610 - Definición y regulación de las llamadas autoridades de protección de datos

Órganos controladores del cumplimiento de normas en protección de datos

El contenido del título VII de la LOPDGDD se dedica a la regulación de las autoridades de protección de datos, en concreto, siguiendo este esquema:

A TENER EN CUENTA. Por la publicación de la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, se añade un nuevo artículo 53 bis a la LOPDGDD en vigor desde el 10/05/2023.

¿Qué son las autoridades de protección de datos?

Es importante acudir al artículo 51.1 del RGPD que ordena que «Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante "autoridad de control") supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión».

Obedeciendo a lo anterior, se crearon las autoridades de protección de datos, de carácter público e independientes que supervisan, por medio de sus competencias de inspección, el buen funcionamiento y la buena práctica del RGPD y colaboran entre sí con ese fin. Asimismo, ofrecen asesoramiento experto en cuestiones relacionadas con la protección de datos y tramitan reclamaciones presentadas por la violación del Reglamento general de protección de datos y las legislaciones nacionales pertinentes. Existirá al menos una en cada Estado miembro de la UE.

CUESTIÓN

En el marco del examen de un abuso de posición dominante por parte de una empresa, ¿los artículos 51 y siguientes del RGPD deben ser interpretados en el sentido de que una autoridad de defensa de la competencia de un Estado miembro puede concluir, con arreglo al artículo 102 del TFUE, que las condiciones generales del servicio de dicha empresa relativas al tratamiento de los datos personales y la aplicación de tales condiciones no son conformes con el RGPD?

Para el análisis de una posible posición dominante por parte de una empresa, la autoridad de defensa de la competencia debe tener en cuenta todas las circunstancias del caso concreto y por tanto puede resultar necesario que examine la conformidad de dicha empresa con normas distintas de las incluidas en el derecho de competencia, como son las normas en materia de protección de datos personales establecidas en el RGPD. Con relación a esta materia se ha pronunciado el TJUE en la sentencia, asunto C-252/21, de 4 de julio de 2023, ECLI:EU:C:2023:537, en la que señala:

«Pues bien, habida cuenta de los diferentes objetivos perseguidos por las normas establecidas, por un lado, en materia de competencia, en particular el artículo 102 TFUE, y, por otro, en materia de protección de datos personales en virtud del RGPD, procede declarar que, cuando una autoridad nacional de defensa de la competencia señala una infracción de ese Reglamento en el marco de la declaración de un abuso de posición dominante, no suplanta a las autoridades de control. En particular, tal autoridad nacional de defensa de la competencia no controla la aplicación de dicho Reglamento ni lo hace aplicar con la finalidad contemplada en el artículo 51, apartado 1, de este, a saber, proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y facilitar la libre circulación de datos personales en la Unión. Además, al limitarse a señalar la falta de conformidad de un tratamiento de datos con el RGPD solo al efecto de declarar la existencia de un abuso de posición dominante y al imponer medidas dirigidas al cese de ese abuso sobre una base jurídica derivada del Derecho de la competencia, tal autoridad no ejerce ninguna de las funciones que figuran en el artículo 57 de ese Reglamento, como tampoco hace uso de los poderes reservados a la autoridad de control en virtud del artículo 58 de dicho Reglamento».

Como bien dispone el citado artículo 51 del RGPD, los Estados miembros pueden establecer varias autoridades de control, y en esos casos el Estado debe designar la autoridad que representará a las demás ante el Comité y establecerá un mecanismo de coherencia y cooperación entre ellas. 

En España, a nivel estatal, encontramos la Agencia Española de Protección de Datos (AEPD) y a nivel autonómico (a fecha de hoy):

• La Autoridad Catalana de Protección de Datos.
• La Agencia Vasca de Protección de Datos.
• El Consejo de Transparencia y Protección de Datos de Andalucía.

Régimen jurídico y naturaleza de la Agencia Española de Protección de Datos

Fue creada por el artículo 34, apartado 1, de la LO 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, hoy derogada.

La AEPD, como dispone el artículo 44 de la LOPDGDD, «(...) es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones».

CUESTIÓN

La AEPD actúa siempre con plena independencia, pero ¿esto significa que no será nunca objeto de control por otros organismos? 

El RGPD en su considerando (118) hace un pequeño inciso y dispone que esta independencia no debe significar que dichas autoridades puedan quedar exentas de mecanismos de control o supervisión. Es más, considera que ha de someterse a mecanismos de control judicial o respecto a sus gastos financieros.

La AEPD ostenta la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos, colaborando con el CGPJ para el desempeño de las funciones que la LOPJ les atribuye en materia de protección de datos personales en la Administración de Justicia. En cuanto a sus relaciones con el Gobierno central, estas se desarrollarán a través del Ministerio de Justicia.