LegalizeInstrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio
PREÁMBULO
I
Desde la aprobación en 2016 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, o RGPD), y con la finalidad de asistir y formar a todos los actores implicados en los procesos de tratamiento de datos y procurar una transición ordenada a la nueva regulación establecida en el RGPD, la Agencia Española de Protección de Datos (AEPD) ha venido desarrollando funciones consultivas particularizadas, a demanda de responsables y encargados individuales. Transcurridos más de cinco años desde la entrada en vigor del RGPD parece oportuno concluir la fase transitoria y definir con claridad, en aras de la certeza jurídica de los sujetos obligados, cuáles son las funciones consultivas que debe desarrollar la AEPD, de conformidad con el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD), y su Estatuto, aprobado por el Real Decreto 389/2021, de 1 de junio.
El objeto de la presente Instrucción es adaptar las funciones consultivas de la AEPD a los preceptos del RGPD, la LOPDPGDD y de su Estatuto. De una parte, se trata de ajustar la actividad de la AEPD al principio de responsabilidad proactiva de los responsables del tratamiento enunciado como novedad en el RGPD y, de otra, respetar el principio de competencia administrativa y ceñirse a las funciones previstas en el citado RGPD (artículo 57) para las autoridades de control en protección de datos.
En cuanto al principio de responsabilidad proactiva de los responsables del tratamiento, efectivamente, tal como se recoge en la Exposición de motivos de la Ley Orgánica 3/2018, «la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan»; con el asesoramiento y supervisión, en su caso, del Delegado de Protección de Datos (DPD). Este nuevo principio, esencial para entender el marco normativo de la protección de datos personales en la Unión Europea (UE), está recogido en el artículo 5 del RGPD, en concreto en el apartado 2.f), que establece que: «el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 [los principios de obligada observancia recogidos en el RGPD] y capaz de demostrarlo (responsabilidad proactiva)».
De lo anterior se deduce que tanto el RGPD, como la LOPDGDD en el ámbito nacional, han establecido un nuevo sistema de cumplimiento para responsables y encargados de tratamiento por el cual estos sujetos no sólo deben cumplir las obligaciones que les impone la normativa aplicable, sino que proactivamente deben poder demostrarlo o documentarlo frente a las autoridades de control. El RGPD ofrece un conjunto de medidas que facilitan su cumplimiento, unas de carácter obligatorio –en determinados supuestos– como la designación de un delegado de protección de datos (DPD), que proporciona asesoramiento a responsables y encargados del tratamiento y supervisa el cumplimiento del RGPD, y otras voluntarias como los códigos de conducta o los mecanismos de certificación.
Asimismo, hay que tener en cuenta la nueva competencia atribuida a la Presidencia de la AEPD por el artículo 55 de la LOPDGDD, que la faculta para dictar circulares que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el RGPD y en la LOPDGDD, y que serán obligatorias una vez publicadas en el «Boletín Oficial del Estado», ajustándose su procedimiento de elaboración a lo establecido en el Estatuto de la Agencia Española de Protección de Datos. Atendiendo a dicha competencia y al carácter obligatorio de las circulares, se considera que las mismas deben configurarse como el elemento prioritario a través del cual la AEPD establezca los criterios generales de interpretación de la normativa sobre protección de datos personales, contribuyendo de este modo a incrementar la seguridad jurídica.
II
El segundo elemento de adaptación, ajustar la actividad de la AEPD al catálogo de funciones previstas en el RGPD para las autoridades de control, es un elemento ligado también al nuevo principio de responsabilidad proactiva. En este enfoque, las autoridades de control tienen un carácter marcadamente de supervisión y no se encuentran entre sus funciones, listadas en el artículo 57 del RGPD, las de asesorar o resolver las consultas de los responsables o encargados del tratamiento, porque son ellos mismos, asistidos por sus DPD, o abogados o consultores, quienes han de determinar los tratamientos de datos que implique el ejercicio de su actividad, evaluar los riesgos que su suponen para los derechos y libertades de los afectados e implantar las medidas necesarias para evitarlos o reducirlos. Así lo ha interpretado acertadamente la Comisión Europea en sus orientaciones sobre la aplicación directa del Reglamento general de protección de datos a partir del 25 de mayo de 2018, contenidas en su Comunicación 43 de fecha 24 de enero de 2018. A juicio de la Comisión Europea, el asesoramiento jurídico personalizado e individualizado a los responsables y los encargados del tratamiento sólo corresponde a los abogados y delegados de protección de datos. Conviene subrayar también que la LOPDGDD tampoco ha ampliado las funciones listadas en el citado artículo 57 del RGPD, ni ha dado cobertura legal por tanto a una función consultiva dirigida a responsables o encargados del tratamiento.
