LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I Sección 2.a Potestades de investigación y planes de auditoría preventiva

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I La Agencia Española de Protección de Datos

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I Sección 2.a Potestades de investigación y planes de auditoría preventiva

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 53. Alcance de la actividad de investigación.

1. Quienes desarrollen la actividad de investigación podrán recabar las informaciones
precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición
o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se
encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de
ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y
programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.

2. Cuando fuese necesario el acceso por el personal que desarrolla la actividad de
investigación al domicilio constitucionalmente protegido del inspeccionado, será preciso
contar con su consentimiento o haber obtenido la correspondiente autorización judicial.

3. Cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades
de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I La Agencia Española de Protección de Datos

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I Sección 2.a Potestades de investigación y planes de auditoría preventiva

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 51. Ámbito y personal competente.

1. La Agencia Española de Protección de Datos desarrollará su actividad de
investigación a través de las actuaciones previstas en el Título VIII y de los planes de
auditoría preventivas.

2. La actividad de investigación se llevará a cabo por los funcionarios de la Agencia
Española de Protección de Datos o por funcionarios ajenos a ella habilitados expresamente
por su Presidencia.

3. En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el
artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros
Estados Miembros de Unión Europea que colabore con la Agencia Española de Protección
de Datos ejercerá sus facultades con arreglo a lo previsto en la presente ley orgánica y bajo
la orientación y en presencia del personal de esta.

4. Los funcionarios que desarrollen actividades de investigación tendrán la consideración
de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar
secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso
después de haber cesado en él.

Detalles

Categoría de nivel principal o raíz: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I La Agencia Española de Protección de Datos

Categoría: LOPD y GDD ( LOPDGDD ) 3/2018 TÍTULO VII CAPÍTULO I Sección 2.a Potestades de investigación y planes de auditoría preventiva

LOPD  y GDD ( LOPDGDD ) 3/2018

Artículo 52. Deber de colaboración.

1. Las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los
particulares estarán obligados a proporcionar a la Agencia Española de Protección de Datos
los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad
de investigación.
Cuando la información contenga datos personales la comunicación de dichos datos
estará amparada por lo dispuesto en el artículo 6.1 c) del Reglamento (UE) 2016/679.

2. En el marco de las actuaciones previas de investigación, cuando no haya podido
realizar la identificación por otros medios, la Agencia Española de Protección de Datos podrá
recabar de las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social,
las informaciones y datos que resulten imprescindibles con la exclusiva finalidad de lograr la
identificación de los responsables de las conductas que pudieran ser constitutivas de
infracción del Reglamento (UE) 2016/679 y de la presente ley orgánica.
En el supuesto de las Administraciones tributarias y de la Seguridad Social, la
información se limitará a la que resulte necesaria para poder identificar inequívocamente
contra quién debe dirigirse la actuación de la Agencia Española de Protección de Datos en
los supuestos de creación de entramados societarios que dificultasen el conocimiento directo
del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la
presente ley orgánica.

3. Cuando no haya podido realizar la identificación por otros medios, la Agencia
Española de Protección de Datos podrá recabar de los operadores que presten servicios de
comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la
sociedad de la información los datos que obren en su poder y que resulten imprescindibles
para la identificación del presunto responsable de la conducta contraria al Reglamento (UE)
2016/679 y a la presente ley orgánica cuando se hubiere llevado a cabo mediante la

utilización de un servicio de la sociedad de la información o la realización de una
comunicación electrónica. A tales efectos, los datos que la Agencia Española de Protección
de Datos podrá recabar al amparo de este apartado son los siguientes:
a) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de
telefonía fija o móvil:
1.o El número de teléfono de origen de la llamada en caso de que el mismo se hubiese
ocultado.
2.o El nombre, número de documento identificativo y dirección del abonado o usuario
registrado al que corresponda ese número de teléfono.
3.o La mera confirmación de que se ha realizado una llamada específica entre dos
números en una determinada fecha y hora.
b) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de la
sociedad de la información:
1.o La identificación de la dirección de protocolo de Internet desde la que se hubiera
llevado a cabo la conducta y la fecha y hora de su realización.
2.o Si la conducta se hubiese llevado a cabo mediante correo electrónico, la identificación
de la dirección de protocolo de Internet desde la que se creó la cuenta de correo y la fecha y
hora en que la misma fue creada.
3.o El nombre, número de documento identificativo y dirección del abonado o del usuario
registrado al que se le hubiera asignado la dirección de Protocolo de Internet a la que se
refieren los dos párrafos anteriores.
Estos datos deberán ser cedidos, previo requerimiento motivado de la Agencia Española
de Protección de Datos, exclusivamente en el marco de actuaciones de investigación
iniciadas como consecuencia de una denuncia presentada por un afectado respecto de una
conducta de una persona jurídica o respecto a la utilización de sistemas que permitan la
divulgación sin restricciones de datos personales. En el resto de los supuestos la cesión de
estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las
normas procesales cuando resultara exigible.
Quedan excluidos de lo previsto en este apartado los datos de tráfico que los operadores
estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones
previstas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las
comunicaciones electrónicas y a las redes públicas de comunicaciones, cuya cesión
solamente podrá tener lugar de acuerdo con lo dispuesto en ella, previa autorización judicial
solicitada por alguno de los agentes facultados a los que se refiere el artículo 6 de dicha ley.