L'article 51 del Reglament general de protecció de dades (RGPD) estipula que cada Estat membre ha d'establir que una o diverses autoritats públiques independents (denominades autoritats de control) en supervisin l'aplicació, per protegir els drets i les llibertats fonamentals de les persones físiques pel que fa al tractament i per facilitar la lliure circulació de dades personals a la UE.
L'Agència Espanyola de Protecció de Dades (AEPD) és l'autoritat de control independent que vetla pel compliment de la legislació en matèria de protecció de dades. L'article 44 de la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (LOPDGDD), estableix que «l'Agència Espanyola de Protecció de Dades és una autoritat administrativa independent d'àmbit estatal, de les previstes en la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, amb personalitat jurídica i plena capacitat pública i privada, que actua amb plena independència dels poders públics en l'exercici de les seves funcions», i es regeix pel que disposa la mateixa LOPDGDD i el seu Estatut, aprovat pel Reial decret 428/1993, en desplegament de la primera Llei de protecció de dades (LORTAD). De conformitat amb el que estableix l'article 109.3 de la Llei 40/2015, d'1 d'octubre, de règim jurídic del sector públic, la seva denominació oficial és Agència Espanyola de Protecció de Dades, Autoritat Administrativa Independent.
A més, amb fonament inicial en l'article 41 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, i en virtut de la regulació que avui està continguda en els articles 57 i següents de la LOPDGDD, existeixen les autoritats de control autonòmiques que exerceixen les funcions en relació amb el seu respectiu sector públic i que són l'Agència Basca de Protecció de Dades, l'Autoritat Catalana de Protecció de Dades i el Consell de Transparència i Protecció de Dades d'Andalusia.
En matèria autonòmica, l'Agència Espanyola de Protecció de Dades exerceix funcions d'interlocució, coordinació i representació:
-
Té la condició de representant comú de les autoritats de protecció de dades del Regne d'Espanya en el Comitè Europeu de Protecció de Dades.
-
Informa les autoritats autonòmiques de protecció de dades sobre les decisions adoptades en el Comitè Europeu de Protecció de Dades i recull el seu parer quan es tracta de matèries de la seva competència.
-
La Presidència de l'Agència Espanyola de Protecció de Dades ha de convocar, per iniciativa pròpia o quan li ho sol·liciti una altra autoritat, les autoritats autonòmiques de protecció de dades per contribuir a l'aplicació coherent del Reglament (UE) 2016/679 i d'aquesta Llei orgànica. En qualsevol cas, s'han de dur a terme reunions semestrals de cooperació.
-
La Presidència de l'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades poden sol·licitar i han d'intercanviar-se mútuament la informació necessària per complir les seves funcions i, en particular, la relativa a l'activitat del Comitè Europeu de Protecció de Dades. Així mateix, poden constituir grups de treball per tractar d'assumptes específics d'interès comú.