Tema 13 .

- La Ley Orgnica de Proteccin de Datos de Carcter

Personal (LOPD). Real Decreto 994/1999 Reglamento de Medidas de
Seguridad de los Ficheros Automatizados que contengan Datos de
carcter personal. La Agencia Espaola de Proteccin de Datos.

Tanto como la Directiva 95/46/CE, de 24 de octubre de 1995 del Parlamento Europeo y el Consejo, como
la LOPD, en el artculo primero establecen por objeto el garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales de las
personas fsicas, y especialmente, de su honor e intimidad personal y familiar.
La LOPD extiende su mbito de aplicacin, segn el artculo dos, a los datos de carcter personal
registrados en un soporte fsico que los haga susceptibles de tratamiento, y a toda modalidad de uso
posterior de estos datos por los sectores pblico y privado.
Esta mencin de la LOPD a los sectores de ficheros de titularidad pblica y privada se mantiene a lo
largo de la Ley, estableciendo disposiciones sectoriales diferentes para ambas titularidades en el Ttulo
IV, en el que dedica un captulo a cada una de ellas.
El mbito territorial de los datos sometidos a la aplicacin de la Ley queda delimitado (art. 2) a los casos
siguientes:
a) Que el tratamiento sea efectuado en territorio espaol en el marco de las actividades de un
establecimiento del responsable del tratamiento.
b) Que al responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin
la legislacin espaola en aplicacin de normas de Derecho Internacional pblico.
c) Cuando el responsable del tratamiento, aunque no est establecido en territorio de la U.E.,
utilice en el tratamiento de datos medios situados en territorio espaol, salvo que tales
medios se utilicen nicamente con fines de trnsito.
Se excepcionan del rgimen de aplicacin de la LOPD:
a) Los ficheros mantenidos por personas fsicas en el ejercicio de actividades exclusivamente
personales o domsticas.
b) Los ficheros sometidos a la normativa sobre proteccin de materias clasificadas.
c) Los ficheros establecidos para la investigacin del terrorismo y de formas graves de
delincuencia organizada. En estos supuestos el responsable del fichero tiene que comunicar
previamente la existencia del mismo, sus caractersticas generales y su finalidad a la
Agencia de Proteccin de Datos.

Y se rigen por su legislacin especfica los siguientes tratamientos de datos personales:

a) Los ficheros regulados por la legislacin de rgimen electoral.
b) Los que sirven a fines exclusivamente estadsticos, y estn amparados por la legislacin estatal
o autonmica sobre la funcin estadstica pblica.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes
personales de calificacin a que se refiere la legislacin del Rgimen del Personal de las
Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de Penados y Rebeldes.
e) Los procedentes de imgenes y sonidos obtenidos mediante la utilizacin de videocmaras por
las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislacin sobre la materia.

En cuanto al plazo de adecuacin a esta Ley, los ficheros y tratamientos automatizados inscritos o no en
el RGPD debieron adecuarse dentro del plazo de tres aos, a contar desde su entrada en vigor. En dicho
plazo, los ficheros de titularidad privada debieron ser comunicados a la AEPD, y las AA.PP.,
responsables de ficheros de titularidad pblica, debieron aprobar la pertinente disposicin de regulacin
del fichero o adaptar la existente. En el supuesto de ficheros y tratamientos no automatizados, su
adecuacin a la presente Ley Orgnica, y la obligacin prevista en el prrafo anterior debi
cumplimentarse en el plazo de 12 aos a contar desde el 24 de octubre de 1995, sin perjuicio del
ejercicio de los derechos de acceso, rectificacin y cancelacin por parte de los afectados.

Reglamento de Medidas de Seguridad de los Ficheros Automatizados que

contengan Datos de carcter personal. RD 994/1999.
El art. 9 de la LOPD 15/1999, de 13 de diciembre, establece que, el responsable del fichero, y en su caso
el encargado del tratamiento, debern velar por la seguridad de los datos y adoptar las medidas de
ndole tcnica y organizativas necesarias, que garanticen la seguridad de los datos y eviten su alteracin,
prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de
los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del
medio fsico o natural.
En los apartados 2 y 3 del citado artculo se indica que por va reglamentaria se establecern las
condiciones que deben reunir los ficheros relativas a la integridad y seguridad, as como las personas,
los centros de tratamiento, locales, equipos, sistemas y programas.
Estas obligaciones que impone la Ley se desarrollan mediante el RD 994/1999, de 11 de junio, por el
que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan
datos de carcter personal. Dicho Reglamento, de acuerdo con la Disposicin transitoria tercera de la
LOPD, est en vigor hasta que el Gobierne apruebe o modifique una nueva disposicin reglamentaria
necesaria para la aplicacin y desarrollo de la Ley. En la actualidad se est trabajando en un borrador
del nuevo reglamento que desarrollar la LOPD y sustituir al RD 994/99.
El Reglamento de Medidas de Seguridad fue impulsado por la AEPD y se centra en torno a la
elaboracin de un documento de seguridad en el que se recojan las obligaciones y procedimientos a
seguir para conseguir preservar la seguridad de los sistemas de informacin de las organizaciones y la
aplicacin de los principios de proteccin de datos.
Tanto el responsable del fichero como quienes intervengan en cualquier fase del tratamiento de los datos
de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber de
guardarlos. Estas obligaciones se mantienen una vez finalizados los tratamientos y, si es el caso,
despus de finalizar la posible relacin con el titular o el responsable del fichero (art. 10 LOPD).
01 Objeto del Reglamento de Seguridad.
El Reglamento tiene por objeto establecer las medidas de ndole tcnica y organizativas necesarias para
garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales,
equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los
datos de carcter personal sujetos al rgimen de la LOPD (art. 1).
Teniendo en cuenta que la LOPD incluye en su mbito a los ficheros en soporte papel, siempre que
estn estructurados, y que su disposicin transitoria tercera mantiene la vigencia de normas anteriores,
como es el caso de este Reglamento, la AEPD interpreta que las medidas del presente Reglamento
sern de aplicacin en los ficheros en soporte papel, tanto en cuanto que por su naturaleza sean
aplicables a estos, como por ejemplo, la elaboracin e implantacin de un documento de seguridad.
El Reglamento establece tres niveles de seguridad: bsico, medio y alto (art. 3), en funcin de la
naturaleza de la informacin y del grado de necesidad de garantizar la confidencialidad y la integridad de
la informacin. A cada uno de estos niveles les asigna una relacin de medidas a cumplir, de manera
que cada nivel incluye a todas las del nivel inferior.
Cada nivel, a su vez, tiene la condicin de mnimos exigibles. Una vez determinado el nivel de medidas
de seguridad aplicable a un fichero, stas debern adoptarse independientemente de los sistemas de
tratamientos utilizados, acceso mediante redes de comunicaciones o mediante accesos locales.
El tratamiento de datos fuera del lugar de ubicacin de un fichero deber ser expresamente autorizado
por el responsable del fichero, garantizando en todo momento la aplicacin de las medidas de seguridad
correspondientes al nivel de seguridad que corresponda al fichero.
Los ficheros temporales tambin debern cumplir el nivel de medidas de seguridad que le corresponda
segn los criterios del Reglamento.

02 Aplicacin de los niveles de seguridad.

Nivel bsico
Las medidas calificadas como de nivel bsico deben ser adoptadas por todos los ficheros que contengan
datos de carcter personal (art. 4.1).
Nivel medio
Las medidas calificadas como de nivel medio deben ser adoptadas en (art. 4.2):

los ficheros que contengan datos relativos a la comisin de infracciones administrativas o

penales, de Hacienda Pblica, con datos de servicios financieros gestionados por entidades de
financiacin.
los ficheros de servicios de informacin sobre solvencia patrimonial y crdito.
los ficheros que contengan un conjunto de datos de carcter personal suficientes que permitan
obtener una evaluacin de la personalidad del individuo.

Nivel alto
Las medidas calificadas como de nivel alto corresponden a (art. 4.3):

Ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual.
Ficheros que contengan datos recabados para fines policiales sin consentimiento de las
personas afectadas.

03 Responsables de la aplicacin de las medidas de seguridad.

En la propia Ley, as como en el Reglamento, se definen los trminos siguiente:
- El responsable del fichero es la persona fsica o jurdica, de naturaleza pblica o privada, u rgano
administrativo, que decide sobre la finalidad, contenido y uso del tratamiento de datos de carcter
personal.
- El responsable de seguridad es la persona encargada de coordinar y controlar las medidas definidas
en el documento de seguridad, designada por el responsable del fichero. En ningn caso esta
designacin supone una delegacin de la responsabilidad que corresponde al responsable del fichero de
acuerdo con el Reglamento. Debe ser nombrado para los ficheros y tratamientos con nivel medio o
superior.
- El encargado del tratamiento es la persona fsica o jurdica, autoridad pblica, servicio o cualquier
otro organismo que, slo o conjuntamente con otros, trate datos personales por cuenta del responsable
del tratamiento.
En el caso de realizarse tratamientos de datos por terceros, es obligatoria la existencia de un contrato
entre el responsable del fichero y el encargado del tratamiento, bien sea por escrito o en alguna otra
forma que acredite su celebracin y su contenido. En este contrato deben hacerse constar las
obligaciones del encargado del tratamiento:

