La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, encomendó el control de la aplicación de sus disposiciones a un ente público independiente al que denominó Agencia de Protección de Datos y que se caracterizaba por la absoluta independencia de su Director en el ejercicio de sus funciones, reforzada por el establecimiento de un mandato fijo que solo podía ser acortado por un numerus clausus de causas de cese. La efectiva creación de la Agencia se llevó a cabo mediante la regulación de su estructura orgánica y la aprobación de su Estatuto por el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos.
Posteriormente, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobada para transponer a nuestro Derecho la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, mantuvo la configuración de la Agencia como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones públicas en el ejercicio de sus funciones.
En el momento actual, el régimen jurídico de la protección de datos de carácter personal viene establecido directamente por el Derecho de la Unión Europea tras la plena aplicación, desde el 25 de mayo de 2018, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Dicho Reglamento fue adoptado con dos claros objetivos: por una parte, superar la fragmentación existente en la aplicación de las normas de trasposición de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que ha dado lugar, en la práctica, y a pesar de derivar todos ellos de unos principios comúnmente aceptados, a la existencia de tantos regímenes de protección de datos como Estados Miembros, con distintos niveles de protección y, especialmente, de reacción ante conductas que pudieran suponer una infracción de la norma. Y por otra, adaptar las normas de protección de datos a la rápida evolución tecnológica y a los fenómenos derivados del desarrollo exponencial de la sociedad de la información y la globalización que la misma conlleva en el tratamiento de los datos de carácter personal.
El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa, al evolucionar desde el antiguo modelo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que estaba basado en una serie de obligaciones a las que los responsables y encargados del tratamiento habían de sujetarse, unidas al reconocimiento de potestades reactivas de las autoridades de protección de datos, hacia un nuevo paradigma basado en lo que se denomina «enfoque de riesgo»; es decir, en la necesaria evaluación por los propios responsables y encargados del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental para, a partir de esa valoración, adoptar las medidas que resulten necesarias para mitigarlos en todo lo que sea posible. Se evoluciona así hacia un modelo de responsabilidad activa, que exigirá a su vez una valoración dinámica de la actividad desarrollada por el sujeto obligado por la norma y la adopción de medidas tales como la privacidad desde el diseño y por defecto, la realización de evaluaciones de impacto en la protección de datos o la implantación de medidas de seguridad técnicas y organizativas ajustadas en cada momento al estado de la técnica y a los riesgos derivados del tratamiento. En este modelo, por otra parte, las medidas de carácter organizativo, tales como la designación de un delegado de protección de datos, sobre el que recae la función de asesorar y supervisar las actividades de tratamiento de los responsables o encargados, adquieren un papel fundamental para la salvaguarda del derecho fundamental de los afectados. Finalmente, se fomenta el establecimiento de sistemas de autorregulación, incluyendo mecanismos de resolución extrajudicial de controversias, y el desarrollo de esquemas de certificación.
El nuevo modelo de protección de datos de carácter personal tiene una incidencia notable en la organización y funciones tradicionales de la Agencia Española de Protección de Datos, puesto que el Reglamento general de protección de datos refuerza las competencias de las autoridades de control que deberán contar con todos las funciones y poderes efectivos, incluidos los poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos previstos en el propio Reglamento y ha introducido los mecanismos que garanticen la necesaria coordinación y coherencia entre las diferentes autoridades de control europeas.
Para ello, el Reglamento inviste a las autoridades de protección de datos de una total independencia, destacando en el considerando 117 que «el establecimiento en los Estados miembros de autoridades de control capacitadas para desempeñar sus funciones y ejercer sus competencias con plena independencia constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal. Los Estados miembros deben tener la posibilidad de establecer más de una autoridad de control, a fin de reflejar su estructura constitucional, organizativa y administrativa».
A estos efectos, el citado Reglamento impone a los Estados miembros la adopción de un régimen jurídico específico que deberá establecerse mediante ley respecto de todos los elementos que recoge en su artículo 54.
Para dar cumplimiento a dicha obligación se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuyo título VII se dedica a las autoridades de protección de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se han de establecer por ley nacional, configurando la Agencia Española de Protección de Datos como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
Asimismo, atribuye a la Agencia Española la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos e introduce una serie de modificaciones en su régimen jurídico con el fin de reforzar su independencia, destacando, entre otras, las relativas al procedimiento de nombramiento, mandato y cese de la Presidencia y de la Adjuntía a la Presidencia, quienes ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño; el régimen de modificaciones y de vinculación de los créditos de su presupuesto; la elaboración y aprobación de la relación de puestos de trabajo; la composición del Consejo Consultivo; el deber de colaboración con la Agencia; la realización de planes de auditoría o las potestades de regulación por medio de circulares.
Por otro lado, hay que tener en cuenta que la Agencia Española de Protección de Datos no solo ejerce las competencias derivadas del Reglamento, sino que también ejercerá las que establece la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Igualmente ejerce actualmente las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, que en la actualidad se recogen en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y en la legislación en materia de telecomunicaciones.
Por todo ello, resulta necesario la aprobación de un nuevo Estatuto que adapte la organización y funcionamiento de la Agencia Española de Protección de Datos a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la Ley Orgánica 3/2018, de 5 de diciembre.
El presente real decreto consta de un artículo único que aprueba el Estatuto de la Agencia Española de Protección de Datos, una disposición adicional sobre supresión de órganos directivos, una disposición transitoria única sobre unidades y puestos de trabajo con el nivel orgánico inferior a subdirección general, una disposición derogatoria única y una disposición final única relativa a la entrada en vigor del real decreto.
El Estatuto se estructura en cinco capítulos. El primero de ellos incluye las disposiciones generales sobre la naturaleza, régimen jurídico, autonomía e independencia, funciones y potestades, circulares, acción exterior, colaboración en el ámbito de la Administración de Justicia, programación, memoria anual, sede y transparencia y publicidad.
En el capítulo II se define la estructura orgánica de la Agencia Española de Protección de Datos especificando las funciones de sus diferentes órganos. En concreto, la estructura orgánica se articula en torno a la Presidencia, de la que dependen la Adjuntía a la Presidencia, la Subdirección General de Inspección de datos, la Subdirección General de Promoción y Autorizaciones, la Secretaría General, la División de Relaciones Internacionales y la División de Innovación Tecnológica. Se regula el procedimiento de designación de la Presidencia y la Adjuntía, como consecuencia de una observación formulada al respecto por el Consejo de Estado en su dictamen sobre el proyecto. También se desarrolla el régimen, competencias y funcionamiento del Consejo Consultivo en cuanto órgano colegiado de asesoramiento de la Presidencia de la Agencia Española de Protección de Datos.
El capítulo III se refiere al personal al servicio de la Agencia Española de Protección de Datos, que podrá ser funcionario o laboral, a la elaboración y aprobación de la relación de puestos de trabajo, retribuciones, evaluación del desempeño, incompatibilidades y deber de secreto profesional.
El capítulo IV regula el régimen económico, presupuestario, patrimonial y de contratación, detallando el régimen económico financiero, patrimonial y de contratación y el régimen presupuestario, de contabilidad y control económico financiero.
Por último, el capítulo V regula el asesoramiento jurídico de la Agencia, que se encomienda a la Abogacía General del Estado-Servicio Jurídico del Estado en virtud del correspondiente convenio.
Este real decreto se adecua a los principios de buena regulación (necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia) conforme a los cuales deben actuar las Administraciones Públicas en el ejercicio de la iniciativa legislativa y la potestad reglamentaria, según establece el artículo 129.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Así, este real decreto atiende a la necesidad de adecuar la estructura orgánica de la Agencia Española de Protección de Datos a lo previsto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y en la Ley Orgánica 7/2021, de 26 de mayo, y es eficaz y proporcionado en el cumplimiento de este propósito, sin afectar en forma alguna a los derechos y deberes de la ciudadanía. Asimismo, contribuye a dotar de mayor seguridad jurídica a la organización y funcionamiento de la Agencia, al adecuarla a las nuevas competencias establecidas en dichas normas. Cumple también con el principio de transparencia, y es también adecuada al principio de eficiencia, ya que, entre otras cuestiones, no impone cargas administrativas adicionales.
En su virtud, a propuesta de la Agencia Española de Protección de Datos, y a propuesta conjunta del Ministro de Política Territorial y Función Pública, de la Ministra de Hacienda y del Ministro de Justicia, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 1 de junio de 2021,
DISPONGO:
De conformidad con lo dispuesto en el artículo 45.2 y en la disposición final decimoquinta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se aprueba el Estatuto de la Agencia Española de Protección de Datos, que se inserta a continuación.
Quedan suprimidos los siguientes órganos directivos:
a) El Director de la Agencia Española de Protección de Datos.
b) El Registro General de Protección de Datos.
c) La Inspección de Datos.
Las unidades y puestos de trabajo con el nivel orgánico inferior a subdirección general continuarán subsistentes y serán retribuidos con cargo a los mismos créditos presupuestarios hasta que se aprueben las correspondientes relaciones o catálogos de puestos de trabajo de la Agencia Española de Protección de Datos adaptados a la estructura orgánica de este real decreto.
Las unidades y puestos de trabajo encuadrados en los órganos suprimidos, o cuya dependencia orgánica haya sido modificada por este real decreto, se adscribirán provisionalmente, mediante resolución de la Presidencia de la Agencia Española de Protección de Datos, hasta tanto entren en vigor las correspondientes relaciones o catálogos de puestos de trabajo, a los órganos regulados en este real decreto en función de las atribuciones que estos tengan asignadas.
1. Queda derogado el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos.
2. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en este real decreto.
El presente real decreto entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Dado en Madrid, el 1 de junio de 2021.
FELIPE R.
La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes y Memoria Democrática,
CARMEN CALVO POYATO
La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en el artículo 109 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.
Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, será «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente».
Se relaciona con el Gobierno a través del Ministerio de Justicia.
La Agencia Española de Protección de Datos tendrá su sede en Madrid.
1. La Agencia Española de Protección de Datos se rige por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, sus disposiciones de desarrollo y el presente Estatuto.
2. Supletoriamente, en cuanto sea compatible con su plena independencia, se regirá por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en particular lo dispuesto para organismos autónomos; por la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas; por la Ley 47/2003, de 26 de noviembre, General Presupuestaria; por la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014; por la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas, así como el resto de las normas de derecho administrativo general y especial que le sea de aplicación. En defecto de norma administrativa, se aplicará el derecho común.
3. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.
4. La Agencia Española de Protección de Datos estará sujeta al principio de sostenibilidad financiera de acuerdo con lo previsto en la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera.
5. De conformidad con lo previsto en la disposición adicional vigésima de la Ley Orgánica 3/2018, de 5 de diciembre, no será de aplicación a la Agencia Española de Protección de Datos el artículo 50.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
6. La Agencia Española de Protección de Datos podrá adherirse a los sistemas de contratación centralizada establecidos por las Administraciones Públicas y participar en la gestión compartida de servicios comunes prevista en el artículo 95 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
1. De conformidad con lo dispuesto en el artículo 52 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en el ejercicio de sus funciones y para el cumplimiento de los fines que le han sido asignados, la Agencia Española de Protección de Datos cuenta con autonomía orgánica y funcional y actúa con plena independencia del Gobierno, de las Administraciones Públicas y de cualquier interés empresarial o comercial.
2. Ni el personal ni los miembros de los órganos de la Agencia Española de Protección de Datos podrán aceptar ni solicitar instrucciones de ninguna entidad pública o privada.
1. Corresponde a la Agencia Española de Protección de Datos la función de supervisar la aplicación de la normativa vigente en materia de protección de datos personales con el fin de proteger los derechos y libertades de las personas físicas en lo que respecta al tratamiento y, en particular, ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y en sus disposiciones de desarrollo.
2. Asimismo, le corresponde supervisar la aplicación de la normativa vigente en materia de garantía de los derechos digitales contemplados en los artículos 89 a 94 de la Ley Orgánica 3/2018, de 5 de diciembre.
3. La Agencia Española de Protección de Datos colaborará con los órganos competentes en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en materia propia del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de la Ley Orgánica 3/2018, de 5 de diciembre, y a tal efecto:
a) Informará preceptivamente los proyectos de disposiciones generales de desarrollo del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de la Ley Orgánica 3/2018, de 5 de diciembre.
b) Informará preceptivamente cualesquiera anteproyectos de ley o proyectos de reglamento que incidan en la materia propia del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de la Ley Orgánica 3/2018, de 5 de diciembre.
c) Dictará circulares que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de la Ley Orgánica 3/2018, de 5 de diciembre, así como instrucciones y recomendaciones.
4. La Agencia Española de Protección de Datos ejercerá el control de la observancia de lo dispuesto en los artículos 4, 7 y 10 a 22 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, y en especial:
a) Informará con carácter preceptivo el contenido y formato de los cuestionarios, hojas censuales y otros documentos de recogida de datos con fines estadísticos.
b) Dictaminará sobre los procesos de recogida y tratamiento de los datos personales a efectos estadísticos.
c) Informará con carácter preceptivo los anteproyectos de ley por los que se exijan datos con carácter obligatorio y su adecuación a lo dispuesto en el artículo 7 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.
d) Dictaminará sobre las condiciones de seguridad de los tratamientos realizados con fines exclusivamente estadísticos.
5. La Agencia Española de Protección de Datos adoptará conjuntamente con el Consejo de Transparencia y Buen Gobierno, los criterios de aplicación, en su ámbito de actuación, de las reglas contenidas en el artículo 15 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en particular en lo que respecta a la ponderación del interés público en el acceso a la información y la garantía de los derechos de los interesados cuyos datos se contuviesen en la misma.
6. Asimismo, corresponde a la Agencia Española de Protección de Datos el desempeño de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unión Europea.
1. La persona titular de la Presidencia de la Agencia Española de Protección de Datos podrá dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y la Ley Orgánica 3/2018, de 5 de diciembre, que se denominarán «Circulares de la Agencia Española de Protección de Datos» y que serán obligatorias una vez publicadas en el «Boletín Oficial del Estado».
2. El Proyecto de Circular se iniciará mediante un informe técnico, suscrito por la persona titular de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos o el Subdirector General o Director de División correspondiente, que constará de las siguientes partes:
a) Especificación de la norma o normas habilitantes para dictar la disposición.
b) Justificación de la necesidad de la disposición, así como de las medidas o soluciones técnicas que se propongan y de los fines que se pretenden alcanzar.
c) Proyecto de Circular.
3. Se elaborará también un informe jurídico o de legalidad, emitido por el Gabinete Jurídico de la Agencia Española de Protección de Datos.
4. En el procedimiento de elaboración de las circulares se dará audiencia a las personas titulares de derechos e intereses legítimos que resulten afectados por las mismas, directamente o a través de las organizaciones y asociaciones reconocidas por la ley que los agrupen o los representen y cuyos fines guarden relación directa con el objeto de la circular, y se fomentará la participación de los ciudadanos.
El trámite de audiencia e información pública se realizará mediante la publicación del texto en la página web de la Agencia y tendrá un plazo mínimo de quince días hábiles, que podrá ser reducido hasta un mínimo de siete días hábiles cuando razones debidamente motivadas así lo justifiquen. El trámite de audiencia e información pública solo podrá omitirse cuando existan graves razones de interés público, que deberán justificarse en el informe técnico.
5. Asimismo, podrá recabarse, cuando proceda, el parecer de los departamentos de la Administración General del Estado cuyas competencias puedan verse específicamente afectadas por la regulación proyectada.
6. Cumplidos los trámites anteriores, se remitirá, cuando no le hubiera correspondido la iniciativa, a la persona titular de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos, quien podrá solicitar que se complete el expediente.
7. El proyecto de circular, acompañada de una memoria justificativa y del expediente, se elevará por la persona titular de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos quien podrá solicitar otros informes sin perjuicio de los que resulten preceptivos.
8. Se recabará el dictamen del Consejo de Estado por conducto de la persona titular del Ministerio de Justicia.
9. Una vez concluidos los trámites precedentes, el proyecto de circular será sometido a la aprobación final de la Presidencia de la Agencia Española de Protección de Datos, sin que en ningún caso sea posible la delegación de esta facultad en ningún otro órgano.
10. Las circulares serán publicadas en el «Boletín Oficial del Estado» y entrarán en vigor conforme a lo previsto en el artículo 2 del Código Civil.
Corresponderá a la persona titular de la Presidencia de la Agencia Española de Protección de Datos designar los representantes que deban formar parte de la autoridad de control común de protección de datos prevista en los Convenios Internacionales de los que España sea parte.
La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, les atribuye en materia de protección de datos de carácter personal en el ámbito de la Administración de Justicia.
La Presidencia de la Agencia Española de Protección de Datos aprobará, en el primer semestre de su nombramiento y con carácter quinquenal, un Plan Estratégico con el objetivo de sentar las bases de las líneas de actuación de la Agencia en dicho periodo, incorporando las acciones específicas que cada departamento de la misma haya propuesto en relación con sus respectivas materias, así como el calendario de las circulares que se prevean aprobar.
1. La Agencia Española de Protección de Datos redactará una Memoria anual sobre la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de las demás disposiciones legales y reglamentarias sobre protección de datos, la cual comprenderá, además de la información necesaria sobre el funcionamiento de la Agencia:
a) Una lista de tipos de infracciones notificadas y de tipos de medidas adoptadas de conformidad con el artículo 58, apartado 2, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
b) Un análisis y una valoración de los problemas de la protección de datos a escala nacional.
2. La Memoria anual se remitirá al Congreso de los Diputados, al Senado, al Gobierno, al Defensor del Pueblo y a las autoridades autonómicas de protección de datos, se pondrá a disposición de la Comisión Europea y del Comité europeo de protección de datos, y se publicará en la página web de la Agencia.
1. La Agencia Española de Protección de Datos publicará en su página web las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, y las que impongan medidas cautelares.
2. Sin perjuicio de lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, será igualmente objeto de publicación en la página web toda aquella información que la Presidencia considere relevante y que contribuya al mejor cumplimiento de sus funciones.
1. La persona titular de la Presidencia de la Agencia Española de Protección de Datos tendrá la consideración de alto cargo, con rango de Subsecretario y será designada de conformidad con el procedimiento establecido en el artículo 48 de la Ley Orgánica 3/2018, de 5 de diciembre, y solo cesará por las causas que en el mismo se establecen.
2. La persona titular de la Presidencia poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.
3. La persona titular de la Presidencia cesante continuará en funciones hasta la toma de posesión de la nueva persona titular de la Presidencia.
4. Es un cargo de dedicación exclusiva, está sujeto al régimen de incompatibilidades de los altos cargos de la Administración General del Estado, y será incompatible con el ejercicio de cualquier actividad pública o privada, retribuida o no, salvo las que sean inherentes a su condición de titular de la Presidencia de la Agencia Española de Protección de Datos.
5. Las retribuciones de la persona titular de la Presidencia se fijarán de acuerdo con lo dispuesto en el Real Decreto 451/2012, de 5 de marzo, por el que se regula el régimen retributivo de los máximos responsables y directivos en el sector público empresarial y otras entidades.
6. De la Presidencia depende directamente, como órgano directivo, la Adjuntía a la Presidencia.
7. Asimismo, dependen directamente de la Presidencia los siguientes órganos con nivel orgánico de subdirección general:
a) La Subdirección General de Inspección de Datos.
b) La Subdirección General de Promoción y Autorizaciones.
c) La Secretaría General.
8. También dependen directamente de la Presidencia, con el nivel que se determine en la relación de puestos de trabajo, las siguientes divisiones:
a) La División de Relaciones Internacionales.
b) La División de Innovación Tecnológica.
1. Corresponde a la Presidencia de la Agencia Española de Protección de Datos:
a) La dirección de la Agencia.
b) Ostentar su representación legal e institucional.
c) Aprobar las Circulares de la Agencia Española de Protección de Datos, de conformidad con lo previsto en el artículo 6 del presente Estatuto.
d) Dictar las resoluciones y directrices que requiera el ejercicio de las funciones de la Agencia, en particular las derivadas del ejercicio de las competencias previstas en el artículo 57 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y del ejercicio de los poderes de investigación y de los poderes correctivos dispuestos en el artículo 58 del citado Reglamento.
e) Acordar la realización de planes de auditoría preventiva y dictar las directrices generales o específicas que resulten de las mismas.
f) Convocar, por iniciativa propia o cuando lo solicite otra autoridad y, en todo caso, cada seis meses, a las autoridades autonómicas de protección de datos para contribuir a la aplicación coherente del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y la Ley Orgánica 3/2018, de 5 de diciembre.
g) Solicitar y facilitar a las autoridades autonómicas de protección de datos la información necesaria para el cumplimiento de sus funciones, en particular, la relativa a la actividad del Comité Europeo de Protección de Datos.
h) Requerir a las autoridades autonómicas de protección de datos cuando considere que un tratamiento llevado a cabo en materias que fueran competencia de aquellas vulnera el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, para que adopten las medidas necesarias para su cesación y ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa.
i) Participar en las actividades y reuniones del Comité europeo de protección de datos como representante común del Estado español.
j) Ejercer todas aquellas funciones no atribuidas expresamente a otros órganos de la Agencia Española de Protección de Datos.
2. Asimismo, le corresponde:
a) Llevar a cabo la dirección y gestión ordinaria de la Agencia, en el marco de las funciones atribuidas en este apartado.
b) Informar al Consejo Consultivo de cuantos asuntos conciernan a los servicios a su cargo.
c) Ser órgano de contratación de la entidad.
d) Formular y aprobar las cuentas anuales de la entidad, junto con el informe de auditoría de cuentas, de conformidad con lo dispuesto en la Ley 47/2003, de 26 de noviembre, General Presupuestaria.
e) Acordar las variaciones presupuestarias que se estimen necesarias y que no deban ser autorizadas por la persona titular del Ministerio de Hacienda y proponer aquellas que precisan autorización.
f) Autorizar, por causa justificada, la disposición de gastos, el reconocimiento de obligaciones y ordenar los pagos correspondientes y movimientos de fondos.
g) Proponer la modificación de los límites generales de compromiso de gasto con cargo a ejercicios futuros por causa justificada.
h) Suscribir, en el ámbito de sus competencias, convenios con entidades públicas y privadas.
i) Ejercer la jefatura superior del personal y prever las necesidades de personal de la Agencia Española de Protección de Datos a incorporar en la oferta anual de empleo público, en los términos previstos en el artículo 32, aprobar las relaciones de puestos de trabajo en el marco de los criterios establecidos por el Ministerio de Hacienda y la distribución del complemento de productividad y otros incentivos al rendimiento, dentro de la cantidad autorizada a estos efectos.
j) Convocar y resolver los procesos de provisión de puestos de trabajo que integren al personal de la Agencia Española de Protección de Datos y contratar al personal laboral a su servicio en los términos previstos en el artículo 34.
k) Acordar las actuaciones en materia de gestión patrimonial de la entidad.
l) La aprobación del inventario de bienes y derechos de conformidad con lo establecido en la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.
m) Las demás facultades que le atribuya el Estatuto.
1. La persona titular de la Presidencia de la Agencia Española de Protección de Datos desempeñará su cargo con dedicación exclusiva, plena independencia y total objetividad.
2. La persona titular de la Presidencia no recibirá instrucciones de autoridad alguna.
La Presidencia de la Agencia podrá delegar sus funciones en la Adjuntía a la Presidencia, así como en las Subdirecciones Generales que dependan directamente de la Presidencia y en la Secretaría General, en los términos previstos en el artículo 9 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
En ningún caso podrán ser objeto de delegación las funciones relacionadas con los procedimientos regulados por el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de conformidad con el artículo 48.2. de la misma, ni la facultad para aprobar los proyectos de circulares, de acuerdo con el artículo 6.9 del presente Estatuto.
1. La persona titular de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos tendrá la consideración de alto cargo, con rango de Director General.
2. La persona titular de la Adjuntía a la Presidencia será designado de conformidad con el procedimiento establecido en el artículo 48 de la Ley Orgánica 3/2018, de 5 de diciembre, y solo cesará por las causas que en el mismo se establecen.
3. La persona titular de la Adjuntía a la Presidencia poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes.
4. La persona titular de la Adjuntía a la Presidencia cesante continuará en funciones hasta la toma de posesión del nuevo titular.
5. La Adjuntía a la Presidencia es un cargo de dedicación exclusiva, está sujeto al régimen de incompatibilidades de los altos cargos de la Administración General del Estado, y será incompatible con el ejercicio de cualquier actividad pública o privada, retribuida o no, salvo las que sean inherentes a su condición de Adjuntía a la Presidencia de la Agencia Española de Protección de Datos.
Corresponderán a la persona titular de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos las siguientes competencias:
a) Ejercer las funciones de la Presidencia de la Agencia Española de Protección de Datos en los casos de delegación previstos en la Ley Orgánica 3/2018, de 5 de diciembre, y en este Estatuto. A estos efectos, la Presidencia podrá delegar sus funciones en la Adjuntía a la Presidencia, a excepción de las relacionadas con los procedimientos regulados en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre.
b) Colaborar con la Presidencia de la Agencia Española de Protección de Datos en las relaciones con las Cortes Generales y con el Defensor del Pueblo y en la cooperación con las autoridades de control de las Comunidades Autónomas.
c) Colaborar con la Presidencia de la Agencia Española de Protección de Datos en la planificación y desarrollo de la actividad internacional de la Agencia.
d) Impulsar el procedimiento de elaboración de circulares de conformidad con lo previsto en el artículo 6 del presente Estatuto.
e) Preparar y proponer a la Presidencia de la Agencia Española de Protección de Datos el borrador del Plan estratégico y de la Memoria anual, así como el impulso y seguimiento de las actuaciones una vez aprobadas.
f) Coordinar la formación especializada de la Agencia.
g) Asumir las restantes funciones que se le encomiendan en las leyes y disposiciones reglamentarias vigentes.
1. La persona titular de la Adjuntía a la Presidencia de la Agencia Española de Protección de Datos desempeñará su cargo con dedicación exclusiva, plena independencia y total objetividad.
2. Sin perjuicio de las competencias que corresponden a la Presidencia de la Agencia Española de Protección de Datos, la persona titular de la Adjuntía no recibirá instrucciones de autoridad alguna.
1. Dos meses antes de producirse la expiración del mandato o, en el resto de las causas de cese, cuando se haya producido éste, se publicará en el «Boletín Oficial del Estado» la convocatoria pública de personas candidatas mediante orden de la persona titular del Ministerio de Justicia.
2. En la orden se regularán las bases de la convocatoria.
En ella se especificarán los requisitos a evaluar de las personas candidatas, que permitan acreditar que se trata de personas de reconocida competencia profesional, en particular en materia de protección de datos, sobre la base del mérito, la capacidad, la competencia y la idoneidad, entre los que se pueden recoger las capacidades legales de la persona candidata, la experiencia profesional, la capacidad de desarrollar el trabajo o los conocimientos técnicos, en particular referidos al ámbito de protección de datos.
3. La idoneidad de las personas candidatas exigirá que su independencia, conducta intachable e integridad deben estar fuera de toda duda.
4. Las solicitudes de participación en el procedimiento de selección se presentarán en cualquiera de los lugares previstos en el artículo 16.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
1. Una vez convocado el procedimiento, se constituirá un comité de selección con la finalidad de examinar las candidaturas y proponer la persona candidata más idónea.
2. El comité estará compuesto por:
a) La persona titular de la Secretaría de Estado de Justicia, que ostentará la Presidencia.
b) La persona titular de la Subsecretaría del Ministerio para la Presidencia, Relaciones con las Cortes y Memoria Democrática.
c) Un Magistrado o una Magistrada de la Sala Tercera del Tribunal Supremo, a propuesta del Ministerio de Justicia.
d) Un o una jurista de reconocida competencia, con al menos diez años de actividad profesional en materia de protección de datos, a propuesta del Ministerio de Justicia.
e) La persona titular de un organismo de protección de datos autonómico o una de las personas que hayan ocupado el puesto de la Dirección o Presidencia de la Agencia Española de Protección de Datos con anterioridad al saliente, a propuesta del Ministerio de Justicia.
3. La Secretaría corresponderá a un miembro de la Abogacía del Estado, designado por la persona titular de la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado, que asistirá a las reuniones con voz, pero sin voto.
Los acuerdos del comité de selección se adoptarán por mayoría de sus miembros.
4. El comité de selección deberá ser paritario.
5. Podrá recabar el apoyo de las personas asesoras que estime necesarias para la correcta realización de sus funciones.
El procedimiento respetará en todas sus fases los principios de mérito, capacidad, competencia e idoneidad, así como el principio de igualdad de trato entre mujeres y hombres en el acceso al empleo público, de acuerdo con la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, y el principio de igualdad en el acceso a las funciones y cargos públicos recogido en el artículo 23.2 de la Constitución. La convocatoria respetará también los principios de igualdad y no discriminación de las personas con discapacidad.
1. El comité de selección examinará las solicitudes junto con la documentación aportada y realizará, en su caso, las entrevistas oportunas.
2. Una vez valoradas las solicitudes de participación en el procedimiento de selección, el comité de selección propondrá una candidatura la Presidencia de la Agencia Española de Protección de Datos y a la Adjuntía a la Presidencia de entre aquellas que cumplan los requisitos establecidos en los artículos 12.2 y 16.3, respectivamente y atendidos los méritos y criterios de valoración establecidos en la convocatoria, junto con su informe justificativo.
La persona titular del Ministerio de Justicia elevará dicha propuesta junto con el informe del comité de selección al Consejo de Ministros.
3. El Consejo de Ministros debatirá la propuesta del comité de selección a la luz del informe y decidirá mediante acuerdo la propuesta de Presidencia y Adjuntía, que se remitirá al Congreso de los Diputados acompañada del informe justificativo.
En caso de que el Consejo de Ministros considere que la propuesta realizada por el comité de selección no resulta idónea la devolverá al comité de selección mediante acuerdo motivado, otorgándole un nuevo plazo para que formule nueva propuesta al Consejo de Ministros.
4. El acuerdo adoptado en el Consejo de Ministros con la propuesta de Presidencia y Adjuntía será publicado en el «Boletín Oficial del Estado» mediante orden de la persona titular del Ministerio de Justicia.
1. El Consejo Consultivo de la Agencia Española de Protección de Datos, con la composición que se establece en el artículo 49 de la Ley Orgánica 3/2018, de 5 de diciembre, es un órgano colegiado de asesoramiento de la Presidencia de la Agencia Española de Protección de Datos.
2. El Consejo Consultivo emitirá informe en todas las cuestiones que le someta la Presidencia de la Agencia de Protección de Datos y podrá formular propuestas en temas relacionados con las materias de competencia de esta.
1. Los miembros del Consejo Consultivo desempeñarán su cargo durante cinco años.
2. Se exceptúan de lo establecido en el apartado anterior los siguientes supuestos:
a) Nombramiento del Vocal para desempeñar la Presidencia de la Agencia de Protección de Datos o la Adjuntía a la Presidencia.
b) Renuncia anticipada del Vocal.
c) Pérdida de la condición que habilitó al Vocal para ser propuesto, en los supuestos previstos en las letras a) y b) del artículo 49 de la Ley Orgánica 3/2018, de 5 de diciembre.
d) Propuesta de cese emanada de las instituciones, órganos, corporaciones u organizaciones a las que se refiere el citado artículo.
3. Las vacantes que se produzcan en el Consejo Consultivo antes de expirar el plazo a que se refiere el apartado 1 deberán ser cubiertas dentro del mes siguiente a la fecha en que la vacante se hubiera producido, en la forma establecida por el artículo 49.3 de la Ley Orgánica 3/2018, de 5 de diciembre, y por el tiempo que reste para completar el mandato de quien causó la vacante a cubrir.
4. Los miembros del Consejo Consultivo no percibirán retribución alguna, sin perjuicio del abono de los gastos, debidamente justificados, que les ocasione el ejercicio de su función de conformidad, en su caso, con lo establecido en el Real Decreto 462/2002, de 24 de mayo, sobre indemnizaciones por razón del servicio.
1. Antes de finalizar el mandato de los miembros del Consejo Consultivo, la persona titular del Ministerio de Justicia requerirá a las instituciones, órganos, corporaciones y organizaciones a que se refiere el artículo 49 de la Ley Orgánica 3/2018, de 5 de diciembre, a fin de que le comuniquen los nombres de las personas que propongan para un nuevo mandato en el Consejo Consultivo, lo que deberá efectuarse dentro del mes siguiente a la formulación del referido requerimiento.
2. Una vez transcurrido el plazo señalado para cumplimentar el requerimiento, la persona titular del Ministerio de Justicia procederá, sin más trámites, a nombrar como miembros del Consejo Consultivo, mediante Orden que se publicará en el «Boletín Oficial del Estado», a los propuestos, quienes tomarán posesión de su condición en la misma fecha en que expire el mandato de los miembros del Consejo anterior.
1. En lo no previsto en la Ley Orgánica 3/2018, de 5 de diciembre, y en el presente Estatuto, el Consejo Consultivo se regirá por lo establecido en materia de órganos colegiados por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
2. El Consejo Consultivo adoptará sus acuerdos en sesión plenaria.
3. Actuará como Presidencia del Consejo Consultivo la Presidencia de la Agencia de Protección de Datos.
4. Desempeñará la Secretaría del Consejo Consultivo, con voz y sin voto, el titular de la Secretaría General de la Agencia de Protección de Datos. En caso de vacante, ausencia o enfermedad, desempeñará la Secretaría una persona funcionaria adscrita a la Secretaría General designado por la Presidencia de la Agencia a tal efecto.
5. El Consejo Consultivo se reunirá cuando así lo disponga la Presidencia de la Agencia y, en todo caso, una vez al semestre. También se reunirá cuando así lo solicite la mayoría de sus miembros.
6. La persona que desempeñe la Secretaría convocará las reuniones del Consejo Consultivo, de orden de la Presidencia de la Agencia, y trasladará la convocatoria a los miembros del Consejo.
7. El Consejo Consultivo quedará válidamente constituido, en primera convocatoria, si están presentes la persona que actúe como Presidencia, la persona que desempeñe la Secretaría y la mitad de los miembros del Consejo, y, en segunda convocatoria, si están presentes la persona que actúe como Presidencia, la persona que desempeñe la Secretaría y la tercera parte de los miembros del Consejo.
8. Las decisiones tomadas por el Consejo Consultivo no tendrán en ningún caso carácter vinculante.
1. La Subdirección General de Inspección de Datos es el órgano administrativo, dependiente de la Presidencia de la Agencia Española de Protección de Datos, que desarrolla las competencias previstas en el artículo 57.1, letras f), g), h), i) y u) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y realiza las funciones de inspección y de instrucción necesarias para el ejercicio de los poderes de investigación establecidos en el artículo 58.1, letras a), b), d), e) y f) y de los poderes correctivos dispuestos en el artículo 58.2, letras a), b), c), d), f), g), i) y j), ambos del citado Reglamento.
2. Al objeto de cumplir los cometidos establecidos en el apartado anterior, a la Subdirección General de Inspección de Datos le corresponden las siguientes funciones:
a) La supervisión permanente del cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de la Ley Orgánica 3/2018, de 5 de diciembre, y de las disposiciones que la desarrollen, por parte de los responsables y encargados de los tratamientos.
b) El ejercicio de las potestades de investigación definidas en el artículo 51 de la Ley Orgánica 3/2018, de 5 de diciembre.
c) La realización de planes de auditoría preventiva que contempla el artículo 54 de la Ley Orgánica 3/2018, de 5 de diciembre, referidos a los tratamientos de un sector concreto de actividad. A resultas de esos planes, le corresponde la propuesta a la Presidencia de la Agencia de emisión de directrices generales o específicas tendentes a asegurar la plena adaptación del sector o responsable a la normativa y a procurar la aplicación de los derechos y garantías reconocidos en el título X de la Ley Orgánica 3/2018, de 5 de diciembre, en la medida en que estos afecten a tratamientos de datos personales cuya investigación, y en su caso, propuesta de imposición de medida correctiva o sancionadora, corresponda a la Subdirección General de Inspección de Datos.
d) La tramitación de los procedimientos en caso de posible vulneración de la normativa de protección de datos conforme a lo dispuesto en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, incluyendo las reclamaciones de los ciudadanos por falta de atención en sus solicitudes de ejercicio de los derechos contemplados en los artículos 15 al 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Corresponde a la Subdirección General de Inspección de Datos el deber de informar al reclamante sobre el curso y el resultado de la reclamación presentada ante la Agencia Española de Protección de Datos, de acuerdo con lo dispuesto en el artículo 77.2 del citado Reglamento.
e) La evaluación de la admisibilidad a trámite de las reclamaciones que se presenten ante la Agencia Española de Protección de Datos, y la propuesta a la Presidencia de decisión sobre la admisión o inadmisión a trámite, conforme a lo establecido en el artículo 65 de la Ley Orgánica 3/2018, de 5 de diciembre.
f) El traslado de la reclamación al responsable del tratamiento o a su Delegado de Protección de Datos, o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación antes de resolver sobre su admisión a trámite, según lo establecido en el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre.
g) El análisis de la competencia de la Agencia Española de Protección de Datos respecto de las reclamaciones que reciba, la determinación de su carácter nacional o transfronterizo, y la remisión, cuando proceda, a la autoridad de control principal que se determine, según lo dispuesto en el artículo 66 de la Ley Orgánica 3/2018, de 5 de diciembre.
h) La realización de actuaciones previas de investigación acordadas por la Presidencia por propia iniciativa, a raíz de una reclamación, o a petición de otro órgano o autoridad de control, a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento, según lo dispuesto en el artículo 67 de la Ley Orgánica 3/2018, de 5 de diciembre.
i) La instrucción del procedimiento para el ejercicio de la potestad sancionadora en caso de infracción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de la Ley Orgánica 3/2018, de 5 de diciembre, y de las normas de derecho interno que la desarrollen, conforme al régimen sancionador dispuesto en el título IX de la citada ley orgánica.
j) La propuesta a la Presidencia del acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora, según lo establecido en el artículo 68 de la Ley Orgánica 3/2018, de 5 de diciembre.
k) Durante las actuaciones previas de investigación o iniciado un procedimiento sancionador, la propuesta a la Presidencia de acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos, y en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado, conforme a lo establecido en el artículo 69 de la Ley Orgánica 3/2018, de 5 de diciembre.
l) La instrucción del procedimiento para el ejercicio de la potestad sancionadora por la comisión de las infracciones tipificadas en los artículos 38.3.c), d) e i) y 38.4.d), g) y h) de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conforme a lo dispuesto en el artículo 43.1 de la citada Ley.
m) La instrucción del procedimiento para el ejercicio de la potestad sancionadora por la comisión de las infracciones graves del artículo 77 tipificadas en el apartado 37 y de las infracciones leves del artículo 78 tipificadas en el apartado 11 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, cuando se vulneren los derechos de los usuarios finales sobre protección de datos y privacidad reconocidos en el artículo 48, de acuerdo con lo establecido en el artículo 84.3 de la referida Ley.
n) La propuesta a la Presidencia de la Agencia de imponer aquella medida correctiva que resulte idónea en cada caso para garantizar la protección de los datos de carácter personal. Conforme a lo dispuesto en el artículo 58.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, podrá proponer que se ordene al responsable o encargado del tratamiento que atienda las solicitudes de ejercicio de los derechos del interesado, ordenar al responsable o encargado que las operaciones de tratamiento se ajusten a la normativa o se realicen de una determinada manera y dentro de un plazo especificado, que se imponga una limitación temporal o definitiva del tratamiento, incluida su prohibición o que se ordene la suspensión de flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional.
o) En la instrucción de los procedimientos sancionadores, de acuerdo con lo previsto en el artículo 76 de la Ley Orgánica 3/2018, de 5 de diciembre, la propuesta a la Presidencia de imponer la sanción que se considere adecuada, que podrá ser de multa administrativa además o en lugar de las otras medidas correctivas previstas en el artículo 58.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, atendiendo a los hechos y a las circunstancias de cada caso individual y a las condiciones establecidas en el artículo 83 del citado Reglamento.
p) Respecto de las reclamaciones que gestiona, de las actuaciones de investigación que realiza y de los procedimientos sancionadores que instruye, la práctica de las notificaciones y comunicaciones que sean precisas en los actos de trámite, así como el registro de los datos pertinentes en el sistema de comunicación con las autoridades de control de la Unión Europea.
q) La gestión de registros internos de infracciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de las medidas adoptadas, según lo establecido en el artículo 57.1 u) del citado Reglamento.
r) La cooperación con las autoridades autonómicas de protección de datos que hubiesen asumido el ejercicio de las funciones establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, remitiéndoles aquellas reclamaciones que sean de su competencia conforme a lo dispuesto en el artículo 57 de la Ley Orgánica 3/2018, de 5 de diciembre.
s) La participación en la acción exterior de la Agencia Española de Protección de Datos en lo referente a las competencias de la Subdirección General. Particularmente, la cooperación con las demás autoridades de control de la Unión Europea respecto de las reclamaciones por infracción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de las actuaciones de investigación y de los procedimientos sancionadores que tramiten las autoridades de control de los Estados miembros, compartiendo información y prestando asistencia mutua, conforme a lo establecido en sus artículos 59, 60 y 61 del citado Reglamento, con el fin de garantizar la coherencia en la aplicación y ejecución del mismo.
t) Respecto de los recursos que se interpongan contra las actuaciones realizadas por la Subdirección General, la tramitación de los recursos en vía administrativa, así como la coordinación de la relación con los órganos jurisdiccionales y con los demás órganos de la Agencia que intervienen en la gestión de los recursos contencioso-administrativos.
u) La coordinación de la aplicación, en el ámbito de la Subdirección General, del sistema informático que establezca el Comité Europeo de Protección de Datos para la comunicación y compartición de la información entre las autoridades de protección de datos de la Unión Europea.
Corresponde a la Subdirección General de Promoción y Autorizaciones el desarrollo de las siguientes funciones:
a) Promover la sensibilización de la ciudadanía y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos, en especial cuando se trate de actividades dirigidas específicamente a los niños, según lo establecido en el artículo 57.1.b del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
b) Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, según lo dispuesto en su artículo 57.1.d.
c) Facilitar, previa solicitud, información a los ciudadanos en relación con el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conforme a su artículo 57.1.e.
d) El registro y publicidad de los delegados de protección de datos de acuerdo con los artículos 37.7 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y 34.4 de la Ley Orgánica 3/2018, de 5 de diciembre.
e) Elaborar las cláusulas contractuales tipo a que se refieren el artículo 28.8 y el artículo 46.2.d) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y proponer a la Presidencia su aprobación o adopción, de acuerdo con su artículo 57.1.j).
f) Alentar la elaboración de códigos de conducta y dictaminar y proponer a la Presidencia la aprobación de los que proporcionen suficientes garantías con arreglo al artículo 40.5 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conforme a su artículo 57.1 m).
g) Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de acuerdo con su artículo 57.1.p).
h) Proponer a la Presidencia la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en virtud de su artículo 57.1.q).
i) Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos según lo previsto en el artículo 57.1.n) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, proponer a la Presidencia la aprobación de los criterios de certificación de conformidad con el artículo 42.5 del mismo y la expedición de certificaciones; el registro de las concesiones, denegaciones o revocaciones de las acreditaciones y de las certificaciones expedidas y la realización de revisiones periódicas de las certificaciones expedidas, conforme a los artículos 43.5 y 57.1.n) y o) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y el artículo 39 de la Ley Orgánica 3/2018, de 5 de diciembre.
j) Proponer a la Presidencia la retirada de certificaciones o la orden al organismo de certificación para que retire certificaciones emitidas con arreglo a los artículos 42 y 43 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, o que no se emita una certificación cuando no se cumplan o dejen de cumplirse los requisitos para la certificación, de acuerdo con el artículo 58.2.h) del mismo.
k) Proponer a la Presidencia la autorización de las transferencias internacionales en virtud de cláusulas contractuales y acuerdos administrativos a que se refiere el artículo 46, apartado 3 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de acuerdo con su artículo. 57.1.r).
l) Proponer a la Presidencia la aprobación de normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en su artículo 57.1.s).
m) Proponer a la Presidencia la suspensión de los flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional de acuerdo con el artículo 58.2 j) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en los supuestos de modificación de las circunstancias que determinaron el otorgamiento de la autorización o la aprobación a que se refieren los dos apartados anteriores.
n) El registro de los sistemas de exclusión publicitaria y su publicación conforme a lo dispuesto en el artículo 23.2 de la Ley Orgánica 3/2018, de 5 de diciembre.
o) Proponer a la Presidencia las excepciones a la obligación de bloqueo en los supuestos establecidos en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.
p) El ejercicio de las funciones que la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información y buen gobierno, atribuye a las Unidades de Información.
q) La gestión de las quejas y sugerencias, de conformidad con el Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado.
1. La Agencia Española de Protección de Datos contará con una Secretaría General, con nivel orgánico de subdirección general, bajo la inmediata dirección de la Presidencia, a la que corresponde tener a su cargo los servicios comunes y de carácter administrativo de la entidad.
2. La Secretaría General de la Agencia Española de Protección de Datos tendrá atribuidas las siguientes funciones:
a) Elaborar los informes y propuestas que le solicite la Presidencia.
b) Notificar las resoluciones de la Presidencia, salvo las que se dicten por delegación, que se notificarán por el órgano delegado.
c) Ejercer la Secretaría del Consejo Consultivo: Preparar los asuntos y documentación que hayan de someterse a las deliberaciones del mismo, levantar las actas de las sesiones, expedir certificaciones de los acuerdos adoptados y tramitar los acuerdos adoptados.
d) La colaboración en la preparación de conferencias, seminarios y cualesquiera otras actividades similares que organice la Agencia Española de Protección de Datos.
e) La gestión y administración de recursos humanos incluida la elaboración de la relación de puestos de trabajo, la gestión de los procesos de selección del personal laboral, la gestión de la acción social y la formación de los recursos humanos, bajo la supervisión de la Presidencia.
f) La planificación y ejecución de la política de prevención de riesgos laborales.
g) El mantenimiento de las relaciones con los órganos de participación y representación del personal.
h) La gestión de los recursos materiales de la Agencia Española de Protección de Datos, y en el ejercicio de las competencias en materia patrimonial correspondientes a la Agencia, la conservación y mantenimiento y seguridad de su patrimonio y llevar el inventario de los bienes y derechos que se integren en él.
i) El régimen interior, asuntos generales y la coordinación e inspección de las instalaciones y servicios de la Agencia.
j) La gestión económico-financiera y patrimonial de la entidad, la elaboración del anteproyecto del presupuesto anual de la Agencia Española de Protección de Datos y la tramitación de sus variaciones.
k) La tramitación de los expedientes de contratación para adquisición de bienes y servicios, así como la habilitación del material.
l) La gestión presupuestaria, de los ingresos y gastos, la realización de los cobros y pagos y la gestión de la tesorería de la Agencia.
m) Las actuaciones referentes a la gestión contable y su tramitación documental, y a la preparación de las cuentas de la entidad para su rendición y aprobación.
n) Organizar, supervisar, liquidar y controlar la recaudación en periodo voluntario de los ingresos por sanciones impuestas por la Agencia Española de Protección de Datos al amparo de los previsto por el artículo 46 de la Ley Orgánica 3/2018, de 5 de diciembre.
o) La dirección y organización de los servicios de archivo y registro de la Agencia Española de Protección de Datos.
p) El desarrollo de los sistemas de información de los servicios comunes, de los sistemas de administración electrónica, el diseño y ejecución de planes y coordinación de las actuaciones y prestación de los servicios en materia de tecnologías de la información y comunicaciones, la gestión y mantenimiento de la sede electrónica y de los sitios web, la gestión de la red interna de comunicaciones, la gestión de los medios informáticos y telemáticos y su asignación a las distintas unidades orgánicas.
En el ejercicio de estas funciones, la Secretaría General podrá optar por la utilización y el aprovechamiento de módulos y servicios comunes de administración electrónica, en los términos que se acuerden con los órganos responsables en esta materia de la Administración General del Estado.
q) Redactar, proponer y tramitar los convenios con entidades públicas y privadas a celebrar por la Presidencia de la Agencia Española de Protección de Datos.
r) El ejercicio de las competencias en materia de gestión documental, estadística, recursos documentales, biblioteca y publicaciones de la Agencia Española de Protección de Datos.
s) El diseño e implementación de un sistema de evaluación del desempeño del personal en el marco de lo establecido en la normativa vigente.
t) Ejercer las potestades administrativas derivadas de las funciones de la Agencia, así como la gestión de los asuntos horizontales que no se correspondan con competencias específicamente atribuidas a otras unidades de la Agencia y las que le sean atribuidas por normas legales o reglamentarias.
u) Desempeñar las demás facultades y funciones que le atribuya el Estatuto y cualesquiera otras normas aplicables, así como las que le deleguen, en su caso, la Presidencia, de entre las contempladas en las letras a) a l) del apartado 2 del artículo 13.
Corresponde a la División de Relaciones Internacionales:
a) Organizar y coordinar la actividad internacional de la Agencia Española de Protección de Datos en su ámbito competencial, de acuerdo con los criterios y directrices establecidos por la Presidencia de la Agencia.
b) Coordinar la participación de la Agencia Española de Protección de Datos en reuniones, organizaciones y foros internacionales, en particular en el ámbito del Comité Europeo de Protección de Datos o en otros grupos de trabajo en materia de protección de datos constituidos al amparo del Derecho de la Unión Europea.
c) Coordinar la preparación de la posición de la Agencia Española de Protección de Datos en las discusiones y negociaciones internacionales, en particular en las desarrolladas en el seno del Comité Europeo de Protección de Datos.
d) Coordinar y asesorar a los órganos de la Agencia Española de Protección de Datos de los aspectos internacionales relacionados con sus funciones, en particular los que se deriven de la actividad del Comité Europeo de Protección de Datos.
e) Elaborar informes, estudios o análisis sobre la situación o evolución en el ámbito internacional de las materias relacionadas con la protección de datos.
f) Contribuir, sin perjuicio de la competencia específica de otros órganos de la Agencia y conforme a las directrices de la Presidencia, a la coordinación de la cooperación en la acción exterior en materias relacionadas con la protección de datos con otros órganos de la Administración General del Estado y entidades del sector público estatal, así como de las comunidades autónomas, y con las entidades locales, en particular con las autoridades autonómicas de protección de datos.
g) Organizar y coordinar la participación de la Agencia Española de Protección de Datos en proyectos y actividades de carácter internacional en materia de protección de datos.
Corresponde a la División de Innovación Tecnológica:
a) Asesorar a la Presidencia de la Agencia Española de Protección de Datos, como a sus distintas unidades, sobre los temas tecnológicos que tienen relevancia en la protección de datos de carácter personal, y para ello, analizar las implicaciones y alternativas del estado de arte de la tecnología y generar el conocimiento necesario para anticiparse a los cambios de la misma.
b) Impulsar la protección de datos como un factor de confianza y garantía de calidad en beneficio del desarrollo económico de la sociedad con el objeto de promover la sensibilización de responsables y ciudadanos, incluido el desarrollo y mantenimiento de herramientas de ayuda para el cumplimiento por parte de los mismos y la elaboración de guías que impulsen el cumplimiento del principio de responsabilidad activa del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en el ámbito tecnológico, según su artículo 57.1.b) y d).
c) Impulsar las medidas que garanticen la compatibilidad del desarrollo tecnológico con la privacidad asegurando los derechos de los ciudadanos según lo previsto en el artículo 57.1.i) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016; en particular: el asesoramiento a emprendedores y desarrolladores tecnológicos, la realización de estudios de prospección tecnológica, informar y asesorar a los proyectos tecnológicos con implicaciones en el derecho a la protección de datos de las personas, participar en proyectos tecnológicos de ámbito internacional de interés público sobre la base del derecho de la Unión Europea o de los Estados Miembros y promover la colaboración con las Universidades con el fin de impulsar la protección de datos en proyectos y contenidos curriculares jurídicos y técnicos.
d) Gestionar el Registro de brechas de seguridad para facilitar a los responsables el cumplimiento de lo previsto en el artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
e) Analizar y clasificar las brechas de seguridad y, en su caso, proponer motivadamente a la Presidencia la iniciación de una investigación cuando aprecie indicios de la comisión de una infracción.
f) Emitir informes, recomendaciones y dictámenes sobre las consultas previas realizadas por los responsables conforme al artículo 36 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en virtud de lo previsto en su artículo 57.1.l).
g) Elaborar una lista positiva y, en su caso, otra negativa de tratamientos que requieren la realización de evaluaciones de impacto según lo previsto en el artículo 57.1.k) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
1. El personal al servicio de la Agencia Española de Protección de Datos será funcionario o laboral.
2. En todo caso, el ejercicio de las funciones que impliquen la participación directa o indirecta en el ejercicio de potestades públicas o en la salvaguardia de los intereses generales del Estado y de las Administraciones Públicas, corresponden exclusivamente al personal funcionario público.
3. La persona titular de la Presidencia de la Agencia Española de Protección de Datos presentará anualmente al Ministerio de Política Territorial y Función Pública la propuesta de oferta de empleo público de la Agencia, para su aprobación e inclusión independiente en la oferta de empleo público de la Administración General del Estado. Dicha propuesta tendrá en cuenta las necesidades de recursos humanos de la Agencia para el adecuado ejercicio de sus funciones.
1. El personal funcionario de la Agencia Española de Protección de Datos se regirá por lo previsto en el texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por el Real Decreto Legislativo 5/2015, de 30 de octubre, y demás normas aplicables al personal funcionario de la Administración General del Estado.
2. El personal funcionario que desarrolle actividades de investigación tendrá la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.
3. La Presidencia de la Agencia Española de Protección de Datos convocará y resolverá los procedimientos de provisión de puestos de trabajo de conformidad con los procedimientos de provisión establecidos en la normativa sobre función pública. Tanto las convocatorias como sus resoluciones se publicarán en el «Boletín Oficial del Estado».
1. El personal laboral de la Agencia Española de Protección de Datos se regirá por el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, la normativa convencional aplicable en su caso, y por los preceptos del texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por el Real Decreto Legislativo 5/2015, de 30 de octubre, que expresamente le resulten de aplicación.
2. Corresponderá a la Presidencia de la Agencia Española de Protección de Datos la celebración de los contratos de trabajo del personal laboral, que será seleccionado, en ejecución de la Oferta de Empleo Público prevista en el artículo 32, mediante convocatoria pública que, además de adecuarse a la relación de puestos de trabajo de la Agencia, se sujetará a los principios de igualdad, mérito, capacidad y publicidad previstos por el texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por el Real Decreto Legislativo 5/2015, de 30 de octubre, así como del acceso al empleo público de las personas con discapacidad.
1. La Agencia Española de Protección Datos elaborará y aprobará su relación de puestos de trabajo, en el marco de los criterios establecidos por los Ministerios de Hacienda y de Política Territorial y Función Pública, respetando el límite de gasto de personal establecido en el presupuesto.
2. Las relaciones de puestos de trabajo de la Agencia Española de Protección de Datos comprenderán de forma diferenciada:
a) Los puestos de trabajo a desempeñar por personal funcionario; y contendrá su denominación, tipo y sistema de provisión, requisitos exigidos para su desempeño; así como el nivel de destino, y, en su caso, el complemento específico que corresponden a los mismos.
b) Los puestos de trabajo a desempeñar por personal laboral, fijo o temporal, contendrá el grupo profesional, familia profesional y/o especialidad y complementos del puesto; así como las características específicas del mismo, cuando proceda, y, en su caso, los requisitos de carácter profesional necesarios para su desempeño.
Las retribuciones del personal funcionario y laboral de la Agencia se ajustarán de acuerdo con lo dispuesto en la materia en las leyes de Presupuestos Generales del Estado.
En el marco de la política de recursos humanos, y conforme a los principios establecidos en el Real Decreto Legislativo 5/2015, de 30 de octubre, se establecerá un sistema de evaluación que sirva de instrumento objetivo para la valoración del desempeño del puesto de trabajo, a efectos retributivos y de carrera profesional del personal al servicio de la entidad. El correspondiente sistema de evaluación permitirá valorar los rendimientos colectivos de las unidades, así como realizar una valoración individual del desempeño de cada puesto de trabajo.
El personal de la Agencia Española de Protección de Datos estará sujeto a la Ley 53/1984, de 26 de diciembre, de Incompatibilidades del Personal al Servicio de las Administraciones Públicas.
El personal al servicio de la Agencia Española de Protección de Datos deberá guardar secreto, incluso después de cesar en sus funciones, sobre los datos personales que conozcan en el desempeño de sus tareas y de cuantas informaciones de naturaleza confidencial hubiera conocido en el ejercicio de aquellas.
A tal efecto, la Agencia Española de Protección de Datos elaborará una política específica para garantizar la confidencialidad de la información que no tenga el carácter de pública, dentro de la cual se integrará el Código Ético del personal al servicio de la Agencia, que será objeto de publicación en su página web.
1. Los recursos económicos de la Agencia Española de Protección de Datos comprenderán:
a) Las asignaciones que se establezcan con cargo a los Presupuestos Generales del Estado.
b) Los bienes y valores que constituyen su patrimonio y los productos y rentas de dicho patrimonio.
c) Los ingresos, ordinarios y extraordinarios derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidas en el artículo 58 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
d) Las subvenciones y aportaciones que se concedan a su favor, procedentes de fondos específicos de la Unión Europea o de otros organismos internacionales.
e) Cualesquiera otros que legalmente puedan serle atribuidos.
2. El resultado positivo de sus ingresos se destinará por la Agencia Española de Protección de Datos a la dotación de sus reservas con el fin de garantizar su plena independencia.
1. La gestión y recaudación de las tasas, precios públicos y cualesquiera otros recursos públicos cuya gestión esté atribuida a la Agencia Española de Protección de Datos, corresponde a dicha Autoridad, pudiendo utilizar para la efectividad de los mismos el procedimiento administrativo de apremio.
2. La Agencia Española de Protección de Datos podrá convenir con la Agencia Estatal de Administración Tributaria la gestión recaudatoria en período ejecutivo de sus recursos de derecho público en la forma prevista en el Reglamento General de Recaudación aprobado por Real Decreto 939/2005, de 29 de julio.
1. La Agencia Española de Protección de Datos tendrá, para el cumplimiento de sus fines, un patrimonio propio e independiente del de la Administración General del Estado, integrado por el conjunto de bienes y derechos de los que sea titular.
2. La gestión y administración de los bienes y derechos propios, así como de aquellos del Patrimonio del Estado que se le adscriban para el cumplimiento de sus fines, será ejercida de acuerdo con lo señalado en este Estatuto y con lo establecido para los organismos públicos en la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.
3. Corresponde a la Presidencia de la Agencia Española de Protección de Datos acordar la adquisición por cualquier título de los bienes inmuebles y derechos que resulten necesarios para los fines de la institución, así como su uso y arrendamiento, de acuerdo con el procedimiento establecido en la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.
4. La Agencia Española de Protección de Datos formará y mantendrá actualizado su inventario de bienes y derechos, tanto de los propios como de los bienes del Patrimonio del Estado adscritos a dicha entidad, que se revisará anualmente, con referencia al 31 de diciembre, y se someterá a la aprobación de la Presidencia de la Agencia Española de Protección de Datos. El inventario y sus modificaciones se remitirán anualmente al Ministerio de Hacienda en el primer mes de cada año natural.
5. Los bienes que el Estado adscriba a la Agencia quedarán afectados a su servicio y conservarán la calificación jurídica originaria, debiendo ser utilizados exclusivamente para los fines que determinaron la adscripción.
6. La persona titular de la Presidencia podrá acordar la innecesariedad para el servicio de los bienes muebles y, en su caso, la enajenación, cesión gratuita o destrucción del material no útil, así como cualesquiera otros de igual naturaleza, aplicando su producto a los fines propios de la Agencia.
1. La actividad contractual de la Agencia Española de Protección de Datos queda sujeta a la Ley 9/2017, de 8 de noviembre, así como a su normativa de desarrollo.
2. A los citados efectos, aplicará el régimen previsto en las citadas normas para las Administraciones Públicas.
3. El órgano de contratación de la Agencia Española de Protección de Datos es la Presidencia, quien podrá delegar esta competencia salvo para contratos cuyo valor estimado fuera igual o superior a 120.000 euros.
4. La Agencia podrá acordar su adhesión a sistemas de contratación centralizada o la cofinanciación conjunta de contratos con el Ministerio de Hacienda cuando de ello resultase una mayor eficiencia en la asignación de recursos.
5. La Agencia recibirá las facturas electrónicas que emitan sus proveedores a través del punto general de entrada de facturas electrónicas correspondiente a la Administración General del Estado, en los términos previstos en la Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público.
1. La Agencia Española de Protección de Datos elaborará y aprobará anualmente su presupuesto, con la estructura que establezca el Ministerio de Hacienda y lo remitirá al Gobierno para que sea integrado, con independencia, en los Presupuestos Generales del Estado.
2. El presupuesto de la Agencia tendrá carácter limitativo por su importe global y carácter estimativo para la distribución de los créditos por categorías económicas, con excepción de los correspondientes a gastos de personal que, en todo caso, tendrán carácter limitativo y vinculante por su cuantía total, y de los créditos que establezcan asignaciones identificando perceptor o beneficiario, salvo las destinadas a atender transferencias corrientes o de capital al exterior, y las atenciones protocolarias y representativas, que tendrán carácter limitativo y vinculante, cualquiera que sea el nivel de la clasificación económica al que se establezcan.
3. La ejecución y modificación del presupuesto de la Agencia Española de Protección de Datos se regirán por las disposiciones de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, que le sean de aplicación. La ejecución del presupuesto de la Agencia corresponde a su Presidencia.
4. El régimen de modificaciones de los créditos del presupuesto se ajustará a lo siguiente:
a) Las modificaciones del presupuesto de la Agencia serán autorizadas por la Presidencia de la Agencia Española de Protección de Datos cuando no incrementen la cuantía global del presupuesto, salvo que afecten a los créditos para gastos de personal, en cuyo caso la autorización será competencia del titular del Ministerio de Hacienda.
b) Corresponde igualmente a la Presidencia de la Agencia Española de Protección de Datos autorizar las modificaciones presupuestarias que impliquen un incremento de hasta un tres por ciento de los créditos iniciales de su presupuesto total de gastos cuando sean consecuencia de necesidades surgidas durante el ejercicio, y siempre que no se incrementen los créditos para gastos de personal, en cuyo caso será competencia del titular del Ministerio de Hacienda.
c) Corresponde al titular del Ministerio de Hacienda autorizar las modificaciones presupuestarias que impliquen un incremento por encima del tres por ciento de los créditos iniciales del presupuesto de la Agencia y siempre que no excedan de un cinco por ciento.
d) Corresponde al Gobierno las modificaciones que impliquen un incremento por encima del cinco por ciento de los créditos iniciales del presupuesto de la Agencia.
e) Si la modificación afectase a aportaciones estatales recogidas en los Presupuestos Generales del Estado, la competencia para autorizar ambas modificaciones corresponderá a la autoridad que tuviera atribuida la modificación en el Presupuesto del Estado. Estas modificaciones no computarán a efectos de los porcentajes recogidos en las letras a) y b) anteriores.
5. La Agencia Española de Protección de Datos podrá disponer de cuentas bancarias de gestión para todo tipo de ingresos y pagos en el Banco de España y en la banca comercial.
6. La Agencia podrá adquirir compromisos de gasto que hayan de extenderse a ejercicios posteriores a aquel en que se autoricen, con los límites y previsiones que le sean establecidos por ley.
7. Se dará cuenta de las modificaciones adoptadas por la Presidencia, en función de las competencias atribuidas en el apartado 4, a la Dirección General de Presupuestos, del Ministerio de Hacienda, para su toma de razón.
1. La Agencia deberá aplicar los principios contables públicos previstos en el artículo 122 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, así como el desarrollo de los principios y las normas establecidos en el Plan General de Contabilidad Pública, aprobado por Orden EHA/1037/2010, de 13 de abril, para lo cual contará con un sistema de información económico-financiero y presupuestario que tenga por objeto mostrar, a través de estados e informes, la imagen fiel del patrimonio, de la situación financiera, de los resultados y de la ejecución del presupuesto, que proporcione información de los costes sobre su actividad que sea suficiente para una correcta y eficiente adopción de decisiones.
2. La Intervención General de la Administración del Estado establecerá los requerimientos funcionales y, en su caso, los procedimientos informáticos que deberán observarse para cumplir lo dispuesto en el apartado anterior. En concreto, la Agencia aplicará, para la gestión contable, el sistema de información contable de la Administración General del Estado y sus organismos públicos, y suscribirá el correspondiente convenio con la Intervención General de la Administración del Estado para la utilización del sistema de apoyo a la gestión de las entidades públicas administrativas y del sistema de contabilidad analítica normalizada para organizaciones administrativas.
3. El ejercicio anual se computará por años naturales, comenzando el día 1 del mes de enero de cada año.
4. La Agencia contará con un sistema de contabilidad de gestión que permita efectuar el seguimiento del cumplimiento de los compromisos asumidos.
1. La persona titular de la Presidencia formulará las cuentas anuales en un plazo de tres meses desde el cierre del ejercicio económico. Una vez auditadas por la Intervención General de la Administración del Estado, serán aprobadas dentro del primer semestre del año siguiente al que se refieran.
2. La Presidencia rendirá las cuentas anuales al Tribunal de Cuentas, por conducto de la Intervención General de la Administración del Estado, en el plazo de los siete meses siguientes a la terminación del ejercicio económico y una vez aprobadas.
1. El control externo de la gestión económico-financiera de la Agencia corresponderá al Tribunal de Cuentas, de acuerdo con su normativa específica.
2. El control interno de la gestión económico-financiera corresponderá a la Intervención General de la Administración del Estado, realizándose bajo las modalidades de control financiero permanente y de auditoría pública, en las condiciones y en los términos establecidos en la Ley 47/2003, de 26 de noviembre, a través de la Intervención Delegada en la Agencia.
La asistencia jurídica de la Agencia Española de Protección de Datos, consistente en el asesoramiento jurídico y en la representación y defensa en juicio, corresponde a la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado, mediante la formalización del oportuno convenio en los términos previstos en la Ley 52/1997, de 27 de noviembre, de Asistencia Jurídica al Estado e Instituciones Públicas, y su normativa de desarrollo.
Este documento es de carácter informativo y no tiene valor jurídico.
Ayúdenos a mejorar: puede dirigir sus comentarios y sugerencias a nuestro Servicio de atención al ciudadano
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid