El informe de auditoría y la agencia española de protección de datos
| Páginas | 139-153 |
Page 139
El Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el estatuto de la AEPD, define a este órgano como un ente de derecho público de los previstos en el artículo 6, apartado 5, del Texto Refundido de la Ley General Presupuestaria, aprobado por Real Decreto Legislativo 1091/1988, de 23 de septiembre, que se relaciona con el gobierno a través del Ministerio de Justicia y que tiene por objeto la garantía del cumplimiento y aplicación de las previsiones contenidas en la LOPD.
La potestad de actuación de la AEPD se ejerce tanto frente a los responsables como a los encargados del tratamiento de naturaleza pública y privada si bien, es preciso tener en cuenta que, los órganos o Agencias de Protección de Datos de las Comunidades Autónomas (en adelante CCAA), tendrán la consideración de autoridades de control y garantía para la plena independencia y objetividad en el ejercicio de su cometido, pudiendo ejercer las funciones que la LOPD atribuye a la AEPD en el artículo 37 de la LOPD, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las CCAA y por la Administración local de su ámbito territorial.
Igualmente las Agencias de Protección de Datos de las CCAA pueden –respecto de los ficheros de datos de carácter personal creados o gestionados por las CCAA y por la Administración local de su ámbito territorial– ejercer sus competencias con el fin de:
-
Dictar una resolución estableciendo las medidas que procede adoptar, para que cesen o se corrijan los efectos de la infracción.
-
Proponer la iniciación de actuaciones disciplinarias, si procedieran.
-
Comunicar al Defensor del Pueblo las actuaciones que efectúen y las resoluciones que dicten.
-
Y en los supuestos que corresponda conforme la LOPD, requerir la cesación en la utilización o cesión ilícita de los datos y si el requerimiento fuera desatendido, inmovilizar tales ficheros a los solos efectos de restaurar los derechos de las personas afectadas.
Page 140
La AEPD se constituye como un órgano independiente especializado, cuya misión es la garantía del cumplimiento y aplicación de la normativa vigente en materia de protección de datos. Además tiene potestad de actuación frente a los responsables y encargados del tratamiento de carácter privado a nivel estatal y respecto de responsables y encargados del tratamiento jurídicopúblicos (de la Administración General del Estado, entidades y organismos de la Seguridad Social, organismos autónomos del Estado, cualquiera que sea su clasificación, sociedades esta-tales y entes del sector público a que se refiere el artículo 6 de la Ley General Presupuestaria) a excepción de las competencias asumidas por las Agencias de Protección de Datos de las CCAA cuando afecten a ficheros de datos de carácter personal creados o gestionados por las CCAA y por la Administración local de su ámbito territorial y por los órganos correspondientes de cada Comunidad.
Básicamente podemos clasificar las áreas funcionales de la AEPD, en las siguientes:
Con relación a los responsables y encargados del tratamiento, la AEPD tiene la misión de velar porque éstos cumplan la legislación sobre protección de datos y controlar su aplicación, para lo cual, la propia Agencia puede dirigirse directamente a cualquiera de aquéllos, solicitando y/o requiriendo algún tipo de actuación como más adelante se verá.
Con relación a los afectados y/o titulares de los datos, la AEPD tiene por encargo informar a las personas acerca de los derechos que la ley les reconoce en relación con el tratamiento de sus datos personales –para lo cual a su vez puede promover campañas de difusión, valién-dose de los medios de comunicación social–, atender las peticiones que le dirijan los afectados, y resolver las reclamaciones formuladas por los mismos.
Con relación a sus funciones normativas, y en la línea de todo lo ya expuesto hasta el momento, la AEPD puede dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica, así como dictar recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros.
En relación con el valor normativo de la AEPD la Sentencia del Tribunal Constitucional 290/2000 de 30 de noviembre, reconoce, en su fundamento jurídico 8, la potestad normativa de la AEPD “ceñida en lo esencial a dictar las instrucciones precisas para adecuar los tratamientos auto-matizados a los principios de la LORTAD57(artículo 36 apartado c) y m) in fine), con miras a su debida aplicación en ámbitos determinados de actividad”.
Page 141
En cuanto a su estructura organizativa, la AEPD, se compone de los siguientes órganos:
? El Director.
? El Consejo Consultivo.
? El RGPD, la Inspección de Datos y la Secretaría General, estos tres últimos caracterizándose por ser jerárquicamente dependientes del Director.
Si bien, y en lo que a la materia tratada interesa, vamos a centrar el análisis y estudio de las funciones únicamente de dos de sus órganos, como son: el director y el órgano de inspección de datos.
Así, entre las funciones del Director de la Agencia, además de dirigir a dicho Organismo y ostentar su representación, corresponde a aquél:
Dictar las resoluciones e instrucciones que requiera el ejercicio de las funciones de la AEPD.
Adoptar las medidas cautelares y provisionales que requiera el ejercicio de la potestad sancionadora de la AEPD con relación a los responsables de los ficheros privados.
Iniciar, impulsar la instrucción y resolver los expedientes sancionadores referentes a los responsables de los ficheros privados.
Instar la incoación de expedientes disciplinarios en los casos de infracciones cometidas por órganos responsables de ficheros de las Administraciones Públicas.
Autorizar a los inspectores la entrada en los locales en los que se hallen los ficheros, con el fin de proceder a las inspecciones pertinentes, sin perjuicio de la aplicación de las reglas que garantizan la inviolabilidad del domicilio.
En cuanto a la inspección de datos –órgano de la AEPD al cual competen las funciones inherentes al ejercicio de la potestad de inspección que la Ley Orgánica atribuye a la propia Agencia– ésta además tiene habilitación legal para llevar a cabo labores inspectoras periódicas o circunstanciales, de oficio o a instancia de los afectados, de cualesquiera ficheros, de titularidad pública o privada, en los locales en los que se hallen los ficheros y los equipos informáticos, contando para ello con la potestad de:
Examinar los soportes de información que contengan los datos personales.
Examinar los equipos físicos.
Requerir el pase de programas y examinar la documentación pertinente al objeto de deter-minar, en caso necesario, los algoritmos de los procesos de que los datos sean objeto.
En este sentido, destacamos que de acuerdo con la disposición adicional única del RDLOPD los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el Título VIII del citado reglamento. Por lo tanto, debe tenerse en cuenta que
Page 142
la inspección de datos podrá en...
Para continuar leyendo
Solicita tu prueba