La Agencia Española de Protección de Datos (AEPD) es el organismo público encargado de garantizar y supervisar el cumplimiento de la normativa de protección de datos en España. Esta institución goza de naturaleza independiente, con presupuesto propio y plena autonomía.
Su principal objetivo es velar por el derecho fundamental de las personas a la protección de sus datos personales, regulado por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y por la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Esta institución nació como respuesta a la necesidad de proteger el derecho fundamental a la privacidad y la intimidad personal frente al uso creciente de tecnologías que permiten el tratamiento masivo de datos personales.
Ya el artículo 18.4 de la Constitución Española de 1978 establece que la ley limitará el uso de la informática para garantizar los derechos fundamentales de los ciudadanos. Este mandato constitucional sirvió como base para la regulación de la protección de datos.
Fue con la publicación en España de la primera ley de protección de datos,la LORTAD o Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, cuando se estableció la AEPD.
Actualmente existen además agencias autonómicas de protección de datos en tres comunidades: Cataluña, País Vasco y Andalucía.
Definición y misión de la AEPD
La Carta Europea de Derechos Fundamentales recoge el derecho a la protección de datos de carácter personal. Por otra parte, el Convenio 108 del Consejo de Europa de 1981 ya preveía la necesidad de una autoridad independiente para velar por este derecho.
En este marco, la AEPD constituye la autoridad de control exigida por el RGPD para todos los Estados miembros. Su misión principal es proteger los derechos y libertades de las personas físicas respecto a los ficheros que contengan información de carácter personal asociada a ellas.
Además, la AEPD colabora con otras autoridades nacionales e internacionales para proteger la privacidad y promover un tratamiento adecuado de los datos personales.
Principales funciones de la AEPD
La AEPD tiene cuatro funciones fundamentales para garantizar el cumplimiento normativo en materia de protección de datos. A continuación analizaremos estas funciones y sus implicaciones.
Supervisión
Este organismo se encarga de velar por la correcta aplicación de la LOPDGDD y del RGPD. La AEPD tiene el poder de investigar, a partir de denuncias o información de otras autoridades, a cualquier organización que trate datos personales de ciudadanos españoles, ya sea dentro o fuera del territorio. Además, lleva el registro interno de todas las infracciones y medidas adoptadas.
Asesoramiento y fomento de buenas prácticas
La AEPD, tal como se recoge en su página web, tiene además funciones relacionadas con la sensibilización y la educación de personas físicas y jurídicas al respecto de las leyes de protección de datos.
En resumen, estas son las cuatro misiones:
- Promover la concienciación pública sobre el tratamiento de datos
- Asesorar a los organismos nacionales sobre legislación y medidas que afecten a la privacidad
- Informar a responsables y encargados del tratamiento sobre sus obligaciones
- Facilitar información sobre sus derechos a la ciudadanía
Poder correctivo
La AEPD tiene poderes correctivos, que incluyen la imposición de sanciones, además de otras medidas:
- Enviar advertencias a entidades que podrían estar infringiendo la normativa
- Obligar a informar sobre brechas de seguridad a los afectados
- Limitar o prohibir el tratamiento de datos en algunos supuestos
- Ordenar la suspensión del flujo de datos a terceros de otros países
Estas son algunas de las funciones correctivas de la Agencia, cuyo principal objetivo es salvaguardar el derecho fundamental de protección de datos.
Son muchos los casos conocidos en prensa sobre sanciones impuestas por parte de la AEPD a empresas y otras entidades. Por ejemplo, multó a la textil Uniqlo a pagar 270.000 euros por enviar datos de 447 empleados por error en un documento.
Atención de reclamaciones
Por otra parte, la AEPD también se ocupa de tramitar reclamaciones de interesados u organizaciones y, si procede, investigar las causas. Al mismo tiempo, informa al reclamante sobre el progreso y los resultados de las investigaciones.
¿Quién puede reclamar ante la AEPD?
Cualquier persona física que considere que sus derechos relacionados con la protección de datos personales han sido vulnerados puede presentar una reclamación ante la AEPD.
Antes de recurrir a la AEPD, se sugiere primero dirigirse a la organización responsable del tratamiento de los datos, solicitando que se atienda el derecho correspondiente (como acceso, rectificación, supresión, limitación o portabilidad). Esto permite dar la oportunidad de resolver el problema de forma directa y eficiente.
Las empresas a las que se aplica el RGPD tienen el deber de responder en un plazo de un mes desde la recepción de cualquier solicitud de los interesados. Si se trata de un requerimiento complejo o hay un excesivo volumen de solicitudes, se puede ampliar dos meses más el tiempo de respuesta. Ahora bien, se deberá informar en ese caso al interesado sobre la extensión del plazo y sus motivos.
Los ciudadanos españoles, en caso de que la empresa no atienda a sus reclamaciones, pueden recurrir directamente a la Agencia Española de Protección de Datos. La sede electrónica de este organismo cuenta con un apartado para trámites de la ciudadanía, donde se pueden presentar las reclamaciones.
El ciudadano puede solicitar trámites de una serie de temas en particular:
- Retirada de contenidos sensibles
- Morosidad o deudas impagadas no reconocidas
- Publicidad y comunicaciones comerciales
- Solicitudes de derechos no atendidas
- Videovigilancia
Estos son algunos de los trámites que pueden atender y gestionar desde la AEPD, siempre en aras de proteger los derechos fundamentales de las personas sobre sus datos.
¿Quién debe registrarse en la AEPD?
Actualmente no es necesario inscribir ficheros en la Agencia, como ocurría con la LOPD, la anterior normativa. Sin embargo, las empresas que operan con datos de ciudadanos españoles tienen la obligación de registrar sus actividades de tratamiento (RAT) a nivel interno.
Este registro debe contener toda la información relevante sobre cómo y por qué se procesan los datos personales, incluyendo detalles sobre las finalidades del tratamiento, los destinatarios de los datos y las medidas de seguridad implementadas. Aunque no es necesario enviarlo a la AEPD, las organizaciones deben tenerlo actualizado y disponible, ya que pueden ser requeridas para presentarlo en una auditoría externa o en el caso de una reclamación por parte de los interesados, lo que podría dar lugar a una investigación por parte de la AEPD.
Conclusión
Como se ha descrito a lo largo del artículo, la AEPD es fundamental para garantizar el cumplimiento de la normativa de protección de datos en España. A través de su labor de supervisión, asesoramiento y sanción, garantiza que tanto las organizaciones como los ciudadanos respeten los derechos en relación con los datos personales. Su función es esencial para fomentar la transparencia, la confianza y la seguridad en el tratamiento de la información, contribuyendo a la protección de la privacidad de los individuos.
Si su empresa desea estar al día en materia de protección de datos, es fundamental contar con la tecnología adecuada para garantizar el cumplimiento. La obtención del consentimiento explícito de las personas antes de tratar sus datos personales es una obligación legal y su incumplimiento puede acarrear sanciones de hasta 20 millones de euros en los casos más graves.
Usercentrics es una plataforma de gestión del consentimiento que le permite recopilar datos de manera eficiente, segura y conforme a la normativa vigente, ayudando a su empresa a mantenerse protegida y en cumplimiento con la ley.
–
Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.