En una frase. En Andalucía la autoridad autonómica de protección de datos es el CTPDA (Consejo de Transparencia y Protección de Datos de Andalucía), un caso único en España porque combina en un solo organismo la transparencia pública y la protección de datos del sector público andaluz. Las empresas privadas andaluzas siguen bajo la AEPD.
Puntos clave
- El CTPDA se creó por la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía.
- Es la única autoridad autonómica que aúna transparencia y protección de datos en un mismo consejo.
- Su competencia en materia de datos se ciñe al sector público andaluz: Junta de Andalucía, entes locales, universidades públicas y entidades dependientes.
- Toda reclamación contra una empresa privada andaluza se dirige a la AEPD.
- Completa el trío autonómico junto a la APDCAT catalana y la AVPD vasca.
1. Un modelo distinto: transparencia y datos en un solo órgano
Cataluña y el País Vasco crearon autoridades exclusivamente de protección de datos. Andalucía tomó otro camino: al aprobar su Ley de Transparencia en 2014, integró ambas funciones —acceso a la información pública y protección de datos personales del sector público— en un solo organismo, el CTPDA.
La decisión tiene lógica práctica. Transparencia y protección de datos son dos caras de la misma moneda: el derecho de acceso a la información pública choca a menudo con el derecho a la protección de datos de terceros, y resolver ese conflicto —qué se publica y qué se anonimiza— es el pan de cada día de una administración. Reunir ambas competencias en un mismo consejo permite una doctrina coherente sobre ese equilibrio.
El CTPDA es un ente independiente adscrito al Parlamento de Andalucía, no al Gobierno autonómico, con la misma garantía de independencia que exige el art. 52 RGPD para cualquier autoridad de control.
2. El perímetro: solo sector público andaluz
Igual que sus homólogas, la competencia del CTPDA en materia de datos es orgánica, no territorial. Alcanza a:
- La Administración de la Junta de Andalucía y sus agencias.
- Las entidades locales andaluzas: ayuntamientos, diputaciones provinciales.
- Las universidades públicas andaluzas.
- Consorcios, fundaciones y sociedades del sector público andaluz.
Una empresa privada de Sevilla, un comercio de Málaga o un autónomo de Granada quedan bajo la AEPD. También los órganos de la Administración estatal presentes en Andalucía responden ante la AEPD, no ante el CTPDA.
Tabla de competencia
| Responsable | Autoridad |
|---|---|
| Junta de Andalucía, ayuntamiento o diputación andaluza | CTPDA |
| Universidad pública andaluza | CTPDA |
| Empresa privada andaluza | AEPD |
| Autónomo o profesional en Andalucía | AEPD |
| Administración estatal en Andalucía | AEPD |
Este reparto sigue la misma lógica que el régimen de las sanciones de la AEPD a administraciones públicas: lo decisivo es la naturaleza y el nivel del responsable, no el lugar del tratamiento.
3. Qué hace el CTPDA en materia de datos
Dentro de su ámbito, el CTPDA ejerce las funciones del art. 57 RGPD:
- Resuelve reclamaciones de protección de datos contra entes públicos andaluces.
- Inspecciona y adopta medidas correctivas del art. 58.2 RGPD.
- Emite dictámenes e informes sobre proyectos y tratamientos de riesgo.
- Resuelve reclamaciones de transparencia, con el consiguiente análisis del equilibrio entre acceso y protección de datos.
- Difunde criterios sobre publicación de información con datos personales, límites del derecho de acceso y anonimización.
Frente a una administración andaluza, el CTPDA aplica el régimen del sector público: normalmente medidas correctoras y propuesta de responsabilidad disciplinaria en lugar de multa dineraria. La graduación de esas conductas se conecta con el catálogo de infracciones de la LOPDGDD.
4. Qué debe hacer un ente público andaluz
Las obligaciones son las de cualquier responsable, con el CTPDA como interlocutor y la doble dimensión de transparencia:
- Designar DPO, obligatorio para todo organismo público (art. 37.1.a RGPD): véase cuándo es obligatorio el DPO.