Tratar nicamente los datos de acuerdo a las instrucciones recibidas del responsable.
Aplicar las medidas de seguridad correspondientes, de acuerdo al Reglamento de Medidas de
Seguridad.
Especificar el destino de los datos y de los posibles soportes o documentos en los que consten
los datos una vez finalizada la prestacin: devolucin al responsable o destruccin.

04 Cumplimiento del Reglamento de Seguridad.

El incumplimiento de las medidas de seguridad de acuerdo con este Reglamento (art. 27) supone una
infraccin sancionable conforme al rgimen establecido en la LOPD. El Director de la AEPD puede llegar
a ordenar la cesacin de los tratamientos de datos de carcter personal y la cancelacin de los ficheros
cuando no se cumplan las medidas de seguridad previstas en el Reglamento.
05 Entrada en vigor del Reglamento de Seguridad.
El Reglamento de Seguridad entr en vigor al da siguiente de su publicacin en el BOE, 25 de junio de
1999, para los ficheros de nueva creacin. Sin embargo, para los ficheros existentes con anterioridad a
su publicacin, el Reglamento estableci unos plazos para su adecuacin:

Ficheros de nivel bsico: el plazo habilitado por el Reglamento para estos ficheros fue de 6
meses, ampliado en 3 meses, hasta el 25 de marzo de 2000, por el Real Decreto 195/2000, de
11 de febrero.

Ficheros de nivel medio: un ao, finalizado el 25 de junio de 2000.

Ficheros de nivel alto: dos aos, ampliado en 1 ao, hasta el 25 de junio de 2002.

Por lo tanto el Reglamento est plenamente vigente a da de hoy.

06 Medidas de seguridad de nivel bsico.
Las medidas de seguridad de nivel bsico se recogen en los artculos 8 al 14 del Reglamento. Por una
parte, se establece que el responsable del fichero elaborar e implementar la normativa de seguridad
mediante un documento de obligado cumplimiento para el personal con acceso a los datos
automatizados de carcter personal y a los sistemas de informacin (art.8), y por otra se establece el
contenido de dicho documento.
Las medidas calificadas como de nivel bsico deben ser adoptadas por todos los ficheros que contengan
datos de carcter personal (art. 4.1). No hay que olvidar que los niveles son acumulativos, es decir, un
nivel superior comprende las medidas de los niveles inferiores.
El documento de seguridad debe mantenerse en todo momento actualizado y deber ser revisado
siempre que haya cambios relevantes en el sistema de informacin o en la organizacin. Los aspectos
que deber contemplar, como mnimo, son:
a) mbito de aplicacin del documento y especificacin detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de
seguridad medio:
Procedimiento de identificacin y autenticacin de accesos autorizados.
Procedimiento de confidencialidad e integridad: Asignacin, distribucin, almacenamiento y
periodicidad de cambio de contraseas.
Procedimiento de control de acceso: Identificacin de datos y recursos autorizados por
usuarios y funciones.
Procedimiento de gestin de soportes: Identificacin, inventario y almacenamiento de
soportes.
c) Funciones y obligaciones del personal.
Estarn claramente definidas y documentadas.
Relacin actualizada de usuarios y accesos autorizados al sistema de informacin.
Personal autorizado para conceder, alterar o anular el acceso autorizado sobre datos y
recursos.
Identificacin del personal autorizado para la gestin de soportes.
d) Estructura de los ficheros con datos personales y descripcin de los sistemas de informacin que
los tratan.
e) Procedimiento de notificacin, gestin y respuesta ante las incidencias: Existir un registro de
incidencias que contendr el tipo de incidencia, el momento en que se ha producido, la persona
que realiza la notificacin, a quin se le comunica y los efectos que se hubieran derivado de la
misma.
f) Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos: Deber
garantizar la reconstruccin de los datos en el estado en que se encontraban al tiempo de
producirse la prdida o destruccin. La periodicidad ser, como mnimo, semanal o en caso de
actualizacin de los datos.

Entre las obligaciones del responsable del fichero estn:

Elaborar el documento de seguridad.

Implantar las normas de seguridad contenidas en el documento.
Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que
afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en
caso de incumplimiento.
Establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con
derechos distintos de los autorizados.
Autorizar la salida de soportes informticos que contengan datos de carcter personal, fuera de
los locales en los que est ubicado el fichero.
Verificar la definicin y correcta aplicacin de los procedimientos de realizacin de copias de
respaldo y de recuperacin de los datos.

07 Medidas de seguridad de nivel medio.

Las medidas de seguridad de nivel medio se desarrollan en los artculos 15 al 22 del Reglamento,
completando a las de nivel bsico. Las medidas calificadas como de nivel medio deben ser adoptadas
en:
Ficheros que contengan datos relativos a la comisin de infracciones administrativas o penales.
Ficheros destinados a la gestin de la Hacienda Pblica.
Ficheros correspondientes a los servicios financieros, gestionados por entidades de financiacin.
Ficheros de servicios de informacin sobre solvencia patrimonial y crdito.
Los aspectos que deber abarcar el documento de seguridad de nivel medio son los que se han
indicado para el nivel bsico en el apartado anterior, ms las que aparecen a continuacin en cursiva:
a) mbito de aplicacin del documento y especificacin detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de
seguridad medio:
o Procedimiento de identificacin y autenticacin de accesos autorizados: Identificacin y
verificacin inequvoca y personalizada de usuarios; Limitacin del nmero de intentos
reiterados de accesos no autorizados.
o Procedimiento de confidencialidad e integridad: Asignacin, distribucin, almacenamiento y
periodicidad de cambio de contraseas.
o Procedimiento de control de acceso: Identificacin de datos y recursos autorizados por
usuarios y funciones.; y Control de acceso fsico.
o Procedimiento de gestin de soportes:
Identificacin, inventario y almacenamiento de soportes.
Registros de entrada y salida de soportes: tipo y nmero de soportes, fecha y hora,
emisor, tipo de informacin, forma de envo, receptor.
Medidas a adoptar cuando un soporte sea desechado o reutilizado que impidan
recuperaciones posteriores de la informacin.
Medidas a adoptar en la salida de soportes consecuencia operaciones de mantenimiento
que impidan recuperaciones indebidas de informacin.
o Procedimiento de verificacin: Controles peridicos de cumplimiento del documento de
seguridad.
o Pruebas con datos reales: Se evitarn pruebas con datos reales, en caso de realizarse se
asegurar el nivel de medidas de seguridad aplicable al tipo de fichero tratado.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos personales y descripcin de los sistemas de informacin que
los tratan.
e) Procedimiento de notificacin, gestin y respuesta ante las incidencias: Registro de incidencias
que incluya el tipo de incidencia, el momento en que se ha producido, la persona que realiza la
notificacin, a quin se le comunica y los efectos que se hubieran derivado de la misma.
Procedimientos de recuperacin de datos, persona que ejecut los procesos, datos restaurados,
operaciones manuales.
f)

Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos.

g) Procedimiento de auditora:

o
o
o

Interna o externa con periodicidad bienal como mximo.

Verificar el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en
materia de seguridad de datos.
Informe de auditora: Adecuacin de las medidas y controles al Reglamento; Dictamen,
Recomendaciones propuestas.

h) Responsable de seguridad (art. 15): Contendr su identificacin, los controles peridicos que se
deban realizar para verificar el cumplimiento de lo dispuesto en el documento, y las medidas
necesarias que hay que adoptar para desechar o reutilizar un soporte.
Para los ficheros que contengan un conjunto de datos de carcter personal suficientes que permitan
obtener una evaluacin de la personalidad del individuo, nicamente se establecern las medidas de
nivel medio correspondientes a los artculos 17, 18, 19 y 20 del Reglamento y que corresponden a :
Auditoras; Identificacin y Autentificacin; Control de acceso fsico; y Gestin de soportes.
Entre las obligaciones del responsable del fichero estn las indicadas para el caso del nivel bsico ms
las que aparecen a continuacin en cursiva:
o
o
o

Designar al responsable de seguridad.

Adoptar, en su caso, las medidas correctoras o complementarias de seguridad, cuando sean
necesarias, de acuerdo al anlisis de auditoria realizado por el responsable de seguridad.
Autorizar los procedimientos de recuperacin de datos.

Entre las obligaciones del responsable de seguridad estn:

o
o

Coordinar y controlar las medidas definidas en el documento de seguridad.

Analizar los informes de auditora y elevar las conclusiones al responsable del fichero.

08 Medidas de seguridad de nivel alto.

Las medidas de seguridad de nivel alto se desarrollan en los artculos 23 al 26 del Reglamento,
completando a las de nivel medio. Las medidas calificadas como de nivel alto corresponden a:

Ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual.
Ficheros que contengan datos recabados para fines policiales sin consentimiento de las
personas afectadas.

Los aspectos que deber abarcar el documento de seguridad de nivel alto son los indicados para el
caso del nivel bsico, junto con los del nivel medio, y las que aparecen a continuacin en cursiva:
a) mbito de aplicacin del documento y especificacin detallada de los recursos protegidos.
b) Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar el nivel de
seguridad alto.
o Procedimiento de control de acceso: Cifrado de los datos para su distribucin en soportes.
o Registro de accesos: Identificacin del usuario, fecha y hora, fichero, tipo de acceso,
autorizacin o denegacin. Accesos autorizados (identificacin registro accedido).
Conservacin: 2 aos.
c) Funciones y obligaciones del personal.
d) Estructura de los ficheros con datos personales y descripcin de los sistemas de informacin que
los tratan.
e) Procedimiento de notificacin, gestin y respuesta ante las incidencias.
f) Procedimientos de realizacin de copias de respaldo y de recuperacin de los datos: Garantas
en la reconstruccin de los datos al estado en que se encontraban al tiempo de producirse la
prdida o destruccin. Periodicidad: semanal, o en caso de actualizacin de los datos. Copia de
respaldo y recuperacin, conservacin en un lugar diferente de la ubicacin de los equipos
informticos.
g) Procedimiento de auditoria.
h) Telecomunicaciones: Cifrado de datos.
i) Responsable de seguridad.
Entre las obligaciones del responsable del fichero para el caso de nivel alto, no hay ninguna diferencia
con relacin a las obligaciones del responsable del fichero para el nivel medio.
Entre las obligaciones del responsable de seguridad estn las correspondientes al nivel bsico y
medio, ms las siguientes:
o Determinar los mecanismos que permitan el registro de accesos.
o Revisar el registro de accesos y elaborar el correspondiente informe mensual.

Agencia Espaola de Proteccin de Datos (AEPD).

01 Naturaleza y rgimen de funcionamiento de la AEPD.
La Agencia de Proteccin de Datos es creada por la Ley Orgnica 5/1992, de 29 de octubre, de
Regulacin del Tratamiento Automatizado de Datos de carcter personal (LORTAD), con el fin de
garantizar el cumplimiento de la legislacin en materia de proteccin de datos.
Tras la derogacin de la LORTAD y la entrada en vigor de la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de carcter personal (LOPD), la Agencia Espaola de Proteccin de Datos
queda regulada por el art. 35 de la LOPD, que la configura como un ente de derecho pblico, con
personalidad jurdica propia y plena capacidad pblica y privada, que acta con plena independencia de
las Administraciones Pblicas en el ejercicio de sus funciones.
La Agencia de Proteccin de Datos se rige por el Ttulo VI de la LOPD y por el Real Decreto 428/1993,
de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Espaola de Proteccin de Datos que
continua vigente, en aplicacin de la Disposicin Transitoria Tercera de la LOPD, que as lo determina.
La Agencia es dirigida por un Director elegido entre los miembros del Consejo Consultivo y ejerce sus
funciones por medio de aquel, a cuyo efecto los actos del Director se consideran actos de la Agencia.
Dichos actos, dictados en el ejercicio de las funciones pblicas, agotan la va administrativa. Contra ellos
se podrn interponer los recursos contencioso-administrativos que resulten procedentes.
La AEPD se relaciona con el Gobierno a travs del Ministerio de Justicia.
En cuanto al rgimen jurdico de los actos de la AEPD, en lo que respecta al ejercicio de la potestad
sancionadora y el ejercicio de competencias seguir el rgimen jurdico pblico (LRJ-PAC 30/92). Este
mismo rgimen ser el que seguir en relacin con el presupuesto, la contabilidad y el control financiero,
correspondiendo el control externo al Tribunal de Cuentas y el interno a la IGAE.
Con respecto a la contratacin y el rgimen patrimonial se regir por el derecho privado. Y por ltimo en
relacin con el personal se aplicar el rgimen jurdico pblico para los funcionarios y el privado para los
laborales. En cuanto a los recursos con los que cuenta la AEPD (art. 35) estn:
Las asignaciones anuales con cargo a los Presupuestos Generales del Estado.
Bienes y valores que constituyan su patrimonio, y los productos y rentas del mismo.
Cualesquiera otros que puedan serle legalmente atribuidos.

