Está Vd. en

Documento BOE-A-2021-18134

Instrucción 1/2021, de 2 de noviembre, de la Agencia Española de Protección de Datos, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.Ver texto consolidado

Publicado en:
«BOE» núm. 265, de 5 de noviembre de 2021, páginas 135076 a 135084 (9 págs.)
Sección:
III. Otras disposiciones
Departamento:
Agencia Española de Protección de Datos
Referencia:
BOE-A-2021-18134
Permalink ELI:
https://www.boe.es/eli/es/ins/2021/11/02/1

TEXTO ORIGINAL

PREÁMBULO

I

Desde la aprobación en 2016 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, o RGPD), y con la finalidad de asistir y formar a todos los actores implicados en los procesos de tratamiento de datos y procurar una transición ordenada a la nueva regulación establecida en el RGPD, la Agencia Española de Protección de Datos (AEPD) ha venido desarrollando funciones consultivas particularizadas, a demanda de responsables y encargados individuales. Transcurridos más de cinco años desde la entrada en vigor del RGPD parece oportuno concluir la fase transitoria y definir con claridad, en aras de la certeza jurídica de los sujetos obligados, cuáles son las funciones consultivas que debe desarrollar la AEPD, de conformidad con el RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD), y su Estatuto, aprobado por el Real Decreto 389/2021, de 1 de junio.

El objeto de la presente Instrucción es adaptar las funciones consultivas de la AEPD a los preceptos del RGPD, la LOPDPGDD y de su Estatuto. De una parte, se trata de ajustar la actividad de la AEPD al principio de responsabilidad proactiva de los responsables del tratamiento enunciado como novedad en el RGPD y, de otra, respetar el principio de competencia administrativa y ceñirse a las funciones previstas en el citado RGPD (artículo 57) para las autoridades de control en protección de datos.

En cuanto al principio de responsabilidad proactiva de los responsables del tratamiento, efectivamente, tal como se recoge en la Exposición de motivos de la Ley Orgánica 3/2018, «la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan»; con el asesoramiento y supervisión, en su caso, del Delegado de Protección de Datos (DPD). Este nuevo principio, esencial para entender el marco normativo de la protección de datos personales en la Unión Europea (UE), está recogido en el artículo 5 del RGPD, en concreto en el apartado 2.f), que establece que: «el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 [los principios de obligada observancia recogidos en el RGPD] y capaz de demostrarlo (responsabilidad proactiva)».

De lo anterior se deduce que tanto el RGPD, como la LOPDGDD en el ámbito nacional, han establecido un nuevo sistema de cumplimiento para responsables y encargados de tratamiento por el cual estos sujetos no sólo deben cumplir las obligaciones que les impone la normativa aplicable, sino que proactivamente deben poder demostrarlo o documentarlo frente a las autoridades de control. El RGPD ofrece un conjunto de medidas que facilitan su cumplimiento, unas de carácter obligatorio –en determinados supuestos– como la designación de un delegado de protección de datos (DPD), que proporciona asesoramiento a responsables y encargados del tratamiento y supervisa el cumplimiento del RGPD, y otras voluntarias como los códigos de conducta o los mecanismos de certificación.

Asimismo, hay que tener en cuenta la nueva competencia atribuida a la Presidencia de la AEPD por el artículo 55 de la LOPDGDD, que la faculta para dictar circulares que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el RGPD y en la LOPDGDD, y que serán obligatorias una vez publicadas en el «Boletín Oficial del Estado», ajustándose su procedimiento de elaboración a lo establecido en el Estatuto de la Agencia Española de Protección de Datos. Atendiendo a dicha competencia y al carácter obligatorio de las circulares, se considera que las mismas deben configurarse como el elemento prioritario a través del cual la AEPD establezca los criterios generales de interpretación de la normativa sobre protección de datos personales, contribuyendo de este modo a incrementar la seguridad jurídica.

II

El segundo elemento de adaptación, ajustar la actividad de la AEPD al catálogo de funciones previstas en el RGPD para las autoridades de control, es un elemento ligado también al nuevo principio de responsabilidad proactiva. En este enfoque, las autoridades de control tienen un carácter marcadamente de supervisión y no se encuentran entre sus funciones, listadas en el artículo 57 del RGPD, las de asesorar o resolver las consultas de los responsables o encargados del tratamiento, porque son ellos mismos, asistidos por sus DPD, o abogados o consultores, quienes han de determinar los tratamientos de datos que implique el ejercicio de su actividad, evaluar los riesgos que su suponen para los derechos y libertades de los afectados e implantar las medidas necesarias para evitarlos o reducirlos. Así lo ha interpretado acertadamente la Comisión Europea en sus orientaciones sobre la aplicación directa del Reglamento general de protección de datos a partir del 25 de mayo de 2018, contenidas en su Comunicación 43 de fecha 24 de enero de 2018. A juicio de la Comisión Europea, el asesoramiento jurídico personalizado e individualizado a los responsables y los encargados del tratamiento sólo corresponde a los abogados y delegados de protección de datos. Conviene subrayar también que la LOPDGDD tampoco ha ampliado las funciones listadas en el citado artículo 57 del RGPD, ni ha dado cobertura legal por tanto a una función consultiva dirigida a responsables o encargados del tratamiento.

Además, se ha de tener en cuenta el carácter independiente e imparcial que las autoridades de control en protección de datos deben observar en el ejercicio de su función primordial supervisora, por lo que el asesoramiento particularizado a responsables o encargados podría perjudicar en un futuro la imparcialidad de las labores de supervisión, cuando se hubiese asesorado previamente sobre un tratamiento de datos que posteriormente da lugar a actuaciones de investigación.

III

En consecuencia, las funciones consultivas de la AEPD deben adaptarse al nuevo esquema jurídico creado por el RGPD, que no contempla el asesoramiento individualizado a responsables o encargados por la autoridad de control ni la consulta particular a demanda de los responsables. Por tanto, la AEPD no desarrollará funciones consultivas individualizadas destinadas a responsables y encargados del tratamiento, porque no se prevé así en el RGPD ni en la LOPDGDD. No es coherente con el principio de responsabilidad proactiva y puede generar una percepción de falta de imparcialidad cuando la AEPD tenga que ejercitar sus potestades de investigación y supervisión sobre tratamientos en los que previamente ha desarrollado una función asesora o consultiva.

Por otro lado, es criterio reiterado de esta Agencia el de no atender a las consultas que puedan plantearse por despachos de abogados o consultores cuyas funciones son, precisamente, la interpretación de la ley y el asesoramiento a sus clientes.

No obstante, para ayudar de manera generalizada al cumplimiento de responsables y encargados, la AEPD ha publicado, desde la aprobación del RGPD, numerosas guías, manuales de ayuda y diseñado aplicaciones gratuitas y disponibles en su web (www.aepd.es), que facilitan a los responsables y encargados la puesta en marcha de su actividad con respeto de la normativa de protección de datos y la evaluación de los riesgos generados. Asimismo, la AEPD pone a disposición de todos en su web un catálogo de preguntas frecuentes donde puede encontrarse respuesta a los problemas más comunes detectados en la aplicación y cumplimento de la normativa de protección de datos.

Con base en todo lo anterior, las funciones consultivas de la AEPD, según estipula el RGPD y la LOPDGDD, se configuran esencialmente para los siguientes supuestos: en primer lugar, se establecen funciones consultivas relacionadas con la actividad normativa, tanto legislativa como reglamentaria. En segundo lugar, se establecen también funciones informativas dirigidas a las personas interesadas o ciudadanos, cuando éstos las soliciten, para informarse sobre sus derechos en materia de protección de datos. En tercer lugar, la AEPD puede ser consultada por los DPD bajo ciertos requisitos coherentes con el principio de responsabilidad proactiva. Finalmente, se regula la función consultiva específica, contemplada en el artículo 36 del RGPD, cuando las conclusiones de una evaluación de impacto muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.

Por tanto, son las funciones consultivas descritas en el párrafo anterior las que está obligada a realizar la AEPD, dentro del marco competencial fijado por el RGPD y la LOPDGDD, y las que se regulan en las normas de la presente instrucción.

IV

El considerando 38 del RGPD señala que «Los niños merecen una protección específica de sus datos personales» y el artículo 57.1.b) establece que «Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención». Para este grupo la AEPD dispone de un espacio en su web dedicado exclusivamente al tratamiento de los datos personales de los menores y al ámbito educativo, que incluye un canal específico de atención y consulta que, en aras de la particular protección de la que son acreedores los menores, ha de continuar prestando sus servicios en las condiciones en las que se viene realizando, por lo que la presente instrucción no debe afectar a su actual funcionamiento y operatividad.