Además, se ha de tener en cuenta el carácter independiente e imparcial que las autoridades de control en protección de datos deben observar en el ejercicio de su función primordial supervisora, por lo que el asesoramiento particularizado a responsables o encargados podría perjudicar en un futuro la imparcialidad de las labores de supervisión, cuando se hubiese asesorado previamente sobre un tratamiento de datos que posteriormente da lugar a actuaciones de investigación.
III
En consecuencia, las funciones consultivas de la AEPD deben adaptarse al nuevo esquema jurídico creado por el RGPD, que no contempla el asesoramiento individualizado a responsables o encargados por la autoridad de control ni la consulta particular a demanda de los responsables. Por tanto, la AEPD no desarrollará funciones consultivas individualizadas destinadas a responsables y encargados del tratamiento, porque no se prevé así en el RGPD ni en la LOPDGDD. No es coherente con el principio de responsabilidad proactiva y puede generar una percepción de falta de imparcialidad cuando la AEPD tenga que ejercitar sus potestades de investigación y supervisión sobre tratamientos en los que previamente ha desarrollado una función asesora o consultiva.
Por otro lado, es criterio reiterado de esta Agencia el de no atender a las consultas que puedan plantearse por despachos de abogados o consultores cuyas funciones son, precisamente, la interpretación de la ley y el asesoramiento a sus clientes.
No obstante, para ayudar de manera generalizada al cumplimiento de responsables y encargados, la AEPD ha publicado, desde la aprobación del RGPD, numerosas guías, manuales de ayuda y diseñado aplicaciones gratuitas y disponibles en su web (www.aepd.es), que facilitan a los responsables y encargados la puesta en marcha de su actividad con respeto de la normativa de protección de datos y la evaluación de los riesgos generados. Asimismo, la AEPD pone a disposición de todos en su web un catálogo de preguntas frecuentes donde puede encontrarse respuesta a los problemas más comunes detectados en la aplicación y cumplimento de la normativa de protección de datos.
Con base en todo lo anterior, las funciones consultivas de la AEPD, según estipula el RGPD y la LOPDGDD, se configuran esencialmente para los siguientes supuestos: en primer lugar, se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria. En segundo lugar, se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos. En tercer lugar, la AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva. Finalmente, se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.
Por tanto, son las funciones consultivas descritas en el párrafo anterior las que está obligada a realizar la AEPD, dentro del marco competencial fijado por el RGPD y la LOPDGDD, y las que se regulan en las normas de la presente instrucción.
IV
El considerando 38 del RGPD señala que «Los niños merecen una protección específica de sus datos personales» y el artículo 57.1.b) establece que «Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención». Para este grupo la AEPD dispone de un espacio en su web dedicado exclusivamente al tratamiento de los datos personales de los menores y al ámbito educativo, que incluye un canal específico de atención y consulta que, en aras de la particular protección de la que son acreedores los menores, ha de continuar prestando sus servicios en las condiciones en las que se viene realizando, por lo que la presente instrucción no debe afectar a su actual funcionamiento y operatividad.
En consecuencia con lo expuesto, en virtud de la facultad que me concede el artículo 13.1, letras a) y d), del Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, y el artículo 6 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, apruebo la siguiente
Primero. Objeto y ámbito de aplicación.
La presente instrucción será de aplicación a la actividad consultiva de la AEPD que comprende las siguientes funciones:
Informar preceptivamente:
Los proyectos de disposiciones generales de desarrollo del RGPD y de la LOPDGDD.
Cualesquiera anteproyectos de ley o proyectos de reglamento que incidan en la materia propia del RGPD.
Los anteproyectos de ley por los que se exijan datos con carácter obligatorio y su adecuación a lo dispuesto en el artículo 7 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.
El contenido y formato de los cuestionarios, hojas censales y otros documentos de recogida de datos con fines estadísticos oficiales.
Los procesos de recogida y tratamiento de los datos personales a efectos estadísticos oficiales.
Las condiciones de seguridad de los tratamientos realizados con fines exclusivamente estadísticos oficiales.
Cualesquiera otros informes que se deban emitir por la AEPD con carácter preceptivo en virtud de disposiciones legales o reglamentarias.
Proporcionar información relativa a las consultas formuladas por las personas afectadas sobre el ejercicio de sus derechos, cuando éstas así lo soliciten en virtud del artículo 57.1.e) del RGPD.
Dar respuesta a las consultas presentadas por los DPD, cuando estos lo soliciten en virtud del artículo 39.1.e) del RGPD y conforme a los requisitos que se exponen en la norma 4.
Dar respuesta a consultas previas presentadas por los responsables del tratamiento conforme dispone el artículo 36 del RGPD [artículo 57.1.l) RGPD].
Asimismo, la presente instrucción comprende las actuaciones para promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del RGPD. Tales actuaciones consistirán en:
La elaboración de materiales, recursos y herramientas dirigidos a facilitar y ayudar a los responsables y encargados el cumplimiento del RGPD y la LOPDPGDD.
La elaboración y ejecución de planes de acción dirigidos a sectores cuya actividad principal implique el tratamiento de datos personales, a organizaciones de consumidores y usuarios, y representativas de trabajadores.
No es objeto de la presente instrucción las circulares que puede dictar la Agencia para establecer los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el RGPD y en la LOPDGDD, que se ajustarán al procedimiento regulado en el Estatuto.
CAPÍTULO I. Función consultiva dirigida al Parlamento, al Gobierno y a las Administraciones Públicas relativa al desarrollo y aplicación de las normas que incidan en materia propia del RGPD y la LOPDPGDD [artículo 57.1.e) RGPD]
Segundo. El Gabinete Jurídico de la Agencia Española de Protección de Datos.
Al Gabinete Jurídico de la Agencia Española de Protección de Datos le corresponde el asesoramiento jurídico de los distintos órganos de la Agencia, en virtud del Convenio suscrito con la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado, que ejercerá en los términos establecidos por la Ley 52/1997, de 27 de noviembre, de Asistencia Jurídica al Estado e Instituciones Públicas, su normativa de desarrollo y el citado Convenio.
Este asesoramiento, que incluirá el correspondiente a los informes preceptivos sobre disposiciones legales y reglamentarias que le sean solicitados por la Presidencia de la Agencia, tendrá carácter prioritario y será preferente sobre cualesquiera otros asuntos que le puedan ser sometidos a su consideración.
Asimismo, le corresponderá emitir informe en aquellos otros asuntos de carácter jurídico en los que deba consultarse, preceptivamente, a la Agencia Española de Protección de Datos, en virtud de disposiciones legales o reglamentarias, y no sean competencia de otro órgano de la Agencia, que tendrán preferencia sobre el resto de consultas que puedan formularse sin dicho carácter.
Corresponderá al Gabinete Jurídico informar las consultas que puedan presentar los DPD conforme a la norma 4, cuando se trate de cuestiones que no puedan resolverse con los criterios ya informados por la AEPD o de cuestiones nuevas derivadas de la aplicación del nuevo régimen jurídico de protección de datos de carácter personal, siempre que el Gabinete Jurídico considere que tienen un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica.
En estos supuestos, el informe del DPD deberá analizar detallada y motivadamente las cuestiones objeto de consulta, incluyendo el criterio defendido por el propio DPD, así como el razonamiento sobre el alcance general de la consulta.
Estas consultas se atenderán atendiendo a la relevancia de las mismas, en la medida en que el resto de la actividad del Gabinete a la que se refieren los apartados anteriores lo permitan, dando preferencia a las que formulen los DPD de las Administraciones Públicas y de las asociaciones y organizaciones representativas de categorías de responsables o encargados.
En ningún caso se emitirán informes sobre consultas que se refieran a tratamientos que estén realizando sujetos distintos del propio consultante, sin perjuicio de su derecho a presentar una reclamación conforme al artículo 77.1 del RGPD.
Con carácter excepcional y siempre que el Gabinete Jurídico considere que tienen un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica, se atenderán las consultas que formulen los responsables o encargados del tratamiento, en los supuestos en que no sea obligatoria designación de DPD, siempre que se justifique la imposibilidad de su designación con carácter voluntario y se acompañe un informe que analice detallada y motivadamente las cuestiones objeto de consulta. En estos supuestos, se dará preferencia a las formuladas por organizaciones representativas de categorías de responsables o encargados.
CAPÍTULO II. Función consultiva dirigida a los ciudadanos para facilitar información sobre el ejercicio de sus derechos [artículo 57.1.e) RGPD]
Tercero. Cauces de información de la AEPD a los ciudadanos sobre sus derechos, contenidos y efectos de la actividad informativa.
El órgano de la AEPD responsable de la promoción informativa es la Subdirección General de Promoción y Autorizaciones (SGPA).
La SGPA proporciona el servicio de información a los ciudadanos sobre sus derechos a través de los siguientes mecanismos:
Publicaciones informativas a través de la web de la AEPD (FAQ, guías, manuales y otros materiales y contenidos).
Atención presencial concertada mediante cita previa.
Atención telefónica individualizada.
⋯
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.