02 Funciones de la Agencia Espaola de Proteccin de Datos.

Las funciones de la AEPD estn definidas en el art. 37 de la LOPD, y se encuentran desarrolladas en el
Captulo II de su Estatuto, agrupadas de la forma siguiente:
- Funciones en general:
a) Velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin, en
especial en lo relativo a los derechos de informacin, acceso, rectificacin, oposicin y
cancelacin de datos.

Funciones en relacin con los ciudadanos:

b) Atender sus peticiones y reclamaciones.

c) Informar de los derechos reconocidos en la Ley.
d) Promover campaas de difusin a travs de los medios de comunicacin.

Funciones en relacin con quien tratan los datos:

e) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias.

f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de stos, la
adopcin de las medidas necesarias para la adecuacin del tratamiento de datos a las
disposiciones de esta Ley
g) Ordenar, en caso de ilegalidad, la cesacin de los tratamientos y la cancelacin de los datos.
h) Ejercer la potestad sancionadora.
i) Recabar de los responsables de los ficheros cuanta ayuda e informacin estime necesaria para
el desempeo de sus funciones.
j) Autorizar las transferencias internacionales de datos.

Funciones en relacin con la elaboracin de normas:

k) Informar, con carcter preceptivo pero no vinculante, los proyectos de normas de desarrollo de la
LOPD y sobre los proyectos de normas, leyes o reglamentos, que incidan en materias propias de
la LOPD.
l) Dictar Instrucciones y recomendaciones de adecuacin de los tratamientos a la LOPD.
m) Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.

Funciones en materia de telecomunicaciones:

n) Tutelar los derechos y garantas de los abonados y usuarios en el mbito de las comunicaciones
electrnicas (Ttulo III, LGT 32/2003): recepcin de facturas no desglosadas; tratamiento de los
datos de localizacin distintos a los de trfico; identificacin de su lnea; no figurar en repertorios
telefnicos; no recepcin de llamadas automticas; etc.
o) Tutelar, y en su caso sancionar, el envo de comunicaciones comerciales no solicitadas
realizadas a travs de correo electrnico o medios de comunicacin electrnica equivalente
(LSSI 34/2002, de 11 de julio).

Otras funciones:

p) Redactar una memoria anual, que el Director remite al Ministro de Justicia, para su posterior
envo a Las Cortes Generales.
q) Velar por la publicidad de la existencia de los ficheros automatizados de datos de carcter
personal, a cuyo efecto publica y difunde un catlogo anual de los ficheros inscritos en el
Registro General de Proteccin de Datos.
r) Corresponde a la AEPD la cooperacin con organismos internacionales y rganos de la U.E. en
materia de proteccin de datos de carcter personal, as como representar a Espaa en los foros
internacionales en esta materia de acuerdo con el artculo 29 de la Directiva 95/46/CE.
s) La AEPD ejerce el control de los datos de carcter personal introducidos en la parte nacional
espaola de la base de datos del Sistema de Informacin Schengen (SIS). El Director de la
Agencia designa dos representantes para la autoridad de control comn de proteccin de datos
del Sistema de Informacin Schengen.
t) Controlar y velar por el cumplimiento de las disposiciones que la Ley de la Funcin Estadstica
Pblica (Ley 12/1989, de 9 de mayo) establece respecto a la recogida de datos estadsticos y al
secreto estadstico, as como dictar las instrucciones precisas, dictaminar sobre las condiciones
de seguridad de los ficheros constituidos con fines exclusivamente estadsticos.
u) Cuantas otras le sean atribuidas por normas legales o reglamentarias.

03 Estructura orgnica de la Agencia Espaola de Proteccin de Datos.

El art. 11 del Estatuto establece la estructura orgnica de la Agencia enumerando los siguientes rganos:

El Director de la Agencia de Proteccin de Datos.

El Consejo Consultivo.
El Registro General de Proteccin de Datos (RGPD).
La Inspeccin de Datos.
La Secretara General.

Todos ellos son rganos jerrquicamente dependientes del Director de la Agencia.