Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.
El pasado 6 de noviembre de 2021 se publicaba en el BOE la Instrucción de la Agencia Española de Protección de Datos (AEPD), cuyo objetivo principal es adaptar las funciones consultivas de la AEPD a los preceptos del Reglamento general de protección de datos (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) y de su Estatuto, aprobado por el Real Decreto 389/2021, de 1 de junio.
De una parte, se trata de ajustar la actividad de la AEPD al principio de responsabilidad proactiva de los responsables del tratamiento enunciado como novedad en el RGPD y, de otra, respetar el principio de competencia administrativa y ceñirse a las funciones previstas en el citado RGPD (artículo 57) para las autoridades de control en protección de datos.
Funciones de la actividad consultiva de la AEPD
a) Informar preceptivamente:
- Los proyectos de disposiciones generales de desarrollo del RGPD y de la LOPDGDD.
- Cualesquiera anteproyectos de ley o proyectos de reglamento que incidan en la materia propia del RGPD.
- Los anteproyectos de ley por los que se exijan datos con carácter obligatorio y su adecuación a lo dispuesto en el artículo 7 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.
- El contenido y formato de los cuestionarios, hojas censales y otros documentos de recogida de datos con fines estadísticos oficiales.
- Los procesos de recogida y tratamiento de los datos personales a efectos estadísticos oficiales.
- Las condiciones de seguridad de los tratamientos realizados con fines exclusivamente estadísticos oficiales.
- Cualesquiera otros informes que se deban emitir por la AEPD con carácter preceptivo en virtud de disposiciones legales o reglamentarias.
b) Proporcionar información relativa a las consultas formuladas por las personas afectadas sobre el ejercicio de sus derechos, cuando éstas así lo soliciten en virtud del artículo 57.1.e) del RGPD.
c) Dar respuesta a las consultas presentadas por los Delegados de Protección de Datos (DPD), cuando estos lo soliciten en virtud del artículo 39.1.e) del RGPD y conforme a los requisitos que se exponen en la norma 4.
d) Dar respuesta a consultas previas presentadas por los responsables del tratamiento conforme dispone el artículo 36 del RGPD [artículo 57.1.l) RGPD].
Asimismo, la presente instrucción comprende las actuaciones para promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del RGPD. Tales actuaciones consistirán en la elaboración de materiales, recursos y herramientas dirigidos a facilitar y ayudar a los responsables y encargados el cumplimiento del RGPD y la LOPDPGDD, así como la elaboración y ejecución de planes de acción dirigidos a sectores cuya actividad principal implique el tratamiento de datos personales, a organizaciones de consumidores y usuarios, y representativas de trabajadores.
Función consultiva dirigida al Parlamento, al Gobierno y a las Administraciones Públicas relativa al desarrollo y aplicación de las normas que incidan en materia propia del RGPD y la LOPDPGDD [artículo 57.1.e) RGPD]
El órgano encargado del asesoramiento jurídico de los distintos órganos de la Agencia es el Gabinete Jurídico de la Agencia Española de Protección de Datos. Este asesoramiento, que incluirá el correspondiente a los informes preceptivos sobre disposiciones legales y reglamentarias que le sean solicitados por la Presidencia de la Agencia, tendrá carácter prioritario y será preferente sobre cualesquiera otros asuntos que le puedan ser sometidos a su consideración.
Asimismo, emitirá informe en aquellos otros asuntos de carácter jurídico en los que deba consultarse, preceptivamente, a la Agencia Española de Protección de Datos, en virtud de disposiciones legales o reglamentarias, y no sean competencia de otro órgano de la Agencia, que tendrán preferencia sobre el resto de consultas que puedan formularse sin dicho carácter.
Al mismo tiempo informará las consultas que puedan presentar los DPD cuando se trate de cuestiones que no puedan resolverse con los criterios ya informados por la AEPD o de cuestiones nuevas derivadas de la aplicación del nuevo régimen jurídico de protección de datos de carácter personal, siempre que el Gabinete Jurídico considere que tienen un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica.
Con carácter excepcional y siempre que el Gabinete Jurídico considere que tienen un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica, se atenderán las consultas que formulen los responsables o encargados del tratamiento, en los supuestos en que no sea obligatoria designación de DPD, siempre que se justifique la imposibilidad de su designación con carácter voluntario y se acompañe un informe que analice detallada y motivadamente las cuestiones objeto de consulta. En estos supuestos, se dará preferencia a las formuladas por organizaciones representativas de categorías de responsables o encargados.
Función consultiva dirigida a los ciudadanos para facilitar información sobre el ejercicio de sus derechos [artículo 57.1.e) RGPD]
En relación a los cauces de información de la AEPD a los ciudadanos sobre sus derechos, contenidos y efectos de la actividad informativa, el órgano responsable de la promoción informativa es la Subdirección General de Promoción y Autorizaciones (SGPA).
Este órgano proporciona el servicio de información a los ciudadanos sobre sus derechos a través de los siguientes mecanismos:
- Publicaciones informativas a través de la web de la AEPD (FAQ, guías, manuales y otros materiales y contenidos).
- Atención presencial concertada mediante cita previa.
- Atención telefónica individualizada.
- Resolución de consultas escritas de ciudadanos interesados a través de la aplicación disponible en la sede electrónica de la AEPD para consultas individualizadas.
Las consultas que se formulen deben referirse a los derechos de la persona solicitante. Las respuestas a las consultas constituyen una actividad meramente informativa del órgano administrativo, no incluyen valoraciones sobre tratamientos realizados por terceros, ni modifican en modo alguno la situación jurídica del solicitante.
La atención telefónica y la presencial garantizará la información sobre sus derechos de protección de datos a aquellos ciudadanos que no tienen acceso o no disponen de medios electrónicos. Las condiciones y horarios de la atención presencial y telefónica se fijan en la web de la AEPD.
Existirá un catálogo de preguntas frecuentes que estará disponible en la web de la AEPD, y se mantendrá actualizado y adaptado a la evolución tecnológica y a las disposiciones y necesidades económicas y sociales del momento.
Función consultiva dirigida a los Delegados de Protección de Datos (DPD) conforme al artículo 39.1.e) del RGPD
En relación a las consultas de los Delegados de Protección de Datos, la AEPD ha habilitado un canal de consulta para DPD, dependiente orgánicamente de la SGPA.
Las consultas por escrito que formulen los DPD deberán remitirse al canal DPD a través de su sede electrónica. Para la formulación de las consultas el DPD deberá haber sido previamente comunicado a la AEPD por el responsable o encargado. La inclusión en la relación de DPD de la AEPD será suficiente para acreditar su designación como DPD.
Las consultas deben ir acompañadas de un informe del DPD en cuestión, en el que se analice el tratamiento sobre el que se consulta y se examinen los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del mismo.
No serán objeto de respuesta las consultas:
- Que planteen tratamientos hipotéticos.
- Que estén o puedan estar relacionadas con procedimientos en tramitación en la AEPD, incluidas las relativas al estado de tramitación.
- Que pretendan la validación de actuaciones o documentos en materia de protección de datos elaborados por responsable o encargados.
- Que impliquen acceso a la información pública.
- Que se refieran a cuestiones que se encuentran ya explicadas y son accesibles en los materiales publicados en la página web de la AEPD, tales como las Guías, Preguntas Frecuentes y Herramientas elaboradas para facilitar el cumplimiento del RGPD.
Este Canal también estará disponible para las organizaciones y asociaciones representativas de responsables y encargados del tratamiento que presten servicio de asesoramiento en materia de protección de datos a sus asociados, especialmente cuando se trate de pequeñas y micro empresas, en las mismas condiciones que se establecen para los DPD.
Función consultiva sobre las operaciones de tratamiento de alto riesgo contempladas en el artículo 36.2 del RGPD [artículo 57.1.l) RGPD]
Se destaca que serán objeto de consulta previa las evaluaciones de impacto relativas a la protección de datos (EIPD) de aquellos tratamientos que, cumpliendo con los principios y derechos establecidos en el RGPD, sean de alto riesgo para los derechos y libertades de los interesados, y cuando el responsable no haya podido mitigar o evitar dicho riesgo. Además, también aquellos tratamientos sometidos a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales que, cumpliendo con los principios y derechos establecidos en la norma, la EIPD indique que el tratamiento entrañaría un alto nivel de riesgo, a falta de medidas adoptadas por el responsable para mitigar el riesgo o los posibles daños, o cuando el tipo de tratamiento pueda generar un alto nivel de riesgo para los derechos y libertades de los interesados, en particular, cuando se usen tecnologías, mecanismos o procedimientos nuevos.
La consulta previa solo se podrá realizar antes de proceder al tratamiento de datos personales, excepto cuando se produzcan en el tratamiento cambios en su naturaleza, alcance, contexto o riesgos que sean ajenos al responsable.
Otros aspectos de interés
La AEPD elabora y ofrece en su web contenidos, materiales, documentos, preguntas y respuestas frecuentes (FAQ), guías, manuales, recursos y herramientas destinados a informar sobre el RGPD, la LOPDPGDD y demás normativa en materia de protección de datos, y a facilitar y ayudar a su cumplimiento.
Dichos materiales serán objeto de revisión y actualización periódica y, en todo caso, cuando se requiera por una modificación legislativa o decisión judicial.
Además, adoptará planes de acción bienales dirigidos a promover la sensibilización de los responsables y encargados del tratamiento sobre las obligaciones que establece el RGPD y a facilitar su cumplimiento.
Los planes de acción incluirán, entre otras medidas, la organización y celebración de jornadas, sesiones, seminarios, reuniones, tanto presenciales como online, y webinarios por sectores concretos de actividad.
BOE:
Source: Actualidad normativa