Desde 1992, la Agencia Española de Protección de Datos (AEPD) es el organismo público destinado a garantizar el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en todo el territorio español. Su sede principal está en Madrid.
Para velar por la protección de datos personales y garantizar que los responsables de estos -como entidades públicas, privadas o asociaciones- cumplen con la legislación vigente, la AEPD goza de personalidad jurídica propia y actúa con independencia de la Administración pública. Su labor se considera esencial para el funcionamiento de la sociedad, puesto que su ámbito de protección está directamente relacionado con el derecho fundamental a la protección de datos del que gozan todas las personas.
La Agencia Española de Protección de Datos está capacitada para realizar investigaciones tanto de oficio, es decir, por su propia iniciativa en el cumplimiento de su deber, como a instancia de los ciudadanos.
Orgánicamente, la AEPD pertenece al Ministerio de Justicia, a través del cual mantiene relación con el gobierno español. De forma paralela, existen en España otras agencias de protección de datos de carácter autonómico en Cataluña y País Vasco, con un ámbito de actuación correspondiente a ficheros públicos que hayan sido declarados por las administraciones autonómicas y locales, dentro de sus territorios.
Su función general consiste en velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
La asociación desarrolla otras funciones específicas, agrupadas por destinatarios o ámbitos de actuación tal como recoge en su propia web:
- Controlar la aplicación del Reglamento General de Protección de Datos 2016/679 (en adelante, RGPD) y el resto de la normativa de protección de datos, así como proceder a que se aplique.
- Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a personas menores de edad deberán ser objeto de especial atención.
- Asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.
- Promover la sensibilización de las personas responsables y encargadas del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.
- Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros.
- Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80 del RGPD, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control.
- Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento.
- Llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública.
- Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.
- Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d) del RGPD.
- Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4 del RGPD.
- Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2 del RGPD.
- Alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5 del RGPD.
- Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5 del RGPD.
- Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7 del RGPD.
- Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
- Efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del RGPD.
- Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3 del RGPD.
- Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del RGPD.
- Contribuir a las actividades del Comité.
- Llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2 del RGPD.
- Desempeñar cualquier otra función relacionada con la protección de los datos personales.
Además de las funciones principales, su web recoge en un listado otras funciones y poderes:
