Agencia Española de Protección de Datos

La AEPD es una de las autoridades administrativas independientes de mayor relieve en España y una referencia europea por su actividad sancionadora, sus criterios doctrinales y su pedagogía. Es la autoridad de control en materia de protección de datos en el ámbito estatal y para los tratamientos no incluidos en el ámbito competencial de las autoridades autonómicas.

Naturaleza jurídica:

• Autoridad administrativa independiente con personalidad jurídica propia, plena capacidad pública y privada.
• Independencia total respecto del Gobierno: sus actos agotan la vía administrativa y son recurribles directamente ante la Audiencia Nacional.
• Régimen presupuestario y de recursos humanos específico.
• Adscrita orgánicamente al Ministerio de Justicia.

Composición y funcionamiento:

• Presidente de la AEPD: nombrado por Real Decreto a propuesta del Gobierno con la conformidad previa del Consejo de Estado. Mandato de 5 años renovable por una sola vez.
• Adjunto al Presidente: con funciones específicas.
• Servicios técnicos y administrativos: organizados en Subdirecciones (Inspección, Asesoría Jurídica, Promoción y Cooperación, Internacional, Tecnologías).

Competencias (arts. 47-49 LOPDGDD):

• Atribuciones generales:
  • Supervisar la aplicación del RGPD y de la LOPDGDD.
  • Velar por el cumplimiento de las obligaciones de los responsables y encargados de tratamiento.
  • Sensibilizar y atender consultas.
  • Investigar las posibles infracciones.
  • Imponer sanciones administrativas en su caso.
  • Resolver reclamaciones de los interesados.
• Atribuciones específicas:
  • Aprobar códigos de conducta.
  • Certificar mecanismos.
  • Autorizar transferencias internacionales con cláusulas contractuales adhoc.
  • Cooperar con otras autoridades nacionales e internacionales (CEPD).
  • Asesorar al Gobierno y a las Cortes en materia de protección de datos.
  • Inspeccionar de oficio o a instancia de parte.
  • Adoptar medidas cautelares.

Distribución competencial con autoridades autonómicas:

• Autoridad Catalana de Protección de Datos (APDCAT): tratamientos realizados por la Administración de la Generalitat de Catalunya y entidades locales catalanas.
• Agencia Vasca de Protección de Datos (AVPD): tratamientos por la Administración de la CAPV y entes locales vascos.
• Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA): similar para Andalucía.
• AEPD: el resto de tratamientos.

Procedimiento ante la AEPD: cualquier interesado puede presentar reclamación. La AEPD admite o inadmite a trámite, puede dictar medidas provisionales, sustancia el procedimiento sancionador (con audiencia del responsable, valoración de pruebas, propuesta de resolución, alegaciones, resolución). Sanciones graduables según gravedad (RGPD: hasta 20 M€ o 4% facturación).

Asistencia gratuita al ciudadano: la AEPD presta asistencia gratuita a personas físicas y jurídicas en cuestiones de protección de datos. Atiende reclamaciones, consultas, denuncias. Sus resoluciones son publicadas en la web (anonimizando los datos personales).

Actividad sancionadora destacada: la AEPD ha dictado importantes sanciones por incumplimientos del RGPD a grandes empresas: bancos (BBVA, CaixaBank, Santander, Bankia), tecnológicas (Google, Facebook/Meta, Amazon, Apple, WhatsApp), telecos (Vodafone, Telefónica, Orange), aseguradoras, empresas energéticas. Las sanciones más altas alcanzan varios millones €.

Cooperación europea: la AEPD participa activamente en el Comité Europeo de Protección de Datos (CEPD/EDPB), órgano que coordina las autoridades nacionales y dicta directrices vinculantes para la aplicación uniforme del RGPD.

Fuentes oficiales: LOPDGDD (BOE) · AEPD · EDPB