Funciones y poderes

Última modificación:

La Agencia Española de Protección de Datos está encargada de velar por el cumplimiento de la normativa de protección de datos y controlar su aplicación.

Para ello, ejerce las siguientes funciones y poderes:

1.- Funciones

  • Controlar la aplicación del Reglamento General de Protección de Datos 2016/679 ( en adelante, RGPD ) y el resto de la normativa de protección de datos, así como proceder a que se aplique.
  • Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a personas menores de edad deberán ser objeto de especial atención.
  • Asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
  • Promover la sensibilización de las personas responsables y encargadas del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.
  • Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros.
  • Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80 del RGPD, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control.
  • Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento.
  • Llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública.
  • Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
  • Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) del RGPD.
  • Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4 del RGPD.
  • Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2 del RGPD.
  • Alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5 del RGPD.
  • Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5 del RGPD.
  • Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7 del RGPD.
  • Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
  • Efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
  • Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3 del RGPD.
  • Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD.
  • Contribuir a las actividades del Comité.
  • Llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2 del RGPD.
  • Desempeñar cualquier otra función relacionada con la protección de los datos personales.

2.- Poderes

2.1.- De investigación.

  • Ordenar a la persona responsable y al encargado del tratamiento y, en su caso, al representante de la persona responsable o del encargado, que faciliten cualquier información que requiera para el desempeño de sus funciones.
  • Llevar a cabo investigaciones en forma de auditorías de protección de datos.
  • Llevar a cabo una revisión de las certificaciones expedidas en virtud del artículo 42, apartado 7 del RGPD.
  • Notificar a la persona responsable o al encargado del tratamiento las presuntas infracciones de la normativa de protección de datos.
  • Obtener de la persona responsable y del encargado del tratamiento el acceso a todos los datos personales y a toda la información necesaria para el ejercicio de sus funciones.
  • Obtener el acceso a todos los locales de la persona responsable y del encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con el Derecho procesal de la Unión o de los Estados miembros.

2.2.- Correctivos.

  • Dirigir a toda persona responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en la normativa de protección de datos.
  • Dirigir a toda persona responsable o encargado del tratamiento un apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en la normativa de protección de datos.
  • Ordenar a la persona responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente  RGPD.
  • Ordenar a la persona responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones de la normativa de protección de datos, cuando proceda, de una determinada manera y dentro de un plazo especificado.
  • Ordenar a la persona responsable del tratamiento que comunique a la persona interesada las brechas de seguridad de los datos personales.
  • Imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición.
  • Ordenar la rectificación o supresión de datos personales o la limitación de tratamiento con arreglo a los artículos 16, 17 y 18 y la notificación de dichas medidas a los destinatarios a quienes se hayan comunicado datos personales con arreglo a al artículo 17, apartado 2, y al artículo 19 del RPGD.
  • Retirar una certificación u ordenar al organismo de certificación que retire una certificación emitida con arreglo a los artículos 42 y 43 del RGPD, u ordenar al organismo de certificación que no se emita una certificación si no se cumplen o dejan de cumplirse los requisitos para la certificación.
  • Imponer una multa administrativa con arreglo al artículo 83 del RGPD, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular.
  • Ordenar la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.

2.3.- De autorización y consultivos.

  • Asesorar a la persona responsable del tratamiento conforme al procedimiento de consulta previa contemplado en el artículo 36 del RGPD.
  • Emitir, por iniciativa propia o previa solicitud, dictámenes destinados al Parlamento nacional, al Gobierno del Estado miembro o, con arreglo al Derecho de los Estados miembros, a otras instituciones y organismos, así como al público, sobre cualquier asunto relacionado con la protección de los datos personales.
  • Autorizar el tratamiento a que se refiere el artículo 36, apartado 5 del RGPD, si el Derecho del Estado miembro requiere tal autorización previa.
  • Emitir un dictamen y aprobar proyectos de códigos de conducta de conformidad con lo dispuesto en el artículo 40, apartado 5 del RGPD.
  • Acreditar los organismos de certificación con arreglo al artículo 43 del RGPD.
  • Expedir certificaciones y aprobar criterios de certificación con arreglo al artículo 42, apartado 5 del RGPD.
  • Adoptar las cláusulas tipo de protección de datos contempladas en el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) del RGPD.
  • Autorizar las cláusulas contractuales indicadas en el artículo 46, apartado 3, letra a) del RGPD.
  • Autorizar los acuerdos administrativos contemplados en el artículo 46, apartado 3, letra b) del RGPD.
  • Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD.

3.- Otras funciones

Asimismo, la AEPD también desarrolla las siguientes funciones:

  • Tutelar los derechos y garantías de las personas abonadas y usuarias en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente (spam).
  • Recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan en los sistemas de los proveedores de servicios de comunicaciones electrónicas y que puedan afectar a datos personales.
  • Cooperación con diversos organismos internacionales y con los órganos de la Unión Europea en materia de protección de datos.
  • Representación de España en los foros internacionales en la materia.
  • Elaboración de una Memoria Anual, que es presentada por el Director de la Agencia ante las Cortes.