I. Disposiciones generales. MINISTERIO DE LA PRESIDENCIA, RELACIONES CON LAS CORTES Y MEMORIA DEMOCRÁTICA. Organización. (BOE-A-2021-9175)
Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.
26 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 2 de junio de 2021
Sec. I. Pág. 67326
ajustadas en cada momento al estado de la técnica y a los riesgos derivados del
tratamiento. En este modelo, por otra parte, las medidas de carácter organizativo, tales
como la designación de un delegado de protección de datos, sobre el que recae la función
de asesorar y supervisar las actividades de tratamiento de los responsables o encargados,
adquieren un papel fundamental para la salvaguarda del derecho fundamental de los
afectados. Finalmente, se fomenta el establecimiento de sistemas de autorregulación,
incluyendo mecanismos de resolución extrajudicial de controversias, y el desarrollo de
esquemas de certificación.
El nuevo modelo de protección de datos de carácter personal tiene una incidencia
notable en la organización y funciones tradicionales de la Agencia Española de Protección
de Datos, puesto que el Reglamento general de protección de datos refuerza las
competencias de las autoridades de control que deberán contar con todos las funciones y
poderes efectivos, incluidos los poderes de investigación, poderes correctivos y
sancionadores, y poderes de autorización y consultivos previstos en el propio Reglamento
y ha introducido los mecanismos que garanticen la necesaria coordinación y coherencia
entre las diferentes autoridades de control europeas.
Para ello, el Reglamento inviste a las autoridades de protección de datos de una total
independencia, destacando en el considerando 117 que «el establecimiento en los Estados
miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer
sus competencias con plena independencia constituye un elemento esencial de la protección
de las personas físicas con respecto al tratamiento de datos de carácter personal. Los
Estados miembros deben tener la posibilidad de establecer más de una autoridad de control,
a fin de reflejar su estructura constitucional, organizativa y administrativa».
A estos efectos, el citado Reglamento impone a los Estados miembros la adopción de
un régimen jurídico específico que deberá establecerse mediante ley respecto de todos los
elementos que recoge en su artículo 54.
Para dar cumplimiento a dicha obligación se ha aprobado la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos Personales y garantía de los derechos digitales,
cuyo título VII se dedica a las autoridades de protección de datos, que siguiendo el
mandato del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, se han de establecer por ley nacional, configurando la Agencia Española de
Protección de Datos como una autoridad administrativa independiente con arreglo a la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona
con el Gobierno a través del Ministerio de Justicia.
Asimismo, atribuye a la Agencia Española la condición de representante común de las
autoridades de protección de datos del Reino de España en el Comité Europeo de
Protección de Datos e introduce una serie de modificaciones en su régimen jurídico con el
fin de reforzar su independencia, destacando, entre otras, las relativas al procedimiento de
nombramiento, mandato y cese de la Presidencia y de la Adjuntía a la Presidencia, quienes
ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a
instrucción alguna en su desempeño; el régimen de modificaciones y de vinculación de los
créditos de su presupuesto; la elaboración y aprobación de la relación de puestos de
trabajo; la composición del Consejo Consultivo; el deber de colaboración con la Agencia;
la realización de planes de auditoría o las potestades de regulación por medio de circulares.
Por otro lado, hay que tener en cuenta que la Agencia Española de Protección de
Datos no solo ejerce las competencias derivadas del Reglamento, sino que también
ejercerá las que establece la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos
personales tratados para fines de prevención, detección, investigación y enjuiciamiento de
infracciones penales y de ejecución de sanciones penales. Igualmente ejerce actualmente
las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo,
de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de
la intimidad en el sector de las comunicaciones electrónicas, que en la actualidad se
recogen en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y
de comercio electrónico, y en la legislación en materia de telecomunicaciones.
Por todo ello, resulta necesario la aprobación de un nuevo Estatuto que adapte la
organización y funcionamiento de la Agencia Española de Protección de Datos a lo previsto
en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre.
cve: BOE-A-2021-9175
Verificable en https://www.boe.es
Núm. 131
Miércoles 2 de junio de 2021
Sec. I. Pág. 67326
ajustadas en cada momento al estado de la técnica y a los riesgos derivados del
tratamiento. En este modelo, por otra parte, las medidas de carácter organizativo, tales
como la designación de un delegado de protección de datos, sobre el que recae la función
de asesorar y supervisar las actividades de tratamiento de los responsables o encargados,
adquieren un papel fundamental para la salvaguarda del derecho fundamental de los
afectados. Finalmente, se fomenta el establecimiento de sistemas de autorregulación,
incluyendo mecanismos de resolución extrajudicial de controversias, y el desarrollo de
esquemas de certificación.
El nuevo modelo de protección de datos de carácter personal tiene una incidencia
notable en la organización y funciones tradicionales de la Agencia Española de Protección
de Datos, puesto que el Reglamento general de protección de datos refuerza las
competencias de las autoridades de control que deberán contar con todos las funciones y
poderes efectivos, incluidos los poderes de investigación, poderes correctivos y
sancionadores, y poderes de autorización y consultivos previstos en el propio Reglamento
y ha introducido los mecanismos que garanticen la necesaria coordinación y coherencia
entre las diferentes autoridades de control europeas.
Para ello, el Reglamento inviste a las autoridades de protección de datos de una total
independencia, destacando en el considerando 117 que «el establecimiento en los Estados
miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer
sus competencias con plena independencia constituye un elemento esencial de la protección
de las personas físicas con respecto al tratamiento de datos de carácter personal. Los
Estados miembros deben tener la posibilidad de establecer más de una autoridad de control,
a fin de reflejar su estructura constitucional, organizativa y administrativa».
A estos efectos, el citado Reglamento impone a los Estados miembros la adopción de
un régimen jurídico específico que deberá establecerse mediante ley respecto de todos los
elementos que recoge en su artículo 54.
Para dar cumplimiento a dicha obligación se ha aprobado la Ley Orgánica 3/2018, de 5
de diciembre, de Protección de Datos Personales y garantía de los derechos digitales,
cuyo título VII se dedica a las autoridades de protección de datos, que siguiendo el
mandato del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, se han de establecer por ley nacional, configurando la Agencia Española de
Protección de Datos como una autoridad administrativa independiente con arreglo a la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona
con el Gobierno a través del Ministerio de Justicia.
Asimismo, atribuye a la Agencia Española la condición de representante común de las
autoridades de protección de datos del Reino de España en el Comité Europeo de
Protección de Datos e introduce una serie de modificaciones en su régimen jurídico con el
fin de reforzar su independencia, destacando, entre otras, las relativas al procedimiento de
nombramiento, mandato y cese de la Presidencia y de la Adjuntía a la Presidencia, quienes
ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a
instrucción alguna en su desempeño; el régimen de modificaciones y de vinculación de los
créditos de su presupuesto; la elaboración y aprobación de la relación de puestos de
trabajo; la composición del Consejo Consultivo; el deber de colaboración con la Agencia;
la realización de planes de auditoría o las potestades de regulación por medio de circulares.
Por otro lado, hay que tener en cuenta que la Agencia Española de Protección de
Datos no solo ejerce las competencias derivadas del Reglamento, sino que también
ejercerá las que establece la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos
personales tratados para fines de prevención, detección, investigación y enjuiciamiento de
infracciones penales y de ejecución de sanciones penales. Igualmente ejerce actualmente
las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo,
de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de
la intimidad en el sector de las comunicaciones electrónicas, que en la actualidad se
recogen en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y
de comercio electrónico, y en la legislación en materia de telecomunicaciones.
Por todo ello, resulta necesario la aprobación de un nuevo Estatuto que adapte la
organización y funcionamiento de la Agencia Española de Protección de Datos a lo previsto
en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril
de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre.
cve: BOE-A-2021-9175
Verificable en https://www.boe.es
Núm. 131
