El Real Decreto 389/2021, de 1 de junio (LA LEY 12371/2021), aprueba un nuevo Estatuto de la Agencia Española de Protección de Datos con el objeto de adaptar su organización y funcionamiento al Reglamento 2016/679 (LA LEY 6637/2016) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y a la Ley Orgánica 3/2018, de 5 de diciembre (LA LEY 19303/2018), de Protección de Datos Personales y garantía de los derechos digitales. El nuevo modelo de protección de datos de carácter personal tiene una incidencia notable en la organización y funciones tradicionales de la Agencia, puesto que el Reglamento refuerza las competencias de las autoridades de control que deberán contar con todos las funciones y poderes efectivos, incluidos los poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos previstos en el propio Reglamento y ha introducido los mecanismos que garanticen la necesaria coordinación y coherencia entre las diferentes autoridades de control europeas.
Por otro lado, hay que tener en cuenta que la Agencia Española de Protección de Datos no solo ejerce las competencias derivadas del citado Reglamento, sino que también ejercerá las que establece la Ley Orgánica 7/2021, de 26 de mayo (LA LEY 11831/2021), de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Asimismo ejerce en la actualidad, las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, que en la actualidad se recogen en la Ley 34/2002, de 11 de julio (LA LEY 1100/2002), de servicios de la sociedad de la información y de comercio electrónico, y en la legislación en materia de telecomunicaciones.
Naturaleza, régimen jurídico y funciones de la Agencia
La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en el artículo 109 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LA LEY 15011/2015), con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones. Tendrá su sede en Madrid y actúa con plena independencia del Gobierno, de las Administraciones Públicas y de cualquier interés empresarial o comercial.
La Agencia debe colaborar con el Consejo General del Poder Judicial en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 julio (LA LEY 1694/1985), del Poder Judicial, les atribuye en materia de protección de datos de carácter personal en el ámbito de la Administración de Justicia.
Por otra parte, la persona titular de la Presidencia podrá dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad, regulando el texto el procedimiento de elaboración de estas Circulares de la Agencia Española de Protección de Datos. Asimismo, la Agencia redactará una Memoria anual sobre la aplicación de la normativa de protección de datos.
Estructura orgánica de la Agencia
La norma contiene la regulación de cada uno de los órganos integrantes de la Agencia Española de Protección de Datos.
Su estructura orgánica se articula en torno a la Presidencia, de la que dependen la Adjuntía a la Presidencia, la Subdirección General de Inspección de datos, la Subdirección General de Promoción y Autorizaciones, la Secretaría General, la División de Relaciones Internacionales y la División de Innovación Tecnológica.
Se regulan los procedimientos de designación de la Presidencia y de la Adjuntía a la Presidencia y las competencias y funcionamiento de los referidos órganos.
Y se incluye el régimen del Consejo Consultivo de la Agencia Española de Protección de Datos, órgano colegiado de asesoramiento de la Presidencia de la Agencia. Emitirá informe en todas las cuestiones que le someta la Presidencia de la Agencia de Protección de Datos y podrá formular propuestas en temas relacionados con las materias de competencia de esta.
En la disposición adicional única suprime los siguientes órganos directivos: el Director de la Agencia Española de Protección de Datos, el Registro General de Protección de Datos y la Inspección de Datos.
Personal al servicio de la Agencia
El personal al servicio de la Agencia Española de Protección de Datos será funcionario o laboral. En todo caso, el ejercicio de las funciones que impliquen la participación directa o indirecta en el ejercicio de potestades públicas o en la salvaguardia de los intereses generales del Estado y de las Administraciones Públicas, corresponden exclusivamente al personal funcionario público.
La Agencia elaborará y aprobará su relación de puestos de trabajo, diferenciando los puestos a desempeñar por personal funcionario y por personal laboral, fijo o temporal.
El personal de la Agencia Española de Protección de Datos estará sujeto a la Ley 53/1984, de 26 de diciembre (LA LEY 2769/1984), de Incompatibilidades del Personal al Servicio de las Administraciones Públicas.
Las retribuciones del personal funcionario y laboral de la Agencia se ajustarán de acuerdo con lo dispuesto en la materia en las leyes de Presupuestos Generales del Estado.
Además, la norma instaura un sistema de evaluación que sirva de instrumento objetivo para la valoración del desempeño del puesto de trabajo, a efectos retributivos y de carrera profesional del personal al servicio de la entidad.
Por último, establece que el personal al servicio de la Agencia Española de Protección de Datos deberá guardar secreto, a estos efectos, se elaborará una política específica para garantizar la confidencialidad de la información que no tenga el carácter de pública, dentro de la cual se integrará el Código Ético del personal al servicio de la Agencia, que será objeto de publicación en su página web.
Régimen económico, patrimonial y de contratación
El Estatuto detalla los recursos económicos de que dispone la Agencia Española de Protección de Datos, a la que corresponde la gestión y recaudación de las tasas, precios públicos y cualesquiera otros recursos públicos cuya gestión tenga atribuida.
Asimismo, la Agencia Española de Protección de Datos tendrá, para el cumplimiento de sus fines, un patrimonio propio e independiente del de la Administración General del Estado, integrado por el conjunto de bienes y derechos de los que sea titular.
Por lo que respecta a la contratación, el texto señala que la misma queda sujeta a la Ley 9/2017, de 8 de noviembre (LA LEY 17734/2017), así como a su normativa de desarrollo. A estos efectos, aplicará el régimen previsto en las citadas normas para las Administraciones Públicas.
Régimen presupuestario, de contabilidad y control económico financiero
La Agencia Española de Protección de Datos elaborará y aprobará anualmente su presupuesto, con la estructura que establezca el Ministerio de Hacienda y lo remitirá al Gobierno para que sea integrado, con independencia, en los Presupuestos Generales del Estado. La norma regula el contenido del mismo, su ejecución y modificación.
Respecto a las disposiciones aplicables a la contabilidad de la Agencia, dispone que la persona titular de la Presidencia formulará las cuentas anuales en un plazo de tres meses desde el cierre del ejercicio económico. Una vez auditadas por la Intervención General de la Administración del Estado, serán aprobadas dentro del primer semestre del año siguiente al que se refieran.
Por su parte, el control externo de la gestión económico-financiera de la Agencia corresponderá al Tribunal de Cuentas, de acuerdo con su normativa específica, mientras que el control interno de la gestión económico-financiera corresponderá a la Intervención General de la Administración del Estado, realizándose bajo las modalidades de control financiero permanente y de auditoría pública, en las condiciones y en los términos establecidos en la Ley 47/2003, de 26 de noviembre (LA LEY 1781/2003), a través de la Intervención Delegada en la Agencia.
Por último, la asistencia jurídica de la Agencia Española de Protección de Datos, consistente en el asesoramiento jurídico y en la representación y defensa en juicio, corresponde a la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado, mediante la formalización del oportuno convenio en los términos previstos en la Ley 52/1997, de 27 de noviembre (LA LEY 4060/1997), de Asistencia Jurídica al Estado e Instituciones Públicas, y su normativa de desarrollo.
Modificaciones legislativas
Deroga el Real Decreto 428/1993, de 26 de marzo (LA LEY 1635/1993), por el que se aprueba el Estatuto de la Agencia de Protección de Datos.
Entrada en vigor y disposiciones transitorias
El Real Decreto 389/2021, de 1 de junio (LA LEY 12371/2021), entra en vigor el 3 de junio de 2021, al día siguiente de su publicación en el Boletín Oficial del Estado.
Las unidades y puestos de trabajo con el nivel orgánico inferior a subdirección general continuarán subsistentes y serán retribuidos con cargo a los mismos créditos presupuestarios hasta que se aprueben las correspondientes relaciones o catálogos de puestos de trabajo de la Agencia Española de Protección de Datos adaptados a la estructura orgánica de la norma.
Asimismo, las unidades y puestos de trabajo encuadrados en los órganos suprimidos, o cuya dependencia orgánica haya sido modificada por este real decreto, se adscribirán provisionalmente, mediante resolución de la Presidencia de la Agencia Española de Protección de Datos, hasta tanto entren en vigor las correspondientes relaciones o catálogos de puestos de trabajo, a los órganos regulados en este real decreto en función de las atribuciones que estos tengan asignadas.