http://dx.doi.org/10.14718/NovumJus.2020.14.2.8
LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS:
|
|
Código: 630710471
• Autor: jivacore
Salvador Morales Ferrer
Ilustre Colegio de Abogados de Alzira
El autor:
Doctor en Derecho. Miembro del Ilustre Colegio de Abogados de Alzira, Valencia (España).
salvadormf@ono.com
Recibido: 12 de diciembre de
2019;
evaluado: 3 de abril de 2020;
aceptado: 14 de abril de 2020.
Resumen
A partir de la promulgación de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de los datos de carácter personal,1 se creó la Agencia Española de Protección de Datos (AEPD), que fue necesaria para regular más adelante los tratamientos de la Ley de protección de datos en España. Luego, el Legislador español adaptó la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de derechos digitales (LPD)2 al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.3
Palabras clave: Agencia Española de Protección de Datos, Ley de Protección de Datos, Reglamento europeo.
Abstract
After the adoption of Organic Law 5/1992 on the regulation of the automated treatment of data of a personal nature, on October 29, the Spanish Agency for Data Protection (AEPD) was created. This was necessary to later regulate the treatment of the data protection law in Spain. Later, Spanish legislators adapted the Organic Law 3/2018 (December 5) of protection of personal data and the guarantee of digital rights (LPD) to EU Regulation 2016/679 of the European Parliament and Council of April 27, 2016, regarding the protection of physical persons with respect to the treatment of personal data and the free circulation of this data.
Keywords: Spanish Agency for Data Protection, Data Protection Law, European Regulations.
Resumo
A partir da promulgação da Lei Orgânica 5, de 29 de outubro de 1992, de regulação do tratamento do tratamento automatizado de dados pessoais, a Agência Espanhola de Proteção de Dados (AEPD) foi criada para regular, mais adiante, os tratamentos da Lei de Proteção de Dados na Espanha. Em seguida, o legislador espanhol adaptou a Lei Orgânica 3, de 5 de dezembro de 2018, de proteção de dados pessoais e garantia de direitos digitais (LPD) ao Regulamento (UE) 679/2016 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, quanto à proteção das pessoas físicas no que se refere ao tratamento dos dados pessoais e à livre circulação destes.
Palavras-chave: Agência Espanhola de Proteção de Dados, Lei de Proteção de Dados, Regulamento europeu.
Introducción
La creación de la Agencia Española de Protección de Datos (AEPD) se produjo mediante la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal,4 la cual contenía su diseño institucional básico, sus funciones, órganos y el régimen jurídico; fue un avance jurídico en el ámbito del Legislador español y además establecía los límites en el uso de la informática, así como la protección de datos.
La Ley Orgánica 5/1992 desarrollaba el Artículo 18.4 de la Constitución española,5 el cual se incardina en un precepto dedicado a la protección de la intimidad de los ciudadanos. Posteriormente, desde el ámbito de la Unión Europea, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos,6 llegó a rellenar el vacío existente en la legislación comunitaria respecto a la protección de los datos personales. Ya en el siglo XXI, el Legislador español emitió la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de derechos digitales (LOPD) y se unió con el Legislador europeo mediante el Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD).7 Por otra parte, el Legislador español conservó los Estatutos de la AEPD, mediante el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.8
En el presente artículo se pretende realizar un análisis descriptivo de los efectos jurídicos de las normas de protección de datos hasta la actualidad, con hincapié en la AEPD en cuanto a su naturaleza jurídica, régimen jurídico y estructura estatal y autonómica. El artículo está configurado de la siguiente forma: la introducción, que aclara la fundamentación de la AEPD; los antecedentes históricos de las normas de protección de datos y la naturaleza jurídica de la AEPD y su régimen jurídico. Asimismo, trata sobre el sistema financiero y presupuestario y la estructura de la AEPD, las medidas cautelares aplicables al Consejo Consultivo de la AEPD y, por último, las funciones de las autoridades autonómicas de protección de datos y su función.
1. Antecedentes jurídicos de la Agencia Española de Protección de Datos
La Ley Orgánica 15/1999 (LOPD) dispuso:
La Agencia de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones. Se regirá por lo dispuesto en la presente Ley y en un Estatuto propio, que será aprobado por el Gobierno.9
Al mismo tiempo, el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, señala:
La Agencia de Protección de Datos es un ente de derecho público de los previstos en el artículo 6, apartado 5, del texto refundido de la Ley General Presupuestaria, aprobado por Real Decreto legislativo 1091/1988, de 23 de septiembre, que tiene por objeto la garantía del cumplimiento y aplicación de las previsiones contenidas en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.10
Se debe enlazar con esta legislación mediante el Real Decreto legislativo 1091/1988, de 23 de septiembre, que tiene por objeto la garantía del cumplimiento y la aplicación de las previsiones contenidas en la Ley Orgánica 5/1992 y manifiesta: "1. Son Sociedades estatales a efectos de esta Ley: [...] 5. El resto de Entes del sector público estatal no incluidos en este artículo ni en los anteriores, se regirá por su normativa específica";11 por tanto, la AEPD es un ente público. En su marco jurídico, la AEPD se regía por la Ley Orgánica 5/1992, que señalaba: "La presente Ley será de aplicación a los datos de carácter personal que figuren en ficheros automatizados de los sectores públicos".12 Al mismo tiempo, el Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992,13 será efectivo mientras no sea contrario a Ley Orgánica 15/1999 (LOPD), como menciona en su disposición transitoria tercera:
Hasta tanto se lleven a efectos las previsiones de la disposición final primera de esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de 26 de marzo; 1332/1994, de 20 de junio.14
Por ello, ambos estaban subordinados a la LOPD y, desde sus inicios, la Agencia Española de Protección de Datos fue un ente de carácter público.
2. La naturaleza jurídica de la Agencia Española de Protección de Datos tras la promulgación de la Ley Orgánica 3/2018
Cabe mencionar el Proyecto de Ley Orgánica de protección de datos de carácter personal, que manifestaba:
La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada.15
El Legislador pensó dar un mayor uso a la Agencia Española de Protección de Datos (AEPD), primeramente, por ser independiente de la autoridad administrativa estatal y por tener plena capacidad jurídica pública y privada. De esta forma quedó plasmado en la Ley Orgánica 3/2018:
1. La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones. Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, será "Agencia Española de Protección de Datos, Autoridad Administrativa Independiente". Se relaciona con el Gobierno a través del Ministerio de Justicia. 2. La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos 3. La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.16
La norma atiende al Proyecto de la Ley de Protección de Datos respecto a la Agencia Española de Protección de Datos (AEPD); no obstante, como tiene personalidad jurídica propia y plena capacidad pública y privada, se debe atender a la Ley 40/2015, de 1 de octubre, de Régimen jurídico del sector público, que dispone: "1. La presente Ley se aplica al sector público que comprende: a) Cualesquiera organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas",17 por lo que es independiente de la autoridad administrativa estatal, pero se relaciona con el Ministerio de Justicia. Al respecto, Gamero manifiesta: "[...] habría de someterse cada entidad, invariablemente y en todo caso: las entidades instrumentales del Sector Público. Por eso parece acertado afrontar el asunto con este enfoque funcional, atendiendo a la naturaleza de la actividad desempeñada";18 por eso, la normativa aplicable es la adecuada para la Agencia Española de Protección de Datos.
Por otro lado, cabe mencionar la Sentencia del Tribunal de Justicia de Cataluña, cuyo fundamento de derecho 5 señala: "Ya se ha dicho que la norma configura el Sector público";19 se pronuncia de la misma forma la LPD sobre las funciones que tiene la Agencia de Protección de Datos en su régimen de actuación frente al sector público.
Por otro lado, como indica la Ley Orgánica 3/2018: "Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, será 'Agencia Española de Protección de Datos, Autoridad Administrativa Independiente",20 por lo que se tiene que acudir a la Ley 40/2015, que instituye: "Con independencia de cuál sea su denominación, cuando una entidad tenga la naturaleza jurídica de autoridad administrativa independiente deberá figurar en su denominación la indicación 'autoridad administrativa independiente' o su abreviatura 'AAI".21
Por su parte, Ley Orgánica 3/2018 indica:
La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.22
Al respecto, la Ley Orgánica 6/1985 señala:
Con carácter exclusivo, los Tribunales españoles serán competentes en todo caso y con preferencia de cualquier otro, para conocer de las pretensiones relativas a las siguientes materias: personas jurídicas que tengan su domicilio en territorio español, así como respecto de los acuerdos y decisiones de sus órganos.23
Entonces, al ser la Agencia Española de Protección de Datos una persona jurídica con residencia en España, colaborará con el Consejo del Poder Judicial.
3. El régimen jurídico de la Agencia Española de Protección de Datos
Muy bien aclara la Ley Orgánica 3/2018, al manifestar:
1. La Agencia Española de Protección de Datos se rige por lo dispuesto en el Reglamento (UE) 2016/679, la presente ley orgánica y sus disposiciones de desarrollo. Supletoriamente, en cuanto sea compatible con su plena independencia y sin perjuicio de lo previsto en el artículo 63.2 de esta ley orgánica, se regirá por las normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.24
El Artículo sobre la AEPD se rige por lo dispuesto en el Reglamento (UE) 2016/679, en la Ley Orgánica y en sus disposiciones de desarrollo. Al hilo, cabe citar a la autora Dopazo, que manifiesta:
Asimismo, en España, digno es subrayar la labor de la Agencia Española de Protección de Datos (AEPD). Y, en este sentido, de forma especial, hay que destacar la valiosa aportación procurada por reciente jurisprudencia europea e interna dictada en esta materia.25
Y la LOPD, que establece:
Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.26
Por lo cual, siempre que no contradiga otras normas generales de procedimientos administrativos y, en atención a sus efectos subsidiarios, se aplicará la Ley 40/2015, que señala:
Las autoridades administrativas independientes se regirán por su Ley de creación, sus estatutos y la legislación especial de los sectores económicos sometidos a su supervisión y, supletoriamente y en cuanto sea compatible con su naturaleza y autonomía, por lo dispuesto en esta Ley, en particular lo dispuesto para organismos autónomos, la Ley del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 47/2003, de 26 de noviembre, el Real Decreto Legislativo 3/2011, de 14 de noviembre, la Ley 33/2003, de 3 de noviembre, así como el resto de las normas de derecho administrativo general y especial que le sea de aplicación. En defecto de norma administrativa, se aplicará el derecho común.27
Se aplicarán las leyes de procedimiento administrativo y, en su caso, la norma administrativa de derecho común, por lo que hay que conocer mejor la normativa al Consejo Consultivo de la Comunidad Valenciana, que señala: "El Consejo de Transparencia, Acceso a la Información Pública y Buen Gobierno (en adelante, el Consejo de Transparencia) es una entidad pública, pero dotada de cierta autonomía e independencia funcional en relación con el ejercicio de sus atribuciones";28 se observa que una de las finalidades del régimen jurídico es la transparencia, el acceso a la información y el buen gobierno. Asimismo, la Ley Orgánica 3/2018 instituye: "El Gobierno, a propuesta de la Agencia Española de Protección de Datos, aprobará su Estatuto mediante real decreto".29 Pese a que la AEPD es un organismo independiente, sus estatutos pueden ser modificados por el Gobierno español, aunque en la actualidad rige el Real Decreto 428/1993,30 por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.
4. El régimen económico y presupuestario de la AEPD
Desde el punto de vista de control financiero y presupuestario de la AEPD, se debe distinguir entre el control externo que ejerce el Tribunal de Cuentas —así lo menciona la LOPD: "Sin perjuicio de las competencias atribuidas al Tribunal de Cuentas"—31 y el control interno que ejerce la Administración General del Estado mediante su intervención: "[...] la gestión económico-financiera de la Agencia Española de Protección de Datos estará sometida al control de la Intervención General de la Administración del Estado en los términos que establece la Ley 47/2003, de 26 de noviembre, General Presupuestaria".32 Al mismo tiempo, el Estatuto de la AEPD señala: "[...] se ejercerá de conformidad con lo establecido en el artículo 17.1 de la Ley General Presupuestaria, con carácter permanente";33 aquí cabe relacionar la Ley 47/2003, que indica:
La gestión de los demás ingresos de derecho público de las entidades del sector público estatal, no integrantes de la Hacienda Pública estatal, se someterá a lo establecido en esta sección, sin perjuicio de las especialidades establecidas en la normativa reguladora de dichas entidades y en la de los correspondientes ingresos.34
Por otro lado, intervendrá la Administración del Estado por medio de auditorías, que serán remitidas al Tribunal de Cuentas. Cabe citar la Orden 1 de febrero de 1996, por la que se aprueba la instrucción de operatoria contable a seguir en la ejecución del gasto en el Estado, cuya disposición transitoria 5 expresa: "La Intervención General de la Administración del Estado [se] determinará mediante Resolución",35 es decir, se necesitará una resolución para intervenir en la auditoría y los balances de la AEPD.
5. La estructura de la AEPD
La estructura de la AEPD está contenida en el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos:
La Agencia de Protección de Datos se estructura en los siguientes órganos: 1. El Director de la Agencia de Protección de Datos. 2. El Consejo Consultivo. 3. El Registro General de Protección de Datos, la Inspección de Datos y la Secretaría General, como órganos jerárquicamente dependientes del Director de la Agencia.36
En cuanto a las funciones que ejerce el director de la AEPD, a tenor de la LOPD:
La Presidencia de la Agencia Española de Protección de Datos estará auxiliada por un Adjunto en el que podrá delegar sus funciones, y que la sustituirá en el ejercicio de las mismas en los términos previstos en el Estatuto Orgánico de la Agencia Española de Protección de Datos. Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño. Les será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado.37
La nueva LOPD inviste al nuevo director de la AEPD como subsecretario de la misma, con el apoyo del director adjunto; el director tendrá plena independencia y objetividad, pero deberá oír las propuestas del Consejo Consultivo. En sí, el director de la AEPD es la figura principal de la estructura, puesto que está legitimado para dictar sus resoluciones, circulares y directrices.
5.1. Estructura del Consejo Consultivo
El Consejo Consultivo es un órgano colegiado que asesorará al director y formulará propuestas respecto a las materias que competen a la AEPD. Su estructura está compuesta por:
a) Un Diputado, propuesto por el Congreso de los Diputados. b) Un Senador, propuesto por el Senado. c) Un representante designado por el Consejo General del Poder Judicial. d) Un representante de la Administración General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia. e) Un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autónoma. f) Un experto propuesto por la Federación Española de Municipios y Provincias. g) Un experto propuesto por el Consejo de Consumidores y Usuarios. h) Dos expertos propuestos por las Organizaciones Empresariales. i) Un representante de los profesionales de la protección de datos y de la privacidad, propuesto por la asociación de ámbito estatal con mayor número de asociados. j) Un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el Capítulo IV del Título V, propuesto por el Ministro de Justicia. k) Un experto, propuesto por la Conferencia de Rectores de las Universidades Españolas. l) Un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de ámbito estatal de las diferentes profesiones colegiadas, propuesto por el Ministro de Justicia. m) Un representante de los profesionales de la seguridad de la información, propuesto por la asociación de ámbito estatal con mayor número de asociados. n) Un experto en transparencia y acceso a la información pública propuesto por el Consejo de Transparencia y Buen Gobierno ñ) Dos expertos propuestos por las organizaciones sindicales más representativas.38
Así, están representados todos los organismos españoles en el Consejo Consultivo; al mismo tiempo, los integrantes deberán tener conocimientos especializados en esta materia de derecho.
5.2. El funcionamiento del Consejo Consultivo
El Consejo Consultivo se reunirá todas las veces que decida la Presidencia o semestralmente. Está regulado por los estatutos de la AEPD: "En defecto de disposiciones específicas del presente Estatuto, el Consejo Consultivo ajustará su actuación, en lo que le sea de aplicación, a las disposiciones".39 Las decisiones quedarán inscritas en un fichero automatizado:
La Agencia Española de Protección de Datos publicará las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.140 de esta ley orgánica, las que impongan medidas cautelares y las demás que disponga su Estatuto.41
Al respecto, Ruiz menciona: "Se ha planteado cuál es el bien jurídico protegido a través de las normas sobre el tratamiento automatizado de datos personales";42 de esta forma, se avala la aplicación de los artículos del Reglamento (UE) 2016/679. En cuanto a la forma como se publicarán sus decisiones, el Artículo 15 menciona sobre el derecho de acceso que el interesado tiene derecho a obtener del responsable del tratamiento su finalidad, los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales. El plazo previsto de conservación de los datos personales o los criterios utilizados para determinar este plazo. La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales, del derecho a la limitación del tratamiento de datos personales relativos al interesado, del derecho a oponerse a dicho tratamiento, y del derecho a presentar una reclamación a la autoridad de control. El origen de la información cuando los datos se hayan obtenido por el interesado. La existencia de decisiones automatizadas, con la elaboración de perfiles, si hubiera información significativa, el derecho a conocer su importancia y las consecuencias de su tratamiento; por último, cuando se transfieran datos personales a un país ajeno a la UE o a una organización internacional, el interesado tiene derecho a ser informado de las garantías que establece el reglamento para esta transferencia. En esa línea, la Resolución de la AEPD, en su Fundamento de derecho 2, expresa:
De conformidad con las funciones previstas en el Reglamento (UE) 2016/679, de 27 de abril de 2016, General de Protección de Datos (RGPD), particularmente las que responden a los principios de transparencia y responsabilidad proactiva por parte del responsable del tratamiento.43
Será el responsable del registro de protección de datos a quien le corresponde velar por la publicidad con miras al ejercicio de acceso a la información y rectificación; así lo disponen los Artículos 15 y 16 en relación con el derecho de rectificación y el Artículo 17 respecto al derecho de supresión y al derecho al olvido: "El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida".44 En este sentido, Luquin afirma:
La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Centrándonos en el "derecho a la desaparición digital", más conocido a nivel normativo, jurisprudencial y doctrinal como "derecho al olvido en internet" el legislador comunitario reconoce a los interesados el derecho a que se rectifiquen los datos personales que les conciernen así como un derecho de "criba" o "desaparición digital" si la retención de tales datos infringe el Derecho de la Unión Europea o el de los Estados miembros aplicable al responsable del tratamiento concretando supuestos concretos para esta posibilidad. En particular, tienen derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados o si, de otro modo, han retirado su consentimiento.45
Al hilo cabe mencionar la Sentencia del Tribunal de Justicia de la Unión Europea Derecho Español estima:
La AEPD consideró que estaba facultada para ordenar la retirada e imposibilitar el acceso a determinados datos por parte de los gestores cuando considere que su localización y difusión puede lesionar el derecho fundamental a la protección de datos y a la dignidad de la persona entendida en un sentido amplio, lo que incluye la mera voluntad del particular afectado cuando quiere que tales datos no sean conocidos por terceros.46
Como menciona la Sentencia, es un derecho fundamental. En cuanto al Artículo 18 LOPD, sobre derecho a la limitación del tratamiento, Díaz sostiene: "El responsable del tratamiento deberá optar entre limitar el tratamiento ponderando caso por caso el alcance de este derecho con el derecho a la libertad de expresión";47 respecto al Artículo 19, sobre la obligación de notificación relativa a la rectificación o supresión de datos personales o limitación del tratamiento, sugiere el mismo autor: "En la práctica, este derecho tiene una dimensión para el ciudadano supone un reconocimiento de la pretensión de suprimir de inmediato la información"38 y, acerca del Artículo 20, del derecho a la portabilidad de los datos, Díaz manifiesta:
La portabilidad de los datos es el otro nuevo derecho reconocido en el que se atribuye al interesado la facultad de "recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del tratamiento al que se hubieran facilitado los datos". Este derecho no ha tenido unos antecedentes jurisprudenciales tan amplios.49
El Artículo 21, sobre el derecho de oposición, permite a una persona oponerse al tratamiento de sus datos o el cese de este, si: los ficheros se usan con fines publicitarios o el tratamiento tiene por finalidad la adopción de una decisión referida al afectado; deberán hacerse constar los motivos legítimos y fundados, relativos a una concreta situación personal del afectado, que justifiquen este derecho. Finalmente, el Artículo 22 se refiere a decisiones individuales automatizadas: todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar; será inaplicable si hay un consentimiento previo entre el interesado y un responsable del tratamiento de datos y, al mismo tiempo, si están autorizados por el derecho de la Unión o de los Estados miembros para fijar las medidas adecuadas respecto al responsable del tratamiento, con el fin de salvaguardar los derechos, las libertades o los intereses legítimos del interesado, con base en su consentimiento explícito. Estas normas serán aplicadas por la AEPD.
6. Las medidas cautelares aplicables al Consejo Consultivo
El Consejo Consultivo también puede cometer actos que serán de medida cautelar, como lo advierte el RGPD:
4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) las obligaciones del responsable y del encargado; b) las obligaciones de los organismos de certificación; c) las obligaciones de la autoridad de control; 5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: 6. El incumplimiento de las resoluciones de la autoridad de control a tenor del artículo 58 del (RGPD), y el artículo 83 del (RGPD) apartado 5, se sancionará de acuerdo con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.50
Al hilo, Martínez sostiene:
De ahí que la AEPD recomiende que para que todo esto sea gradual y escalonado y en mayo de 2018 no haya de repente un colapso de envío de comunicaciones para poder dar un consentimiento inequívoco y expreso, es importante aprovechar los dos años que quedan para la aplicación del RGPD, todas aquellas organizaciones que basen su consentimiento en un consentimiento tácito deberían empezar ya a adaptarse a las previsiones del Reglamento.51
Entonces, las sanciones serán graduales respecto a las comunicaciones.
7. Las autoridades autonómicas de la protección de datos: sus funciones
España está compuesta por comunidades autónomas que tienen sus propias autoridades de protección de datos. La Constitución española de 1978 dispone en su Artículo 148.1.1: "Las comunidades autónomas podrán asumir competencias en las siguientes materias: 1° Organización de sus instituciones de autogobierno".52 Como establece la LOPD, las autoridades autonómicas de protección de datos de carácter personal ejercerán sus funciones establecidas: "Sin perjuicio de otras funciones en virtud del presente Reglamento, incumbirá a cada autoridad de control, en su territorio"53 y luego señala: "Cada autoridad de control dispondrá de todos los poderes de investigación"54 del RGPD, siempre en concordancia con la normativa autonómica cuando se refiera a estas situaciones o a los tratamientos de protección de datos y sean responsables de entidades del sector público correspondientes a su comunidad autónoma o entidades locales de su comunidad, tanto en la prestación directa o indirecta de tales órganos; los tratamientos de protección de datos de carácter personal pueden corresponder a personas físicas como personas jurídicas en el ejercicio de sus funciones de carácter público, tanto en materias que competen a la Administración Autonómica o local, por lo que se aplicará el tratamiento de la protección de datos de carácter personal que estén previstos en sus Estatutos de Autonomía.
La AEPD establecerá las comunicaciones entre el Comité Europeo de Protección de Datos y las comunidades autónomas respecto a esta materia. Ambas partes deberán someterse a la decisión del Comité Europeo de Protección de Datos o solicitar un análisis de esta controversia, con base en el Artículo 64. 2 de la LOPD. Ante esta situación, la AEPD tendrá un representante autonómico, el Comité Europeo de Protección de Datos, pues para dilucidarla, serán oídas tanto la AEPD como las comunidades autónomas.55
Conclusiones
La creación de la Agencia Española de Protección de Datos tiene su raíz en la promulgación de la Ley de Protección de Datos de 1992. Significó un gran avance para la legislación española, cuya labor fue establecer límites a la protección de datos respecto a diversos ámbitos como el de las empresas, de los ciudadanos e incluso de los entes estatales, como elemento clave de protección de los datos, para que no exista una libre circulación y que siempre se atienda a la Ley de Protección de Datos.
La Agencia Española de Protección de Datos es un órgano de derecho público, con personalidad jurídica tanto pública como privada, que actúa con independencia respecto a las Administraciones Públicas. Por tanto, actúa tanto en los ámbitos privados como en los públicos. No obstante, tiene relación con el Gobierno español.
La Agencia Española de Protección de Datos propende por el cumplimiento de la Ley de protección de datos de carácter personal, así como de los derechos a información, acceso, oposición y supresión de datos de carácter personal, tanto para las personas jurídicas como para las personas físicas. Su función es atender peticiones o reclamaciones y prestar la información que necesiten, pues esta es un derecho fundamental. Por otra parte, le corresponde elaborar informes dentro del ámbito de su normativa, así como disposiciones relativas a su potestad y la adopción de normas reglamentarias.
Existen dos tipos de actividad de control sobre la Agencia Española de Protección de Datos Española: un control externo, ejercido por el Tribunal de Cuentas de España, y otro interno, de competencia de la Intervención General de la Administración del Estado Español, que consiste en el control financiero y presupuestario, mediante auditorías.
Al director de la AEPD le corresponden las competencias expresas que están dictadas para la AEPD, aunque puede delegar sus funciones al secretario general.
Además, el director general es independiente, por lo que no recibirá instrucciones de ninguna autoridad, pero sí el apoyo del Consejo Consultivo, si hubiera algún problema en torno a la protección de datos. A los encargados de los ficheros les corresponden funciones autorizadas como suprimir datos de carácter personal o recabar la información necesaria para cumplir su función sancionadora. Respecto al Consejo Consultivo, su falta de actuación o ineficacia en su función puede conllevar sanciones.
España es una Nación descentralizada, compuesta por diecisiete comunidades autónomas en la que están delegadas sus competencias; por eso, cada comunidad autónoma tiene su autoridad de protección de datos, las cuales también son independientes en su ejercicio. Asimismo, cada comunidad autónoma tendrá un representante ante el Comité Europeo de Protección de Datos.
Notas
1 España, Jefatura de Gobierno, Ley Orgánica 5/1992, "De regulación de tratamiento automatizado de datos de carácter personal" (Madrid. Boletín Oficial del Estado núm. 262, 31 de octubre de 1992).
2 España, Jefatura de Gobierno, Ley Orgánica3/2018, "De protección de datos personales y garantía de derechos digitales" (Madrid: Boletín Oficial del Estado núm. 294, 6 de diciembre de 2018).
3 Parlamento Europeo y el Consejo de la Unión Europea, Reglamento (UE) 2016/679, "Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)" (Bruselas: Diario Oficial de la Unión Europea, 27 de abril de 2016).
4 España, Jefatura de Gobierno, Ley Orgánica 5/1992.
5 Luis Martín Rebollo, Constitución Española 2003-edición especial (códigos básicos) (Navarra: Aranzadi, 2003), 75.
6 Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679.
7 Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679.
8 España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno, Real Decreto 428/1993, "Por el que se aprueba el Estatuto de la Agencia de Protección de Datos" (Madrid: Boletín Oficial del Estado núm. 106, 26 de marzo de 1993).
9 España, Jefatura de Gobierno, Ley Orgánica 15/1999, "De protección de datos de carácter personal" (Madrid: Boletín Oficial del Estado núm. 298, 14 de diciembre de 1999), art. 35.
10 España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno, Real Decreto 428/1993, art. 1.
11 España, Ministerio de Economía y Hacienda, Real decreto legislativo 1091/1988, "Por el que se aprueba el texto refundido de la Ley General Presupuestaria" (Madrid: Boletín Oficial del Estado núm. 234, 29 de septiembre de 1988), art. 6, num 5.
12 España, Jefatura de Gobierno, Ley Orgánica 5/1992, art. 2.1, párr. 1.
13 España, Ministerio de Justicia e Interior, Real Decreto 1332/1994, "Por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter personal" (Madrid: Boletín Oficial del Estado núm. 147, 21 de junio de 1994), disp. transitoria 3.
14 España, Jefatura de Gobierno, Ley Orgánica 15/1999, "De protección de datos de carácter personal" (Madrid: Boletín Oficial del Estado núm. 298, 14 de diciembre de 1999), disp. transitoria 3.
15 España, Comisión de Justicia, Proyecto de ley orgánica, "De protección de datos de carácter personal" (Madrid: Boletín Oficial del Estado núm. 13, 9 de octubre de 2018), art. 44.1.
16 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 44.
17 España, Jefatura de Gobierno, Ley 40/2015, "De régimen jurídico del sector público" (Madrid: Boletín Oficial del Estado núm. 236, 2 de octubre de 2016), art. 2.2.
18 Eduardo Gamero, "¿El 'retorno' al derecho administrativo?: manifestaciones en las leyes de procedimiento, régimen jurídico y contratos del sector público", Revista Española de Derecho Administrativo, núm. 189 (enero-marzo 2018): 15.
19 Cataluña, Tribunal de Justicia, Sala de lo Social, Sección 1°. SentenciaJUR 2019/95696. M. P. Adolfo Matías Colino Rey.
20 España, Jefatura de Gobierno, Ley Orgánica3/2018, art. 44.1.
21 España, Jefatura de Gobierno, Ley 40/2015, art. 109.3.
22 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 44.
23 España, Jefatura del Gobierno, Ley Orgánica 6/1985, "Del Poder Judicial" (Madrid: Boletín Oficial del Estado núm. 157, 2 de julio de 1985), art. 22.b.
24 España, Jefatura de Gobierno, Ley Orgánica3/2018, art. 46.
25 Pilar Dopazo, "La protección de datos en el derecho europeo: principales aportaciones doctrinales y marco regulatorio vigente. (Novedades del Reglamento general de protección de datos)", Revista española de derecho europeo, núm. 68 (2018): 115.
26 España, Jefatura de Gobierno, Ley Orgánica3/2018, art. 63.2.
27 España, Jefatura de Gobierno, Ley 40/2015, art. 110.1.
28 Presidencia de la Generalitat, Ley 2/2015, de 2 de abril, "De transparencia, buen gobierno y participación ciudadana de la Comunitat Valenciana" (Valencia: Boletín Oficial Español núm. 100, de 27 de abril de 2015), art. 6.
29 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 2.
30 España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno, Real Decreto 428/1993, art. 3.3.
31 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 46.7.
32 España, Jefatura de Gobierno, Ley Orgánica3/2018, art. 46.7.
33 España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno, Real Decreto 428/1993, art. 33.3.
34 España, Jefatura de Gobierno, Ley 47/2003, "General Presupuestaria" (Madrid: Boletín Oficial del Estado núm. 284, 27 de noviembre de 2003), art. 18.1.
35 España, Ministerio de Economía y Hacienda, Orden 1 de febrero de 1996, "Por la que se aprueba la instrucción de operatoria contable a seguir en la ejecución del gasto en el Estado" (Madrid: Boletín Oficial del Estado núm. 34, 8 de febrero de 1996), disp. Transitoria 5.
36 España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno, Real Decreto 428/1993, art. 11.
37 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 48.
38 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 49.
39 España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno, Real Decreto 428/1993, art. 22.1.
40 "Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica". España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 77.1.
41 España, Jefatura de Gobierno, Ley Orgánica 3/2018, art. 50.
42 Carlos Ruiz Miguel, "En torno a la protección de datos automatizados", Revista de Estudios Políticos, núm. 84 (abril-junio 1994): 241.
43 Agencia Española de Protección de Datos, Resolución núm. R/000074/2019; Expediente núm. TD/00062/2019 (Madrid, 23 de marzo de 2019).
44 Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679, art. 17.1.
45 Raquel Luquin, "Algunas consideraciones sobre los límites del derecho de la desaparición digital a la luz de la entrada en vigor del Reglamento (UE) 2016/679, de 27 de abril de 2016 (LCEur 2016,605)", Revista doctrinal, núm. 11 (2018): 114.
46 Unión Europea, Tribunal de Justicia, Sentencia TSJCE 2014/85 de 13 de mayo de 2014, M. P. M. Ilesic.
47 Efrén Díaz, "El nuevo Reglamento general de protección de datos de la Unión Europea y sus consecuencias jurídicas para las instituciones", Aranzadi Doctrinal, núm. 6 (abril 2016): 160.
48 Díaz, "El nuevo Reglamento general de protección de datos", 119.
49 Díaz, "El nuevo Reglamento general de protección de datos", 120.
50 Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679, art. 83, nums. 4, 5 y 6.
51 Ángela Martínez-Rojas, "Principales aspectos del consentimiento en el Reglamento general de la protección de datos de la Unión Europea", Aranzadi de derecho y nuevas tecnologías, núm. 42 (2016): 80.
52 Martín Rebollo, Constitución Española, 163-164.
53 Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679, art. 57.1.
54 Parlamento Europeo y Consejo de la Unión Europea, Reglamento (UE) 2016/679, art. 58.1.
55 "Cuando
el procedimiento se refiera exclusivamente a la falta de atención de una
solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22
del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite,
que se adoptará conforme a lo establecido en el artículo 65 de esta ley
orgánica [...]. En este caso el plazo para resolver el procedimiento será de
seis meses a contar desde la fecha en que hubiera sido notificado al reclamante
el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá
considerar estimada su reclamación [...]. Cuando el procedimiento tenga por
objeto la determinación de la posible existencia de una infracción de lo
dispuesto en el Reglamento (UE) 2016/679 y en la presente Ley Orgánica, se
iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como
consecuencia de reclamación. Si el procedimiento se fundase en una reclamación
formulada ante la Agencia Española de Protección de Datos, con carácter previo,
esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el
artículo 65 de esta Ley Orgánica admitida a trámite la reclamación así como en
los supuestos en que la Agencia Española de Protección de Datos actúe por
propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una
fase de actuaciones previas de investigación, que se regirá por lo previsto en el
artículo 67 de esta Ley Orgánica". España, Jefatura de Gobierno, Ley
Orgánica3/2018, art. 64.1.2.
Más
adelante señala: "La Agencia Española de Protección de Datos actuará en
todo caso cuando sea precisa la investigación de tratamientos que implique un
tráfico masivo de datos personales". España, Jefatura de Gobierno, Ley
Orgánica 3/2018, art. 67, párr. 2.
Referencias
Agencia Española de Protección de Datos. Resolución núm. R/000074/2019; Expediente núm.TD/00062/2019. Madrid, 23 de marzo de 2019.
Cataluña, Tribunal de Justicia, Sala de lo Social, Sección 1°. Sentencia JUR 2019/95696. M. P. Adolfo Matías Colino Rey.
Comunidades Europeas. Directiva 95/46/CE, "Del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos". Luxemburgo: Diario Oficial de las Comunidades Europeas núm. 21, 24 de octubre de 1995.
Díaz, Efrén. "El nuevo Reglamento general de protección de datos de la Unión Europea y sus consecuencias jurídicas para las instituciones". Aranzadi Doctrinal, núm. 6 (abril 2016): 155-190.
Dopazo, Pilar. "La protección de datos en el derecho europeo: principales aportaciones doctrinales y marco regulatorio vigente. (Novedades del Reglamento general de protección de datos)". Revista Española de Derecho Europeo, núm. 68 (2018), 113-148.
España, Comisión de Justicia. Proyecto de ley orgánica, "De protección de datos de carácter personal". Madrid: Boletín Oficial del Estado núm. 13, 9 de octubre de 2018.
España, Jefatura de Gobierno. Ley 40/2015, "De régimen jurídico del sector público". Madrid: Boletín Oficial del Estado núm. 236, 2 de octubre de 2016.
España, Jefatura de Gobierno. Ley 47/2003, "General presupuestaria". Madrid: Boletín Oficial del Estado núm. 284, 27 de noviembre de 2003.
España, Jefatura de Gobierno. Ley Orgánica 15/1999, "De protección de datos de carácter personal". Madrid: Boletín Oficial del Estado núm. 298, 14 de diciembre de 1999.
España, Jefatura de Gobierno. Ley Orgánica 3/2018, "De protección de datos personales y garantía de derechos digitales". Madrid: Boletín Oficial del Estado núm. 294, 6 de diciembre de 2018.
España, Jefatura de Gobierno. Ley Orgánica 5/1992, "De regulación de tratamiento automatizado de datos de carácter personal". Madrid: Boletín Oficial del Estado núm. 262, 31 de octubre de 1992.
España, Jefatura del Gobierno. Ley Orgánica 6/1985, "Del poder judicial". Madrid: Boletín Oficial del Estado núm. 157, 2 de julio de 1985.
España, Ministerio de Economía y Hacienda. Orden 1 de febrero de 1996, "Por la que se aprueba la instrucción de operatoria contable a seguir en la ejecución del gasto en el Estado". Madrid: Boletín Oficial del Estado núm. 34, 8 de febrero de 1996.
España, Ministerio de Economía y Hacienda. Real decreto legislativo 1091/1988, "Por el que se aprueba el texto refundido de la Ley General Presupuestaria". Madrid: Boletín Oficial del Estado núm. 234, 29 de septiembre de 1988.
España, Ministerio de Justicia e Interior. Real Decreto 1332/1994, "Por el que se desarrollan determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter personal". Madrid: Boletín Oficial del Estado núm. 147, 21 de junio de 1994.
España, Ministerio de Relaciones con las Cortes y de la Secretaría del Gobierno. Real Decreto 428/1993, "Por el que se aprueba el Estatuto de la Agencia de Protección de Datos". Madrid: Boletín Oficial del Estado núm. 106, 26 de marzo de 1993.
Gamero, Eduardo. "¿El 'retorno' al derecho administrativo?: manifestaciones en las leyes de procedimiento, régimen jurídico y contratos del sector público". Revista Española de Derecho Administrativo, núm. 189 (enero-marzo 2018): 13-24.
Luquin, Raquel. "Algunas consideraciones sobre los límites del derecho de la desaparición digital a la luz de la entrada en vigor del Reglamento (UE) 2016/679, de 27 de abril de 2016 (LCEur 2016, 605)". Revista doctrinal, núm. 11 (2018): 109-140.
Martín Rebollo, Luis. Constitución Española 2003-edición especial (códigos básicos). Navarra: Aranzadi, 2003.
Martínez-Rojas, Ángela. "Principales aspectos del consentimiento en el Reglamento general de la protección de datos de la Unión Europea". Revista Aranzadi de derecho y nuevas tecnologías, núm. 42 (2016): 59-82.
Parlamento Europeo y Consejo de la Unión Europea. Reglamento (UE) 2016/679, "Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)". Bruselas: Diario Oficial de la Unión Europea, 27 de abril de 2016.
Presidencia de la Generalitat. Ley 2/2015, de 2 de abril, "De transparencia, buen gobierno y participación ciudadana de la Comunitat Valenciana". Valencia: Boletín Oficial Español núm. 100, de 27 de abril de 2015.
Ruiz Miguel, Carlos. "En torno a la protección de datos automatizados". Revista de Estudios Políticos, núm. 84 (abril-junio 1994): 237-264.
Unión Europea, Tribunal de Justicia. Sentencia TSJCE 2014/85 de 13 de mayo de 2014. M. P. M. Ilesic.