I. Disposiciones generales. MINISTERIO DE LA PRESIDENCIA, RELACIONES CON LAS CORTES Y MEMORIA DEMOCRÁTICA. Organización. (BOE-A-2021-9175)
Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.
26 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 131
Miércoles 2 de junio de 2021
Sec. I. Pág. 67325
I. DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA,
RELACIONES CON LAS CORTES Y MEMORIA DEMOCRÁTICA
Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos.
La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado
de los datos de carácter personal, encomendó el control de la aplicación de sus
disposiciones a un ente público independiente al que denominó Agencia de Protección de
Datos y que se caracterizaba por la absoluta independencia de su Director en el ejercicio
de sus funciones, reforzada por el establecimiento de un mandato fijo que solo podía ser
acortado por un numerus clausus de causas de cese. La efectiva creación de la Agencia
se llevó a cabo mediante la regulación de su estructura orgánica y la aprobación de su
Estatuto por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto
de la Agencia de Protección de Datos.
Posteriormente, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal, aprobada para transponer a nuestro Derecho la Directiva 95/46/CE
del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, mantuvo la configuración de la Agencia como un ente de derecho
público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con
plena independencia de las Administraciones públicas en el ejercicio de sus funciones.
En el momento actual, el régimen jurídico de la protección de datos de carácter
personal viene establecido directamente por el Derecho de la Unión Europea tras la plena
aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos). Dicho Reglamento fue adoptado con dos claros objetivos: por una
parte, superar la fragmentación existente en la aplicación de las normas de trasposición de
la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
que ha dado lugar, en la práctica, y a pesar de derivar todos ellos de unos principios
comúnmente aceptados, a la existencia de tantos regímenes de protección de datos como
Estados Miembros, con distintos niveles de protección y, especialmente, de reacción ante
conductas que pudieran suponer una infracción de la norma. Y por otra, adaptar las
normas de protección de datos a la rápida evolución tecnológica y a los fenómenos
derivados del desarrollo exponencial de la sociedad de la información y la globalización
que la misma conlleva en el tratamiento de los datos de carácter personal.
El Reglamento general de protección de datos supone la revisión de las bases legales
del modelo europeo de protección de datos más allá de una mera actualización de la
vigente normativa, al evolucionar desde el antiguo modelo de la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que estaba basado en una
serie de obligaciones a las que los responsables y encargados del tratamiento habían de
sujetarse, unidas al reconocimiento de potestades reactivas de las autoridades de
protección de datos, hacia un nuevo paradigma basado en lo que se denomina «enfoque
de riesgo»; es decir, en la necesaria evaluación por los propios responsables y encargados
del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental
para, a partir de esa valoración, adoptar las medidas que resulten necesarias para
mitigarlos en todo lo que sea posible. Se evoluciona así hacia un modelo de
responsabilidad activa, que exigirá a su vez una valoración dinámica de la actividad
desarrollada por el sujeto obligado por la norma y la adopción de medidas tales como la
privacidad desde el diseño y por defecto, la realización de evaluaciones de impacto en la
protección de datos o la implantación de medidas de seguridad técnicas y organizativas
cve: BOE-A-2021-9175
Verificable en https://www.boe.es
9175
Núm. 131
Miércoles 2 de junio de 2021
Sec. I. Pág. 67325
I. DISPOSICIONES GENERALES
MINISTERIO DE LA PRESIDENCIA,
RELACIONES CON LAS CORTES Y MEMORIA DEMOCRÁTICA
Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la
Agencia Española de Protección de Datos.
La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado
de los datos de carácter personal, encomendó el control de la aplicación de sus
disposiciones a un ente público independiente al que denominó Agencia de Protección de
Datos y que se caracterizaba por la absoluta independencia de su Director en el ejercicio
de sus funciones, reforzada por el establecimiento de un mandato fijo que solo podía ser
acortado por un numerus clausus de causas de cese. La efectiva creación de la Agencia
se llevó a cabo mediante la regulación de su estructura orgánica y la aprobación de su
Estatuto por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto
de la Agencia de Protección de Datos.
Posteriormente, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal, aprobada para transponer a nuestro Derecho la Directiva 95/46/CE
del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección
de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, mantuvo la configuración de la Agencia como un ente de derecho
público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con
plena independencia de las Administraciones públicas en el ejercicio de sus funciones.
En el momento actual, el régimen jurídico de la protección de datos de carácter
personal viene establecido directamente por el Derecho de la Unión Europea tras la plena
aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos). Dicho Reglamento fue adoptado con dos claros objetivos: por una
parte, superar la fragmentación existente en la aplicación de las normas de trasposición de
la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995,
que ha dado lugar, en la práctica, y a pesar de derivar todos ellos de unos principios
comúnmente aceptados, a la existencia de tantos regímenes de protección de datos como
Estados Miembros, con distintos niveles de protección y, especialmente, de reacción ante
conductas que pudieran suponer una infracción de la norma. Y por otra, adaptar las
normas de protección de datos a la rápida evolución tecnológica y a los fenómenos
derivados del desarrollo exponencial de la sociedad de la información y la globalización
que la misma conlleva en el tratamiento de los datos de carácter personal.
El Reglamento general de protección de datos supone la revisión de las bases legales
del modelo europeo de protección de datos más allá de una mera actualización de la
vigente normativa, al evolucionar desde el antiguo modelo de la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que estaba basado en una
serie de obligaciones a las que los responsables y encargados del tratamiento habían de
sujetarse, unidas al reconocimiento de potestades reactivas de las autoridades de
protección de datos, hacia un nuevo paradigma basado en lo que se denomina «enfoque
de riesgo»; es decir, en la necesaria evaluación por los propios responsables y encargados
del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental
para, a partir de esa valoración, adoptar las medidas que resulten necesarias para
mitigarlos en todo lo que sea posible. Se evoluciona así hacia un modelo de
responsabilidad activa, que exigirá a su vez una valoración dinámica de la actividad
desarrollada por el sujeto obligado por la norma y la adopción de medidas tales como la
privacidad desde el diseño y por defecto, la realización de evaluaciones de impacto en la
protección de datos o la implantación de medidas de seguridad técnicas y organizativas
cve: BOE-A-2021-9175
Verificable en https://www.boe.es
9175
