AGENCIA ESPAÑOLA DE PROTECCION DE DATOS

El Título VI de la Ley Orgánica 15/1999 se refiere exclusivamente a la Agencia

Española de Protección de Datos. Abarca los artículos 35 al 42 en los que regula
su naturaleza y régimen jurídico, funciones y estructura.

Su regulación normativa se completa con el Real Decreto 428/1993, de 26 de marzo,

por el que se aprueba el Estatuto de la Agencia Española de Protección de
Datos.

Por otra parte, la Ley 62/2003, de 30 de diciembre, de medidas fiscales,

administrativas y del orden social, la Ley 32/2003, de 30 de noviembre, General
de Telecomunicaciones (LGTel) y la Ley 59/2003, de 19 de diciembre de Firma
Electrónica (LFE), son normas que modifican artículos de la LOPD, en el sentido de
ampliar las competencias de la Agencia Española de Protección de Datos.

Con fecha 19 de febrero de 2008, se publica Resolución de la AEPD por la que se

aprueba la Carta de Servicios de la misma.

Se trata de un Ente de Derecho Público con personalidad jurídica propia y plena

capacidad pública y privada. Actúa con independencia de las Administraciones
Públicas en el ejercicio de sus funciones. (Artículo 35.1).

En el ejercicio de sus funciones públicas actúa de conformidad con la Ley 30/1992, de

26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del
Procedimiento Administrativo Común. Así nos lo recuerda el artículo 117.1 del
Reglamento. En cuanto a sus adquisiciones patrimoniales y contratación estará
sujeta al derecho privado (art. 35.2).

Una de las principales funciones de este Ente es velar por el cumplimiento de la

legislación sobre protección de datos y controlar su aplicación a fin de garantizar el
derecho fundamental a la protección de datos personales.

Los puestos de trabajo de la Agencia serán desempeñados por funcionarios de las

Administraciones públicas y por personal contratado. Todo el personal está obligado a
guardar secreto de los datos de carácter personal de que conozca en el desarrollo de
su función. (art. 35.3).

Para el cumplimiento de sus fines contará con los siguientes bienes y medios
económicos:

1. Asignaciones anuales con cargo a los Presupuestos Generales del Estado.

2. Bienes y valores que formen su patrimonio, así como productos y rentas del
mismo.

3. Otros que legalmente puedan serle atribuidos. (art. 35.4).

La AEPD elaborará y aprobará anualmente el anteproyecto de presupuesto que

remitirá al Gobierno para su integración en los Presupuestos Generales del
Estado. (art.45.5).

Con base en lo establecido en el Título VI, artículo 37, de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal, y en el Capítulo II
del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos, esta misma Agencia, al darse a conocer al
público mediante su página Web, enumera sus funciones agrupándolas en la
siguiente forma:

• Función general:

o Velar por el cumplimiento de la legislación sobre protección de datos

y controlar su aplicación, en especial en lo relativo a los derechos de
información, acceso, rectificación, oposición y cancelación de datos.
• Funciones en relación con los afectados:
o Atender a sus peticiones y reclamaciones.
o Información de los derechos reconocidos en la Ley.
o Promover campañas de difusión a través de los medios.

• Funciones en relación con quienes tratan datos:

o Emitir autorizaciones previstas en la Ley.

o Requerir medidas de corrección.

o Ordenar, en caso de ilegalidad, el cese en el tratamiento y la

cancelación de los datos.

o Ejercer la potestad sancionadora.

o Recabar la ayuda y la información que precise.

o Autorizar las transferencias internacionales de datos.

• Funciones en la elaboración de normas:

o Informar los Proyectos de normas de desarrollo de la LOPD.
o Informar los Proyectos de normas que incidan en materias de
protección de datos.
o Dictar Instrucciones y recomendaciones de adecuación de los
tratamientos a la LOPD.
o Dictar recomendaciones en materia de seguridad y control de acceso
a los ficheros.
• Funciones en materia de telecomunicaciones:
o Tutelar los derechos y garantías de los abonados y usuarios en el
ámbito de las comunicaciones electrónicas, incluyendo el envío de
comunicaciones comerciales no solicitadas realizadas a través de
correo electrónico o medios de comunicación electrónica equivalente.

• Otras funciones:

o Velar por la publicidad en los tratamientos, publicando anualmente

una lista de los mismos.

o Cooperación internacional.

o Representación de España en los foros internacionales en la

materia.
 o Control y observancia de lo dispuesto en la Ley reguladora de la
Función Estadística Pública.

o Elaboración de una Memoria Anual, presentada por conducto del

Ministerio de Justicia a las Cortes.

Al artículo 37 de la LOPD (funciones de la AEPD), la Ley 62/2003, de 30 de

diciembre, de medidas fiscales, administrativas y de orden social, le añadió el
apartado 2 que establece que se harán públicas las resoluciones de la Agencia,
una vez hayan sido notificadas a los interesados. Dicha publicación se llevará a
cabo preferentemente a través de medios informáticos o telemáticos.

Los términos en que se efectúe la publicación de las resoluciones se establece en

el artículo 116 del Reglamento. De esta forma, la AEPD hará públicas sus
resoluciones, salvo las relativas a la inscripción de un fichero o tratamiento en el
Registro General de Protección de Datos y de aquéllas por las que se resuelva la
inscripción en el mismo de los códigos tipo (los códigos tipo establecen “las
condiciones de organización, régimen de funcionamiento, procedimientos aplicables,
normas de seguridad del entorno, programas o equipos, obligaciones de los
implicados en el tratamiento y uso de la información personal, así como las garantías,
en su ámbito, para el ejercicio de los derechos de las personas con pleno respeto a
los principios y disposiciones de la presente Ley y sus normas de desarrollo”), siempre
que se refieran a procedimientos que se hubieran iniciado con posterioridad al
01/01/04, o correspondan al archivo de actuaciones inspectoras incoadas a partir de
dicha fecha.

El medio utilizado, preferentemente, será la inserción en el sitio web de la AEPD, en

el plazo de un mes desde que fuera notificada a los interesados. En la publicación se
aplicarán los criterios de disociación de datos de carácter personal que se
establezcan por el Director de la Agencia, mediante Resolución.

En su publicación “Conozca la Agencia”, con base en la LOPD y en su Estatuto, la

AEPD nos informa de su propia estructura, cuya composición es la siguiente:

• El Director.

• El Consejo Consultivo.

• El Registro General de Protección de Datos.

• La Inspección de datos.

• La Secretaría General de la Agencia.

El Director

• Ostenta la representación de la Agencia.

• Sus actos se consideran como propios de la Agencia.

• Es nombrado por Real Decreto de entre los miembros del Consejo

Consultivo a propuesta del Ministro de Justicia.
 • Es independiente y no está sometido a mandato imperativo alguno.

• Su mandato se extiende a cuatro años.

• Puede cesar a petición propia o por separación en caso de incumplimiento

grave, incapacidad, incompatibilidad o comisión de delito doloso.

Son funciones del Director: Dictar resoluciones que ponen fin a la vía
administrativa, recurribles ante la Sala de lo Contencioso de la Audiencia Nacional.

Estas resoluciones podrán ser sobre inscripción, sobre códigos tipo, sobre
transferencias, sobre tutelas de derechos, sobre procedimientos sancionadores,
sobre medidas cautelares, sobre la incoación de expedientes disciplinarios, y
sobre autorizaciones de entrada en locales.

También es función suya la coordinación con las autoridades autonómicas, así

como funciones de gestión.

El Consejo Consultivo

• Es el Órgano Colegiado de asesoramiento del director.

• Emite informes sobre todas las cuestiones que le solicite el Director.

• Formula propuestas en materia de protección de datos.

• Se reúne al menos una vez cada seis meses.

• El Director habrá de ser elegido de entre sus miembros.

El Registro General de Protección de Datos

• Su función es velar por la publicidad de los tratamientos de datos.

• Tramita expedientes de inscripción de tratamientos notificados; autoriza

las transferencias internacionales de datos e inscribe los Códigos tipo.

Tratamientos Inscribibles

• Ficheros Públicos:

o Administración del Estado.

o Administración de las Comunidades Autónomas.

o Administración Local.

o Entidades vinculadas o dependientes de estas Administraciones.

o Administración corporativa en el desempeño de potestades de

derecho público.
 • Ficheros Privados:

o Las inscripciones contendrán:

 El responsable del fichero, ubicación y existencia de

encargados del tratamiento.

 Finalidad y usos.

 Afectados.

 Procedimiento de recogida.

 Estructura del fichero y tipo de datos que contiene.

 Cesiones y transferencias, indicando destinatarios.

 Medidas de seguridad.

 Forma de ejercicio por los afectados de sus derechos.

Si el fichero es de titularidad pública, debe aprobarse una disposición general en

que se haga mención a estos extremos.

Procedimiento de Notificación del Tratamiento al RGPD (Previo a Iniciar la

Recogida de Datos)

• Si hubiera que subsanar algún defecto, solicitud de subsanación en diez

días.

• Si se aclara o si no hizo falta subsanación, se inscribe el tratamiento.

• Si no se ha aclarado suficientemente, se deniega la inscripción.

• Si no se dice nada en 30 días desde la remisión (sin contar el plazo de

subsanación), se produce silencio positivo, por lo que el fichero se
considerará inscrito.

Efectos de la inscripción: es necesaria para que el tratamiento sea lícito, pero la

inscripción es meramente declarativa.

• No inscribir es contrario a la LOPD.

• Estar inscrito no supone una presunción de que el tratamiento es

totalmente conforme a la Ley.

La Inspección de Datos

• Su función es comprobar la legalidad de los tratamientos.

• Organización: Inspectores de datos.

 • Instrucción de procedimientos: Tutelas de derechos, procedimientos
sancionadores; posibles actuaciones: Examen de soportes, examen de
equipos, análisis de programas, examen de los sistemas de transmisión,
auditoría informática y requerimiento de información.

• Tiene potestad de entrada en locales.

• Supuestos de actuación: Ante una denuncia de un afectado o en supuestos

de alarma social, o dentro de un plan de inspección de oficio.

• Planes de Oficio Finalidad preventiva: Sólo se imponen sanciones en

casos de extrema gravedad; tienen por objeto conocer el modo en que se
realizan los tratamientos por parte de un sector; concluye con la preparación
de unas recomendaciones en las que se detectan los problemas.

• Instrucción de procedimientos: Presupuesto: ejercicio por el afectado de

sus derechos de acceso, rectificación, cancelación y oposición; o denegación
de este derecho por el responsable del Fichero.

• Procedimiento: reclamación por escrito a la APD; la APD requiere

alegaciones al responsable en el plazo de quince días; práctica de pruebas
o inspección; audiencia del responsable y el afectado; resolución. Plazo
máximo de tramitación: 6 meses. Silencio positivo.

Instrucción de Procedimientos de Tutela de Derechos de Acceso, Rectificación,

Cancelación y Oposición.

• Se inicia a instancia del afectado, expresando claramente el contenido de su

reclamación, así como los artículos de la LOPD que se consideren
vulnerados.

• Recibida la misma, la AEPD la remitirá al responsable del fichero para que

en el plazo de 15 días formule las alegaciones que estime pertinentes.

• Recibidas las mismas o transcurrido el plazo, previos los informes, pruebas

y demás actos de instrucción pertinentes, como la audiencia al afectado y al
responsable del fichero, la AEPD resolverá sobre la reclamación.

• El plazo máximo para dictar y notificar será de seis meses desde la fecha de
entrada de la reclamación en la AEPD, en virtud de lo previsto por el artículo
118 de la LOPD. El silencio administrativo será en todo caso positivo, es
decir, en ausencia de resolución el afectado deberá entender estimada su
reclamación.

• En cuanto a la ejecución, se requerirá al responsable del fichero para que en

10 días haga efectivo el ejercicio de los derechos objeto de tutela.

Procedimiento Sancionador

• Causa de iniciación: denuncia de un afectado; o conocimiento de un hecho

presuntamente ilícito.
 • Procedimiento: El establecido por el RLOPD, las normas específicas y las
normas generales de derecho administrativo (RD 1398/1993, de 4 de
agosto, en desarrollo del Título VI Ley 30/1992).

• Medidas cautelares específicas:

o En caso de hechos tipificados como infracción muy grave de

utilización o cesión ilícita.

o En caso de perjuicio para los derechos de los ciudadanos y el libre

desarrollo de la personalidad.

o Podrá requerirse el cese en el tratamiento.

o Si no se atiende, podrán inmovilizarse los ficheros.

o Instrucción de procedimientos.

Contenido de la Resolución Sancionadora

• Ficheros de titularidad privada:

o Multa económica (criterios de cuantificación y atenuación previstos en

la Ley).

o Medidas complementarias.

• Ficheros de titularidad pública:

o Declaración de la infracción.

o Imposición de medidas correctoras.

o Solicitud de medidas disciplinarias para el responsable de la

actuación ilícita.

o Notificación de la resolución al Defensor del Pueblo.

La Secretaría General Técnica

• Su misión consiste en el apoyo al adecuado funcionamiento de la Agencia.

• Realiza funciones de apoyo y ejecución.

• Elabora los informes y propuestas que le solicite el Director.

• Notifica las resoluciones del Director.

• Ejerce la Secretaría del Consejo Consultivo.

• Gestiona los medios personales y materiales adscritos a la Agencia.

 • Lleva el inventario de bienes y derechos que se integren en el patrimonio de
la Agencia.

• Gestiona los asuntos de carácter general no atribuidos a otros órganos de

la Agencia.

• También realiza otras funciones como formar y actualizar un fondo de

documentación sobre legislación y doctrina en materia de protección de
datos personales y cualesquiera materias conexas.
• Edita los repertorios oficiales de ficheros inscritos en el Registro General
de Protección de Datos, las Memorias anuales de la Agencia y cualesquiera
publicaciones de la Agencia.
• Organiza conferencias, seminarios y actividades de cooperación
internacional e interregional sobre protección de datos.
• Facilita la información a que se refiere el artículo 4.1 del Estatuto de la
Agencia (“…informará a las personas de los derechos que la Ley les reconoce
en relación con el tratamiento automatizado de sus datos de carácter personal
y a tal efecto podrá promover campañas de difusión, valiéndose de los
medios de comunicación social”).

Los dos últimos artículos del Título VI de la LOPD, 41 y 42, hacen referencia a los
“órganos correspondientes (a la Agencia Española de Protección de Datos) de las
Comunidades Autónomas” (el 41), y “ficheros de las Comunidades Autónomas en
materias de su exclusiva competencia” (el 42).

En el artículo 41 se establece el ejercicio de las funciones de la Agencia Española

de Protección de Datos, cuando afecten a ficheros de datos de carácter personal
creados o gestionados por las Comunidades Autónomas y por la Administración
Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad,
que tendrán la consideración de autoridades de control, a los que se garantiza plena
independencia y objetividad en el ejercicio de su cometido.

Las Comunidades Autónomas podrán crear y mantener registros de ficheros para

el ejercicio de las competencias que se les reconoce sobre los mismos.

El Director de la Agencia Española de Protección de Datos podrá convocar

regularmente a los órganos correspondientes de las Comunidades Autónomas a
efectos de cooperación y coordinación de criterios o procedimientos de actuación.
Para el cumplimiento de sus funciones, podrán solicitarse mutuamente la información
necesaria.

El apartado 1 del artículo 42 LOPD establece para el caso de contravención de

algún precepto de esta Ley, con el mantenimiento o uso de un determinado fichero de
las Comunidades Autónomas, constatado por el Director de la Agencia Española de
Protección de Datos cuando se trate de materia de su exclusiva competencia, podrá
requerir a la Administración correspondiente para la adopción de las medidas
correctoras procedentes en el plazo que se fije en el referido requerimiento.

Y en el apartado 2 de este artículo se determina que si existiere incumplimiento de

tal requerimiento, el Director de la Agencia Española de Protección de Datos podrá
impugnar la resolución adoptada por la Administración incumplidora.

Procedimientos Relacionados con la Inscripción o Cancelación de Ficheros

 • Inicio: creación, modificación o supresión del fichero por el interesado o, en
su caso, de la comunicación efectuada por las autoridades de control de las
CCAA.

• Notificación: cumplimentando los modelos o formularios electrónicos

publicados por la AEPD al efecto. También será válida la notificación realizada
en soporte papel, siempre y cuando se utilicen los modelos o formularios
publicados por la Agencia.

• Notificación en ficheros de titularidad pública: se debe acompañar a la

notificación una copia de la norma o acuerdo de creación, modificación o
supresión del fichero.

• Cuando la notificación referida a la creación, modificación o supresión del

fichero contuviera todas las exigencias legales, el Directos de la AEPD
acordará la inscripción del fichero, la modificación o la cancelación
correspondiente.

• Se dictará resolución denegatoria cuando de los documentos aportados por

el responsable del fichero se desprenda que no es conforme a lo dispuesto
en la LOPD.

• El plazo máximo para sustanciar y finalizar el procedimiento es de un mes,

artículo 134 del Reglamento. En caso de silencio, se entenderá positivo.

• El procedimiento de cancelación de oficio de los ficheros inscritos en el

Registro General de Protección de Datos se iniciará por propia iniciativa o
denuncia o por acuerdo del Director de la AEPD.

Procedimientos Relacionados con las Transferencias Internacionales de Datos

• Se inician a solicitud del exportador que pretenda llevar a cabo la

transferencia.

• Debe contener cuantos datos especifica el artículo 137.2 del Reglamento.

• Si se acordase un período de información pública, el plazo para formular

alegaciones será de 10 días, desde su publicación en el BOE. Si las hubiere
se dará traslado de las mismas al solicitante para que en 10 días alegue lo
que estime conveniente.

• De la resolución por la que se autorice la transferencia internacional de

datos se dará traslado al Registro Central de Protección de Datos, a fin de
que se proceda a su inscripción.

• Del mismo modo, se dará traslado al Ministerio de Justicia, a fin de que se

notifique a la Comisión Europea y a los demás Estados miembros.

• La AEPD dispone de un plazo de tres meses para resolver y notificar,

entendiéndose el silencio como positivo.

Procedimiento de Inscripción de Códigos Tipo

 • Se inicia a solicitud de la entidad, órgano o asociación promotora del
código tipo.

• Dicha solicitud habrá de efectuarse con los requisitos legales que establece
el artículo 145.2 del Reglamento.

• En los 30 días siguientes a la recepción de ésta, el Registro General de

Protección de Datos convocará a los solicitantes a fin de obtener
aclaraciones o precisiones relativas al contenido del código tipo.

• El citado Registro elaborará un informe, el cual, junto a la documentación

de la solicitud será trasladado al Gabinete Jurídico a fin de que el mismo
informe sobre el cumplimiento de los requisitos legales exigidos.

• El Director de la AEPD podrá acordar el trámite de información pública.

• Si se acordase la necesidad de mejora del código tipo, se establecerá un

plazo para alegaciones de 10 días.

• La resolución que ponga fin al procedimiento acordará la procedencia o

improcedencia de la inscripción del código tipo en el Registro General de
Protección de Datos.

• El plazo máximo del procedimiento será de 6 meses; como en los supuestos

anteriores, de producirse silencio administrativo, sus efectos serán
positivos.

Otros Procedimientos Tramitados por la Agencia Española de Protección de

Datos

• Procedimiento de exención del deber de información al interesado.

• Procedimiento para la autorización de conservación de datos para fines

históricos, estadísticos o científicos.