- Mantener el registro de actividades de tratamiento actualizado.
- Publicar información cumpliendo la Ley de Transparencia sin vulnerar la protección de datos: aquí el CTPDA es referencia doble.
- Gestionar los derechos digitales de los arts. 79-97 LOPDGDD frente a la ciudadanía.
Para un ayuntamiento o una consejería con decenas de tratamientos y obligaciones cruzadas de transparencia, mantener el inventario coherente y trazable es más manejable con una herramienta de cumplimiento como Legiscope, que documenta finalidades, bases jurídicas y plazos en un único registro.
El conflicto que define al CTPDA: acceso frente a privacidad
El escenario que mejor explica por qué Andalucía unió ambas competencias es cotidiano. Un ciudadano pide, al amparo de la Ley de Transparencia, el listado de subvenciones concedidas por un ayuntamiento. El ayuntamiento debe publicar la información pública, pero entre los beneficiarios hay personas físicas cuyos datos —nombre, importe percibido, a veces circunstancias personales— están protegidos por el RGPD. ¿Qué prevalece?
La respuesta no es “siempre uno u otro”, sino una ponderación caso a caso: se publica lo necesario para el control de la actividad pública y se protege lo que excede ese fin legítimo. El CTPDA resuelve precisamente esos conflictos, y su doctrina es especialmente útil porque aplica ambos derechos con un mismo criterio. Una autoridad que solo viera protección de datos tendería a restringir; una que solo viera transparencia tendería a publicar. El diseño andaluz busca el equilibrio.
Qué gana el ciudadano andaluz
Para el ciudadano, la ventaja del modelo es la ventanilla única: no tiene que decidir si su problema es de transparencia o de datos para saber a quién acudir. Si un ayuntamiento andaluz le niega acceso a información o trata mal sus datos, el CTPDA es la referencia en ambos casos. Esa simplicidad reduce la barrera de entrada al ejercicio de derechos, que es, al final, lo que persiguen tanto la normativa de transparencia como la de protección de datos. La reclamación por vía de datos ante el CTPDA es gratuita, igual que ante la AEPD, y no requiere abogado ni procurador.
Este modelo de autoridad combinada, único en España, se ha observado con interés desde otras comunidades autónomas y desde el propio ámbito estatal, porque resuelve de forma elegante una tensión que en el resto del país se gestiona con dos organismos distintos. No es un modelo perfecto —concentra mucha carga en un solo consejo—, pero ofrece coherencia doctrinal donde otros esquemas producen criterios divergentes. Para el responsable público andaluz, la lección práctica es que transparencia y protección de datos deben planificarse juntas desde el diseño de cualquier tratamiento, no como trámites separados que se resuelven al final.
5. Recursos oficiales
- Sede del CTPDA: ctpdandalucia.es.
- Texto del RGPD: Reglamento (UE) 2016/679.
- Comité Europeo de Protección de Datos (CEPD).
FAQ
¿El CTPDA puede sancionar a mi empresa en Andalucía?
No. El CTPDA solo supervisa al sector público andaluz. Una empresa privada de Andalucía responde ante la AEPD, sea cual sea su sede.
¿Por qué el CTPDA reúne transparencia y protección de datos?
Porque ambos derechos colisionan constantemente en la actividad pública: publicar información puede exponer datos personales de terceros. Reunir las dos competencias en un mismo órgano garantiza una doctrina coherente sobre ese equilibrio, algo que ninguna otra autoridad autonómica hace.
¿Ante quién reclama un ciudadano frente a un ayuntamiento andaluz?
Ante el CTPDA, tanto si la reclamación es de protección de datos como de acceso a información pública. Si el conflicto es con una empresa privada, la vía es la AEPD.
¿Cuántas autoridades autonómicas de protección de datos hay en España?
Tres: el CTPDA en Andalucía, la APDCAT en Cataluña y la AVPD en el País Vasco. Todas se limitan a su respectivo sector público.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial