Agencia Estatal Boletín Oficial del Estado
Está Vd. en

Consejo de Estado: Dictámenes

Número de expediente: 683/2020 (JUSTICIA)

Referencia:
683/2020
Procedencia:
JUSTICIA
Asunto:
Proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.
Fecha de aprobación:
11/02/2021

TEXTO DEL DICTAMEN

La Comisión Permanente del Consejo de Estado, en sesión celebrada el día 11 de febrero de 2021, emitió, por unanimidad, el siguiente dictamen:

"El Consejo de Estado, en cumplimiento de una Orden de V. E. de fecha 12 de noviembre de 2020, con registro de entrada el mismo día, ha examinado el expediente relativo a un proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.

De antecedentes resulta:

Primero. Se somete a consulta un proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos, del que obran en el expediente cuatro versiones, cada una con sus respectivas memorias de análisis de impacto normativo: la primera tiene fecha de 6 de febrero de 2020, y la versión cuarta y última ("el Proyecto"), que se somete a consulta, está fechada el 5 de noviembre de 2020 y consta de un artículo único por el que se aprueba el Estatuto, que se inserta a continuación; dos disposiciones adicionales; una disposición transitoria; una disposición derogatoria y una disposición final.

El preámbulo se inicia con una referencia a la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, que encomendó el control de la aplicación de sus disposiciones a un ente público independiente al que denominó Agencia de Protección de Datos, cuya efectiva creación se llevó a cabo mediante la regulación de su estructura orgánica y la aprobación de su Estatuto por el Real Decreto 428/1993, de 26 de marzo. La configuración de la Agencia se mantuvo en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobada para transponer la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

A continuación, se refiere el preámbulo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, "RGPD", "Reglamento Europeo" o "Reglamento General"), en el que se establece hoy directamente el régimen jurídico de protección de datos de carácter personal. El Reglamento supone, dice el preámbulo, la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa, al evolucionar hacia un nuevo paradigma basado en lo que se denomina "enfoque de riesgo"; es decir, en la necesaria evaluación por los propios responsables y encargados del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental para, a partir de esa valoración, adoptar las medidas que resulten necesarias para mitigarlos en todo lo que sea posible.

Ese nuevo modelo de protección de datos de carácter personal tiene una incidencia notable en la organización y funciones tradicionales de la Agencia Española de Protección de Datos, puesto que el Reglamento europeo refuerza las competencias de las autoridades de control y les inviste de una total independencia, destacando en el considerando 117 que esta "constituye un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal". A estos efectos, el Reglamento impone a los Estados miembros la adopción de un régimen jurídico específico que deberá establecerse mediante ley respecto de todos los elementos que recoge su artículo 54.

Para dar cumplimiento a dicha obligación, dice el preámbulo, se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, cuyo título VII se dedica a las autoridades de protección de datos, configurando la Agencia Española de Protección de Datos como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.

Asimismo, se atribuye a la Agencia Española la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos, e introduce una serie de modificaciones en su régimen jurídico con el fin de reforzar su independencia, destacando, entre otras, las relativas al procedimiento de nombramiento, mandato y cese de la Presidencia y del Adjunto a la Presidencia; el régimen de modificaciones y de vinculación de los créditos de su presupuesto; la elaboración y aprobación de la relación de puestos de trabajo; la composición del Consejo Consultivo; el deber de colaboración con la Agencia; la realización de planes de auditoría o las potestades de regulación por medio de circulares.

Por otro lado, recuerda el preámbulo que la Agencia Española de Protección de Datos no solo ejerce las competencias derivadas del Reglamento, sino también las que establece para las autoridades de protección de datos la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos. Igualmente, ejerce actualmente las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, que en la actualidad se recogen en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, y en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

Por todo ello, concluye el preámbulo que resulta necesario la aprobación de un nuevo estatuto que adapte la organización y funcionamiento de la Agencia Española de Protección de Datos a lo previsto en el Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018, de 5 de diciembre.

A continuación, el preámbulo sintetiza el contenido del proyecto de Real Decreto y del Estatuto que aprueba, precisando, por último, que se adecúa a los principios de buena regulación conforme a los cuales deben actuar las Administraciones públicas en el ejercicio de la iniciativa legislativa y la potestad reglamentaria, y atiende a la necesidad de adecuar la estructura orgánica de la Agencia a lo previsto en el Reglamento europeo y en la citada ley orgánica, y es eficaz y proporcionado en el cumplimiento de este propósito, sin afectar en forma alguna a los derechos y deberes de la ciudadanía. Asimismo, contribuye a dotar de mayor seguridad jurídica a la organización y funcionamiento de la Agencia, al adecuarla a las nuevas competencias establecidas en dichas normas, y cumple también con el principio de transparencia y el principio de eficiencia, ya que, entre otras cuestiones, no impone cargas administrativas adicionales.

El artículo único del proyecto de Real Decreto aprueba, de conformidad con lo dispuesto en el artículo 45.2 y en la disposición final decimoquinta de la Ley Orgánica 3/2018, el Estatuto de la Agencia Española de Protección de Datos (que declara insertado a continuación).

La disposición adicional primera suprime los siguientes órganos directivos: Director de la Agencia Española de Protección de Datos, Registro General de Protección de Datos; e Inspección de Datos. La disposición adicional segunda establece que el incremento de los gastos de personal derivados de la nueva estructura establecida en el nuevo Estatuto quedará condicionado a su autorización por la Ley de Presupuestos Generales del Estado para el año 2021.

La disposición transitoria única se refiere a la subsistencia de las unidades y puestos de trabajo con el nivel orgánico inferior a subdirección general, hasta que se aprueben las correspondientes relaciones o catálogos de puestos de trabajo de la Agencia adaptados a la estructura orgánica del nuevo Estatuto.

La disposición derogatoria única alcanza al Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el vigente Estatuto de la Agencia de Protección de Datos, y cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en el real decreto proyectado. La disposición final única establece que el proyectado real decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.

El proyecto de Estatuto de la Agencia Española de Protección de Datos consta de 45 artículos agrupados en cinco capítulos:

- El capítulo I, "Disposiciones generales", comprende: el artículo 1, relativo a la naturaleza de la Agencia; el artículo 2, sobre la sede; el artículo 3, sobre el régimen jurídico; el artículo 4, que declara su autonomía e independencia; el artículo 5, que enumera sus funciones y potestades; el artículo 6, que regula las circulares que puede dictar la Presidencia de la Agencia; el artículo 7, que atribuye a la Agencia la titularidad y ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos; el artículo 8, sobre colaboración en el ámbito de la Administración de Justicia; el artículo 9, relativo a la aprobación del Plan Estratégico; el artículo 10, sobre la aprobación de la Memoria anual; y el artículo 11, relativo a la transparencia y publicidad. - El capítulo II, "Estructura orgánica de la Agencia Española de Protección de Datos", se divide a su vez en cuatro secciones. La sección 1ª, relativa a la Presidencia de la Agencia, comprende: el artículo 12, que regula las características del cargo; el artículo 13, que se refiere a las funciones; el artículo 14, que consagra su independencia; y el artículo 15, sobre el régimen de suplencia. La sección 2ª, sobre el Adjunto a la Presidencia, comprende: el artículo 16, que regula las características del cargo; el artículo 17, relativo a sus funciones; y el artículo 18, sobre su independencia. La sección 3ª, relativa al Consejo Consultivo de la Agencia, comprende: el artículo 19, que realiza una caracterización general; el artículo 20, sobre el plazo del mandato de sus miembros y las vacantes; el artículo 21, que regula la renovación; y el artículo 22, relativo al funcionamiento del Consejo Consultivo. La sección 4ª regula otros órganos directamente dependientes de la Presidencia de la Agencia, en particular: en el artículo 23, la Subdirección General de Inspección de Datos; en el artículo 24, la Subdirección General de Promoción y Autorizaciones; en el artículo 25, la Secretaría General de la Agencia Española de Protección de Datos; en el artículo 26, la División de Relaciones Internacionales; en el artículo 27, la División de Innovación Tecnológica; y en el artículo 28, la delegación de competencias. - El capítulo III, "Personal al servicio de la Agencia Española de Protección de Datos", incluye: el artículo 29, sobre el régimen del personal; el artículo 30, relativo al personal funcionario; el artículo 31, sobre el personal laboral; el artículo 32, sobre la relación de puestos de trabajo; el artículo 33, relativo a las retribuciones; el artículo 34, sobre la evaluación del desempeño; el artículo 35, sobre las incompatibilidades del personal; y el artículo 36, sobre el deber de secreto profesional. - El capítulo IV, "Régimen económico, presupuestario, patrimonial y de contratación", se subdivide en dos secciones. La sección 1ª, relativa al régimen económico-financiero, patrimonial y de contratación, regula: en el artículo 37, los recursos económicos de la Agencia Española de Protección de Datos; en el artículo 38, la recaudación; en el artículo 39, el patrimonio de la Agencia; y en el artículo 40, el régimen aplicable a la contratación. La sección 2ª, relativa al régimen presupuestario, de contabilidad y control económico- financiero, regula: en el artículo 41, los presupuestos; en el artículo 42, la contabilidad; en el artículo 43, las cuentas anuales; y en el artículo 44, el control de la gestión económico-financiera. - El capítulo V, "Asesoramiento jurídico de la Agencia Española de Protección de Datos", contiene un único artículo, el 45.

Segundo. El Proyecto se acompaña de una memoria (abreviada) del análisis de impacto normativo precedida de una ficha resumen ejecutivo.

Tras la justificación de su carácter abreviado ("la organización de la Agencia Española de Protección de Datos no tendrá efectos ante terceros, no afecta a las competencias de otras administraciones, ni producirá impacto económico de ningún tipo sobre ningún agente o colectivo, ni en los mercados y su competencia, no aumentando las cargas administrativas"), la Memoria examina la oportunidad de la propuesta, comenzando por exponer su motivación, con referencia al Reglamento General de Protección de Datos y a la revisión de las bases legales del modelo europeo que este supone; el nuevo modelo tiene una incidencia notable, en particular, en la organización y funciones tradicionales de la Agencia Española de Protección de Datos, puesto que el Reglamento europeo refuerza las competencias de las autoridades de control que deberán contar con todas las funciones y poderes efectivos, incluidos los poderes de investigación, poderes correctivos y sancionadores, y poderes de autorización y consultivos previstos en el propio Reglamento. Para ello, el Reglamento inviste a las autoridades de protección de datos de una total independencia, e impone a los Estados miembros la adopción de un régimen jurídico específico que deberá establecerse mediante ley respecto de todos los elementos que recoge en su artículo 54.

Para dar cumplimiento a dicha obligación, recuerda a continuación la Memoria, se ha aprobado la Ley Orgánica 3/2018, que configura la Agencia Española de Protección de Datos como una autoridad administrativa independiente con arreglo a la Ley 40/2015, le atribuye la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos e introduce una serie de modificaciones en su régimen jurídico con el fin de reforzar su independencia.

Por otro lado, continúa la Memoria, hay que tener en cuenta que la Agencia no solo ejerce las competencias derivadas del Reglamento, sino que también ejercerá las que establece para las autoridades de protección de datos la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, así como las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.

En cuanto a los objetivos del proyecto, la Memoria los concreta en la aprobación del Estatuto de la Agencia Española de Protección de Datos por el que se desarrolla su organización y funcionamiento, se establece su estructura orgánica, así como su régimen económico y de personal. Respecto a las alternativas, precisa que, a la vista de los cambios organizativos que ahora es preciso introducir en la Agencia y en aras de la no dispersión reglamentaria, se ha optado por la redacción de un nuevo real decreto derogando el actualmente vigente.

Asimismo, indica la Memoria que el proyecto se adecua a los principios de buena regulación a que se refiere el artículo 129 de la Ley 39/2015 y forma parte del Plan Anual Normativo de 2020.

A continuación, la Memoria resume el contenido del proyecto de Real Decreto y del Estatuto que por el mismo se aprueba, examina su base jurídica (contenida en el artículo 45.2 de la Ley Orgánica 3/2018, su rango y su adecuación al orden constitucional de competencias (en atención al artículo 103.2 de la Constitución). Se precisa que el futuro real decreto derogará el Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, y se indica que su entrada en vigor inmediata es posible al no ser de aplicación la regla especial contenida en el artículo 23 de la Ley del Gobierno y no apreciarse que dicha inmediatez pueda resultar disfuncional.

La Memoria describe también la tramitación que ha seguido el Proyecto, indicando que el texto inicial se elaboró a partir de las propuestas de los diferentes órganos superiores y directivos de la Agencia Española de Protección de Datos y fue informado por el Gabinete Jurídico de la Agencia. No es necesario, dice la Memoria, el trámite de consulta pública, ni los trámites de audiencia e información públicas, en virtud de lo dispuesto en el artículo 26, apartados 2 y 6, de la Ley del Gobierno. En aplicación del artículo 26.9 de dicha ley, por el contrario, el Proyecto ha sido informado por las Secretarías Generales Técnicas de los Ministerios de Justicia, Política Territorial y Función Pública y de Hacienda, y por la Oficina de Coordinación y Calidad Normativa.

Respecto a las observaciones formuladas por dichos departamentos, señala la Memoria, con carácter general, que "han sido introducidas en el texto proyectado, debiendo destacarse la modificación de la nueva estructura inicialmente propuesta, eliminando nuevos órganos directivos y habiéndose rebajado el nivel orgánico inicialmente previsto para el titular de la Presidencia de acuerdo con dichas observaciones, pero manteniéndose la configuración del Adjunto a la Presidencia como alto cargo, al exigirlo la Ley Orgánica 3/2018, (...). No obstante, se ha rebajado su nivel al de Director General, que es el mínimo posible y que se considera adecuado dadas sus funciones y el procedimiento de designación contenido en la Ley Orgánica 3/2018". En cuanto a las Divisiones, "no obstante su creación en la relación de puestos de trabajo, se considera necesario mantenerlas en el Real Decreto dada la importancia de las funciones que desempeñan, sin perjuicio de recoger que las mismas tendrán el nivel que se determine en la relación de puestos de trabajo, de manera análoga a como se hace en otras normas organizativas de la Administración General del Estado con rango de Real Decreto. De este modo se contribuye, igualmente, al principio de transparencia, al permitir que los ciudadanos reconozcan las unidades que desempeñan dichas funciones".

Por otro lado, añade la Memoria que "no se han aceptado aquellas observaciones que afectan a la especial independencia de la Agencia, como son las relativas al sometimiento de la misma al control de eficacia y la supervisión continua regulados en el artículo 85 de la Ley 40/2015, al no ser aplicable a las Autoridades Administrativas Independientes al amparo de la referencia al artículo 110 prevista en el artículo 85.1 de dicha Ley, introducida dicha salvedad como consecuencia de las observaciones realizadas en este sentido por el Consejo de Estado (...), o la relativa al sometimiento de la AEPD al sistema estatal de contratación centralizada previsto en el artículo 229.1º y 2º de la Ley 9/2017, al ser potestativo para la misma al amparo de la disposición adicional vigésima de la Ley Orgánica 3/2018 (...). Dicha disposición adicional recoge igualmente como especialidad del régimen jurídico de la Agencia la de no resultar de aplicación a la misma lo dispuesto, en materia de convenios, en el artículo 50.2.c) de la Ley 40/2015, razón por la que se considera necesario reflejarla, igualmente, en el presente Estatuto".

El apartado V de la Memoria se dedica al análisis de impactos. En primer lugar, se examina el impacto presupuestario del Proyecto. Tras recalcar la "total independencia" con la que el Reglamento General de Protección de Datos inviste a las autoridades de los Estados miembros de la UE, la Memoria indica que esta independencia "se materializa en la necesidad de dotar a la Autoridad de control de los medios personales, materiales, técnicos y financieros necesarios para el cumplimiento efectivo de sus funciones", y que, por este motivo, "la plena aplicación de las previsiones legales va a requerir un cierto esfuerzo presupuestario en la misma línea del que se está siguiendo en el resto de los Estados miembros". Como primera medida, la Ley Orgánica 3/2018 "transforma al máximo representante de la AEPD en Presidente (antes era Director) y crea la figura de un Adjunto". Dada su función de supervisión de los órganos que integran la Administración General del Estado y en el contexto actual de contención del gasto público, se ha considerado necesario asimilar el rango del Presidente a Subsecretario, manteniendo el nivel del actual Director de la Agencia, y el de su Adjunto a Director General; el Adjunto deberá contar con su propia secretaría, para la que se ha previsto una dotación mínima de dos puestos.

Asimismo, "dependerán directamente de la Presidencia: la Subdirección General de Inspección de Datos (que sustituye a la actual Inspección de Datos, con nivel de Subdirección General), la Subdirección General de Promoción y Autorizaciones (que sustituye a la actual Subdirección General de Registro de Protección de Datos), la Secretaría General ya existente, y dos nuevas divisiones de Relaciones Internacionales e Innovación Tecnológica, que pasan a denominarse así, sin que se incrementen las dotaciones, ya que se trataría de dos vocalías asesoras que cambian su denominación manteniendo el mismo personal a cargo que tenían hasta la fecha (4 puestos y 8 puestos respectivamente)". Por lo que respecta al Consejo Consultivo, "la ampliación del número de miembros que lo conforman no tendrá coste".

En cuanto al impacto en los Presupuestos Generales del Estado, entiende la Memoria que los costes presupuestarios, que pueden asumirse con los ingresos generados por la actividad de la propia AEPD, son:

A) De implantación y dotación de medios (mobiliarios, informáticos, etc.): Se considera sin efecto presupuestario ya que podrían asumirse con los remanentes de los distintos capítulos del Presupuesto de la Agencia.

B) Gastos recurrentes de personal: La estructura actual de la AEPD, con una Dirección con rango de Subsecretaría y 180 puestos que componen su RPT, se soporta con un capítulo 1 de su Presupuesto que en 2018 ha sido de 7.986.570,00 euros. La modificación de la RTP para su adaptación a la nueva estructura requeriría un incremento aproximado de 1,94 %. La financiación adicional estimada sería de 154.966,74 euros, esto es, de 24.053,33 euros para retribuciones básicas, 52.994,87 euros para cubrir los complementos de destino y específico, y 50.385,75 euros para hacer frente a las productividades ordinarias. No obstante, precisa la Memoria que es probable que el impacto efectivo sea menor en la medida que la cobertura de plantillas nunca alcanzará el 100 % y podrían ser cubiertos mediante la aportación de otras unidades de la AGE donde dejen de ser necesarios.

C) Créditos recurrentes de gastos corrientes (material de oficina, dietas, locomoción y traslados, estudios y trabajos técnicos). Se consideran sin efecto presupuestario ya que podrían asumirse con los remanentes de los distintos capítulos del Presupuesto de la Agencia.

Siendo la Agencia actual un organismo que se autofinancia y no recibe transferencia alguna del Estado, podría ser asumido con su remanente de Tesorería. Finalmente, la Memoria pone de manifiesto que "este moderado impacto presupuestario es similar al que se está asumiendo por todas las autoridades de control del resto de los Estados miembros de la UE en su adaptación al nuevo Reglamento".

A continuación, la Memoria hace referencia a los impactos por razón de género, en relación con la infancia, adolescencia y familia, y en materia de igualdad de oportunidades, que se estiman nulos, al tratarse de una disposición organizativa interna.

En fin, el apartado VI de la Memoria establece que esta disposición de carácter organizativo, "no se considera susceptible de evaluación ex post, al no darse ninguno de los supuestos previstos en el artículo 3 del Real Decreto 286/2017, de 24 de marzo, por el que se regulan el Plan Anual Normativo y el Informe Anual de Evaluación Normativa de la Administración General del Estado y se crea la Junta de Planificación y Evaluación Normativa".

Tercero. Junto al Proyecto y su Memoria, el expediente instruido con ocasión de su elaboración incluye:

a) Tres versiones anteriores del proyecto, con sus correspondientes memorias del análisis de impacto normativo.

b) Informe interno del Gabinete Jurídico de la Agencia Española de Protección de Datos, fechado el 4 de febrero de 2019, en el que se describe el contenido y el marco legal del proyecto.

c) Solicitudes de informe a distintos departamentos, órganos y organismos.

d) Documentación del trámite de audiencia de acuerdo con el artículo 26.6, párrafo tercero, de la Ley 50/1997, del Gobierno.

e) Informe de la Dirección General de los Registros y del Notariado, de 14 de junio de 2019, en el que se formula una observación en relación con las competencias de la Presidencia de la Agencia en materia de arrendamiento y adquisición de bienes inmuebles y constitución de derechos reales: considera el informe que la redacción del precepto no se ajusta al artículo 152 de la Ley 33/2003, de 3 de noviembre, de Patrimonio de las Administraciones Públicas.

f) Informe de la Secretaría de Estado de Justicia, de 19 de junio de 2019. No formula observaciones.

g) Informe de la Abogacía General del Estado-Dirección General del Servicio Jurídico del Estado, de fecha 28 de junio de 2019. Junto a numerosas observaciones de redacción que han sido, en líneas generales, incorporadas en la versión final del proyecto, formula una observación en relación con la figura del Adjunto, sugiriendo que se considere la conveniencia de atribuirle la posibilidad de contar con un gabinete propio o nombrar personal eventual (facultades atribuidas a la Presidencia en la versión inicial del proyecto).

h) Informe de la Oficina de Coordinación y Calidad Normativa, de 17 de enero de 2020. Analiza el fundamento jurídico y rango normativo de la propuesta, su congruencia con las normas existentes en el ordenamiento jurídico español y en el ordenamiento europeo, su adecuación al orden constitucional de distribución de competencias, su conformidad con los principios de buena regulación y describe su tramitación, formulando, a continuación, numerosas observaciones, de entre las que cabe destacar las siguientes:

- se objeta la referencia al órgano director de la AEPD con el término genérico "la Presidencia", se recomienda aclarar que "la titularidad de la Presidencia de la Agencia la ostenta su Presidente que es el titular del órgano que dirige la Agencia" y, "a partir de esa clarificación normativa (es decir, aclarado inequívocamente que la Presidencia no es un Comité Directivo o Consejo Rector, sino un órgano unipersonal, el o la Presidente), las funciones y potestades que se atribuyen a su Presidente pueden atribuirse más claramente indicando por ejemplo que "corresponde al o a la Presidente de la Agencia...""; - en ese mismo orden de cosas, se considera confuso que la delegación de funciones "no se haga desde un titular específico a otro titular específico"; - se observa que "aspectos esenciales del artículo 48 [de la LOPD] (sobre la Presidencia de la AEPD) que necesitan desarrollo reglamentario para su efectividad, no han sido incluidos en el Proyecto. En particular, todos los aspectos relativos al procedimiento de nombramiento del titular de la Presidencia y del Adjunto a la Presidencia"; en aras de la transparencia e independencia que exige el RGPD a las autoridades nacionales de control, dice el informe, "sería oportuno que el Proyecto, que es desarrollo reglamentario de la LOPD, desarrollase los aspectos necesarios para la efectividad del artículo 48 transcrito. Estos aspectos serían la descripción del órgano o persona que (¿es un comité o panel de selección? Composición siquiera genérica del panel de selección, etc.) va a realizar la evaluación previa del mérito, capacidad, competencia e idoneidad de los candidatos a que se refiere el artículo 48.3 de la LOPD"; - se refiere también a la posibilidad, eliminada en la versión final del proyecto, de que el Presidente nombra tres asesores para tareas de confianza y asesoramiento especial no reservadas a funcionarios de carrera, confrontando esta previsión con lo dispuesto en el artículo 12 del Estatuto Básico del Empleado Público, y observando, entre otras cosas, que "no se hace ninguna referencia a la competencia profesional y experiencia exigible al personal eventual de referencia, tenga ya personalmente la condición de funcionario o no la tenga", a diferencia, por ejemplo, de lo que hace el Estatuto de la CNMC.

i) Informe de la Secretaría General Técnica del Ministerio de Hacienda, de 31 de enero de 2020, que formula, entre otras, las siguientes observaciones:

- En relación con los costes de personal, se refiere a los que llevaba consigo la inicialmente proyectada elevación de rango del Presidente de la Agencia -de Subsecretario a Secretario de Estado- y la asignación del rango de Subsecretario a su adjunto (opción abandonada en la versión final del proyecto), que se objeta, en resumen, con la siguiente motivación: "... la transformación de la Agencia en Autoridad Administrativa Independiente prevista en la Ley Orgánica 3/2018, unido al posible incremento de sus atribuciones en distintos ámbitos de actuación, no puede justificar un cambio de la magnitud del que se contiene en el proyecto (...), máxime teniendo en cuenta los principios de contención de los gastos de personal que resultan de obligado cumplimiento en la actual situación económico presupuestaria, así como en el marco de los principios que inspiran las actuales estructuras orgánicas de la AGE, que son los de racionalización y simplificación orgánica, en aplicación, a su vez, de los de austeridad y contención del gasto público". - En relación con la estructura orgánica de la Agencia, considera que no resultan suficientemente justificadas la elevación de rango proyectada para el Presidente y la asignación de rango de Subsecretario al Adjunto; respecto a la creación de dos Divisiones, se indica que "no son unidades que deban integrar la estructura orgánica establecida en el Estatuto de una entidad de derecho público, sino la RPT. Se trata de puestos que deberían autorizarse por la CECIR y no figurar en el Estatuto proyectado, según lo establecido en el art. 59.2 y 3 de la Ley 40/2015". Se realizan también observaciones sobre la cuantificación que hace la Memoria del impacto presupuestario de esos cambios en la estructura orgánica (cambios que han sido en parte abandonados en la versión final del proyecto). - El informe realiza también varias observaciones de naturaleza patrimonial (en particular, sobre la competencia para acordar la adquisición de bienes inmuebles y derechos, así como su uso y arrendamientos; o sobre la desafectación), todas ellas incorporadas en la versión final del proyecto. - Respecto a la contratación, se observa que, al prever que la participación de la AEPD en el ámbito del sistema estatal de contratación centralizado sea potestativa, el proyectado Estatuto atribuiría a la Agencia "una competencia que la ley atribuye a la Ministra de Hacienda", siendo dicha previsión contraria al artículo 229.2 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público. - En relación con el control, observa el informe que el Estatuto proyectado se refiere al control del Tribunal de Cuentas y al de la IGAE, pero no al control de eficacia del departamento de adscripción, con arreglo a lo establecido en el artículo 85 de la Ley 40/2015, por lo que recomienda la adición de un nuevo párrafo en este sentido. - Entre las observaciones de naturaleza presupuestaria, se señala que procede que la AEPD acredite expresamente que cuenta con potencia recaudatoria suficiente para afrontar los gastos de personal adicionales, y apunta a la posibilidad de "cubrir progresivamente el coste de la creación de los puestos de trabajo adicionales y demás gastos que puedan derivarse de la nueva estructura de la Agencia, mediante reasignación de sus créditos disponibles, sin que ello supusiera alteración del nivel de gasto global asignado a la misma". - Por último, se sugiere la eliminación de la facultad del Presidente de la AEPD (suprimida en la versión final) de nombrar un máximo de tres asesores, por considerarse contraria a lo previsto en el artículo 12 del Estatuto Básico del Empleo Público; se sugiere enumerar "las materias sobre las que versarían estas circulares obligatorias"; y se apunta, en relación con varios artículos, que, en buena técnica normativa, "el proyecto no debe reproducir la ley, y menos hacerlo de forma incompleta o modificada".

j) Informe del Ministerio de Política Territorial y Función Pública, de 29 de mayo de 2020. Junto a otras muchas observaciones acogidas en la versión final del proyecto, este informe objeta la creación de la División de Relaciones Internacionales y la División de Innovación Tecnológica a través del Estatuto proyectado, en la medida en que ambas "son órganos administrativos inferiores a Subdirección General cuya creación no debe llevarse a cabo por Real Decreto, sino por Orden Ministerial, conforme establece el artículo 59.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público"

k) Informe de la Secretaría General Técnica del Ministerio de Justicia, de 29 de octubre de 2020, en el que se formulan distintas observaciones al texto proyectado, todas ellas incorporadas en la versión final sometida a dictamen, y a su memoria.

Y, en tal estado de tramitación, el expediente fue remitido al Consejo de Estado para dictamen.

I. Objeto del dictamen y competencia

Se somete a dictamen un proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos ("el Proyecto").

El Consejo de Estado emite su consulta en cumplimiento de lo dispuesto en el artículo 22.2 y 3 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado.

II. Procedimiento

En cuanto a la tramitación del expediente, resulta de aplicación lo dispuesto en el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno, en la redacción dada por la disposición final tercera de la Ley 40/2015.

La norma proyectada se acompaña de la correspondiente memoria del análisis de impacto normativo, que sigue el formato de memoria abreviada en aplicación de lo dispuesto en el artículo 3 del Real Decreto 931/2017, de 27 de octubre. De acuerdo con este precepto, la memoria abreviada puede realizarse "cuando se estime que de la propuesta normativa no se derivan impactos apreciables en ninguno de los ámbitos enunciados, o estos no son significativos". Según consta en antecedentes, la Memoria concluye que son nulos los impactos del proyecto en relación con el género, la infancia, adolescencia y familia, y en materia de igualdad de oportunidades; por el contrario, el Proyecto implica un importante aumento de los gastos recurrentes de personal, derivado de la modificación de su estructura orgánica, incremento que la Memoria valora en 154.966,74 euros, indicando, no obstante, que, siendo la Agencia un organismo que se autofinancia y no recibe ninguna transferencia del Estado, ese incremento de los gastos de personal podría ser asumido con su remanente de Tesorería. A la vista de estos datos, en puridad no parece posible apreciar la concurrencia de los requisitos que el referido artículo 3 del Real Decreto 931/2017 exige para que pueda elaborarse una memoria en formato abreviado; pese a ello, considera el Consejo de Estado que la Memoria lleva a cabo un estudio suficientemente cuidado del impacto presupuestario de la disposición proyectada, analizando los cambios de estructura orgánica de los que deriva ese incremento presupuestario y cuantificando este con suficiente detalle.

El texto ha sido informado por el Gabinete Jurídico de la Agencia Española de Protección de Datos, la Dirección General de los Registros y del Notariado, la Abogacía General del Estado-Dirección General del Servicio Jurídico del Estado y la Oficina de Coordinación y Calidad Normativa.

En cambio, no consta en el expediente que se haya evacuado el trámite de consulta pública, omisión procedimental que encuentra amparo en la previsión del artículo 26.2 de la Ley del Gobierno, tal y como se ha hecho constar en la Memoria.

Tampoco se ha evacuado un trámite de audiencia e información pública, dado el carácter estrictamente organizativo de la disposición proyectada, al amparo de lo dispuesto en el párrafo tercero, segundo inciso, del artículo 26.6 de la Ley del Gobierno. Tal es el precepto legal que debería citar la Memoria en este punto, siendo incorrecta la indicación que la misma hace de que la evacuación de dicho trámite no es exigible por no concurrir el supuesto de hecho del referido artículo 26.2 ("cuando la norma afecte a los derechos e intereses legítimos de las personas").

Por último, constan en el expediente los preceptivos informes emitidos por las Secretarías Generales Técnicas de los tres ministerios proponentes -Justicia, Hacienda y Política Territorial y Función Pública-, según exige el artículo 26.5 de la Ley del Gobierno.

Pueden considerarse, por lo tanto, atendidas las exigencias básicas de índole procedimental que deben seguirse para preparar, con las necesarias garantías, un texto normativo como el ahora examinado.

III. Habilitación y rango de la norma

El Proyecto se dicta al amparo de la habilitación contenida en el artículo 45.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: "El Gobierno, a propuesta de la Agencia Española de Protección de Datos, aprobará su Estatuto mediante real decreto".

Sin perjuicio de esta exigencia legal de que la propuesta inicial del Estatuto provenga de la propia Agencia, ha de tenerse también en cuenta que, con arreglo a lo dispuesto en el artículo 93.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (aplicable ex artículo 110 de la misma ley), el correspondiente real decreto deberá aprobarse "a propuesta conjunta del Ministerio de Hacienda y Administraciones Públicas y del Ministerio al que el organismo esté vinculado o sea dependiente"; adaptada esta exigencia a la actual estructura ministerial, resulta adecuado que el proyecto de Real Decreto se apruebe a propuesta conjunta del Ministerio de Justicia (ministerio al que la Agencia Española de Protección de Datos, sin perjuicio de su independencia, está vinculado) y los Ministerios de Hacienda y de Política Territorial y Función Pública (por sus competencias, respectivamente, en materia presupuestaria y de organización administrativa).

Por lo demás, la misma Ley Orgánica 3/2018 remite, en particular, a la regulación en el Estatuto de la Agencia Española de Protección de Datos los siguientes aspectos de su régimen jurídico: el régimen de modificaciones y de vinculación de los créditos de su presupuesto (artículo 46.2); las funciones de asistencia a la Presidencia que corresponderán al Adjunto a la Presidencia (artículo 48.2); el régimen, competencias y funcionamiento del Consejo Consultivo (artículo 49.6); las resoluciones de la Presidencia que deberán publicarse (artículo 50); y el procedimiento de elaboración de las circulares (artículo 55.2).

A la vista de cuanto precede, y sin perjuicio de algunas observaciones esenciales que se formulan en el cuerpo del presente dictamen, el proyecto de Real Decreto sometido a dictamen cuenta con suficiente base normativa y su rango es el adecuado.

IV. Marco legal. Consideraciones generales

La aprobación del Reglamento General ha supuesto un cambio sustancial en el régimen jurídico de la protección de datos de carácter personal.

Primeramente, la adopción de un Reglamento, norma obligatoria en todos sus elementos y directamente aplicable en todos los Estados miembros (artículo 288 del TFUE), responde a la voluntad de establecer un modelo armonizado para la protección de datos en la Unión Europea. El RGPD constituye, así, el elemento principal del marco normativo de la materia en cada Estado miembro, completado, a nivel nacional, con las normas dictadas para precisarlo en los aspectos en que es necesario; a tales efectos, en España se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El Reglamento supone, además, una evolución de la regulación de esta materia hacia un nuevo paradigma basado en el llamado "enfoque de riesgo", es decir, en la evaluación por los responsables y encargados del tratamiento de los riesgos que su actividad puede generar en el derecho fundamental, para -a partir de esa valoración- adoptar las medidas que resulten necesarias a fin de mitigarlos en cuanto sea posible. Esta posición nuclear de las medidas de responsabilidad activa, que gravitan sobre las citadas figuras de responsable y encargado del tratamiento, no supone, sin embargo, una desvalorización del papel de las autoridades de control, cuyo establecimiento en los Estados miembros constituye, como dice el considerando 117 del Reglamento, "un elemento esencial de la protección de las personas físicas con respecto al tratamiento de datos de carácter personal".

La norma europea encomienda a los Estados miembros el establecimiento de sus respectivas autoridades de control, pudiendo ser una o varias con el fin de reflejar la estructura constitucional, organizativa o administrativa propia de cada Estado. Las principales notas de su régimen jurídico, sin embargo, se sientan de forma armonizada en el propio RGPD, en un capítulo IV que, de forma muy reveladora, se rubrica "Autoridades de control independientes" y se abre con una sección 1ª titulada "Independencia".

La independencia de las autoridades de control se configura, así, como una de las claves de arco del Reglamento Europeo. Ya antes de su aprobación, el Tribunal de Justicia de la Unión Europea recordaba que no basta a estos efectos con una garantía de independencia puramente funcional, en el sentido de que no estén sujetas a instrucción alguna en el ejercicio de sus funciones, sino que se extiende también a la independencia en el nombramiento y cese de sus miembros y, en general, debe informar toda la actividad de las autoridades de control (Sentencia de 8 de abril de 2014, Comisión contra Hungría, C-288/12 , entre otras). En esta línea, el artículo 52 del RGPD establece que cada autoridad de control "actuará con total independencia en el desempeño de sus funciones y en el ejercicio de sus poderes de conformidad con el presente Reglamento" (apartado 1) y dispone que sus miembros deberán desempeñar sus funciones al margen de toda instrucción o influencia externa y se abstendrán de cualquier acción o actividad incompatible (apartados 2 y 3). Con el mismo objetivo, el citado precepto impone a los Estados miembros que garanticen a sus autoridades de control los recursos humanos, técnicos y financieros, los locales y las infraestructuras necesarios (apartado 4), el poder de elección y disposición de su propio personal (apartado 5), un presupuesto independiente y un control financiero que no afecte a su independencia (apartado 6).

El Reglamento Europeo dota a las autoridades de protección de datos de nuevas competencias, funciones y poderes, en una enumeración muy detallada contenida en los artículos 55 a 58 del RGPD, que, en el caso español, ha de completarse con lo precisado en los artículos 51 y siguientes de la Ley Orgánica 3/2018. Por lo demás, el artículo 54 del RGPD especifica una serie de elementos -principalmente de carácter orgánico (mandato, nombramiento, condiciones de idoneidad, régimen de incompatibilidades, etc.)- que los Estados miembros deben regular "por ley", dejando a estos un margen de actuación relativamente amplio para, en ejercicio de su autonomía procedimental, precisarlos.

Así lo hace la Ley Orgánica 3/2018 en su título VII, cuyo artículo 44 configura la Agencia Española de Protección de Datos ("AEPD") como una autoridad administrativa independiente de ámbito estatal, caracterización que permite esa independencia exigida por el Reglamento europeo. En todo caso, interesa puntualizar que, con independencia de que su denominación incluya el término "Agencia", la AEPD no es una "Agencia Estatal", figura recuperada en la reciente reforma de la Ley 40/2015 operada por la disposición final trigésima cuarta, apartado uno, de la Ley 11/2020, de 30 de diciembre, de Presupuestos Generales del Estado para 2021, sino, como se ha dicho, una autoridad administrativa independiente del artículo 84.1.b) de dicha Ley 40/2015. Los artículos siguientes de la citada ley orgánica se refieren a su régimen jurídico (artículo 45), régimen económico presupuestario y de personal (artículo 46), a los distintos órganos que la componen (artículos 48 y 49) y a las potestades que le corresponden (artículos 51 a 56), entre otras cosas; en el capítulo II de la Ley Orgánica (artículos 57 y siguientes) se regulan las autoridades autonómicas de protección de datos.

El artículo 45.2 de la Ley Orgánica 3/2018 prevé, no obstante, que el marco normativo descrito se complete con un Estatuto, que se aprobará mediante real decreto, y otros preceptos prevén el desarrollo en el Estatuto de aspectos como: el régimen de modificaciones y de vinculación de los créditos del presupuesto de la AEPD (artículo 46.2 de la Ley Orgánica); la figura del Adjunto a la Presidencia (artículo 48.2); el régimen, competencias y funcionamiento del Consejo Consultivo (artículo 49.6); régimen de publicidad de las resoluciones de la AEPD (artículo 50); y procedimiento de elaboración de las circulares (artículo 55.2).

Al amparo de las referidas habilitaciones, el Estatuto de la Agencia Española de Protección de Datos, cuyo proyecto se somete a dictamen, viene a precisar el diseño institucional y las líneas principales del funcionamiento interno de la Agencia. Examinados en su conjunto, el proyecto de Real Decreto sometido a consulta y el Estatuto que por él se aprueba merecen una valoración global positiva y se ajustan, en líneas generales, al marco normativo contenido en el RGPD y en la Ley Orgánica 3/2018, abordando de modo adecuado el diseño de la estructura de la Agencia Española de Protección de Datos, la distribución de competencias entre sus diferentes órganos, su régimen económico, presupuestario, patrimonial y de contratación y el régimen aplicable a su personal.

Como acertadamente indica el preámbulo del Proyecto, hay que tener en cuenta que a la AEPD no solo le corresponde el ejercicio de las competencias derivadas del Reglamento General de Protección de Datos, sino también las que establece para las autoridades de protección de datos la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, e igualmente ejerce las potestades derivadas de la Directiva 2002/58 del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, que en la actualidad se recogen en la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico, y en la Ley 9/2014, de 9 de mayo, de General de Telecomunicaciones.

De acuerdo con el estudio de impactos que lleva a cabo la Memoria justificativa, la modificación de la Relación de Puestos de Trabajo (RPT) de la Agencia para su adaptación a la nueva estructura orgánica prevista en el proyecto de Estatuto y, en definitiva, a las nuevas competencias que se le atribuyen, requerirá un incremento presupuestario aproximado del 1,94 % de los gastos recurrentes de personal de la AEPD (esto es, una financiación adicional estimada del 154.966,74 euros).

A este respecto, el Consejo de Estado considera relevante subrayar lo siguiente:

1) en primer lugar, que la Memoria justificativa ha calculado y reseñado debidamente ese impacto presupuestario, tal y como le exige la ley; 2) en segundo término, que el incremento referido se ha visto reducido respecto al que implicaban las primeras versiones del proyecto que, por ejemplo, preveían una elevación de rango del Presidente -de Subsecretario a Secretario de Estado-, la atribución de rango de Subsecretario a su Adjunto y la transformación de la Inspección de Datos en Dirección General (en la versión final es una Subdirección General); 3) en fin, que ese aumento de costes es inferior al que, como media, se ha registrado en los presupuestos de las autoridades de protección de datos del entorno europeo, en atención a la transformación institucional y a la ampliación de competencias que el RGPD impone: así, de acuerdo con el Informe de Evaluación de los dos primeros años de aplicación del RGPD realizado por la Comisión Europea, el incremento de los gastos de personal de esas autoridades nacionales en la UE ha sido de un 42 % como media entre 2016 y 2019, y los presupuestos han aumentado un 49 % de media en el mismo periodo, cifras que, según el mismo informe, podrían haberse visto incrementadas hasta un 62 % y 64 %, respectivamente, en 2020.

V. Observaciones al proyecto de Real Decreto

A) Preámbulo

El proyecto de Real Decreto se inicia con un extenso preámbulo, al que cabe únicamente realizar dos observaciones estrictamente formales:

- En la frase "[P]or otro lado, hay que tener en cuenta que la Agencia Española de Protección de Datos no sólo ejerce las competencias derivadas del Reglamento, sino también ejercerá...", debería incluirse la conjunción "que" entre "sino" y "ejercerá". - Al final de ese mismo párrafo, se hace referencia a la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, referencia que podría quedar rápidamente obsoleta, en la medida en que se encuentra en tramitación un anteproyecto de ley que vendrá a sustituir a aquella; para evitarlo, bastaría con sustituir la referencia a la Ley 9/2014 con una referencia general a la legislación en materia de telecomunicaciones.

B) Contenido dispositivo

El proyecto de Real Decreto cuenta con un artículo único por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos.

La disposición derogatoria del proyecto de Real Decreto alcanza al vigente Estatuto de la Agencia aprobado el por Real Decreto 428/1993, de 26 de marzo, previsión que se complementa en la disposición adicional primera, con la supresión expresa de los órganos directivos que contempla ese Estatuto vigente (Director de la AEPD, Registro General de Protección de Datos e Inspección de Datos). La disposición transitoria única, por su parte, se refiere a las unidades y puestos de trabajo con nivel orgánico inferior a subdirección general y a los que se encuadren en los órganos suprimidos.

En la medida en que la nueva estructura organizativa prevista en el proyecto de Estatuto implica un incremento de los gastos de personal de la AEPD (incremento cuantificado y analizado en la Memoria, como se dijo), la disposición adicional segunda del proyecto de Real Decreto precisa que ese incremento está condicionado a su autorización por la Ley de Presupuestos Generales del Estado para el año 2021, probablemente porque en la fecha de redacción del Proyecto dicha ley aún no había sido aprobada. Constatada, sin embargo, la aprobación de la Ley 11/2020, de 30 de diciembre, de Presupuestos Generales del Estado para el año 2021, decae la necesidad de esta disposición adicional segunda, que puede suprimirse.

VI. Observaciones al proyecto de Estatuto de la Agencia Española de Protección de datos

A) Sobre la reproducción literal de preceptos de la Ley Orgánica 3/1982 y del RGPD

Como ya se indicó, el Estatuto de la AEPD cuyo proyecto se somete a dictamen constituye el tercer escalón regulatorio en esta materia, tras el Reglamento General europeo y la Ley Orgánica 3/2018, si bien cabe recordar que el primero es la norma prevalente y directamente aplicable en todos los Estados miembros de la Unión Europea, y que su desarrollo por las normas nacionales solo es posible en aquellos aspectos indispensables para garantizar el cumplimiento de esas previsiones armonizadas en cada uno dichos Estados.

La regulación estatutaria proyectada, pese a estar centrada en aspectos orgánicos, resulta algo abultada por la incorporación a su texto de numerosos artículos de la Ley Orgánica y, con menor frecuencia, del propio RGPD, que en ocasiones se reproducen de forma literal, técnica que no es adecuada en todos los casos.

El Consejo de Estado se ha pronunciado en numerosas ocasiones sobre las relaciones que, desde la perspectiva de la técnica normativa, deben existir entre una ley y un real decreto que la desarrolle, por una parte, y entre un reglamento europeo y las normas nacionales que lo completan, por otra.

1. Respecto a las primeras, una consolidada doctrina viene manteniendo que, para dilucidar la cuestión, es preciso tener en cuenta lo siguiente: "por un lado, hay determinados desarrollos reglamentarios que no requieren que se reproduzca el precepto legal del que traen causa, puesto que éste se limita únicamente a abrir la vía reglamentaria, sin introducir un régimen sustantivo propio que deba tenerse en cuenta; por otro lado, hay veces en que la regulación reglamentaria tiene autonomía propia y su alcance se comprende perfectamente sin necesidad de haber reproducido el tenor literal de la ley desarrollada; en fin, también es posible que no sea necesario reproducir íntegramente las previsiones legales desarrolladas, sino solamente algunos de sus aspectos; o que, incluso, una reproducción completa de tales previsiones haga del reglamento una norma excesivamente larga y repetitiva" (dictamen n.º 849/2005, de 14 de julio).

Así pues, la solución viene dada caso a caso, de manera que será deseable y conveniente la reproducción de la ley que se desarrolla cuando esta contribuya a una mejor comprensión de la norma reglamentaria y a una más ágil aplicación e interpretación, sin que ello signifique que sea siempre necesario que en la norma reglamentaria se reproduzcan los preceptos legales que se desarrollan; lo que sí es de todo punto imprescindible es que la norma reglamentaria de desarrollo, al igual que cualquier norma, tenga un significado preciso y que sea fácilmente comprensible. De ahí que no quepa pronunciarse tajantemente por una de las dos soluciones anteriormente mencionadas (no reproducir la ley o reproducir siempre los preceptos desarrollados), sino que habrá que examinar cada caso y cada disposición, sin dejar de tenerse en consideración la idea de que el objetivo a alcanzar es que la norma reglamentaria de desarrollo (en este caso, el Estatuto) sea en sí misma inteligible, para lo cual no constituye obstáculo alguno el hecho de que deba completarse con la propia ley que desarrolla.

En el presente caso, el proyecto de Estatuto ha optado por reproducir muchas de las previsiones de la Ley Orgánica 3/2018; así, por ejemplo, los artículos 1, 3.1, 3.5, 6.1, 7.1, 7.2, 8, 11, 22.8, 29.1, 29.2, 30.1, 30.2 y 32.1 del proyecto tienen un contenido idéntico a los artículos 44, 45.1, 55.1, 56.1, 44.2, 44.3, 50, 49.5, 46.5, 46.2, 46.5, 51.4, 46.6 de la Ley Orgánica, respectivamente. Se trata de preceptos que no desarrollan las previsiones legales, sino que las reiteran, por ser estas suficientemente claras y completas, pero que, al mismo tiempo, presentan un objeto y un contenido que las hace aptas para ser incluidas en una norma reglamentaria que pretende recoger el régimen aplicable a un organismo público. En ocasiones, esa reiteración puede ser necesaria o, al menos, útil como elemento contextual para la comprensión del resto de la regulación.

Desde esta perspectiva, con carácter general nada cabe objetar a la opción seguida por el Proyecto. Ahora bien, es importante recordar que, en aquellos casos en que la norma reglamentaria incorpora el contenido de la ley, es preciso que lo haga respetando sus propios términos -como, en líneas generales, hace el Proyecto- e identificándolos adecuadamente como disposiciones procedentes de la ley. Esta última exigencia deriva de la necesidad de evitar que, mediante su simple inclusión en una norma de rango inferior, integrándose como parte de su contenido, las normas legales puedan verse indebidamente alteradas en el futuro mediante la modificación de aquella, por efecto de una deslegalización encubierta. Tal efecto puede impedirse mediante la invocación expresa de la ley que se desarrolla en todos aquellos casos en que se reproduce, para lo cual cabe emplear fórmulas tales como "de conformidad con lo dispuesto en el artículo (...) de la Ley..." o similares. Por otra parte, conviene evitar la reproducción de preceptos de la Ley Orgánica cuando no sea indispensable para la comprensión del contenido del Estatuto.

2. En cuanto a las relaciones entre el Reglamento europeo y las normas nacionales en la materia, cabe recordar que estas últimas - cualquiera que sea su rango- no deben incluir reiteraciones innecesarias de un Reglamento europeo que puedan suscitar dudas sobre la aplicabilidad directa de este o sobre la competencia del Tribunal de Justicia de la Unión para su interpretación, salvo que sean indispensables para la comprensión del resto de la regulación nacional.

El Reglamento General de Datos Personales contiene una referencia expresa a esta técnica de las repeticiones, al disponer en su considerando octavo lo siguiente: "En los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento". Salvo en algunos casos puntuales, sin embargo, el proyecto de Estatuto apenas lleva a cabo este tipo de reproducciones del Reglamento europeo: el artículo 4 del Proyecto, por ejemplo, retoma el contenido del artículo 52, apartados 1 y 2, del RGPD, aplicando a la AEPD las exigencias de autonomía e independencia allí fijados para las autoridades nacionales: podría, por ello, incluirse una referencia a ese precepto.

B) Artículo 4: Autonomía e independencia

El artículo 4 del proyecto de Estatuto consagra la autonomía e independencia de la AEPD, de su personal y de los miembros de sus órganos, precisando las exigencias contenidas en el artículo 52, apartados 1 y 2, del Reglamento General. En línea con las reglas de técnica normativa anteriormente expuestas, sería conveniente incluir en este artículo del proyecto una referencia a ese precepto del RGPD.

C) Artículo 5: Funciones y potestades de la AEPD

El artículo 5 del proyecto de Estatuto enumera las funciones y potestades de la Agencia Española de Protección de Datos. - Apartado 1

El apartado 1 de este precepto toma a estos efectos, como punto de partida, el artículo 47 de la Ley Orgánica 3/2018, que se reproduce de forma casi literal al decir, en resumen, que corresponde a la AEPD la función de supervisar la aplicación de la normativa vigente en materia de datos personales y, en particular, "ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en la Ley Orgánica 3/2018, de 5 de diciembre, y en sus disposiciones de desarrollo". Como después se verá, esas funciones y potestades de las autoridades de control enunciadas en los artículos 57 y 58 del Reglamento Europeo se reproducen más adelante en el proyecto de Estatuto, a los efectos de distinguir el órgano concreto de la AEPD a quien corresponden en cada caso.

- Apartado 2

El apartado 2 atribuye a la AEPD la supervisión del respeto a los derechos digitales contemplados en los artículos 89 a 94 de la Ley Orgánica 3/2018 (derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos y ante la utilización de sistemas de geolocalización en el ámbito laboral; derechos digitales en la negociación colectiva; protección de datos de los menores en Internet; y derecho al olvido en búsquedas en Internet y en servicios de redes sociales y servicios equivalentes).

- Apartado 3

El apartado 3 se refiere a las distintas competencias que corresponden a la AEPD en relación con la elaboración de normas, estableciendo que "colaborará con los órganos competentes en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en materia propia del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y de la Ley Orgánica 3/2018, de 5 de diciembre". A tal efecto, el Proyecto prevé: en primer lugar, que la Agencia deberá informar preceptivamente "los proyectos de disposiciones generales de desarrollo" del RGPD y de la Ley Orgánica 3/2018 (letra a) del artículo 5.3) y "cualesquiera anteproyectos de ley o proyectos de reglamento que incidan en la materia propia" del RGPD y de la Ley Orgánica (letra b) del artículo 5.3); y, en segundo lugar, que corresponde a la AEPD dictar "circulares, instrucciones y recomendaciones precisas para garantizar la correcta aplicación" del RGPD y de la Ley Orgánica (letra c) del artículo 5.3).

Por lo que respecta, en primer lugar, a la facultad de informe de la AEPD en los procedimientos de elaboración de disposiciones de carácter general en materia de protección de datos (letras a) y b) del artículo 5.3 del Estatuto proyectado), debe subrayarse que el artículo 36.4 del RGPD establece que los Estados miembros garantizarán que se consulte a la autoridad de control durante la elaboración de toda propuesta de medida legislativa que haya de adoptar un Parlamento nacional, o de una medida reglamentaria basada en dicha medida legislativa, que se refiera al tratamiento". En consecuencia, la participación de la AEPD en los citados procedimientos resulta indispensable no solo por su competencia técnica en la materia, sino también por esta exigencia del artículo 36.4 del RGPD que, como el resto de la norma europea, tiene efecto directo.

Sin perjuicio de lo anterior, cabe igualmente recordar que, en virtud del principio de autonomía procedimental de los Estados miembros, corresponde a las autoridades nacionales articular concretamente el ejercicio de esa competencia de informe de sus respectivas agencias de protección de datos; esa articulación debe hacerse respetando las reglas del sistema interno de fuentes, aunque con respeto, en todo caso, al principio de efectividad. En este sentido, el propio RGPD establece también que la función de las autoridades de control consistente en asesorar al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento, se hará "con arreglo al Derecho de los Estados miembros" (artículo 57.1.c) del RGPD).

Pues bien, en Derecho español, como regla general y "salvo disposición expresa en contrario", el artículo 80.1 de la Ley 39/2015, de 1 de octubre establece que en el procedimiento administrativo "los informes serán facultativos y no vinculantes". Ciertamente, la posibilidad de excepción a esa regla general está formulada en unos términos muy amplios ("salvo disposición expresa en contrario"), sin precisar expresamente a qué concreto tipo de disposición alude. Sin embargo, este Consejo de Estado ha reiterado en el pasado que las normas de rango reglamentario (en particular, los Estatutos orgánicos de una determinada estructura administrativa) no son lugar idóneo para la creación de un trámite preceptivo de este tipo en el procedimiento de elaboración de proyectos normativos de rango legal o reglamentario (dictámenes números 4.940/98, de 4 de febrero, 53/2001, de 28 de junio, y 2.547/2001, de 4 de octubre; respecto a otro tipo de procedimientos, véase el dictamen número 852/2017, de 23 de noviembre). En este sentido, el artículo 79.1 de la Ley 39/2015 se refiere a los informes que sean preceptivos "por las disposiciones legales"; por otra parte, el artículo 1.2 de la misma ley establece que "[S]olo mediante ley (...) podrán incluirse trámites adicionales o distintos a los contemplados en esta Ley", y, aunque a continuación indica que "[R]eglamentariamente podrán establecerse especialidades del procedimiento referidas a (...) informes a recabar", resulta cuando menos cuestionable que esta mención dé por sí sola suficiente cobertura al establecimiento de un informe de carácter preceptivo.

Junto a lo anterior debe tenerse en cuenta, sin embargo, que, aunque la concreta articulación de la preceptiva consulta a la AEPD se inscribe en la autonomía procedimental de los Estados miembros, esa autonomía se encuentra en todo caso limitada por el necesario respeto al principio de efectividad, que impide toda regulación nacional "que haga imposible en la práctica o excesivamente difícil el ejercicio de los derechos reconocidos por el ordenamiento jurídico de la Unión" (entre otras, STJUE de 17 de octubre de 2019, Südzucker, C-423/18, apartado 51).

A la luz de cuanto precede, entiende el Consejo de Estado que, aun no siendo el Estatuto de la AEPD, con arreglo a las normas del sistema interno de fuentes, el lugar idóneo para articular el carácter preceptivo de la consulta previa a la Agencia en los casos referidos, en ausencia de una previsión legal al respecto, las exigencias del principio de efecto directo de los reglamentos de la Unión (unidas al hecho de que las autoridades nacionales de control se encuentran primeramente reguladas por el RGPD) y del principio de efectividad llevan a no objetar la previsión que en el sentido indicado realiza el artículo 5.3, letras a) y b).

Por lo que respecta a la competencia para dictar "circulares, instrucciones y recomendaciones" a que hace referencia la letra c) del apartado 5.3 del proyecto de Estatuto, considera el Consejo de Estado que su contenido debe quedar mejor delimitado en este precepto. En efecto, la citada letra c) indica que la Agencia dictará "circulares, instrucciones y recomendaciones precisas para garantizar la correcta aplicación" del RGPD y de la Ley Orgánica, previsión que podría incurrir en un exceso reglamentario, al menos en cuanto afecta al contenido material de las circulares.

De acuerdo con el artículo 55.1 de la Ley Orgánica 3/2018, la Presidencia de la AEPD "podrá dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica", disposiciones que se denominarán Circulares de la AEPD. Cabe recordar que la redacción de este artículo 55 de la Ley Orgánica es el resultado, entre otras aportaciones, de una observación realizada por este Consejo de Estado en su dictamen número 757/2017, de 26 de octubre, en el que se indicaba que esta potestad normativa de la Agencia (no prevista en el Reglamento europeo) debía quedar claramente delimitada en el sentido de que no corresponde a aquella desarrollar las previsiones del Reglamento, sino únicamente velar por su correcta aplicación. Así lo hace el artículo 55.1 de la Ley Orgánica, cuyo tenor literal, en cuanto afecta al contenido de las circulares, resulta indispensable retomar en este artículo 5.3.c) del proyecto de Estatuto, como ya hace, a continuación, el artículo 6.1 del mismo (referido específicamente a las circulares). La redacción propuesta, en la medida en que se refiere a "circulares (...) para garantizar la correcta aplicación" del RGPD y de la Ley Orgánica, podría interpretarse en un sentido más amplio que la delimitación material del artículo 55.1 de la Ley Orgánica 3/2018 y debe, por ello, corregirse. Esta observación se formula con carácter esencial a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

- Apartado 4

El apartado 4 prevé que la AEPD ejercerá el control de la observancia de lo dispuesto en los artículos 4, 7 y 10 a 22 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, atribuyéndole, en especial, diversas competencias de informe previo. El informe previsto en la letra a) de este apartado 4 (relativo al contenido, y formato de los cuestionarios, hojas censales y otros documentos de recogida de datos con fines estadísticos) se califica expresamente como preceptivo, lo que suscita la duda de si los contemplados en las letras b) a d) tienen o no ese mismo carácter. Dada la ausencia de previsión en este sentido en la Ley 12/1989 y en la Ley Orgánica 3/2018, el caso previsto en la letra c) ("Informará los anteproyectos de ley por los que se exijan datos con carácter obligatorio y su adecuación a lo dispuesto en el artículo 7 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública") podría suscitar ciertos interrogantes por los mismos motivos indicados en las consideraciones relativas a las letras a) y b) del artículo 5.3 del proyecto de Estatuto, cuyas conclusiones cabe tener aquí por reproducidas.

D) Artículo 6: Circulares de la AEPD

El artículo 6 del proyecto de Estatuto regula la ya citada figura de las Circulares de la AEPD, contempladas en el artículo 55.1 de la Ley Orgánica 3/2018.

Con carácter previo al análisis del contenido del artículo 6 deben realizarse algunas reflexiones iniciales sobre las características de las Circulares de la AEPD, en la medida en que estas pueden condicionar el procedimiento que deberá seguirse en su elaboración.

En su dictamen sobre el anteproyecto de la que luego sería Ley Orgánica 3/2018 (dictamen número 757/2017, de 26 de octubre), este Consejo de Estado apuntó a la necesidad de reconsiderar la amplitud con que dicho anteproyecto configuraba las potestades normativas de la Presidencia de la AEPD, suprimiéndose, por una parte, la referencia que en él se hacía al Reglamento europeo -"por cuya aplicación deberá velar la Agencia, pero no desarrollar"- y "contemplando la potestad del Presidente de la Agencia Española de Protección de Datos de dictar Circulares e Instrucciones que fijen los criterios y guías a que responderá la actuación de esa entidad en el tratamiento de las materias y cuestiones que recomienden tal explicitación de criterios". Todo ello con base en que, de acuerdo con el artículo 129. 4 de la Ley 39/2015, "las leyes podrán habilitar directamente a Autoridades independientes u otros organismos que tengan atribuida potestad para dictar normas en desarrollo o aplicación de las mismas, cuando la naturaleza de la materia así lo exija", pero teniendo en cuenta que, a diferencia de otras Autoridades independientes como la Comisión del Mercado Nacional de Valores o la Comisión Nacional de los Mercados y la Competencia, "la Agencia Española de Protección de Datos despliega su actividad en ámbitos susceptibles de lesionar un derecho fundamental, para proteger éste frente a la actuación de los poderes públicos".

A la vista de estas observaciones, el tenor del proyecto se modificó en este punto, y el apartado 1 del artículo 55 de la Ley Orgánica 3/2018 se aprobó finalmente con la siguiente redacción: "La Presidencia de la Agencia Española de Protección de Datos podrá dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, que se denominarán "Circulares de la Agencia Española de Protección de Datos"".

La jurisprudencia ha sentado varios criterios para diferenciar las circulares que tienen verdadero carácter de disposiciones normativas respecto de aquellas que son meros actos administrativos dictados en ejercicio de la potestad de autoorganización de una determinada autoridad administrativa, considerando, en particular, que lo verdaderamente decisivo es el alcance y significación que su autor otorgue a dicha decisión. Así, entiende la jurisprudencia que, cuando la decisión tenga como únicos destinatarios a los subordinados del órgano administrativo, y exteriorice por ello pautas para la futura actuación administrativa que dichos subordinados hayan de realizar, habrá de admitirse que lo que se está dictando no es un acto normativo con eficacia externa para los ciudadanos, sino meras instrucciones, ordenes de servicio o simples directrices de actuación, dictadas en el ejercicio del poder jerárquico, con el fin de establecer los criterios de aplicación e interpretación jurídica que habrán de ser seguidos en futuros actos administrativos (en este sentido, sentencias de la Sala Tercera del Tribunal Supremo de 21 de junio de 2006 y de 10 de marzo de 2009, entre otras)..

Aplicando estas pautas a las Circulares de la AEPD, se observa, en primer lugar, que el artículo 55, apartado 1, de la Ley Orgánica 3/2018 las define como "disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica". Esta estricta delimitación del ámbito material de las circulares podría llevar a la conclusión de que estas tienen -reproduciendo el tenor de la sentencia citada- "como únicos destinatarios a los subordinados del órgano administrativo, y exteriorice por ello pautas para la futura actuación administrativa que dichos subordinados hayan de realizar". Sin embargo, tal interpretación parece desmentida tras la lectura del apartado 3 del mismo artículo 55, en el que se afirma que las circulares "serán obligatorias una vez publicadas en el Boletín Oficial del Estado": esa referencia a la obligatoriedad de las circulares no puede sino hacer referencia a su eficacia ad extra, en la medida en que, más allá de su obligatoriedad ad intra en la estructura administrativa de la Agencia, podrán afectar a todos los ciudadanos.

Las Circulares de la AEPD, en definitiva, fijan los criterios con arreglo a los cuales la propia Agencia aplica lo dispuesto en el Reglamento europeo y en la Ley Orgánica. Esos criterios (en la medida en que, con arreglo al artículo 55.3 de la Ley Orgánica, se publican y son obligatorios) vincularán, desde luego, la actuación de los distintos órganos de la Agencia, pero también tienen la vocación de afectar los derechos y obligaciones de terceros.

Sin perjuicio, por tanto, de los estrictos contornos materiales a que se limitan, debe concluirse que el legislador orgánico no configuró las Circulares de la AEPD como simples actos administrativos dictados en ejercicio de la potestad autoorganizatoria de la Agencia, sino como actos más asimilables a las disposiciones de carácter general. El artículo 55 de la Ley Orgánica contiene otros indicios de esa voluntad del legislador orgánico, desde la expresión "potestades de regulación" que emplea el título, hasta su calificación como "disposiciones" en el apartado 1, término que igualmente emplea el artículo 48.6 de la Ley Orgánica al regular la impugnabilidad de los "actos y disposiciones" de la Presidencia.

Esta particular caracterización de las circulares lleva a la conclusión de que su aprobación debe someterse al procedimiento legalmente establecido para la elaboración de las disposiciones de carácter general. Ese procedimiento constituye una garantía de transparencia y de respeto a la legalidad indispensable, habida cuenta de la incidencia que las Circulares de la AEPD pueden tener en el ejercicio de los derechos fundamentales. Sentado lo anterior, se examina a continuación el contenido del artículo 6 del proyecto de Estatuto.

- Sobre el apartado 1 del artículo 6

Reproduciendo lo establecido en el referido artículo 55 de la Ley Orgánica 3/2018, el artículo 6.1 del proyecto de Estatuto establece que "[L]a Presidencia de la Agencia Española de Protección de Datos" podrá dictar dichas circulares. La Oficina de Coordinación y Calidad Normativa ha observado en su informe que el futuro Estatuto "no debe limitarse a transcribir los términos de la Ley, sino que debe especificar inequívocamente los órganos de la Agencia y la atribución de competencias específicas de cada uno", y por ello recomienda que, con carácter general, se aclare que "la Presidencia no es un Comité Directivo o Consejo rector, sino un órgano unipersonal, el o la Presidente", y que, por tanto, "las funciones y potestades que se atribuyen a su Presidente pueden atribuirse más claramente indicando por ejemplo que "corresponde al o a la Presidente de la Agencia..."". El Consejo de Estado comparte el sentido de esta observación, teniendo en cuenta, en particular, que junto al Presidente o Presidenta existirá un Adjunto o Adjunta a la Presidencia; en consecuencia, para evitar que la redacción proyectada del artículo 6.1 pueda suscitar dudas sobre la titularidad de la competencia, debería aclararse que las Circulares de la AEPD las dicta el Presidente o la Presidenta (o, si se prefiere, "la persona titular de la Presidencia") de la AEPD.

- Sobre los apartados 2 a 7 del artículo 6

Los siguientes apartados del artículo 6 regulan el procedimiento para la elaboración y aprobación de estas Circulares de la AEPD. En resumen, el artículo prevé que la tramitación se iniciará mediante un informe técnico (apartado 2), que "deberá contar con el preceptivo informe jurídico" (apartado 3), y se abrirá un trámite de audiencia e información pública (apartado 4); una vez completado el expediente, el Adjunto a la Presidencia lo elevará a esta a efectos de su aprobación final (apartados 5 y 6), publicación y entrada en vigor (apartado 7).

Este procedimiento se regula al amparo de la habilitación contenida en el artículo 55.2 de la Ley Orgánica 3/2018, en el que se prevé que la elaboración de las Circulares de la AEPD "se sujetará al procedimiento establecido en el Estatuto de la Agencia Española de Protección de Datos, que deberá prever los informes técnicos y jurídicos que fueran necesarios y la audiencia a los interesados". Más allá de estas exigencias específicas de la Ley Orgánica 3/2018, y por los motivos antes indicados, cabe plantearse si en la elaboración de las Circulares de la AEPD deben igualmente respetarse las reglas procedimentales contenidas en la Ley 50/1997, de 27 de noviembre, del Gobierno y en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Por lo que respecta a la primera, es doctrina ya reiterada de este Consejo de Estado que las disposiciones del título V de la Ley del Gobierno no son aplicables al ejercicio de la potestad normativa de las llamadas autoridades administrativas independientes, pues aquel se refiere a la iniciativa legislativa y la potestad reglamentaria del Gobierno y de sus miembros, pero no a las circulares que puedan dictar otros organismos independientes, como el Banco de España, la Comisión Nacional de los Mercados y la Competencia o la propia AEPD. Así resulta, en particular, de la enumeración contenida en el artículo 24.1 (que se refiere a los diferentes tipos de normas y acuerdos); e, igualmente, del régimen recogido en el artículo 26, que toma en consideración de forma explícita las propuestas o proyectos que se elaboran en los departamentos (en este sentido, véase, por todos, el dictamen número 823/2019, de 7 de noviembre). Estos requisitos procedimentales no pueden exigirse, por tanto, en la elaboración de las Circulares de la AEPD.

La Ley 39/2015, por el contrario, sí debe respetarse en este caso. El artículo 45.1 de la Ley Orgánica 3/2018 establece que son de aplicación a la AEPD, con carácter supletorio respecto al régimen jurídico contenido en el RGPD y la propia Ley Orgánica, "las normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público", precepto que a su vez se refiere (entre las normas aplicables a las autoridades administrativas independientes) a "la Ley del Procedimiento Administrativo Común de las Administraciones Públicas". En particular, por tanto, en el ejercicio de la potestad regulatoria de la AEPD deben tenerse en cuenta los principios de buena regulación consagrados en el artículo 129 de la Ley 39/2015 (necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia, y eficiencia), o las disposiciones de sus artículos 130 y 133 sobre los trámites de evaluación normativa, consulta previa y audiencia e información pública.

La sujeción de las potestades regulatorias de la AEPD a estas disposiciones legales constituye, como ya se indicó, una garantía procedimental fundamental a la luz de la sensibilidad de la materia sobre la que aquellas potestades se ejercen. A este respecto, asimismo, el Consejo de Estado viene insistiendo en la relevancia de garantizar que los organismos que forman parte de la denominada Administración independiente cumplan las normas de procedimiento (vid., a título de ejemplo, en relación con la potestad de dictar Circulares del Banco de España, el dictamen número 726/2019, de 3 de octubre; en relación con la CNMV, el dictamen número 745/2019, de 17 de octubre; y, en relación con la CNMC, el dictamen número 823/2019, de 7 de noviembre, entre otros).

Sentado lo anterior, debe examinarse la tramitación que el artículo 6 del Estatuto proyectado prevé para la elaboración y aprobación de las Circulares de la AEPD, en aras de verificar si con ella se cumplen las referidas exigencias legales.

El artículo 6.2 del proyecto de Estatuto establece que el proyecto de circular se iniciará mediante un informe técnico, suscrito por el Adjunto a la Presidencia de la AEPD o el Subdirector General o Director de División correspondiente, informe que constará de tres partes:

"a) Especificación de la norma o normas habilitantes para dictar la disposición. b) Justificación de la necesidad de la disposición, así como de las medidas o soluciones técnicas que se propongan y de los fines que se pretenden alcanzar. c) Proyecto de Circular".

El Consejo de Estado no puede sino valorar positivamente la proyectada exigencia de que el procedimiento se inicie mediante la elaboración de este informe técnico, habida cuenta de que la potestad de la AEPD para dictar estas circulares está precisamente legitimada por su especialización técnica. El Tribunal Constitucional ha señalado que la razón que legitima el ejercicio de la potestad normativa de otras autoridades independientes no es su carácter discrecional, sino -dice el Tribunal en un razonamiento que puede extenderse a la AEPD- que "la especialización técnica del Banco de España explica y hace razonable, en el contexto constitucional, que se le confíen determinadas misiones por delegación del Gobierno o ex lege" (STC 135/1992, de 5 de octubre). De conformidad con ello, resulta particularmente relevante la justificación técnica de las soluciones adoptadas, de manera que, cuando en una circular se recogen medidas susceptibles de afectar de forma relevante a los derechos o deberes de los ciudadanos, es preciso llevar a cabo una justificación técnica adecuada de las mismas, analizando tanto sus efectos generales y particulares (sobre los diferentes agentes) como las razones que justifican, desde una perspectiva técnica, las soluciones adoptadas.

El apartado 3 de este mismo artículo 6 del proyecto de Estatuto continúa diciendo que ese informe técnico "deberá contar, en todo caso, con el preceptivo informe jurídico o de legalidad, emitido por el Gabinete Jurídico de la Agencia Española de Protección de Datos". La elaboración de este informe jurídico reviste igualmente una gran importancia para asegurar la legalidad de las circulares. No resulta exacto, sin embargo, presentar ese informe del Gabinete Jurídico de la Agencia como una mera premisa o elemento integrante del informe técnico ("deberá contar (...) con..."), pues son elementos independientes del procedimiento de elaboración, sin perjuicio de su ulterior integración en una memoria justificativa, como después se dirá. Se sugiere, por ello, dar a este apartado 3 la siguiente o parecida redacción: "Se elaborará también un informe jurídico o de legalidad, emitido por el Gabinete Jurídico de la Agencia Española de Protección de Datos".

De acuerdo con lo previsto en el artículo 55.2 de la Ley Orgánica 3/2018, el apartado 4 del artículo 6 del proyecto exige que se realice un trámite de audiencia e información pública a los titulares de derechos e intereses legítimos que resulten afectados, directamente o a través de las organizaciones y asociaciones reconocidas por la ley que los agrupen o los representen y cuyos fines guarden relación directa con el objeto de la circular, y dispone también que "se fomentará la participación de los ciudadanos". Este trámite se realizará en un plazo máximo de quince días y "sólo podrá omitirse cuando existan graves razones de interés público, que deberán justificarse en el informe técnico".

El precepto no contempla expresamente, por el contrario, la realización del trámite de consulta previa a que hace referencia el artículo 133.1 de la Ley 39/2015, aplicable en este caso, como ya se indicó. Ciertamente, la propia ley prevé la posibilidad de omitir la consulta previa, entre otros supuestos, cuando la norma proyectada "regule aspectos parciales de una materia" (artículo 133.4, párrafo segundo), lo que, dada la estricta delimitación material de la potestad normativa de la AEPD, podría ocurrir con frecuencia. Debe recordarse, no obstante, que la decisión de prescindir de ese trámite habrá de ser adecuadamente justificada en el expediente.

Junto al trámite de audiencia e información pública, sería conveniente prever la posibilidad de recabar, cuando proceda, el parecer de los departamentos de la Administración General del Estado cuyas competencias puedan verse específicamente afectadas por la regulación proyectada, sin que esa participación menoscabe la necesaria independencia de la AEPD en el ejercicio de sus competencias de carácter normativo.

Por otra parte, habida cuenta de la relevancia de esta competencia normativa de la AEPD, el Consejo de Estado sugiere también que se considere la posibilidad de prever en el proyecto la intervención preceptiva del Consejo Consultivo de la Agencia en el procedimiento de elaboración de circulares, frente a la previsión del artículo 19.2 del proyecto de Estatuto, que en su actual redacción hace depender esa intervención de una decisión unilateral de la Presidencia de la Agencia. La configuración legal de dicho Consejo Consultivo (artículo 49 de la Ley Orgánica 3/2018) lo hace especialmente idóneo para esta labor. A la pretendida preceptividad de este informe no cabe objetar lo observado en relación con el artículo 5.3, letras a) y b) del Estatuto proyectado, por tratarse en este caso de un trámite interno y de una competencia de un órgano de la propia Agencia.

El apartado 5 dispone que "[C]ompletado el expediente, se elevará a la Presidencia por el Adjunto a la Presidencia de la Agencia Española de Protección de Datos quien podrá solicitar otros informes sin perjuicio de los que resulten preceptivos".

Sorprende, en primer lugar, que se designe al Adjunto a la Presidencia de la AEPD como el encargado de proceder a esa elevación del expediente, sin que antes se le encomiende expresamente la dirección del procedimiento de elaboración del proyecto de circular, pues, dado lo establecido en el artículo 6.2, ese procedimiento aparentemente podría partir de una iniciativa de aquel o de cualquier Subdirector General o Director de División. Debería aclararse, por tanto, cuál es la posición del Adjunto o Adjunta a la Presidencia en la tramitación del proyecto.

En segundo lugar, y la vista de lo dispuesto en los apartados precedentes, se observa que el expediente que se elevará a la Presidencia de la AEPD incluirá el informe técnico y jurídico y el resultado del trámite de audiencia e información pública; el primero incluye, además, un proyecto de circular y un documento que presenta ciertas semejanzas con una memoria justificativa, pues debe justificar "la necesidad de la disposición, así como las medidas o soluciones técnicas que se propongan y de los fines que se pretenden alcanzar" (artículo 6.2.b) del proyecto de Estatuto). Sin embargo, tanto ese proyecto de circular como esa justificación que forman parte del informe técnico, normalmente, se habrán redactado al inicio del procedimiento, sin tener en cuenta, por lo tanto, las eventuales observaciones que se hayan podido formular en el trámite de audiencia e información pública; y tampoco queda claro si el proyecto y su justificación pueden modificarse a la luz de lo manifestado en el informe jurídico. Pero lo cierto es que todos estos trámites (como también la recomendada intervención del Consejo Consultivo o la consulta a distintos órganos administrativos, por ejemplo) tienen como finalidad perfeccionar el proyecto de circular; por ello, considera el Consejo de Estado que el comentado apartado 5 no debería prever únicamente la elevación a la Presidencia de la AEPD del expediente, sino la de un proyecto de circular (en cuya elaboración se hayan podido tener ya en cuenta las observaciones efectuadas a lo largo de la tramitación), acompañada de dicho expediente.

Es más, a ese proyecto de circular debería adjuntarse un documento que, con la denominación de memoria justificativa o cualquier otra que se considere adecuada, analice en esa fase final del procedimiento de elaboración el contenido de la disposición proyectada, su justificación, su adecuación a las normas de la Unión Europea y al marco regulatorio nacional, las alternativas previstas (con el fin de elegir aquellas que, cumpliendo los fines previstos para la norma, sean menos restrictivas) y los posibles impactos.

Resulta en este punto aplicable, mutatis mutandi, lo afirmado por este Consejo de Estado en relación con los proyectos normativos de otras autoridades administrativas independientes, como la CNMV o la CNMC: si bien es cierto que la obligación de redactar una memoria en los términos previstos por el artículo 26.3 de la Ley del Gobierno no resulta de aplicación directa en estos casos, la elaboración de un documento de este tipo sí vendría exigido por los principios de buena regulación - proporcionalidad, necesidad y seguridad jurídica- enumerados en el artículo 129 de la Ley 39/2015 (dictamen número 745/2019, de 17 de octubre) y por la propia legitimación de la potestad normativa de dichas autoridades, fundada, como ha dicho el Tribunal Constitucional, en su "especialización técnica". En este sentido, cabe aquí recordar lo argumentado por el Consejo de Estado en relación con el procedimiento de elaboración de Circulares de la CNMC: "Se traduce lo anterior, pues, en una exigencia de extremar el cuidado en la elaboración de las memorias (o informes, cualquiera que sea su denominación, que recoja estos aspectos), para justificar de una forma adecuada y completa, desde el punto de vista técnico, la solución adoptada, pues, a diferencia de lo que sucede cuando la potestad normativa se ejerce por un órgano de naturaleza política (esto es, sujeto a mecanismos de responsabilidad política, como es su responsabilidad ante el Parlamento), en el caso de la CNMC es el ajuste del ejercicio de la potestad normativa a los fines recogidos en el Derecho europeo y en las normas nacionales, y su adecuación técnica a los principios enunciados (...) el que justifica la discrecionalidad que tiene en su ejercicio" (dictamen número 823/2019, de 7 de noviembre).

Para finalizar, debe subrayarse que, una vez completo el expediente, el proyecto de circular deberá ser sometido al dictamen del Consejo de Estado. Esta intervención resulta en todo caso preceptiva en aplicación del artículo 22 de la Ley Orgánica 3/1980, de 22 de abril, cuyos apartados dos y tres establecen que la Comisión Permanente del Consejo de Estado deberá ser consultada en relación con las disposiciones reglamentarias que se dicten en ejecución, cumplimiento o desarrollo de tratados, convenios o acuerdos internacionales y del Derecho comunitario europeo y los reglamentos o disposiciones de carácter general que se dicten en ejecución de las leyes, así como sus modificaciones. Sin perjuicio de esa previsión legal, dadas las relevantes consecuencias asociadas a una eventual omisión de este trámite preceptivo, sería muy conveniente introducir una mención expresa al mismo en el proyecto de Estatuto, teniendo en todo caso en cuenta que el dictamen del Consejo de Estado deberá cerrar la tramitación del proyecto de circular, pues después de aquel no podrá emitir informe "ningún otro cuerpo u órgano de la Administración del Estado" (artículo 2.2 de la Ley Orgánica del Consejo de Estado).

Sentado lo anterior, se plantea la cuestión de qué autoridad debe recabar dicho dictamen, habida cuenta de que los artículos 24 y 25 de la Ley Orgánica del Consejo de Estado solo confieren la facultad de solicitar el dictamen de este Alto Cuerpo Consultivo al Presidente del Gobierno, a sus Ministros y, cuando se trate de consultas procedentes de las Comunidades Autónomas, a sus Presidentes. Asimismo, el artículo 48 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases de Régimen Local, cuando en los asuntos competencia de las corporaciones locales sea preceptivo el citado dictamen, "la correspondiente solicitud se cursará por conducto de la Comunidad Autónoma".

Ciertamente, el propio Consejo de Estado ha admitido las consultas que le dirigen directamente el Gobernador del Banco de España (dictamen número 2.458/94, de 16 de febrero de 1995, en relación con un proyecto de Circular del Banco de España) y el Presidente del Consejo de Seguridad Nuclear (dictamen número 1.470/2011, de 6 de octubre, en relación con una revisión de oficio), pero hay que tener en cuenta que estos dos organismos tienen una configuración bien distinta a la de la AEPD, como evidencia su posición institucional (a la que no es ajena la previsión de control por parte del Parlamento, en los términos que resultan de las leyes reguladoras de dichos organismos) y la ausencia de preceptos en sus respectivas disposiciones legales sobre su adscripción a un departamento concreto.

En el caso de la AEPD ha de concluirse, como ya hizo este Consejo de Estado en relación con las consultas relativas a las Circulares de CNMC, que la solicitud de dictamen debe encauzarse a través del titular del departamento de adscripción -en este caso, con arreglo a lo dispuesto en el artículo 44.1 de la Ley Orgánica 3/2018, y el artículo 1, párrafo tercero, del Estatuto proyectado, el Ministerio de Justicia-, sin que esta exigencia procedimental pueda convertirse en un obstáculo injustificado a la potestad normativa de la AEPD y, en todo caso, respetándose la configuración institucional de la Agencia y, en particular, su autonomía e independencia. A estos efectos, resultan aquí íntegramente trasladables las consideraciones que, en relación con la CNMC, este Consejo de Estado efectuó en su dictamen número 775/2019, de 26 de septiembre, y que se reproducen a continuación:

"... Ello implica que es la CNMC, y no otro órgano, la que determina el proyecto que se somete al Consejo de Estado, sin que sea posible, por lo tanto, que la autoridad a través de la cual se plantea la consulta pueda modificar el texto del proyecto.

En realidad, el papel que corresponde en este caso al titular del departamento de adscripción no es muy diferente al que tiene el Presidente de la comunidad autónoma cuando se trata de consultas relativas a expedientes cuya resolución corresponde a las corporaciones locales. Y de igual modo que en estos casos cabe concluir que la realización de la consulta por conducto del Presidente autonómico no condiciona la autonomía de las corporaciones locales, constitucionalmente reconocida en el artículo 137 de la Constitución, puede afirmarse que tampoco en el caso de la CNMC se compromete su autonomía e independencia, en los términos que ha sido reconocida por las leyes, siempre que se respeten los criterios señalados".

De cuanto precede, cabe concluir que los proyectos de Circulares de la AEPD deben someterse al preceptivo dictamen del Consejo de Estado, trámite que debería indicarse en el Estatuto proyectado. La solicitud de ese dictamen se cursará por conducto del titular del Ministerio de Justicia, bien entendido que, en todo caso, se trata de un acto debido para dicho departamento, y que esa intervención no compromete la autonomía e independencia de la Agencia.

Esta observación se formula con carácter esencial a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio. A este respecto cabe precisar que, aunque la calificación de esencial, en el sentido indicado, suele reservarse a las observaciones que se formulan con base en criterios de estricta legalidad, constitucionalidad o compatibilidad de las normas europeas, ese mismo calificativo puede predicarse de las conclusiones que este Consejo de Estado alcance en relación con las propuestas normativas (de rango legal o, como en este caso, reglamentario) que se entienda que "no reúnen las condiciones que deben tener en orden a su precisión, adecuada definición de los fines buscados y correcta articulación de los medios propuestos para ello" (dictamen número 215/2010, de 18 de marzo). Así ocurre en el presente caso, pues si bien las exigencias procedimentales de la Ley 39/2015 serían en todo caso de aplicación, por los motivos indicados, a la tramitación de las Circulares de la Agencia, su incorporación al Estatuto proyectado resulta especialmente importante desde un punto de vista de seguridad jurídica y de garantía de los derechos de los ciudadanos.

E) Artículo 7: Acción exterior

El artículo 7 del proyecto de Estatuto se dedica a la acción exterior de la AEPD. Los dos primeros apartados se limitan a reproducir lo dispuesto, respectivamente, en los artículos 56.1 y 44.2 de la Ley Orgánica 3/2018, siendo el único contenido nuevo y propiamente estatutario de este artículo lo dispuesto en el apartado 3: " Corresponderá a la Presidencia de la Agencia Española de Protección de Datos designar a los representantes que deban formar parte de la autoridad de control común de protección de datos prevista en los Convenios Internacionales de los que España sea parte". En la medida en que esta previsión resulta suficientemente comprensible por sí sola, en línea con las observaciones antes realizadas respecto a la limitación de la reproducción de preceptos legales en las normas reglamentarias, el contenido de los apartados 1 y 2 de este artículo 7 debería excluirse del proyecto.

Por lo demás, y de acuerdo con lo ya manifestado respecto a la identificación del titular de las competencias de la Presidencia de la AEPD, en la redacción del actual apartado 3 debería precisarse que la designación allí referida corresponderá "a la persona titular de la Presidencia de la AEPD", o bien "al Presidente o Presidenta de la AEPD".

F) Artículo 8: Colaboración en el ámbito de la Administración de Justicia

El artículo 8 del proyecto de Estatuto reproduce literalmente lo establecido en el artículo 44.3 de la Ley Orgánica, recordando que la AEPD y el Consejo General del Poder Judicial "colaborarán en aras al adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, les atribuye en materia de protección de datos de carácter personal en el ámbito de la Administración de Justicia".

A este respecto, cabe recordar que el RGPD se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, si bien "en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales" (considerando 20 del RGPD) y, a fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, el artículo 55.3 del RGPD establece que las autoridades nacionales de control no son competentes "para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial", control que "ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar más a los miembros del poder judicial acerca de sus obligaciones en virtud de este y atender las reclamaciones en relación con tales operaciones de tratamiento de datos" (considerando 20). Por otra parte, el RGPD no se aplica al tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención (artículo 1.2.d) del RGPD), materia sujeta a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, cuya transposición al ordenamiento español ha sido igualmente sometida a dictamen de este Consejo de Estado (dictamen número 675/2020, de 28 de enero de 2021, relativo al anteproyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación o enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y prevención frente a las amenazas contra la seguridad pública).

La colaboración a que hace referencia este artículo 8 del proyecto de Estatuto actuará, en consecuencia, dentro de esos contornos materiales definidos por el RGPD.

G) Artículo 9: Programación

El artículo 9 del proyecto de Estatuto establece que la Presidencia de la AEPD "aprobará, en el primer semestre de su nombramiento y con carácter trienal, un Plan Estratégico con el objetivo de sentar las bases de las líneas de actuación de la Agencia en dicho periodo, incorporando las acciones específicas que cada departamento de la misma haya propuesto en relación con sus respectivas materias".

Esta redacción del precepto parece incluir una norma de carácter general (la Presidencia aprobará un Plan Estratégico cada tres años) y una norma de carácter transitorio (una vez aprobado el Estatuto y nombrada la primera persona titular de la Presidencia de la Agencia, el primer Plan trienal deberá aprobarse dentro del primer semestre del mandato de aquella); de ser acertada esta interpretación, la referencia a la aprobación del Plan en el primer semestre del mandato del primer titular de la Presidencia de la Agencia debería trasladarse a una disposición transitoria del proyecto. No obstante, el desajuste entre la vigencia trienal de los Planes Estratégicos y la duración del mandato de la Presidencia (cinco años, con arreglo al artículo 48.5 de la Ley Orgánica 3/2018) parece poco operativo, pues los sucesivos titulares de la Presidencia no podrían en caso alguno asegurar la ejecución de todos los Planes Estratégicos que aprueben. Para garantizar una mayor eficacia en su actuación, debería preverse una mayor correlación de ambos plazos, de modo que cada Presidencia tenga su propio Plan Estratégico, con una vigencia de cuatro o cinco años, pudiendo, en este último caso, preverse en el mismo artículo que dicho plan (para cinco años) se apruebe dentro de los seis primeros meses del mandato de aquella.

En otro orden de cosas, cabe sugerir que el artículo incluya expresamente, dentro de la delimitación del contenido que ha de tener el referido plan, una referencia al calendario de las circulares cuya aprobación cabe anticipar, habida cuenta de la ya subrayada importancia de esta competencia.

H) Artículo 12: Presidencia de la AEPD

La Ley Orgánica 3/2018 modifica la naturaleza del órgano que estará al frente de la Agencia, que pasa de Director a Presidente, manteniéndose en el proyecto de Estatuto su rango de Subsecretario (frente al primer borrador de Estatuto, que le atribuía rango de Secretario de Estado).

En el dictamen emitido en relación con el anteproyecto de la que luego sería esta Ley Orgánica 3/2018 (dictamen número 757/2017, de 26 de octubre), el Consejo de Estado apuntó a la necesidad de regular en aquella los requisitos para el nombramiento del Presidente o Presidenta de la Agencia, dado que el artículo 54.1.b) del Reglamento Europeo dispone que es obligación de todo Estado miembro establecer "por ley (...) b) las cualificaciones y condiciones de idoneidad necesarias para ser nombrado miembro de cada autoridad de control", así como "c) las normas y los procedimientos para el nombramiento del miembro o miembros de cada autoridad de control".

En este sentido, el artículo 48.3 de la Ley Orgánica establece que el titular de dicha Presidencia y su Adjunto "serán nombrados por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos", previa evaluación "del mérito, capacidad, competencia e idoneidad de los candidatos" y tras una audiencia ante la Comisión de Justicia del Congreso de los Diputados, que deberá emitir un dictamen de idoneidad por mayoría de tres quintos o, en segunda votación, por mayoría absoluta. El proyecto de Estatuto, por su parte, se limita a recordar en su artículo 12, apartado 1, que la persona titular de la Presidencia será designada con arreglo al procedimiento establecido en el artículo 48 de la Ley Orgánica y a añadir, en su apartado 2, que dicha persona "poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes", previsión esta última que no hace sino reproducir literalmente el contenido del artículo 53.2 del RGPD.

Comparte el Consejo de Estado lo observado por la Oficina de Coordinación y Calidad Normativa en relación con la necesidad de que el Estatuto proyectado desarrolle con mayor detalle los aspectos procedimentales necesarios para la efectividad del artículo 48 de la Ley Orgánica 3/2018, en particular "la descripción del órgano o persona que (¿es un comité o panel de selección?, composición siquiera genérica del panel de selección, etc.) va a realizar la evaluación previa del mérito, capacidad, competencia e idoneidad de los candidatos a que se refiere el artículo 48.3 de la LOPD". En resumen, en defecto de una mayor precisión sobre cuáles son esos requisitos de "titulación, experiencia y aptitudes" que deben reunir los candidatos, el proyecto de Estatuto debe, al menos, articular un procedimiento transparente para la designación del candidato que será propuesto por el Ministerio de Justicia, en aras de garantizar su independencia.

A juicio del Consejo de Estado, la regulación reglamentaria de los aspectos del procedimiento de esa designación resulta indispensable, pues lo dispuesto en el artículo 54.1, letras b) y c), del RGPD pone de relieve la importancia que el legislador europeo confiere a la transparencia y a la seguridad jurídica en esta materia, como instrumento indispensable para asegurar la autonomía de las autoridades de control.

Esta observación se formula con carácter esencial a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

El apartado 6 del artículo 12 se refiere al "Adjunto a la Presidencia", como órgano directivo que depende directamente de esta. Las numerosas referencias que el Estatuto efectúa a este órgano (en este y otros preceptos) deben adaptarse a las exigencias del lenguaje inclusivo.

Este mismo artículo 12 del proyecto de Estatuto lleva a cabo, en sus apartados 7 y 8, una reestructuración administrativa completa de los órganos de la AEPD, para adaptarla a las nuevas competencias que esta asume como consecuencia de las disposiciones del RGPD y de la Ley Orgánica 3/2018. Así, junto a la ya existente Secretaría General, se configura una nueva Subdirección General de Inspección de Datos (que sustituye a la actual Inspección de Datos, con nivel de Subdirección General) y una Subdirección General de Promoción y Autorizaciones (también de nuevo cuño, que sustituye a la actual Subdirección General de Registro de Protección de Datos), además de otros dos órganos de nivel inferior, la División de Relaciones Internacionales y la División de Innovación Tecnológica. Todas ellas dependerán directamente de la Presidencia de la Agencia.

La Secretaría General Técnica del Ministerio de Política Territorial y Función Pública ha señalado en su informe que las dos nuevas Divisiones no pueden crearse en el proyecto de Estatuto, sino que, por ser órganos de nivel inferior a Subdirección General, su creación debe hacerse, de acuerdo con el artículo 59.2 de la Ley 40/2015, "por orden del Ministro respectivo, previa autorización del Ministro de Hacienda y Administraciones Públicas". A juicio del Consejo de Estado, sin embargo, nada cabe objetar a la creación de estas dos Divisiones en el propio Estatuto orgánico de la AEPD, por los motivos que se exponen a continuación:

- En primer lugar, hay que tener en cuenta que, con arreglo al artículo 110.1 de la Ley 40/2015, las autoridades administrativas independientes solo se rigen por las disposiciones de esa ley -"en particular lo dispuesto para organismos autónomos"- con carácter supletorio respecto a lo establecido en "su Ley de creación, sus estatutos y la legislación especial de los sectores económicos sometidos a su supervisión" y, en todo caso, solo "en cuanto sea compatible con su naturaleza y autonomía". Pues bien, en la medida en que el citado artículo 59.2 de la Ley 40/2015 se refiere solo, en principio, a la organización de los ministerios, y que esta previsión podría ser incompatible con la autonomía de la Agencia, debe excluirse su aplicabilidad en este caso. En particular, entiende el Consejo de Estado que la regulación de estos dos órganos en el Estatuto orgánico constituye una mayor garantía de la independencia de la AEPD, pues las citadas Divisiones no podrán modificarse ni suprimirse sino mediante norma con rango de real decreto. - Uno de los objetivos principales de este nuevo Estatuto es precisamente llevar a cabo esta reestructuración interna de la Agencia y la consiguiente determinación de las competencias que corresponden a cada órgano de la misma. En esa delimitación competencial juegan un importante papel las dos nuevas Divisiones: la División de Relaciones Internacionales se crea para desarrollar actividades de participación, coordinación, informe y asesoramiento derivadas de las nuevas competencias de la Agencia en el ámbito internacional y su designación como representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos; y la creación de la División de Innovación Tecnológica se justifica por la rápida evolución del entorno tecnológico y la continua aparición de productos y servicios que implican formas masivas y novedosas de tratamiento de datos de carácter personal, así como para hacer frente a las nuevas obligaciones asignadas a la autoridad de control en el marco de la introducción por el RGPD de los principios de responsabilidad proactiva. Solo con la creación, en el propio Estatuto, de ambas Divisiones se puede ofrecer un diseño completo del reparto de funciones en el seno de la AEPD, lo que mejora la transparencia y la seguridad jurídica. - En fin, hay que tener en cuenta que, según se afirma en la Memoria, estas nuevas estructuras administrativas no implican un incremento de las dotaciones, pues el proyecto simplemente cambiaría la denominación de dos vocalías asesoras ya existentes, pasando a ser sendas Divisiones y manteniéndose el mismo personal a cargo que aquellas tenían hasta la fecha. Se trata, por tanto, de dotar de respaldo normativo a una organización interna que, con otra caracterización formal, opera ya en la práctica.

I) Artículo 13: Funciones de la Presidencia

El artículo 13 del proyecto de Estatuto enumera las funciones de la Presidencia de la AEPD, dividiéndolas en dos apartados, el primero con una lista de ocho funciones y el segundo con trece. Este desglose resulta acertado, pues de lo contrario la extensión del precepto -con un total de veintiuna funciones- sería excesiva; su redacción, no obstante, podría mejorar si cada una de estas dos listas estuviese precedida de algún tipo de indicación sobre el ámbito particular a que se refiere cada grupo de funciones, en atención al criterio empleado al efectuar esa división, y sin perjuicio de efectuar los ajustes que a estos efectos sean necesarios. A primera vista, podría concluirse que el apartado 1 se refiere a las funciones ad extra y el apartado 2 a las funciones ad intra (relativas a la dirección interna de la Agencia, jefatura de personal y competencias en materia de régimen interior), pero existen algunas excepciones; se trata, en definitiva, de que la separación en dos apartados no sea totalmente arbitraria.

La letra c) del apartado 1 se refiere a la función consistente en "[D]ictar las resoluciones, circulares y directrices que requiera el ejercicio de las funciones de la Agencia, en particular las derivadas del ejercicio de las competencias previstas en el artículo 57 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y del ejercicio de los poderes de investigación y de los poderes correctivos dispuestos en el artículo 58 del citado Reglamento". Dada la heterogeneidad de actos de la Presidencia que engloba la fórmula "resoluciones, circulares y directrices", sería preferible citar en una letra distinta aquellos que corresponden a las potestades de regulación de la Presidencia, esto es, las Circulares de la AEPD, haciendo una remisión expresa a lo establecido en el artículo 6 del propio Estatuto proyectado.

La amplitud de supuestos que cubre esta letra c) del apartado 1 permitiría emplearla como cláusula residual de competencia para atribuir a la Presidencia todas aquellas funciones no expresamente asignadas a ninguno de los órganos que dependen de ella en las largas -pero no exhaustivas- listas de los artículos 23 a 27. Los artículos 23 y 24, por ejemplo, como después se observará, atribuyen a las dos Subdirecciones Generales una serie de funciones de propuesta en materias concretas que no siempre tienen correlato en una competencia resolutoria concreta de la Presidencia del artículo 13. Por ese motivo, y sin perjuicio de lo establecido en esta letra c) del apartado 1, sería recomendable incluir en el artículo 13 una cláusula residual de competencia más clara.

El apartado 3 de este mismo artículo 13 del proyecto de Estatuto se refiere al régimen de impugnación de los actos y disposiciones de la Presidencia de la AEPD. A este respecto, dispone el artículo 48.6 de la Ley Orgánica 3/2018 que dichos actos y disposiciones "ponen fin a la vía administrativa, siendo recurribles, directamente, ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional". El referido artículo 13.3 del proyecto indica así que, de conformidad con lo dispuesto en ese artículo 48.6 de la Ley Orgánica, "los actos y disposiciones dictados por la Presidencia de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles potestativamente en reposición ante dicha Presidencia o impugnados directamente ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional", añadiendo a continuación que "[C]ontra las circulares no cabrá recurso en vía administrativa, siendo recurribles directamente ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional".

El contenido de este precepto resulta, en primer término, innecesario, pues no hace sino reproducir lo ya establecido en el artículo 48.6 de la Ley Orgánica -carácter final en vía administrativa e impugnabilidad en vía contenciosa ante la Audiencia Nacional-. Además, la posibilidad de interponer un recurso potestativo de reposición está ya prevista en el artículo 123 de la Ley 39/2015 y, en todo caso, el proyecto hace referencia a la misma de forma confusa, incurriendo en una contradicción que es, en parte, contraria al tenor de la Ley. En efecto, el comentado artículo 13.3 del proyecto de Estatuto dice primero que "los actos y disposiciones" de la Presidencia ponen fin a la vía administrativa "siendo recurribles potestativamente en reposición" cuando, como es sabido, las disposiciones administrativas de carácter general no son susceptibles de recurso en vía administrativa (artículo 112.3 de la Ley 39/2015). Esa contradicción se trata de corregir en el párrafo siguiente, al precisarse que "contra las circulares no cabrá recurso en vía administrativa", pero ello no salva la referencia del párrafo anterior a las "disposiciones" de la Presidencia. Además, el primer párrafo resulta algo oscuro, pues el uso de la conjunción "o" implica presentar indebidamente el recurso de reposición como una alternativa al recurso contencioso.

Por consiguiente, considera el Consejo de Estado que el comentado apartado 3 debe eliminarse, o, en su defecto, mantenerlo con una redacción más depurada, en un único párrafo y en la que se elimine la citada referencia ilegal, como por ejemplo la siguiente: "De conformidad con lo dispuesto en el apartado 6 del artículo 48 de la Ley Orgánica 3/2018, de 5 de diciembre, los actos y disposiciones dictados por la Presidencia de la Agencia Española de Protección de Datos ponen fin a la vía administrativa y pueden impugnarse directamente ante la Sala de lo Contencioso- Administrativo de la Audiencia Nacional, sin perjuicio de la posibilidad de interponer contra los primeros recurso de reposición".

Esta observación se formula con carácter esencial a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

J) Artículo 15: Régimen de suplencia

El artículo 15.1 del proyecto de Estatuto establece que, en los supuestos de ausencia, vacante o enfermedad de la persona titular de la Presidencia, el ejercicio de sus competencias "será asumido por el Adjunto a la Presidencia, con excepción de las relacionadas con los procedimientos regulados en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, que serán asumidas por el Subdirector General de Inspección de Datos".

El artículo 48.2 de la Ley Orgánica 3/2018 ya prevé que la Presidencia de la AEPD podrá delegar sus funciones en el Adjunto a la Presidencia, con la excepción de las contempladas en su título VIII (relativas a los procedimientos sobre posible vulneración de las normas de protección de datos). Ahora bien, a juicio del Consejo de Estado, lo que la Ley Orgánica pretende en este artículo es consagrar la indelegabilidad absoluta de las funciones de la Presidencia contempladas en dicho título VIII, en la medida en que estas afectan al ejercicio de la potestad sancionadora. Resulta por ello evidente que carece de base legal la previsión que hace el proyecto de Estatuto de atribuir su ejercicio, en los supuestos de suplencia de la Presidencia, al Subdirector General de Inspección de Datos. El ejercicio de esas funciones está reservado por ley a la Presidencia y no cabe, por tanto, su delegación ni la suplencia en su ejercicio. Esta observación se formula con carácter esencial a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

En un segundo párrafo, el citado artículo 15.1 continúa diciendo que, "[E]n el supuesto de que cualquiera de las circunstancias mencionadas concurriera igualmente en el Adjunto a la Presidencia, el ejercicio de las competencias no relacionadas con los procedimientos regulados por el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, será asumido por los demás órganos inmediatamente subordinados a la Presidencia, por el mismo orden en que aparecen citados en la respectiva estructura establecida en este Estatuto". Esta última expresión no resulta del todo clara; si con ella se pretende hacer referencia al orden en que los órganos subordinados a la Presidencia aparecen citados en el artículo 12, apartados 7 y 8, del Estatuto proyectado, así debería decirse (ello permitiría, además, aclarar si ese régimen de suplencia puede o no alcanzar también a los titulares de las dos Divisiones citadas en el artículo 12.8).

El apartado 2 de este mismo artículo 15 se remite también al "mismo orden señalado en el apartado anterior" para suplir al titular de la Presidencia en los casos de abstención o recusación. La redacción propuesta suscita la duda de si esa remisión se refiere únicamente a lo establecido en el segundo párrafo del apartado 1 (y, en definitiva, al orden previsto en el artículo 12), en cuyo caso habría que aclararlo, o bien al orden de suplencias que se desprende de los dos párrafos del apartado 1 (Adjunto o Subdirector General de Inspección de Datos y, en su defecto, orden del artículo 12), supuesto en el que bastaría con incluir al comienzo del párrafo primero del apartado 1 las circunstancias de "abstención o recusación".

Por lo demás, considera el Consejo de Estado que, desde un punto de vista de estructura interna y en aras de una mayor seguridad jurídica, resultaría adecuado trasladar a este artículo 15, en un apartado independiente, el contenido del artículo 28 del proyecto de Estatuto, relativo al régimen de delegación de las competencias de la Presidencia, con las precisiones y adiciones que se indicarán en la observación al mismo.

K) Artículo 16: Adjunto a la Presidencia de la AEPD

En cuanto al apartado 3 del artículo 16 ("El Adjunto a la Presidencia poseerá la titulación, la experiencia y las aptitudes, en particular en el ámbito de la protección de datos personales, necesarias para el cumplimiento de sus funciones y el ejercicio de sus poderes"), deben darse por reproducidas las observaciones formuladas en relación con el artículo 12.2, respecto al nombramiento del titular de la Presidencia de la AEPD. Asimismo, como ya se indicó en relación con el artículo 12.6, el precepto debe utilizar el lenguaje inclusivo.

L) Artículo 17: Funciones del Adjunto a la Presidencia de la AEPD

El artículo 17 enumera las competencias que corresponden al Adjunto a la Presidencia de la AEPD, citando, en primer lugar, la siguiente: "a) Ejercer las funciones de la Presidencia de la Agencia Española de Protección de Datos en los casos de delegación y sustitución previstos en la Ley Orgánica 3/2018, de 5 de diciembre, y en este Estatuto. A estos efectos, la Presidencia podrá delegar sus funciones en el Adjunto a la Presidencia, a excepción de las relacionadas con los procedimientos regulados en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre".

A juicio del Consejo de Estado, la remisión que esta letra a) del artículo 17 realiza a "los casos de delegación y sustitución previstos en la Ley Orgánica 3/2018, de 5 de diciembre, y en este Estatuto" resulta demasiado genérica y debería concretarse. Por una parte, la referencia a la Ley Orgánica no parece indispensable pues, en relación con este punto, esta únicamente establece a la posibilidad de delegación (y sus límites) que reproduce a continuación la propia letra a); por el contrario, parece importante hacer en este caso una referencia específica al artículo 15 del proyecto de Estatuto, donde se contempla el régimen de suplencia.

Asimismo, el elenco del artículo 17 debería completarse con una referencia a la específica función que, con arreglo a lo ya observado en relación con el artículo 6, corresponde al Adjunto o Adjunta en relación con el procedimiento de elaboración de los proyectos de Circulares de la AEPD.

En fin, debe de nuevo subrayarse la necesidad de utilizar el lenguaje inclusivo en este precepto.

M) Artículos 19 a 22: El Consejo Consultivo

Los artículos 19 a 22 del proyecto de Estatuto regulan la figura del Consejo Consultivo de la AEPD, desarrollando así la remisión que el artículo 49.6 de la Ley Orgánica 3/2018 hace al futuro Estatuto orgánico para determinar "el régimen, competencias y funcionamiento del Consejo Consultivo".

Con arreglo a lo previsto en el artículo 49.1 de la Ley Orgánica, dicho Consejo está formado por un total de quince miembros, con un peso importante de expertos en la materia y una representación variada de distintos tipos de intereses. Pese a ello, el proyecto de Estatuto, siguiendo el modelo del Estatuto vigente, sigue sin otorgar a este órgano un papel relevante y acorde con su configuración legal, quedando limitada su intervención a la emisión de los informes que le solicite la Presidencia y la posibilidad genérica de "formular propuestas en temas relacionados con la competencia" de la Agencia (artículo 19.2). Como ya se indicó al dictaminar el proyecto del vigente Estatuto (dictamen número 97/93, de 18 de febrero), no estaría de más fortalecer el protagonismo de este órgano de la Agencia, estableciendo su preceptiva intervención en determinados asuntos (por ejemplo, el informe sobre los proyectos de circulares, como se apuntó en la observación al artículo 6).

N) Artículos 23 a 27: Funciones de los órganos directamente dependientes de la Presidencia de la AEPD

Los artículos 23 a 27 del proyecto de Estatuto se dedican a asignar las funciones que corresponden a cada uno de los cinco órganos de la Agencia directamente dependientes de la Presidencia (Subdirecciones Generales de Inspección de Datos y de Promoción y Autorizaciones, Secretaría General, y Divisiones de Relaciones Internacionales y de Innovación Tecnológica, respectivamente); en particular, estos artículos tienen por finalidad repartir el ejercicio de las funciones que los artículos 57 y 58 del RGPD atribuyen a las autoridades de control. El resultado son cinco listados de funciones, algunos muy extensos, cuya comprensión mejoraría si pudiesen dividirse en varios grupos caracterizados por algún elemento cohesionador.

Así, por ejemplo, en los artículos 23 y 24, que enumeran las funciones de la Subdirección General de Inspección de Datos y de la Subdirección General de Promoción y Autorizaciones (veintiuna y diecisiete, respectivamente), podrían distinguirse las competencias propias e independientes de dichos órganos respecto de aquellas que consisten en la formulación de propuestas a la Presidencia. Respecto a estas últimas, en particular, se encuentran: en el artículo 23.2, la propuesta de emisión de directrices prevista en la letra c), sobre admisibilidad a trámite de reclamaciones - letra e)-, sobre el acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora -letra j)-, sobre la adopción de medidas provisionales en las actuaciones previas de investigación o durante el procedimiento sancionador -letra k)-, sobre la imposición de medidas correctivas -letra n)-, y sobre las sanciones a imponer en los procedimientos sancionadores -letra o)-; y, en el artículo 24, las propuestas sobre acreditación de organismos de supervisión de códigos de conducta y organismos de certificación -letra h)-, autorización de transferencias internacionales en virtud de cláusulas contractuales y acuerdos administrativos -letra k)-, aprobación de normas corporativas vinculantes -letra l)-, suspensión de flujos de datos -letra m)- y excepciones a la obligación de bloqueo -letra o)-).

Como se indicó, estos cuatro artículos (23 a 27) determinan el nivel de la estructura interna de la AEPD en que se ejercitarán las distintas funciones y poderes de las autoridades de control, a su vez enumerados en los artículos 57 y 58 del RGPD. Se observan, no obstante, algunos solapamientos en esa delimitación de competencias: así, con arreglo a lo dispuesto en el artículo 23.2.n) y en el artículo 24.n), las dos Subdirecciones Generales mencionadas pueden proponer a la Presidencia que ordene la suspensión de flujos de datos hacia un destinatario situado en un tercer país o hacia una organización internacional. Debe, por tanto, corregirse la redacción, bien para precisar cuál de estos dos órganos es componente para formular propuestas con este contenido o, si lo fueran ambos, en qué contexto deberá ejercer esta función cada uno de ellos.

Ñ) Artículo 24: La Subdirección General de Promoción y Autorizaciones

Por lo que respecta, en particular, a las funciones de la Subdirección General de Promoción y Autorizaciones enunciadas en el artículo 24, cabe formular las siguientes observaciones:

- La letra c) se refiere a la función de "[F]acilitar información a los ciudadanos en relación con el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, conforme a su artículo 57.1.e)". Convendría precisar, como hace el referido artículo del RGPD, que la información se facilita "previa solicitud", en orden a aclarar que no se trata de un suministro de información general a la ciudadanía, sino a quien la requiera de forma específica. - La letra e) atribuye a esta Subdirección General la función consistente en "[E]laborar las cláusulas contractuales tipo a que se refieren el artículo 28.8 y el artículo 46.2.d) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, de acuerdo con su artículo 57.1.j)". Si la tarea que pretende atribuirse a este órgano es la mera elaboración de dichas cláusulas, y su adopción o aprobación corresponde a la Presidencia, debería indicarse que corresponde a aquel la mera propuesta, o "elaborar y proponer". Una estructura del artículo como la sugerida en los párrafos anteriores ayudaría también a clarificar a este punto.

O) Artículo 28: Delegación de competencias

El artículo 28 del proyecto de Estatuto establece lo siguiente: "La Presidencia de la Agencia podrá delegar sus funciones en las Subdirecciones Generales que dependen directamente de la Presidencia y en la Secretaría General, en los términos previstos en el artículo 9 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público".

Este precepto incurre en un exceso reglamentario al no precisar que esa delegación de competencias de la Presidencia en ningún caso puede afectar a las funciones de esta relacionadas con los procedimientos regulados en el título VIII de la Ley Orgánica 3/2018, funciones que el artículo 48.2 de dicha ley orgánica caracteriza como indelegables. Como ya se indicó en las observaciones al artículo 15 del proyecto de Estatuto, aunque el artículo 48.2 de la Ley Orgánica contemple esa excepción al regular la delegación de funciones que la Presidencia puede efectuar en favor del Adjunto, dicha precisión impide que esas competencias puedan ser ejercidas por cualquier otro órgano de la Agencia, pues la referida excepción no está fundada en las características de ese puesto de Adjunto a la Presidencia, sino en la naturaleza de las funciones de que se trata. Esta observación se formula con carácter esencial a efectos de lo previsto en el artículo 130.3 del Reglamento Orgánico del Consejo de Estado, aprobado por el Real Decreto 1674/1980, de 18 de julio.

Por lo demás, la redacción de este artículo 28 no ofrece una visión completa de las posibilidades de delegación de las competencias de la Presidencia de la Agencia, pues omite la delegación que -con los referidos límites materiales- dicha Presidencia puede efectuar en favor de su Adjunto, con arreglo a lo previsto en el artículo 48.2 de la Ley Orgánica 3/2018 y en el artículo 17.a) del propio proyecto de Estatuto, antes examinado. A juicio del Consejo de Estado, esa regulación fragmentada de la delegación de competencias no es una solución adecuada desde un punto de vista de seguridad jurídica, por lo que debería completarse este precepto con alguna mención a la citada delegación de competencias en el Adjunto a la Presidencia, sin olvidar los límites a que esta se sujeta en el citado artículo 48.2 de la Ley Orgánica. Todo ello, por supuesto, sin perjuicio de la ya formulada sugerencia de trasladar todo este contenido al artículo 15 del proyecto.

P) Artículo 40: Contratación

El artículo 40 del proyecto de Estatuto se refiere al régimen de contratación de la AEPD que, con carácter general, su apartado 1 remite a lo dispuesto en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, y en su normativa de desarrollo. Con arreglo al artículo 3.1.c) de dicha Ley 9/2017, sus disposiciones son aplicables a las autoridades administrativas independientes.

Se ha discutido en el expediente, no obstante, si resulta o no aplicable a la AEPD lo establecido en el artículo 229 de la citada Ley 9/2017 en relación con la contratación centralizada de los suministros, obras y servicios que declare el Ministerio de Hacienda. El artículo 229.1 establece que el titular de dicho departamento "podrá declarar de contratación centralizada los suministros, obras y servicios que se contraten de forma general y con características esencialmente homogéneas determinando las condiciones en las que se producirá el proceso de centralización", y el apartado 2 de ese mismo artículo dispone que esa declaración "implicará que la contratación de los suministros, obras y servicios en ella incluidos deberá efectuarse, con carácter obligatorio, a través del sistema estatal de contratación centralizada", entre otros, por las entidades a que se refiere el artículo 3.1.c) de la misma ley, haciendo así aplicable esta obligación a las llamadas autoridades administrativas independientes, entre las que, en principio, se encontraría la AEPD.

Frente a esta previsión de la legislación de contratos públicos, sin embargo, el apartado 4 del artículo 40 del proyecto de Estatuto de la Agencia dispone que esta "podrá acordar su adhesión a sistemas de contratación centralizada o la cofinanciación conjunta de contratos con el Ministerio de Hacienda cuando de ello resultase una mayor eficiencia en la asignación de recursos".

La Secretaría General Técnica del Ministerio de Hacienda ha manifestado, en su informe, que este apartado debe eliminarse, por resultar contrario al referido artículo 229.2 de la Ley 9/2017. La Memoria que acompaña al Proyecto, sin embargo, ha rechazado acoger dicha observación, amparándose en la disposición adicional vigésima, apartado 2, de la Ley Orgánica 3/2018, posterior a la Ley 9/2017 y del que a su entender se desprende el carácter meramente potestativo de ese sistema de contratación centralizada para la AEPD. Con ello viene, además, a confirmar que el precepto proyectado tiene precisamente por finalidad constatar el carácter meramente potestativo del referido sistema para la Agencia.

Pues bien, la invocada disposición adicional vigésima de la Ley Orgánica 3/2018, apartado 2, establece que la AEPD "podrá adherirse a los sistemas de contratación centralizada establecidos por las Administraciones Públicas y participar en la gestión compartida de servicios comunes prevista en el artículo 85 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público". Ciertamente, una interpretación estrictamente literal de esta previsión no llevaría necesariamente a la conclusión de que con ella se excluye la aplicabilidad del artículo 229.2 de la Ley 9/2017 a la AEPD, pues ese tipo de excepciones suelen establecerse con mayor claridad y con referencia explícita al artículo exceptuado; así lo hace, por ejemplo, esa misma disposición adicional vigésima en su apartado 1, en relación con el artículo 50.2.c) de la Ley 40/2015: "No será de aplicación a la Agencia Española de Protección de Datos el artículo 50.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público".

En todo caso, y con independencia de las diversas formas en que podría haber quedado formulada, la disposición adicional vigésima de la Ley Orgánica 3/2018, apartado 2, debe ponerse en relación con las estrictas exigencias de independencia (también económica) que el RGPD impone a la AEPD, de modo que cabe realizar una interpretación sistemática de aquella en el sentido indicado por el órgano proponente del proyecto. Tal interpretación da cobertura legal a la redacción del artículo 40.4 del Estatuto proyectado y excluye la supuesta discordancia entre la Ley de Contratos del Sector Público y la Ley Orgánica 3/2018, ley orgánica que, además de ser de fecha posterior, es la lex specialis aplicable a la Agencia.

Q) Artículo 44: Control de la gestión económico-financiera

El artículo 44 del proyecto de Estatuto se refiere al control de la gestión económico- financiera de la Agencia: el control externo corresponderá al Tribunal de Cuentas (apartado 1) y el control interno, a la Intervención General de la Administración del Estado (apartado 2).

El Ministerio de Hacienda ha propuesto la adición de un nuevo apartado destinado a precisar que el control de la eficacia corresponderá al Ministerio de Justicia (como departamento de adscripción), a través de la Inspección de Servicios, y tendrá por objeto el establecido en el artículo 85 de la Ley 40/2015. El proyecto no ha acogido esta observación, lo que se considera adecuado, pues el mecanismo de control de eficacia y supervisión continua establecido en ese precepto no es de aplicación a las autoridades administrativas independientes.

En efecto, aunque el artículo 85.1 de la Ley 40/2015 establece que las entidades integrantes del sector público institucional estatal estarán sometidas al control de eficacia y supervisión continua, añade a continuación que ello se entiende "sin perjuicio de lo establecido en el artículo 110", cuyo tenor permite excluir la aplicación subsidiaria de aquel artículo de la Ley 40/2015 a las autoridades administrativas independientes, por su evidente incompatibilidad con la naturaleza y autonomía de las mismas.

Así lo afirmó el Consejo de Estado en su dictamen sobre el anteproyecto de esa Ley de Régimen Jurídico del Sector Público (dictamen número 274/2015, de 29 de abril): "La intensidad con que tales controles se regulan en el artículo 60 del anteproyecto [artículo 85 de la Ley] parece, en todo caso, difícilmente conciliable con la independencia que debe caracterizar a estas autoridades administrativas en el ejercicio de sus funciones". Se objetaba incluso la posibilidad de someter a esas autoridades independientes al control de la Intervención General de la Administración del Estado, un control que, decía el dictamen "es compatible con la nota de dependencia que caracteriza a las personificaciones instrumentales, pero no lo es con la posición de aquellos organismos públicos a los que la Ley ha reconocido un estatuto de independencia en el ejercicio de sus funciones frente al Gobierno y a la Administración del Estado", y añadía que "[N]o son pocas las experiencias que, en fechas no demasiado lejanas, han venido a evidenciar la importancia de que estos organismos ejerzan sus funciones de supervisión o regulación con independencia del Gobierno y de la Administración General del Estado. Dicha independencia exige que ésta no pueda ejercer controles orientados a supervisar la actuación de las autoridades administrativas independientes que, a la postre, pudieran afectar de forma directa o indirecta a la neutralidad de éstas".

El sometimiento de la gestión económico- financiera de la Agencia a la supervisión continua de la Intervención General de la Administración del Estado, previsto en el artículo 44.2 del proyecto de Estatuto, cuenta con una base legal expresa distinta del artículo 85.3 de la Ley 40/2015, pues el artículo 46.7 de la Ley Orgánica 3/2018 prevé ya expresamente ese control. Por el contrario, el control de eficacia por el departamento de adscripción a que se refiere el artículo 85.2 de la Ley 40/2015 no es, por los motivos indicados, aplicable a la AEPD. En consecuencia, nada cabe objetar a la redacción del precepto aquí comentado.

En mérito de lo expuesto, el Consejo de Estado es de dictamen:

Que, una vez tenidas en cuenta las observaciones que se formulan a los artículos 5.3.c), 6, 12, 13.3, 15.1 y 28 en el cuerpo del presente dictamen, y consideradas las restantes, puede V. E. elevar al Consejo de Ministros, para su aprobación, el proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos".

V. E., no obstante, resolverá lo que estime más acertado.

Madrid, 11 de febrero de 2021

LA SECRETARIA GENERAL,

LA PRESIDENTA,

EXCMO. SR. MINISTRO DE JUSTICIA.

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid