Actor analizado dentro del campo de la Protección de Datos (C2).
Web: https://avpd.euskadi.eus
La Agencia Vasca de Protección de Datos (AVPD) es un ente de derecho público que actúa con plena independencia para que se garantice un tratamiento adecuado de los datos personales por las Administraciones e Instituciones Públicas Vascas en el ejercicio de sus funciones. Los órganos de la AVPD son un Órgano Unipersonal (Director o Directora), un Órgano Colegiado (El Consejo Consultivo, en los términos previstos en la Ley), y las unidades administrativas jerárquicamente dependientes del Director o Directora tales como, Registro y Auditoría de ficheros de datos de carácter personal, la Asesoría Jurídica e Inspección, y la Secretaría General.
Como misión principal, la AVPD trata de dar respuesta a la protección de datos personales y participa en acciones de difusión y formación para dar a conocer los derechos reconocidos en la normativa que rige esta materia, aumentando la conciencia pública acerca del valor de la privacidad y fomentando que las Administraciones Públicas Vascas la respeten en su actividad cotidiana. Sus valores se basan en normativas específicas como el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos. (BOVP nº 213, de 9 de noviembre de 2005), la Resolución de 28 de noviembre de 2005, por la que se desarrolla la estructura orgánica de la Agencia Vasca de Protección de Datos. (BOPV nº 247, de 29 de diciembre de 2005), y en las disposiciones de desarrollo de las mismas y en la Ley 1/2023, de 16 de marzo, de potestad sancionadora de las Administraciones Públicas Vascas. Por tales, la Agencia Vasca de Protección de Datos es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada. Actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones.
En materia de responsabilidad, la Agencia es responsable por tutelar los derechos que a las personas les reconoce la normativa de protección de datos personales. Es decir, el organismo intercede después de que la persona interesada se haya dirigido ante el responsable de tratamiento de datos para ejercer sus derechos. Si el responsable no responde en el plazo establecido o la respuesta no ha sido satisfactoria, se podrá interponer una reclamación ante la AVPD.
En el sentido de responsividad, la agencia tiene capacidades sancionadoras otorgadas por las diferentes normativas en protección de datos sobre los procesadores y responsables de datos personales. Por ejemplo, la normativa autonómica (Resolución de 26 de abril de 2018) sostiene que, en el tratamiento de datos, el estatuto del funcionario público y una ética de conducta básica son esenciales, de la misma forma, la Agencia, como autoridad en materia de datos personales, puede iniciar sanciones y causas penales en violaciones graves y reiteradas en dicha materia. Esta capacidad sancionadora se respalda por la creación de la figura de Delegado de Datos Personales, responsable de promover e implementar el “compliance” de las normativas en diferentes organizaciones y empresas.
Por tal potestad, la Asesoría Jurídica e Inspección de la AVPD es capaz de dar impulso y la instrucción de los procedimientos derivados de las reclamaciones que formulen las personas para la tutela de sus derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, así como del derecho a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles. Corresponde también a la Asesoría Jurídica la instrucción de los procedimientos sancionadores seguidos contra las Administraciones e Instituciones Públicas Vascas y sus encargados del tratamiento, por la vulneración de la normativa de protección de datos personales. Igualmente es competencia de esta unidad administrativa la elaboración de informes, la respuesta a consultas y el asesoramiento jurídico interno de la AVPD.
Para realizar esas acciones, el Consejo Consultivo está compuesto por el/la directora/a de la Agencia Vasca de Protección de Datos, una persona representante del Parlamento Vasco, una persona representante de la Administración de la Comunidad Autónoma del País Vasco, una persona representante de los territorios históricos, una representante de las entidades locales del ámbito territorial de la Comunidad Autónoma del País Vasco, y dos expertos/as, uno/a en informática y otro/a en el ámbito de los derechos fundamentales, designados por la Universidad del País Vasco.
En lo que respecta a transparencia y accesibilidad, para la atención de consultas de la ciudadanía o de las Administraciones Públicas, la AVPD pone a disposición diferentes canales de comunicación a través de los que se puede solicitar información de criterios jurídico o tecnológico. Además, desde aquí controla la aplicación de la legislación de protección de datos por parte de las Administraciones e Instituciones Públicas Vascas, ejerciendo, en su caso, poderes correctivos.
Como las materias de protección de datos personales son muy numerosas, y la Agencia regula este ámbito frente a una constelación de organizaciones públicas y privadas. Es de esperarse que facilite información, manuales y decálogos que faciliten esta labor. Así, se trata de hacer una labor pedagógica y retórica en materia de protección de datos personales. Por ejemplo, en su decálogo de buenas prácticas, la Agencia pide a todo procesador de datos personales, que se creen ficheros, que se informe y pida el consentimiento de las personas relacionadas a los datos, que se solicite y trate solo datos adecuados, pertinentes y no excesivos (se podría hablar incluso del principio de proporcionalidad como forma de contribuir a la responsabilidad y a la confianza entre procesadores, usuarios, y Agencia), y que se cumplan las medidas de seguridad. Además, la Agencia trabaja para que se facilite el ejercicio de derechos “ARCO” a las personas que se refieren los datos. Dichos derechos son Acceder, Rectificar, Cancelar y Oponerse al tratamiento de los datos. Finalmente, se puede hablar que la Agencia también se guía por la protección de la privacidad, como dimensión recogida como derecho fundamental pero también como elemento básico para la constitución de bases de datos y construcción de la individualidad en la ciudadanía digital.
En lo que respecta a la accesibilidad del portal de la AVPD, la entidad presenta diferentes modelos para el ejercicio de derechos y reclamaciones para los afectados. Lo cual requiere el uso de credenciales electrónicas por parte de la población. Esta solicitud puede ser presentada físicamente en unidades de atendimiento del Gobierno Vasco, ya que este es el canal de entrada para todas las solicitudes, incluso las electrónicas. El portal también ofrece enlaces para registrar brechas de seguridad por parte de los responsables y de las entidades de tratamiento de datos. Así mismo, ofrece memorias y publicaciones relativas a la protección de datos personales. Se pueden consultar las publicaciones de la AVPD, las publicaciones encargadas a terceros o las publicaciones en las que la Agencia ha colaborado en las siguientes categorías: Memorias anuales, Doctrina de la AVPD, Dictámenes e Informes de Legalidad (con casos concretos donde se ha pleiteado el tratamiento adecuado de datos personales), Estudios Manuales y guías, Trípticos y folletos, Carteles, y Multimedia. No obstante, el portal carece de últimas actualizaciones, ya que las últimas Memorias publicadas corresponden a los años 2018 y 2019. También se resiente la falta de estadísticas y métricas que realicen un balance en la labor de la agencia de forma agregada y directa (como ficheros inscritos por temas, incidencias de seguridad reportadas, número de peticiones para responder a la violación de derechos, actividades de formación realizadas, impacto o tamaño de las audiencias a parte de la divulgación de materiales en línea, entre otras).