca de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones. Tiene como cometido la aplicación y vigilancia del cumplimiento de la normativa de protección de datos personales por lo que se refiere al tratamiento de los datos de carácter personal contenidos en ficheros de titularidad pública creados y mantenidos por los organismos autonómicos, forales y locales de la Comunidad Autónoma del País Vasco (España).
Su ámbito de actuación se circunscribe a la Comunidad Autónoma del País Vasco, encontrándose su sede en la ciudad de Vitoria, en la Provincia de Álava.
El artículo 17 de su Ley de creación 4 relaciona las funciones que le corresponden a la Agencia, como más significativa se destaca la de “velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos”.
Por último, el Consejo de Transparencia y Protección de Datos de Andalucía fue creado por la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía (LTPA) 5, que lo configura como entidad pública con personalidad jurídica propia y plena capacidad y autonomía orgánica y funcional para el ejercicio de sus cometidos, otorgándole la consideración de Administración institucional a los efectos previstos en la disposición adicional segunda de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía.
La citada Ley tenía como cobertura el artículo 82 del Estatuto de Autonomía de acuerdo con el cual:
“Corresponde a la Comunidad Autónoma de Andalucía la competencia ejecutiva sobre protección de datos de carácter personal, gestionados por las Instituciones autonómicas de Andalucía, Administración autonómica, Administraciones locales, y otras entidades de derecho público y privado dependientes de cualquiera de ellas, así como por las universidades del sistema universitario andaluz”.
Este precepto se introdujo en la reforma estatutaria de 2007, y, como señala la Exposición de Motivos de la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía:
“El artículo 82 del Estatuto de Autonomía atribuye a la Comunidad Autónoma la competencia ejecutiva en materia de protección de datos, lo cual requiere de una autoridad independiente en los términos que establece la legislación básica en la materia.”
Así pues, el legislador andaluz esperó para desplegar esta competencia al año 2014, es decir, 7 años después de la aprobación del Estatuto.
No obstante, la demora no quedó aquí, ya que, si bien la citada Ley de Transparencia andaluza creaba la autoridad, condicionaba su constitución efectiva a la aprobación de sus Estatutos, que, tal como se indica en el artículo 46.2 LTPA, “serán aprobados por el Consejo de Gobierno y que contendrán en todo caso su estructura, competencias, organización y funcionamiento”. Finalmente, por Decreto 434/2015, de 29 de septiembre, se aprobaron los Estatutos del Consejo 6.
Así las cosas, en 2015 se completaron las condiciones para que el Consejo ejerciera las competencias que tenía asignadas por Ley. Es decir, las de autoridad de control tanto en materia de transparencia como en materia de protección de datos. Sin embargo, los Estatutos incluyeron una disposición transitoria, concretamente la Disposición transitoria tercera, de acuerdo con la cual:
“El Consejo asumirá las funciones en materia de protección de datos que tiene atribuidas de conformidad con lo que establezcan las disposiciones necesarias para su asunción y ejercicio por la Comunidad Autónoma. En tanto se lleve cabo la aprobación y ejecución de dichas disposiciones continuarán siendo ejercidas por la Agencia Española de Protección de Datos”.
Sin perjuicio de la opinión que ha podido merecer esta disposición reglamentaria, que deja en suspenso sine die una normativa con rango de ley, lo cierto es que esta situación se mantuvo hasta el Acuerdo de 11 de septiembre de 2018, del Consejo de Gobierno, por el que se determina la asunción de las funciones en materia de protección de datos por el Consejo de la Transparencia y Protección de Datos de Andalucía 7.
Este Acuerdo incorporó, así mismo, una disposición que dilataba aún más la puesta en marcha de esta competencia. Y así, su Disposición Final primera indicaba que:
“Se faculta a la persona titular de la Consejería competente en materia de transparencia para dictar las disposiciones y realizar cuantas actuaciones sean necesarias en desarrollo y ejecución de lo dispuesto en el presente Acuerdo y, en particular, para dictar la Orden que establezca el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de Transparencia y Protección de Datos de Andalucía que le son propias”.
Finalmente, la Orden 8 a que se refiere ese Acuerdo se publicó el 12 de agosto de 2019 e indicaba, por fin, que:
“El Consejo de Transparencia y Protección de Datos de Andalucía iniciará las funciones que tiene atribuidas en materia de protección de datos de carácter personal el día 1 de octubre de 2019”.
Conforme establece el artículo 45 LTPA, el Consejo actuará en el territorio de Andalucía como autoridad pública independiente de control en materia de protección de datos, en los términos previstos en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) 9 y como órgano independiente e imparcial en materia de transparencia pública.
Sin perjuicio de que no procede entrar en detalle sobre esta cuestión, no puede dejar de destacarse la acertada decisión del legislador andaluz al aunar en el mismo órgano las dos competencias: transparencia y protección de datos. Decisión que se alinea con las adoptadas por los países más reconocidos en esta área (como Inglaterra, Canadá o Alemania). Desde este punto de vista, hay que felicitarse por la elección de este modelo incorporado por la Ley andaluza, único en España, y cuyo desarrollo en toda su plenitud corresponde al Consejo.
En la materia que nos ocupa, el artículo 48 LTPA atribuye a la Dirección del Consejo, en lo que respecta a la protección de datos, el desempeño las funciones previstas en la legislación sobre protección de datos para su ejercicio por las agencias autonómicas en su caso.
Ciertamente, estas funciones, con anterioridad al 25 de mayo de 2016, se relacionaban, con las salvedades recogidas en el citado artículo 41, en el artículo 37 de la Ley 15/1999, citada. No obstante, tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) 10 el 25 de mayo de 2016, estas funciones aparece sustancialmente descritas en su artículo 57, 58 y 59 a los que nos remitimos, dado lo extenso de su redacción. Esto por lo que se refiere al ámbito objetivo de actuación.
Respecto del ámbito subjetivo, de conformidad con el citado artículo 82 del Estatuto de Autonomía puede concluirse que es similar al que gestionan las autoridades catalana o vasca.
Nada cuesta imaginar que para el ejercicio de las funciones descritas es preciso disponer de personas especializadas que puedan gestionar esta competencia. En este sentido, y a propuesta del Consejo, con fecha 22 de noviembre de 2019, se ha publicado la Orden de 15 de noviembre de 2019, por la que se modifica parcialmente la relación de puestos de trabajo de la Administración General de la Junta de Andalucía, correspondiente al Consejo de la Transparencia y Protección de Datos de Andalucía 11.
Esta modificación, pues, responde a la necesidad de dotar de recursos personales el Área de protección de datos con el fin de que pueda iniciarse de manera efectiva el ejercicio de las competencias que como autoridad de control en esta materia le corresponden. Debe tenerse en cuenta que Órdenes anteriores ya contemplaban la estructura de personal de la dirección, de la secretaría general y del área de transparencia, que, en conjunto, son responsables de la gestión global de las competencias del Consejo.
Considerando la necesidad de atender a los principios de eficacia, austeridad, racionalización y reducción del gasto público, el Consejo ha diseñado una estructura del área de protección de datos, reducida y compuesta por puestos de trabajo de alto nivel y un perfil profesional adecuado a la especial preparación y responsabilidad exigible para su desempeño.
El apartado 2.B) del artículo 8 de los Estatutos del Consejo atribuye al Área de Protección de Datos el desarrollo de las tareas de ordenación, tramitación, gestión y propuesta de las funciones relacionadas con la materia de protección de datos, así como otras encomendadas por la Dirección.
Al frente de este Área existirá un puesto de Director que asumirá la responsabilidad del ejercicio de todos los cometidos encomendados al Consejo en materia de protección de datos. El director de área actúa bajo la supervisión directa de la dirección del Consejo, al que asiste, en todas las funciones derivadas de dicho ámbito, así como en la planificación, coordinación e intermediación entre ésta y las unidades que, con rango de Gabinete, se le adscriben y de las cuales es responsable inmediato.
Del examen del conjunto de funciones y poderes, ya reseñados anteriormente, que el RGPD enumera como propios de las Autoridades de control, se infiere que su actividad en materia de protección de datos se desarrollará en dos bloques fundamentales:
Un primer bloque que se centrará en el cumplimiento del RGPD, desde el punto de vista de la responsabilidad proactiva, auténtico pilar de la nueva normativa europea. En este mismo bloque se incluye como una faceta destacada la actividad de promoción y cooperación en el ámbito de la protección de datos personales, que como todo derecho fundamental exige de los poderes públicos una actividad administrativa positiva que promueva las condiciones para que ese derecho fundamental sea real y efectivo, removiendo los obstáculos que impidan su plenitud.
El RGPD describe la responsabilidad proactiva como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
Para promover el cumplimiento de este principio, la autoridad de control tiene a su disposición una serie de mecanismos. Así, sin ánimo exhaustivo, puede citarse:
- Las actividades dirigidas a impulsar los mecanismos voluntarios de autorregulación que favorecen la efectividad del derecho fundamental a la protección de datos personales.
- La elaboración y publicación de los criterios para la acreditación de organismos de supervisión de los códigos de conducta y de los propios organismos de certificación, o la adopción de cláusulas contractuales tipo de encargado de tratamiento, o la autorización de acuerdos administrativos o normas corporativas vinculantes.
- De igual modo, facilitar el cumplimiento del RGPD por parte de responsables y encargados requiere una importante tarea de
- asesoramiento, en especial en los casos de consultas previas del artículo 36.
- También se incluye en este bloque, la elaboración de una lista relativa al requisito de la evaluación de impacto 12 en materia de protección de datos, recogida en el artículo 35.4: “la autoridad de control establecerá y publicará una lista de operaciones de tratamiento que requieran una evaluación de impacto”.
- El adecuado cumplimento del RGPD requiere, como parece lógico, una máxima coordinación entre todos los sujetos que intervienen en el proceso, desde autoridades de control nacionales e internacionales, responsables y encargados de tratamiento, etc.
- Con carácter general, el artículo 31 RGPD indica que el responsable y el encargado de tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones.
- También se integra en este conjunto de actuaciones, las derivadas de la relación con los delegados de protección de datos en su ámbito de competencia. En este sentido, la autoridad de control deberá ser informada, a través de esta área, de las designaciones de delegados de protección de datos y de todas sus variaciones 13.
- Por otro lado, aunque en el mismo bloque, se incardina la actividad de promoción dirigida tanto a la ciudadanía como a responsables y encargados.
Para el ejercicio de estas tareas, la dirección del área dispondrá de un Gabinete denominado de “Cumplimiento”, que estará auxiliado por dos Departamentos.
Un segundo bloque de la actuación del Consejo en la materia se ocupa del ejercicio de las potestades de investigación y correctivas (por utilizar la terminología del RGPD) o sancionadoras.
En efecto, el artículo 57.1.h) del Reglamento dispone que entre las funciones de la autoridad de control se encuentra la de “llevar a cabo las investigaciones sobre la aplicación del Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública”.
Para facilitar el ejercicio de esta función, el artículo 58.1 del Reglamento confiere a la autoridad de control los siguientes poderes:
- Ordenar al responsable y al encargado del tratamiento y, en su caso, al representante del responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones;
- Llevar a cabo investigaciones en forma de auditorías de protección de datos;
- Llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7;
- Notificar al responsable o al encargado del tratamiento las presuntas infracciones del presente Reglamento;
- Obtener del responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones;
- Obtener el acceso a todos los locales del responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.
La autoridad de control mediante el ejercicio de esta función investiga el cumplimiento de la legislación por parte de los responsables y encargados del tratamiento, investigación que puede iniciarse bien en virtud de una reclamación presentada ante la autoridad de control, o bien de oficio o a instancia de otra autoridad.
En este área también se incluyen las auditorías preventivas de datos (artículo 58.1.b RGPD). Estas auditorías tendrán por objeto el análisis del cumplimiento de las disposiciones de Reglamento a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría.
Como complemento a la función de investigación, el Reglamento atribuye a las autoridades de control, las funciones sancionadoras (o poderes correctivos) que se relacionan en el artículo 58.2 RGPD, que incluyen advertencias, apercibimientos, multas administrativas, etc.
Para el ejercicio de estas tareas, la dirección del área dispondrá de un Gabinete denominado de “Investigación y Correctivo”, que estará auxiliado por dos Departamentos.
1. Puede consultar la Ley 8/2012, de 28 de diciembre de Medidas Fiscales y Administrativas de la Comunidad de Madrid en https://www.boe.es/buscar/pdf/2013/BOE-A-2013-2685-consolidado.pdf
2. Puede acceder a la Ley Orgánica 5/1992 de 29 de octubre en https://www.boe.es/buscar/doc.php?id=BOE-A-1992-24189
3. Puede acceder a la web de la AEPD en https://www.aepd.es/es
4. Ley 2/2004, de 25 de febrero, de ficheros de datos de carácter personal de titularidad pública y de creación de la Agencia Vasca de Protección de Datos:
https://www.euskadi.eus/y22-bopv/es/bopv2/datos/2004/03/0401184a.shtml
5. Accede a los contenidos de la Ley de Transparencia pública de Andalucía en: https://juntadeandalucia.es/boja/2014/124/1
6. Decreto 434/2015, de 29 de septiembre: https://juntadeandalucia.es/boja/2015/193/1
7. Acuerdo de 11 de septiembre de 2018, del Consejo de Gobierno, por el que se determina la asunción de las funciones en materia de protección de datos por el Consejo de la Transparencia y Protección de Datos de Andalucía, disponible en: https://juntadeandalucia.es/boja/2018/180/BOJA18-180-00003-14931-01_00142189.pdf
8. Orden de 1 de agosto de 2019, por la que se determina el inicio del ejercicio de las funciones en materia de protección de datos de carácter personal por el Consejo de la Transparencia y Protección de Datos de Andalucía disponible en: https://juntadeandalucia.es/boja/2019/154/BOJA19-154-00002-12287-01_00160554.pdf
9. Hoy derogada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
10. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). https://www.boe.es/doue/2016/119/L00001-00088.pdf
11. Orden de 15 de noviembre de 2019, por la que se modifica parcialmente la relación de puestos de trabajo de la Administración General de la Junta de Andalucía, correspondiente al Consejo de la Transparencia y Protección de Datos de Andalucía https://juntadeandalucia.es/eboja/2019/226/BOJA19-226-00003-17260-01_00165448.pdf
12. Accesible en: https://www.ctpdandalucia.es/sites/default/files/inline-files/lista_dpia_art._35.5_rgpd_v1.pdf
13. En la Web del CTPDA se encuentra disponible el formulario en el siguiente enlace: https://www.ctpdandalucia.es/sites/default/files/inline-files/formulario_de_comunicacion_dpd.pdf
Más contenido sobre Protección de Datos en la Monografía de este número.
Y no dejes de ver qué tenemos publicado en los distintos números de EnRed@2.0.