Art. [preambulo]

Art. [preambulo]

En vigor desde 6 nov 2021
PREÁMBULO I Desde la aprobación en 2016 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, o RGPD), y con la finalidad de asistir y formar a todos los actores implicados en los procesos de tratamiento de datos y procurar una transición ordenada a la nueva regulación establecida en el RGPD, la Agencia Española de Protección de Datos (AEPD) ha venido desarrollando funciones consultivas particularizadas, a demanda de responsables y encargados individuales. Transcurridos más de cinco años desde la entrada en vigor del RGPD parece oportuno concluir la fase transitoria y definir con claridad, en aras de la certeza jurídica de los sujetos obligados, cuáles son las funciones consultivas que debe desarrollar la AEPD, de conformidad con el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD), y su Estatuto, aprobado por el Real Decreto 389/2021, de 1 de junio. El objeto de la presente Instrucción es adaptar las funciones consultivas de la AEPD a los preceptos del RGPD, la LOPDPGDD y de su Estatuto. De una parte, se trata de ajustar la actividad de la AEPD al principio de responsabilidad proactiva de los responsables del tratamiento enunciado como novedad en el RGPD y, de otra, respetar el principio de competencia administrativa y ceñirse a las funciones previstas en el citado RGPD (artículo 57) para las autoridades de control en protección de datos. En cuanto al principio de responsabilidad proactiva de los responsables del tratamiento, efectivamente, tal como se recoge en la Exposición de motivos de la Ley Orgánica 3/2018, «la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan»; con el asesoramiento y supervisión, en su caso, del Delegado de Protección de Datos (DPD). Este nuevo principio, esencial para entender el marco normativo de la protección de datos personales en la Unión Europea (UE), está recogido en el artículo 5 del RGPD, en concreto en el apartado 2.f), que establece que: «el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 [los principios de obligada observancia recogidos en el RGPD] y capaz de demostrarlo (responsabilidad proactiva)». De lo anterior se deduce que tanto el RGPD, como la LOPDGDD en el ámbito nacional, han establecido un nuevo sistema de cumplimiento para responsables y encargados de tratamiento por el cual estos sujetos no sólo deben cumplir las obligaciones que les impone la normativa aplicable, sino que proactivamente deben poder demostrarlo o documentarlo frente a las autoridades de control. El RGPD ofrece un conjunto de medidas que facilitan su cumplimiento, unas de carácter obligatorio –en determinados supuestos– como la designación de un delegado de protección de datos (DPD), que proporciona asesoramiento a responsables y encargados del tratamiento y supervisa el cumplimiento del RGPD, y otras voluntarias como los códigos de conducta o los mecanismos de certificación. Asimismo, hay que tener en cuenta la nueva competencia atribuida a la Presidencia de la AEPD por el artículo 55 de la LOPDGDD, que la faculta para dictar circulares que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el RGPD y en la LOPDGDD, y que serán obligatorias una vez publicadas en el «Boletín Oficial del Estado», ajustándose su procedimiento de elaboración a lo establecido en el Estatuto de la Agencia Española de Protección de Datos. Atendiendo a dicha competencia y al carácter obligatorio de las circulares, se considera que las mismas deben configurarse como el elemento prioritario a través del cual la AEPD establezca los criterios generales de interpretación de la normativa sobre protección de datos personales, contribuyendo de este modo a incrementar la seguridad jurídica. II El segundo elemento de adaptación, ajustar la actividad de la AEPD al catálogo de funciones previstas en el RGPD para las autoridades de control, es un elemento ligado también al nuevo principio de responsabilidad proactiva. En este enfoque, las autoridades de control tienen un carácter marcadamente de supervisión y no se encuentran entre sus funciones, listadas en el artículo 57 del RGPD, las de asesorar o resolver las consultas de los responsables o encargados del tratamiento, porque son ellos mismos, asistidos por sus DPD, o abogados o consultores, quienes han de determinar los tratamientos de datos que implique el ejercicio de su actividad, evaluar los riesgos que su suponen para los derechos y libertades de los afectados e implantar las medidas necesarias para evitarlos o reducirlos. Así lo ha interpretado acertadamente la Comisión Europea en sus orientaciones sobre la aplicación directa del Reglamento general de protección de datos a partir del 25 de mayo de 2018, contenidas en su Comunicación 43 de fecha 24 de enero de 2018. A juicio de la Comisión Europea, el asesoramiento jurídico personalizado e individualizado a los responsables y los encargados del tratamiento sólo corresponde a los abogados y delegados de protección de datos. Conviene subrayar también que la LOPDGDD tampoco ha ampliado las funciones listadas en el citado artículo 57 del RGPD, ni ha dado cobertura legal por tanto a una función consultiva dirigida a responsables o encargados del tratamiento. Además, se ha de tener en cuenta el carácter independiente e imparcial que las autoridades de control en protección de datos deben observar en el ejercicio de su función primordial supervisora, por lo que el asesoramiento particularizado a responsables o encargados podría perjudicar en un futuro la imparcialidad de las labores de supervisión, cuando se hubiese asesorado previamente sobre un tratamiento de datos que posteriormente da lugar a actuaciones de investigación. III En consecuencia, las funciones consultivas de la AEPD deben adaptarse al nuevo esquema jurídico creado por el RGPD, que no contempla el asesoramiento individualizado a responsables o encargados por la autoridad de control ni la consulta particular a demanda de los responsables. Por tanto, la AEPD no desarrollará funciones consultivas individualizadas destinadas a responsables y encargados del tratamiento, porque no se prevé así en el RGPD ni en la LOPDGDD. No es coherente con el principio de responsabilidad proactiva y puede generar una percepción de falta de imparcialidad cuando la AEPD tenga que ejercitar sus potestades de investigación y supervisión sobre tratamientos en los que previamente ha desarrollado una función asesora o consultiva. Por otro lado, es criterio reiterado de esta Agencia el de no atender a las consultas que puedan plantearse por despachos de abogados o consultores cuyas funciones son, precisamente, la interpretación de la ley y el asesoramiento a sus clientes. No obstante, para ayudar de manera generalizada al cumplimiento de responsables y encargados, la AEPD ha publicado, desde la aprobación del RGPD, numerosas guías, manuales de ayuda y diseñado aplicaciones gratuitas y disponibles en su web (www.aepd.es), que facilitan a los responsables y encargados la puesta en marcha de su actividad con respeto de la normativa de protección de datos y la evaluación de los riesgos generados. Asimismo, la AEPD pone a disposición de todos en su web un catálogo de preguntas frecuentes donde puede encontrarse respuesta a los problemas más comunes detectados en la aplicación y cumplimento de la normativa de protección de datos. Con base en todo lo anterior, las funciones consultivas de la AEPD, según estipula el RGPD y la LOPDGDD, se configuran esencialmente para los siguientes supuestos: en primer lugar, se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria. En segundo lugar, se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos. En tercer lugar, la AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva. Finalmente, se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo. Por tanto, son las funciones consultivas descritas en el párrafo anterior las que está obligada a realizar la AEPD, dentro del marco competencial fijado por el RGPD y la LOPDGDD, y las que se regulan en las normas de la presente instrucción. IV El considerando 38 del RGPD señala que «Los niños merecen una protección específica de sus datos personales» y el artículo 57.1.b) establece que «Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención». Para este grupo la AEPD dispone de un espacio en su web dedicado exclusivamente al tratamiento de los datos personales de los menores y al ámbito educativo, que incluye un canal específico de atención y consulta que, en aras de la particular protección de la que son acreedores los menores, ha de continuar prestando sus servicios en las condiciones en las que se viene realizando, por lo que la presente instrucción no debe afectar a su actual funcionamiento y operatividad. En consecuencia con lo expuesto, en virtud de la facultad que me concede el artículo 13.1, letras a) y d), del Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, y el artículo 6 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, apruebo la siguiente Instrucción
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli/es/ins/2021/11/02/1#preambulo-pr