Art. [preambulo]
En vigor desde 3 jun 2021
La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, encomendó el control de la aplicación de sus disposiciones a un ente público independiente al que denominó Agencia de Protección de Datos y que se caracterizaba por la absoluta independencia de su Director en el ejercicio de sus funciones, reforzada por el establecimiento de un mandato fijo que solo podía ser acortado por un numerus clausus de causas de cese. La efectiva creación de la Agencia se llevó a cabo mediante la regulación de su estructura orgánica y la aprobación de su Estatuto por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos.
Posteriormente, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobada para transponer a nuestro Derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, mantuvo la configuración de la Agencia como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones.
En el momento actual, el régimen jurídico de la protección de datos de carácter personal viene establecido directamente por el Derecho de la Unión Europea tras la plena aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Dicho Reglamento fue adoptado con dos claros objetivos: por una parte, superar la fragmentación existente en la aplicación de las normas de trasposición de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que ha dado lugar, en la práctica, y a pesar de derivar todos ellos de unos principios comúnmente aceptados, a la existencia de tantos regímenes de protección de datos como Estados Miembros, con distintos niveles de protección y, especialmente, de reacción ante conductas que pudieran suponer una infracción de la norma. Y por otra, adaptar las normas de protección de datos a la rápida evolución tecnológica y a los fenómenos derivados del desarrollo exponencial de la sociedad de la información y la globalización que la misma conlleva en el tratamiento de los datos de carácter personal.
El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa, al evolucionar desde el antiguo modelo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que estaba basado en una serie de obligaciones a las que los responsables y encargados del tratamiento habían de sujetarse, unidas al reconocimiento de potestades reactivas de las autoridades de protección de datos, hacia un nuevo paradigma basado en lo que se denomina «enfoque de riesgo»; es decir, en la necesaria evaluación por los propios responsables y encargados del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental para, a partir de esa valoración, adoptar las medidas que resulten necesarias para mitigarlos en todo lo que sea posible. Se evoluciona así hacia un modelo de responsabilidad activa, que exigirá a su vez una valoración dinámica de la actividad desarrollada por el sujeto obligado por la norma y la adopción de medidas tales como la privacidad desde el diseño y por defecto, la realización de evaluaciones de impacto en la protección de datos o la implantación de medidas de seguridad técnicas y organizativas ajustadas en cada momento al estado de la técnica y a los riesgos derivados del tratamiento. En este modelo, por otra parte, las medidas de carácter organizativo, tales como la designación de un delegado de protección de datos, sobre el que recae la función de asesorar y supervisar las actividades de tratamiento de los responsables o encargados, adquieren un papel fundamental para la salvaguarda del derecho fundamental de los afectados. Finalmente, se fomenta el establecimiento de sistemas de autorregulación, incluyendo mecanismos de resolución extrajudicial de controversias, y el desarrollo de esquemas de certificación.
El nuevo modelo de protección de datos de carácter personal tiene una incidencia notable en la organización y funciones tradicionales de la Agencia Española de Protección de Datos, puesto que el Reglamento general de protección de datos refuerza las competencias de las autoridades de control que deberán contar con todos las funciones y poderes efectivos, incluidos los poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos previstos en el propio Reglamento y ha introducido los mecanismos que garanticen la necesaria coordinación y coherencia entre las diferentes autoridades de control europeas.
Para ello, el Reglamento inviste a las autoridades de protección de datos de una total independencia, destacando en el considerando 117 que «el establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal. Los Estados miembros deben tener la posibilidad de establecer más de una autoridad de control, a fin de reflejar su estructura constitucional, organizativa y administrativa».
A estos efectos, el citado Reglamento impone a los Estados miembros la adopción de un régimen jurídico específico que deberá establecerse mediante ley respecto de todos los elementos que recoge en su artículo 54.
Para dar cumplimiento a dicha obligación se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuyo título VII se dedica a las autoridades de protección de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se han de establecer por ley nacional, configurando la Agencia Española de Protección de Datos como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
Asimismo, atribuye a la Agencia Española la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos e introduce una serie de modificaciones en su régimen jurídico con el fin de reforzar su independencia, destacando, entre otras, las relativas al procedimiento de nombramiento, mandato y cese de la Presidencia y de la Adjuntía a la Presidencia, quienes ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño; el régimen de modificaciones y de vinculación de los créditos de su presupuesto; la elaboración y aprobación de la relación de puestos de trabajo; la composición del Consejo Consultivo; el deber de colaboración con la Agencia; la realización de planes de auditoría o las potestades de regulación por medio de circulares.
Por otro lado, hay que tener en cuenta que la Agencia Española de Protección de Datos no solo ejerce las competencias derivadas del Reglamento, sino que también ejercerá las que establece la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Igualmente ejerce actualmente las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, que en la actualidad se recogen en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y en la legislación en materia de telecomunicaciones.
Por todo ello, resulta necesario la aprobación de un nuevo Estatuto que adapte la organización y funcionamiento de la Agencia Española de Protección de Datos a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre.
El presente real decreto consta de un artículo único que aprueba el Estatuto de la Agencia Española de Protección de Datos, una disposición adicional sobre supresión de órganos directivos, una disposición transitoria única sobre unidades y puestos de trabajo con el nivel orgánico inferior a subdirección general, una disposición derogatoria única y una disposición final única relativa a la entrada en vigor del real decreto.
El Estatuto se estructura en cinco capítulos. El primero de ellos incluye las disposiciones generales sobre la naturaleza, régimen jurídico, autonomía e independencia, funciones y potestades, circulares, acción exterior, colaboración en el ámbito de la Administración de Justicia, programación, memoria anual, sede y transparencia y publicidad.
En el capítulo II se define la estructura orgánica de la Agencia Española de Protección de Datos especificando las funciones de sus diferentes órganos. En concreto, la estructura orgánica se articula en torno a la Presidencia, de la que dependen la Adjuntía a la Presidencia, la Subdirección General de Inspección de datos, la Subdirección General de Promoción y Autorizaciones, la Secretaría General, la División de Relaciones Internacionales y la División de Innovación Tecnológica. Se regula el procedimiento de designación de la Presidencia y la Adjuntía, como consecuencia de una observación formulada al respecto por el Consejo de Estado en su dictamen sobre el proyecto. También se desarrolla el régimen, competencias y funcionamiento del Consejo Consultivo en cuanto órgano colegiado de asesoramiento de la Presidencia de la Agencia Española de Protección de Datos.
El capítulo III se refiere al personal al servicio de la Agencia Española de Protección de Datos, que podrá ser funcionario o laboral, a la elaboración y aprobación de la relación de puestos de trabajo, retribuciones, evaluación del desempeño, incompatibilidades y deber de secreto profesional.
El capítulo IV regula el régimen económico, presupuestario, patrimonial y de contratación, detallando el régimen económico financiero, patrimonial y de contratación y el régimen presupuestario, de contabilidad y control económico financiero.
Por último, el capítulo V regula el asesoramiento jurídico de la Agencia, que se encomienda a la Abogacía General del Estado-Servicio Jurídico del Estado en virtud del correspondiente convenio.
Este real decreto se adecua a los principios de buena regulación (necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia) conforme a los cuales deben actuar las Administraciones Públicas en el ejercicio de la iniciativa legislativa y la potestad reglamentaria, según establece el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Así, este real decreto atiende a la necesidad de adecuar la estructura orgánica de la Agencia Española de Protección de Datos a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y en la Ley Orgánica 7/2021, de 26 de mayo, y es eficaz y proporcionado en el cumplimiento de este propósito, sin afectar en forma alguna a los derechos y deberes de la ciudadanía. Asimismo, contribuye a dotar de mayor seguridad jurídica a la organización y funcionamiento de la Agencia, al adecuarla a las nuevas competencias establecidas en dichas normas. Cumple también con el principio de transparencia, y es también adecuada al principio de eficiencia, ya que, entre otras cuestiones, no impone cargas administrativas adicionales.
En su virtud, a propuesta de la Agencia Española de Protección de Datos, y a propuesta conjunta del Ministro de Política Territorial y Función Pública, de la Ministra de Hacienda y del Ministro de Justicia, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 1 de junio de 2021,
DISPONGO:
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/rd/2021/06/01/389#preambulo-pr