En consecuencia con lo expuesto, en virtud de la facultad que me concede el artículo 13.1, letras a) y d), del Real Decreto 389/2021, de 1 de junio, por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, y el artículo 6 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, apruebo la siguiente

Instrucción

Primero. Objeto y ámbito de aplicación.

1. La presente instrucción será de aplicación a la actividad consultiva de la AEPD que comprende las siguientes funciones:

a) Informar preceptivamente:

1. Los proyectos de disposiciones generales de desarrollo del RGPD y de la LOPDGDD.

2. Cualesquiera anteproyectos de ley o proyectos de reglamento que incidan en la materia propia del RGPD.

3. Los anteproyectos de ley por los que se exijan datos con carácter obligatorio y su adecuación a lo dispuesto en el artículo 7 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública.

4. El contenido y formato de los cuestionarios, hojas censales y otros documentos de recogida de datos con fines estadísticos oficiales.

5. Los procesos de recogida y tratamiento de los datos personales a efectos estadísticos oficiales.

6. Las condiciones de seguridad de los tratamientos realizados con fines exclusivamente estadísticos oficiales.

7. Cualesquiera otros informes que se deban emitir por la AEPD con carácter preceptivo en virtud de disposiciones legales o reglamentarias.

b) Proporcionar información relativa a las consultas formuladas por las personas afectadas sobre el ejercicio de sus derechos, cuando éstas así lo soliciten en virtud del artículo 57.1.e) del RGPD.

c) Dar respuesta a las consultas presentadas por los DPD, cuando estos lo soliciten en virtud del artículo 39.1.e) del RGPD y conforme a los requisitos que se exponen en la norma 4.

d) Dar respuesta a consultas previas presentadas por los responsables del tratamiento conforme dispone el artículo 36 del RGPD [artículo 57.1.l) RGPD].

2. Asimismo, la presente instrucción comprende las actuaciones para promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del RGPD. Tales actuaciones consistirán en:

1. La elaboración de materiales, recursos y herramientas dirigidos a facilitar y ayudar a los responsables y encargados el cumplimiento del RGPD y la LOPDPGDD.

2. La elaboración y ejecución de planes de acción dirigidos a sectores cuya actividad principal implique el tratamiento de datos personales, a organizaciones de consumidores y usuarios, y representativas de trabajadores.

3. No es objeto de la presente instrucción las circulares que puede dictar la Agencia para establecer los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el RGPD y en la LOPDGDD, que se ajustarán al procedimiento regulado en el Estatuto.

CAPÍTULO I
Función consultiva dirigida al Parlamento, al Gobierno y a las Administraciones Públicas relativa al desarrollo y aplicación de las normas que incidan en materia propia del RGPD y la LOPDPGDD [artículo 57.1.e) RGPD]
Segundo. El Gabinete Jurídico de la Agencia Española de Protección de Datos.

1. Al Gabinete Jurídico de la Agencia Española de Protección de Datos le corresponde el asesoramiento jurídico de los distintos órganos de la Agencia, en virtud del Convenio suscrito con la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado, que ejercerá en los términos establecidos por la Ley 52/1997, de 27 de noviembre, de Asistencia Jurídica al Estado e Instituciones Públicas, su normativa de desarrollo y el citado Convenio.

Este asesoramiento, que incluirá el correspondiente a los informes preceptivos sobre disposiciones legales y reglamentarias que le sean solicitados por la Presidencia de la Agencia, tendrá carácter prioritario y será preferente sobre cualesquiera otros asuntos que le puedan ser sometidos a su consideración.

Asimismo, le corresponderá emitir informe en aquellos otros asuntos de carácter jurídico en los que deba consultarse, preceptivamente, a la Agencia Española de Protección de Datos, en virtud de disposiciones legales o reglamentarias, y no sean competencia de otro órgano de la Agencia, que tendrán preferencia sobre el resto de consultas que puedan formularse sin dicho carácter.

2. Corresponderá al Gabinete Jurídico informar las consultas que puedan presentar los DPD conforme a la norma 4, cuando se trate de cuestiones que no puedan resolverse con los criterios ya informados por la AEPD o de cuestiones nuevas derivadas de la aplicación del nuevo régimen jurídico de protección de datos de carácter personal, siempre que el Gabinete Jurídico considere que tienen un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica.

En estos supuestos, el informe del DPD deberá analizar detallada y motivadamente las cuestiones objeto de consulta, incluyendo el criterio defendido por el propio DPD, así como el razonamiento sobre el alcance general de la consulta.

3. Estas consultas se atenderán atendiendo a la relevancia de las mismas, en la medida en que el resto de la actividad del Gabinete a la que se refieren los apartados anteriores lo permitan, dando preferencia a las que formulen los DPD de las Administraciones Públicas y de las asociaciones y organizaciones representativas de categorías de responsables o encargados.

4. En ningún caso se emitirán informes sobre consultas que se refieran a tratamientos que estén realizando sujetos distintos del propio consultante, sin perjuicio de su derecho a presentar una reclamación conforme al artículo 77.1 del RGPD.

5. Con carácter excepcional y siempre que el Gabinete Jurídico considere que tienen un alcance general en el que resulte conveniente un informe que contribuya a la seguridad jurídica, se atenderán las consultas que formulen los responsables o encargados del tratamiento, en los supuestos en que no sea obligatoria designación de DPD, siempre que se justifique la imposibilidad de su designación con carácter voluntario y se acompañe un informe que analice detallada y motivadamente las cuestiones objeto de consulta. En estos supuestos, se dará preferencia a las formuladas por organizaciones representativas de categorías de responsables o encargados.

CAPÍTULO II
Función consultiva dirigida a los ciudadanos para facilitar información sobre el ejercicio de sus derechos [artículo 57.1.e) RGPD]
Tercero. Cauces de información de la AEPD a los ciudadanos sobre sus derechos, contenidos y efectos de la actividad informativa.

1. El órgano de la AEPD responsable de la promoción informativa es la Subdirección General de Promoción y Autorizaciones (SGPA).

2. La SGPA proporciona el servicio de información a los ciudadanos sobre sus derechos a través de los siguientes mecanismos:

a) Publicaciones informativas a través de la web de la AEPD (FAQ, guías, manuales y otros materiales y contenidos).

b) Atención presencial concertada mediante cita previa.

c) Atención telefónica individualizada.

d) Resolución de consultas escritas de ciudadanos interesados a través de la aplicación disponible en la sede electrónica de la AEPD para consultas individualizadas.

3. Las condiciones y horarios de la atención presencial y telefónica se fijan en la web de la AEPD.

4. La atención telefónica y la presencial garantizará la información sobre sus derechos de protección de datos a aquellos ciudadanos que no tienen acceso o no disponen de medios electrónicos.

5. Las consultas que se formulen ante la AEPD deben referirse a los derechos de la persona solicitante. Las respuestas a las consultas constituyen una actividad meramente informativa del órgano administrativo, no incluyen valoraciones sobre tratamientos realizados por terceros, ni modifican en modo alguno la situación jurídica del solicitante.

6. Por razones de eficiencia administrativa, si una consulta individual formulada por escrito se encuentra respondida ya en el catálogo de preguntas frecuentes, la SGPA no repetirá nuevamente la información y se indicará al solicitante la FAQ que responde a esa pregunta.

7. El catálogo de preguntas frecuentes estará disponible en la web de la AEPD, se mantendrá actualizado y adaptado a la evolución tecnológica y a las disposiciones y necesidades económicas y sociales del momento.

8. Sin perjuicio de lo previsto en las normas 6 y 7, el servicio de consultas de atención al ciudadano no atenderá las formuladas individualmente por responsables o encargados del tratamiento ni por abogados ni consultores.

CAPÍTULO III
Función consultiva dirigida a los Delegados de Protección de Datos (DPD) conforme al artículo 39.1.e) del RGPD
Cuarto. Consultas de los DPD.

1. La AEPD ha habilitado un canal de consulta para DPD, dependiente orgánicamente de la SGPA.

2. Las consultas por escrito que formulen los DPD, al amparo de lo previsto en el artículo 39.1.e) del RGPD deberán remitirse al canal DPD a través de su sede electrónica.

3. Para la formulación de las consultas el DPD deberá haber sido previamente comunicado a la AEPD por el responsable o encargado. La inclusión en la relación de DPD de la AEPD será suficiente para acreditar su designación como DPD.

4. Las consultas deben ir acompañadas de un informe del DPD en cuestión, en el que se analice el tratamiento sobre el que se consulta y se examinen los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del mismo. Todo ello de conformidad con el principio de responsabilidad proactiva y el artículo 39.2 del RGPD. Las consultas que no vengan acompañadas por el informe del DPD que la remite no serán atendidas.

5. No serán objeto de respuesta las consultas:

a) Que planteen tratamientos hipotéticos.

b) Que estén o puedan estar relacionadas con procedimientos en tramitación en la AEPD, incluidas las relativas al estado de tramitación.

c) Que pretendan la validación de actuaciones o documentos en materia de protección de datos elaborados por responsable o encargados.

d) Que impliquen acceso a la información pública.

e) Que se refieran a cuestiones que se encuentran ya explicadas y son accesibles en los materiales publicados en la página web de la AEPD, tales como las Guías, Preguntas Frecuentes y Herramientas elaboradas para facilitar el cumplimiento del RGPD.

6. Este Canal también estará disponible para las organizaciones y asociaciones representativas de responsables y encargados del tratamiento que presten servicio de asesoramiento en materia de protección de datos a sus asociados, especialmente cuando se trate de pequeñas y micro empresas, en las mismas condiciones que se establecen para los DPD.

7. Las consultas serán contestadas por escrito. Alternativamente, por razones de eficiencia administrativa, si se observa la presentación de múltiples consultas formuladas por diferentes DPD sobre el mismo objeto, o de un determinado sector de actividad, la SGPA puede organizar una actividad interactiva con los DPD o las organizaciones y asociaciones afectadas a fin de examinar y resolver todas las consultas simultáneamente en una sola actividad.

CAPÍTULO IV
Función consultiva sobre las operaciones de tratamiento contempladas en el artículo 36.2 del RGPD [artículo 57.1.l) RGPD]
Quinto. Consultas sobre las operaciones de tratamiento de alto riesgo.

1. Serán objeto de consulta previa las evaluaciones de impacto relativas a la protección de datos (EIPD) de aquellos tratamientos que, cumpliendo con los principios y derechos establecidos en el RGPD, sean de alto riesgo para los derechos y libertades de los interesados, y cuando el responsable no haya podido mitigar o evitar dicho riesgo. Además, también aquellos tratamientos sometidos a la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales que, cumpliendo con los principios y derechos establecidos en la norma, la EIPD indique que el tratamiento entrañaría un alto nivel de riesgo, a falta de medidas adoptadas por el responsable para mitigar el riesgo o los posibles daños, o cuando el tipo de tratamiento pueda generar un alto nivel de riesgo para los derechos y libertades de los interesados, en particular, cuando se usen tecnologías, mecanismos o procedimientos nuevos.

2. La consulta previa solo se podrá realizar antes de proceder al tratamiento de datos personales, excepto cuando se produzcan en el tratamiento cambios en su naturaleza, alcance, contexto o riesgos que sean ajenos al responsable.

3. En el caso de que haya obligación de designar un DPD, la consulta previa solo se podrá presentar cuando éste haya sido designado y comunicado a la AEPD previamente a la remisión de la consulta.

4. El contenido mínimo para realizar una solicitud de consulta previa incluirá lo exigido en el artículo 36.3 del RGPD:

a) «Las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial»,

b) «los fines y medios del tratamiento previsto»,

c) «las medidas y garantías para proteger los derechos y libertades de los interesados»,

d) «en su caso, los datos de contacto del delegado de protección de datos»,

e) «la evaluación de impacto relativa a la protección de datos establecida en el artículo 35, y»

f) «cualquier otra información que solicite la autoridad de control».

5. Con relación a la documentación de la evaluación de impacto relativa a la protección de datos establecida en la letra «e» del artículo 36 apartado 3, el contenido mínimo incluirá, al menos:

a) Identificación del tratamiento y, en su caso, de la versión del mismo a la que corresponde la EIPD.

b) Fecha, firma y datos de contacto del responsable del tratamiento, de quien ha elaborado la documentación de la EIPD y, en caso de que exista o deba existir DPD, fecha, firma y datos de contacto del DPD.

c) En el caso de que se haya presentado previamente una consulta previa sobre el mismo tratamiento, sumario de las modificaciones introducidas en la naturaleza, contexto, ámbito, fines, riesgos y garantías del tratamiento.

d) Descripción del contexto interno y externo de la organización en la que se desenvuelve el tratamiento y la EIPD.

e) Identificación inequívoca y datos de contacto de todos los intervinientes en el tratamiento con sus roles.

f) Demostración del cumplimiento en el tratamiento de los principios y derechos establecidos en el RGPD, en particular, de una base jurídica.

g) Descripción sistemática del tratamiento.

h) Factores que determinan la realización de la EIPD y de la consulta previa.

i) Descripción del proceso de gestión formal de los riesgos para los derechos y libertades de los interesados, en particular, la identificación de los factores de riego, su análisis, la evaluación del nivel de riesgo del tratamiento y los mecanismos y garantías introducidos para minimizarlos incluyendo:

i. Las medidas establecidas sobre el concepto y diseño del tratamiento,

ii. las medidas de gobernanza y políticas de protección de datos,

iii. las medidas de protección de datos desde el diseño,

iv. las medidas de protección de datos por defecto,

v. la relación de activos y las medidas de seguridad para la protección de los derechos y libertades de los interesados.

j) En su caso, el análisis de la opinión de los interesados o de sus representantes en relación con el tratamiento previsto.

k) La evaluación objetiva y positiva de la necesidad y proporcionalidad del tratamiento.

l) Criterios para reevaluar la EIPD y, en su caso, de caducidad del tratamiento.

m) Cualquier otra documentación adicional necesaria para proporcionar a la autoridad de control la información completa y exacta sobre el tratamiento.

El desarrollo de la documentación de la EIPD deberá contemplar lo señalado por la AEPD en sus guías y recomendaciones, en particular, lo señalado en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales» disponible en la web de la AEPD.

6. Las consultas previas deberán estar firmadas por el responsable y tendrán entrada en esta Agencia a través del canal de consultas previas dispuesto por la AEPD en su sede electrónica.

7. No tendrán consideración de consulta previa la documentación remitida sobre tratamientos que en los que no se cumplen los apartados del 1 al 6 de este artículo.

CAPÍTULO V
Actividades de información y sensibilización
Sexto. Actividades de información activa.

La AEPD elabora y ofrece en su web contenidos, materiales, documentos, preguntas y respuestas frecuentes (FAQ), guías, manuales, recursos y herramientas destinados a informar sobre el RGPD, la LOPDPGDD y demás normativa en materia de protección de datos, y a facilitar y ayudar a su cumplimiento.

Dichos materiales serán objeto de revisión y actualización periódica y, en todo caso, cuando se requiera por una modificación legislativa o decisión judicial.

Séptimo. Actividades de sensibilización dirigidas a responsables y encargados sobre cumplimiento de obligaciones de protección de datos.

La AEPD adoptará planes de acción bienales dirigidos a promover la sensibilización de los responsables y encargados del tratamiento sobre las obligaciones que establece el RGPD y a facilitar su cumplimiento.

Los planes de acción incluirán, entre otras medidas, la organización y celebración de jornadas, sesiones, seminarios, reuniones, tanto presenciales como online, y webinarios por sectores concretos de actividad.

Para su efectividad tendrá en cuenta los asuntos que le trasladen las asociaciones y organizaciones representativas de los responsables y encargados del tratamiento de cada sector, así como aquellas otras que se hayan puesto de manifiesto de manera reiterada a través del Canal del DPD, o como consecuencia del ejercicio de las potestades de la AEPD.

En la elaboración de los planes de acción la AEPD podrá establecer alianzas con dichas asociaciones y organizaciones, así como con aquellas instituciones y entidades representativas de los sectores de interés.

En los planes de acción se prestará una especial atención a las organizaciones que representen a las pequeñas empresas y microempresas.

Disposición adicional única. Memoria anual.

La AEPD incluirá en su Memoria anual información estadística sobre la actividad consultiva de la AEPD e informará sobre los cambios en los canales electrónicos de comunicación, si los hubiese.

Disposición final. Entrada en vigor.

Esta instrucción entrará en vigor el día siguiente al de su publicación.

Madrid, 2 de noviembre de 2021.–La Directora de la Agencia Española de Protección de Datos, Mar España Martí.

ANÁLISIS

  • Rango: Instrucción
  • Fecha de disposición: 02/11/2021
  • Fecha de publicación: 05/11/2021
  • Fecha de entrada en vigor: 06/11/2021
Referencias anteriores
  • DE CONFORMIDAD con:
    • el art. 13 del Estatuto aprobado por Real Decreto 389/2021, de 1 de junio (Ref. BOE-A-2021-9175).
    • el Reglamento (UE) 2016/679,, de 27 de abril de 2016 (Ref. DOUE-L-2016-80807).
Materias
  • Acceso a la información
  • Agencia Española de Protección de Datos
  • Consumidores y usuarios
  • Derecho a la información
  • Ficheros con datos personales
  • Organización de la Administración del Estado

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid