Agencia de Protección de Datos

From FdIwiki ELP
Jump to: navigation, search

¿Qué es la Agencia de Protección de Datos?

La Agencia Española de Protección de Datos (AEPD) es un órgano especializado encargado de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, especialmente en lo relativo al ejercicio del los derechos esenciales de los ciudadanos (los derechos de acceso, rectificación, cancelación y oposición) (ARCO). Se trata de un ente público con personalidad jurídica propia y plena capacidad pública y privada que actúa con plena independencia de las Administraciones Públicas y que se relaciona con el Gobierno a través del Ministerio de Justicia.

Funciones de la Agencia de Protección de Datos.

General

Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

En relación con los afectados

  • Atender a sus peticiones y reclamaciones.
  • Información de los derechos reconocidos en la Ley.
  • Promover campañas de difusión a través de los medios.

En relación con quienes tratan datos

  • Emitir autorizaciones previstas en la Ley.
  • Requerir medidas de corrección.
  • Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
  • Ejercer la potestad sancionadora.
  • Recabar ayuda e información que precise.
  • Autorizar las transferencias internacionales de datos.

En la elaboración de normas

  • Informar los Proyectos de normas de desarrollo de la LOPD.
  • Informar los Proyectos de normas que incidan en materias de protección de datos.
  • Dictar Instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD.
  • Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.

En materia de telecomunicaciones

Tutelar los derechos y garantías de los abonados y usuarios en el ámbito de las comunicaciones electrónicas, incluyendo el envío de comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica equivalente.

Otras funciones

  • Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD).
  • Cooperación Internacional.
  • Representación de España en los foros internacionales en la materia.
  • Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública.
  • Elaboración de una Memoria Anual, presentada por conducto del Ministro de Justicia a las Cortes.

Organización y Estructura de la Agencia

La Agencia Española de Protección de datos está estructurada en los siguientes departamentos:

El Director

Es la figura que representa y dirige la Agencia de Protección de datos. Será nombrado, de entre quienes componen el Consejo Consultivo, mediante Real Decreto, por un periodo de cuatro años. Ejercerá sus funciones con plena independencia y objetividad y no estará sujeto a instrucción alguna en el desempeño de aquellas. En todo caso deberá oír al Consejo Consultivo en aquellas propuestas que éste le realice en el ejercicio de sus funciones

El Consejo Consultivo

Es un órgano colegiado cuya misión principal es asesorar al Director. Estará compuesto por una serie de miembros; Un diputado, un senador, un representante de la Administración Central, un representante de la Administración local, un miembro de la Real Academia de la Historia, un experto en la materia propuesto por el consejo Superior de Universidades, un representante de los usuarios y consumidores, un representante de cada comunidad autónoma y un representante del sector de ficheros privados.

El Registro General de Protección de Datos

Es el órgano encargado de velar por la publicidad de la existencia de los ficheros de datos personales con miras ha hacer posible el ejercicio de sus derechos por parte de los ciudadanos.

  • Expedientes que tramita
    • Inscripción de tratamientos notificados
    • Autorización de transferencias internacionales de datos
    • Inscripción de Códigos Tipo
  • Tratamientos inscribibles
    • Ficheros Públicos.
      • Administración del Estado
      • Administración de las CC.AA.
      • Administración Local
      • Entidades vinculadas o dependientes de esas Administraciones
      • Administración 'corporativa' en el desempeño de potestades de derecho público
    • Ficheros Privados.
  • Contenido de las inscripciones
    • Responsable del fichero, ubicación y existencia de encargados del tratamiento.
    • Finalidad y usos.
    • Afectados.
    • Procedimiento de recogida.
    • Estructura del fichero y tipo de datos que contiene.
    • Cesiones y transferencias, indicando destinatarios.
    • Medidas de seguridad.
    • Forma de ejercicio por los afectados de sus derechos.
  • Si el fichero es de titularidad pública, debe aprobarse una disposición general en que se haga mención a estos extremos.
  • Procedimiento Notificación del tratamiento al RGPD (previo a iniciar la recogida de los datos).
    • Si hubiera que subsanar algún defecto: solicitud de subsanación en 10 días.
    • Si se aclara o no hizo falta subsanación, se inscribe el tratamiento.
    • Si no se ha aclarado suficientemente, se deniega la inscripción.
    • Si no se dice nada en 30 días desde la remisión (sin contar el plazo de subsanación), el fichero se considerará inscrito (silencio positivo).
  • Efectos de la inscripción: la inscripción es necesaria para que el tratamiento sea lícito, pero la inscripción es meramente declarativa.
    • No inscribir es contrario a la LOPD.
    • Estar inscrito no implica una presunción de que el tratamiento es totalmente conforme a la Ley.

La Inspección de Datos

Es el órgano al que corresponde el ejercicio de la potestad inspectora de la Agencia con el fin de comprobar la legalidad de los tratamientos.

  • Las autoridades de controlo podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos.
  • Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre la información que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.

La Secretaría General de la Agencia

Es el órgano encargado de apoyar el correcto funcionamiento de la agencia.

  • Le corresponderán una serie de funciones:
    • Funciones de apoyo y ejecución: Elaborar los informes y propuestas que les solicite el Director, notificar las resoluciones del Director, ejercer la secretaría del Consejo Consultivo, gestionar los medios personales y materiales, así como atender la gestión económico-administrativa de la AEPD, llevar el inventario, y cuantos asuntos no estén atribuidos a otros órganos de la misma.
  • Otras funciones: Formar y actualizar el fondo de documentación en materia de protección de datos, editar los repertorios oficiales de ficheros inscritos en el RGPD, las memorias anuales y cualesquiera otras publicaciones de la AEPD, organizar conferencias, seminarios y cualesquiera otras actividades de cooperación internacional e interregional sobre protección de datos y facilitar la información necesaria para llevar a cabo campañas de difusión a través de los medios de comunicación.
AGPD1.png

Derechos A.R.C.O.

En relación con los datos registrados en el Registro General de Protección de datos para conocer quien los tiene y que uso está haciendo de ellos. Estos derechos son:

De Acceso

Tanto la LOPD como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, reconocen expresamente el derecho de las personas a tener acceso a los datos de carácter privado que se encuentren en ficheros de empresas y entidades; y conocer el tratamiento al que están siendo sometidos, la fuente de donde fueron obtenidos y las comunicaciones que se realice o prevean realizarse de los mismos a otras organizaciones.

Derecho de Rectificación

Cuando los datos incluidos en cualquier fichero, automatizado o no, son inexactos, incompletos o excesivos el ciudadano tiene derecho a solicitar su rectificación y que esta sea atendida.

Derecho de Cancelación

También se tiene el derecho de cancelar los datos definitivamente cuando así lo soliciten.

Derecho de Oposición

En los casos en los que no sea necesario el conocimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, este podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En ese supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado .

Fases de implantación de la normativa de protección de datos

La siguiente ilustración muestra un esquema del proceso de implementación de la normativa sobre protección de datos.

AGPD2.png

Fase I. Adaptación de ficheros

Una de las principales implicaciones que la normativa sobre protección de datos tiene para las empresas es la necesidad de notificar sus ficheros ante el Registro de la AEPD. Para ello, como paso previo, es necesario que la empresa identifique los datos de carácter personal que se están manejando en su ámbito y cómo se encuentran éstos organizados (ficheros automatizados, no automatizados, mixtos).

Fase II. Legitimación de datos

Todos los datos de carácter personal recogidos por la empresa, deben contar con el consentimiento del afectado, así como cumplir una serie de principios y obligaciones básicas previstas en la normativa, que se tratarán en detalle en este apartado.

Fase III. Políticas de seguridad de datos

La LOPD y el RDLOPD establecen una serie de medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal, que habrán de adoptarse por la empresa o profesional que almacene estos datos. Entre estas medidas se incluye la elaboración de un documento de seguridad en el que se detallarán los datos almacenados, las medidas de seguridad adoptadas, así como las personas que tienen acceso a esos datos.

Niveles de Seguridad.

Existen tres niveles de seguridad en función de la mayor o menor sensibilidad de los datos recogidos en ellos, tal y como muestra la siguiente tabla.

Debe tenerse en cuenta que los niveles de seguridad son acumulativos, es decir, los ficheros de nivel alto deben cumplir las medidas previstas para los ficheros de nivel alto, medio y básico, y los ficheros de nivel medio deben hacer lo propio con respecto a los niveles medio y básico.

AGPD3.png

Creadores

 Mónica Morán Blanco - 4ºC - GII
 Rubén Barrado González - 4ºC - GIS