Es un ente de derecho público con personalidad jurídica propia y plena capacidad pública y privada que actúa con independencia de la Administración pública en el ejercicio de sus funciones. 

La Agencia Española de Protección de Datos (AEPD) se creó en 1993 como un organismo público que se encarga de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) en España. Tiene su sede en Madrid en la C./Jorge Juan, nº 6.

Goza de plena independencia jerárquica en el ejercicio de sus funciones, que son desempeñadas con independencia de la Administración Pública, a pesar de ser un ente público. Su objetivo es velar por el cumplimiento de la LOPD por parte de los responsables de los ficheros: entidades públicas, empresas privadas, autónomos, asociaciones, comunidades de propietarios, etc.., y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos (ARCO) y por parte de los encargados del tratamiento. De esta forma la AEPD tutela el derecho fundamental a la protección de datos de carácter personal.

Principalmente, lleva a cabo su investigación a demanda de los ciudadanos, que ponen en su conocimiento la posible vulneración de la normativa por el responsable del fichero. En otras ocasiones la AEPD inicia esta investigación de oficio, pero no es lo habitual.

Otras de las funciones que tiene la Agencia Española de Protección de Datos:

• Ejerce la potestad sancionadora conforme al Título VII de la LOPD para el caso de incumplimiento de la LOPD por parte de los responsables de los ficheros, estableciendo las sanciones que resulten aplicables conforme la LOPD y el RGPD.
• Emite autorizaciones previstas en la Ley.
• Requiere medidas de corrección a los responsables de los ficheros.
• Ordena en caso de práctica ilegal, el cese en el tratamiento y la cancelación de los datos.
• Autoriza las transferencias internacionales de datos de carácter personal siempre que se cumpla con los requisitos establecidos en la ley.
• Atiende a las peticiones y reclamaciones de los ciudadanos que se consideren afectados, que se ponen en conocimiento a través de su canal de denuncias y quejas.
• Proporciona información de los derechos ARCO reconocidos a los usuarios.
• Tutela los derechos y garantías de los ciudadanos.
• Informa sobre los proyectos de normas que incidan en las materias de protección de datos.
• Dicta instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la LOPD.
• Dicta recomendaciones de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros.
• Informa a los ciudadanos de los derechos que le asisten en materia de protección de datos de carácter personal y proporciona guías orientativas a los responsables de los ficheros con el fin de que apliquen la normativa.
• Coopera con organismos internacionales y órganos de las Comunidades Europeas en materia de protección de datos.

La Agencia Española de Protección de Datos, a través de su sede electrónica, informa a los ciudadanos de la inscripción de ficheros de titularidad pública o privada de los responsables por medio del apartado “inscripción de ficheros” y del lugar donde podrá el ciudadano ejercitar sus derechos. El programa con el que la Agencia Española de Protección de Datos permite la inscripción de ficheros recibe el nombre de NOTA, mediante el cual se notifica telemáticamente la inscripción del fichero.

Los ciudadanos recurren a la Agencia Española de Protección de Datos (AEPD) cuando tras haberse dirigido al responsable del fichero, este no ha contestado o no lo ha hecho de la forma en la que el ciudadano esperaba que lo hiciese. En este caso, el proceso se inicia mediante investigación por parte de la AEPD a instancias del afectado; en dicha investigación comprobará si la empresa o autónomo está inscrito en la Agencia Española de Protección de Datos y si se le ha permitido ejercitar sus derechos al afectado; en su caso, comprobará si los hechos descritos por el afectado son sancionables por infringir la LOPD, el RGPD y/o la Ley de los Servicios de la Sociedad de la Información y de Comercio Electrónico 34/2002, del 11 de julio, o no lo son.

La Comunidad Autónoma de Cataluña tiene una Agencia de Protección de Datos (APDCAT), y la Comunidad Autónoma País Vasco también tiene su propia Agencia de Protección de Datos (AVPD), cuyas competencias se limitan a los ficheros de titularidad pública, velando por el cumplimiento de la LOPD por parte de las entidades públicas autonómicas o locales, que están territorialmente en esa Comunidad Autónoma. También tienen atribuida potestad sancionadora en caso de infracción por parte de las entidades públicas de esa Comunidad Autónoma.

En la página de la Agencia Española de Protección de Datos se exponen estadísticas sobre los sectores en los que los ciudadanos interponen más quejas, siendo los principales: el sector de las telecomunicaciones, sector financiero, videovigilancia, comunicaciones electrónicas y spam. También se exponen el número de reclamaciones resueltas y el porcentaje de sanciones impuestas.

En resumen, es un órgano público que vela por el cumplimiento de la normativa en materia de protección de datos, informando a los ciudadanos de cuáles son sus derechos y de los mecanismos para ejercitarlos, y a los responsables de los ficheros de las obligaciones que tienen en el tratamiento de los datos de carácter personal.