Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 454, de 06/03/2018
cve: DSCD-12-CO-454
PDF
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2018 XII LEGISLATURA Núm. 454
JUSTICIA
PRESIDENCIA DEL EXCMO. SR. D. PABLO MATOS MASCAREÑO VICEPRESIDENTE PRIMERO
Sesión núm. 36
celebrada el martes,
6 de marzo de 2018
ORDEN DEL DÍA:
Comparecencias en relación con el proyecto de ley orgánica de protección de datos de carácter personal. Por acuerdo de la Comisión de Justicia. (Número de expediente 121/000013):
- De la señora directora de la Agencia Vasca de Protección de Datos (Uría Etxebarría). (Número de expediente 212/001169) ... (Página2)
- Del señor Muelas Cerezuela, exdecano del Ilustre Colegio de Abogados de Cartagena, especialista en la materia. (Número de expediente 219/001055) ... (Página13)
- Del señor Padín Vidal, abogado del departamento de Derecho Mercantil de Garrigues, responsable del área de privacidad y protección de datos. (Número de expediente 219/001056) ... (Página19)
- Del señor Hernández Rivas, doctor en Medicina y Cirugía por la Universidad de Salamanca, catedrático de Hematología en la Universidad de Salamanca, especialista en Hematología y Hemoterapia en el Servicio de Hematología del Hospital
Universitario de Salamanca. (Número de expediente 219/001057) ... (Página31)
Se abre la sesión a las cuatro de la tarde.
COMPARECENCIAS EN RELACIÓN CON EL PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. POR ACUERDO DE LA COMISIÓN DE JUSTICIA. (Número de expediente 121/000013):
- DE LA SEÑORA DIRECTORA DE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS (URÍA ETXEBARRÍA). (Número de expediente 212/001169).
El señor VICEPRESIDENTE (Matos Mascareño): Buenas tardes, señorías. Vamos a dar comienzo a una nueva sesión de la Comisión de Justicia, la número 36. Como saben ustedes y consta en el orden del día, estamos celebrando las comparecencias
en relación con el proyecto de ley orgánica de protección de datos de carácter personal. Vamos a dar comienzo dando la bienvenida a la que es su casa desde hace muchísimos años a doña Margarita Uría Etxebarría. Cuando yo me incorporé en el año
2004 a esta Comisión de Justicia en la VIII Legislatura ya doña Margarita Uría era una institución y un referente para todos los que llegábamos de nuevo a la Comisión de Justicia y disfrutamos muchísimo de todas sus intervenciones, ponencias,
debates y aportaciones. Por tanto, para mí es un honor hoy recibirla de nuevo después de estos años como directora de la Agencia Vasca de Protección de Datos.
Como saben ustedes, el procedimiento va a ser el habitual: una intervención de doña Margarita sin límite de tiempo y luego la intervención del resto de los portavoces de los grupos parlamentarios por un tiempo máximo de diez minutos.
Tiene la palabra doña Margarita Uría.
La señora DIRECTORA DE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS (Uría Etxebarría): Muchas gracias, presidente, por tus amables palabras y muchas gracias a la Comisión por haber considerado que tenía algún interés la presencia de la Agencia
Vasca de Protección de Datos para ilustrar las posturas de ustedes a la hora de presentar las enmiendas que consideren adecuadas al proyecto de ley del que vamos a hablar.
Recuerdo en este momento que yo fui ponente de la Ley Orgánica 15/1999, que es la que ahora se va a considerar derogada cuando entre en vigor la nueva ley orgánica. Una cierta constante que yo entonces esgrimía en mis razonamientos, entre
otras cosas, era que el proyecto de ley de la de 1999, por comparación con la del año 1992 que entonces íbamos a derogar, carecía de exposición de motivos. Me parecía a mí que eso era algo importante porque las exposiciones de motivos siempre
sirven no solo para describir lo que van a regular, sino también en muchos casos -en este caso concreto creo que vale- para despejar algunos porqués. Quizá estaba claro que la ley de 1992, que iba a tratar el tratamiento automatizado de datos de
carácter personal, debía explicar muchas cosas, porque es previa a que el Tribunal Constitucional dictase su célebre sentencia 94/1998, a partir de la cual ya es clarísima la construcción del derecho fundamental del que ahora vamos a tratar y,
aunque traía causa del 18.4, muchas cosas fueron aclarándose con posterioridad a la vigencia de esta ley. Sin embargo, la de 1999, que es la que hemos venido aplicando, empieza -ustedes la tendrán- con: 'A todos los que la presente vieren y
entendieren'. Y a continuación el artículo 1. Me parece que también hubiese necesitado alguna explicación o aclaración de hacia dónde iba. En la presente, la exposición de motivos que tiene el proyecto que ustedes están examinando y analizando
por supuesto se ancla en el artículo 18.4 de la Constitución, en la sentencia que ya he mencionado 94/1998 y también en los preceptos de derecho europeo que son fundamentales para la elaboración del reglamento, el artículo 8 de la Carta de Derechos
Fundamentales de la Unión Europea y el 16.1 del Tratado de Funcionamiento de la Unión Europea y el Reglamento de 27 de abril de 2016, que es el que esta ley trata de completar.
Voy -por eso esta introducción- al apartado III de esta exposición de motivos, en el que se dice: 'El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de
una mera actualización de la vigente normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario
por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. Así, el Reglamento general de protección de datos contiene un buen número de habilitaciones, cuando no imposiciones, a los Estados
miembros, a fin de regular determinadas materias, permitiendo incluso en su considerando 8, y a diferencia de lo que constituye principio general del Derecho de la Unión Europea que, cuando sus normas
deban ser especificadas, interpretadas o, excepcionalmente, restringidas por el Derecho de los Estados miembros, éstos tengan la posibilidad de incorporar al Derecho nacional previsiones contenidas específicamente en el reglamento, en la
medida en que sea necesario por razones de coherencia y comprensión.' El profesor Piñar, que compareció el primer día de comparecencias, hablaba de cincuenta y seis llamadas del reglamento al legislador estatal. Yo no las he contado, pero creo
fielmente que este es el número. Él hablaba de que no se trataba de trasposición lo que se hacía a través de esta ley orgánica, sino de una adaptación. El propio apartado III de la exposición de motivos de la ley al que me he referido habla de que
más que incorporar el reglamento a la normativa española, que no sería en absoluto necesario hacerlo, es un desarrollo o un complemento. Eso es por lo que creo que es necesario este escalón de ley orgánica después del reglamento.
El reglamento y el proyecto de ley orgánica que ustedes tienen en tramitación contienen, para mí, un nuevo estatuto de ciudadanía en la sociedad de la información. Es la primera vez -lo decía también el profesor Piñar- que una norma europea
regula íntegramente un derecho fundamental. Habrán regulado aspectos, pero es la primera vez que una norma europea está dedicada al tratamiento íntegro de un derecho fundamental. Hay una cuestión que no puedo dejar de señalar, a pesar de que luego
iré a lo que supongo que de mí se espera, que es hablar de cómo están tratadas las autoridades de control distintas de la estatal dentro del reglamento y de la propia ley orgánica, pero quiero referirme a en qué medida el derecho interno queda
afectado y si los títulos competenciales que se consideran los habilitantes para la regulación que ahora se emprende por el Congreso de los Diputados no debieran haber sido de un tratamiento más audaz por parte del prelegislador o incluso del
legislador. Me refiero a los efectos de desplazamiento del derecho interno causado por el Reglamento General de Protección de Datos con respecto a la reserva de ley orgánica del artículo 81.1 de la Constitución y al título competencial del artículo
149.1.1.ª Cierto es que la delimitación competencial de la que se parte en el proyecto es la adecuada en el momento en que se produjo la regulación de la ley orgánica anterior y también de la ya no vigente hace tiempo, la normativa de 1992, de
acuerdo con la jurisprudencia constitucional hasta entonces habida. Pero es innegable que las circunstancias actuales y el contexto normativo en que nos encontramos nada tienen que ver con los que existían cuando se aprobaron estas leyes, la ley
Orgánica de 1992 -en cuanto a un derecho muy nuevo, quiero decir, de regulación de tratamiento automatizado de datos- y la ley de 1999, a la luz de las cuales se dictó la sentencia que antes he citado.
De lo que ahora hay que ocuparse, creo yo, es de complementar el reglamento europeo, que es la norma que ha hecho suya la misión de establecer un régimen uniforme que proteja por igual a todos los europeos de acuerdo con el artículo 8 del
Convenio de derechos. Entonces, el esquema de derecho interno al que obedecen los artículos 81.1 y 149.1.1.ª de la Constitución, sobre los que se erigió la Ley Orgánica de Protección de Datos que ahora se derogará, es radicalmente distinto al que
ahora establece el derecho europeo, habiendo quedado reducido el radio de acción de los mismos a los aspectos de derecho excluidos del ámbito de aplicación del reglamento que este no reserva a otras normas emanadas o que hayan de producir las
instituciones de la Unión. Por ello, parecería que, al tratar los títulos competenciales que se habilitan, al dar al conjunto de la Ley Orgánica de Protección de Datos que ustedes examinan, en todo lo que no sea orgánico, el carácter de condición
básica del artículo 149.1.1.ª, obedece, desde mi punto de vista -la Agencia Vasca de Protección de Datos así lo ve-, a una opción política que nos parece discutible, y no es un imperativo constitucional ni mucho menos europeo, es una opción que bien
podría revisarse. En todo caso, sí parece necesario que algunas de las referencias que se hacen en cuanto al amparo de qué normas dictan la presente ley deban modificarse, puesto que hay preceptos que no lo son al amparo del 149.1.1.ª sino del
149.1.18.ª, régimen jurídico de las administraciones públicas, o en alguna de las previsiones del 149.1.8.ª -que han sido objeto de nuevas preguntas por parte de sus señorías hasta ahora-, en cuanto que se trata de desarrollar o de establecer
cuestiones que tienen el carácter de legislación civil, también reservadas al Estado, pero en las que hay que tener además en cuenta las salvedades que pueden tener los derechos particulares o derechos civiles o forales en determinados ámbitos del
territorio. Sobre está cuestión, volveré.
Dado que vengo porque dirijo la autoridad vasca de protección de datos, me referiré al papel de las autoridades de control y también, en alguna medida, quizá, a la conciliación entre el derecho a la protección de datos y el derecho al acceso
a la información pública. Dentro de las definiciones que el reglamento contiene, en el artículo 4.21 cuando habla de autoridades de control, las define como autoridad pública independiente establecida por el Estado miembro con arreglo a lo
dispuesto en el artículo 51. No es casual que el capítulo VI se dedique a autoridades de control independientes; siempre se dice, su
sección 1 se denomina 'Independencia', al igual que el artículo 52 del texto. Si nos remitimos al derecho primario de la Unión, esto también viene exigido por el artículo 8, que he citado ya varias veces, de la Carta Europea de Derechos
Humanos. La garantía de la independencia no se establece, evidentemente, en el reglamento para conceder un estatuto particular a estas autoridades o a sus agentes, sino para reforzar la protección de las personas y de los organismos que van a
resultar afectados por sus decisiones. El reglamento, al igual que lo hacía ya la Directiva 95/46, fruto de la cual se adecuó la ley de 1992 a la ley de 1996, admitía expresamente la posibilidad de que haya más de una autoridad de protección de
datos en cada Estado miembro a fin de reflejar la estructura constitucional, organizativa y administrativa -el Estado español tiene como definición ser un Estado autonómico-, disponiendo que todas las autoridades de control tienen que tener en los
Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, poderes correctivos y sancionadores y poderes de autorización y consultivos, según lo establece el considerando 129. El proyecto de ley orgánica de
protección de datos prevé, por su parte, la existencia de autoridades autonómicas de protección de datos y les dedica el capítulo II de su título VII, que coexisten con la agencia estatal. Creemos que esto supone una mayor garantía para los
ciudadanos al facilitar y potenciar la calidad de la defensa de su derecho a la privacidad por su propia cercanía. El nuevo marco europeo de protección de datos incide en la necesidad de que las autoridades de control actúen de una manera conjunta,
prestándose la asistencia y colaboración necesarias para garantizar la plena efectividad del derecho de los ciudadanos a su privacidad y exige establecer criterios claros de actuación entre ellas; principios de funcionamiento, de modo que su
relación no se base únicamente en el principio de competencia, sino que se complemente de acuerdo con los principios de cooperación institucional, coordinación de criterios e información mutua. También prevé -y más adelante me referiré a ella- una
hipotética intervención de la autoridad estatal por dejación de funciones de las autoridades autonómicas, que ya desde ahora les digo que califico de excesiva. En la evolución de la Agencia Vasca de Protección de Datos no ha habido nunca una
situación en la que haya habido ni el más mínimo roce con el funcionamiento de la agencia estatal, aunque no escapamos de las profundas transformaciones que operan y siguen operando en nuestra sociedad. Existe una excelente relación y encaje entre
los distintos ámbitos de actuación y, al igual que hizo la directora de la agencia española, yo también aprovecharé varios momentos de mi intervención para solicitarles que, por favor, cuanto antes, sea posible la llegada de este proyecto al boletín
oficial.
A continuación, calificando nuevamente esta norma como oportuna y necesaria, quiero hacer constar la intervención que la agencia vasca ha tenido en la elaboración y la participación con el quehacer de la agencia española -a la que ya hemos
alabado- en distintos momentos. Yo solo soy directora de la agencia vasca desde febrero del año 2016, pero desde que se me nombró eran constantes las reuniones periódicas para fijar criterios sobre el reglamento que venía -que vino, efectivamente,
y entró en vigor el 27 de abril de 2016, aunque su plena efectividad está pospuesta hasta mayo de este año- y juntos trabajamos muy a gusto, debo decirlo, en la elaboración de distintas guías para su aplicación. Hemos sido autores, aunque en mayor
medida la agencia española, y hemos participado y reconocido nuestra autoría en alguna de las que están hoy publicadas en las páginas web de las distinta agencias, las hemos publicado como iguales las tres agencias, han sido traducidas a los idiomas
catalán o euskera y figuran los logos de las tres agencias. Es decir, ha habido un trabajo conjunto de las tres, si bien reconozco que en mayor medida de la española, por su mayor capacidad y por su mayor influencia no solo en el ámbito y
extensión, sino porque también le incumbe la protección de datos referida a las personas en el ámbito de lo privado.
Lo mismo ocurrió cuando se decidió trabajar sobre el esquema de certificación del delegado de protección de datos, otra de las figuras estelares -si me permiten utilizar esta expresión- de la ley orgánica que ahora se tramita y del
reglamento europeo. Dimos nuestra opinión sobre el texto que se elaboraba y tuvimos ocasión de participar en todo cuanto se iba trabajando al respecto. Incluso, sin que fuera necesario, cuando se empezó a elaborar por el prelegislador el
anteproyecto de ley que ahora es proyecto, fuimos oídos en muy numerosas ocasiones; conocíamos de antemano partes concretas del texto de la ley, hasta que fue completándose y se tuvo la amabilidad de recibirnos como Agencia Vasca de Protección de
Datos por la subcomisión de la Comisión General de Codificación que estaba elaborando el texto. Y me cabe decir que algunas de las sugerencias que hicimos aparecen ahora recogidas en el texto del proyecto que tienen ustedes entre manos. Citaré
alguna como ejemplo para que vean que no siempre la reivindicación competencial es lo que alienta el actuar de las administraciones autonómicas, sino que la incidencia de lo que pretendimos, y que se ha trasladado al proyecto de ley, se da en otros
ámbitos. Por ejemplo, cuando se habla de tratamiento de datos que se rigen por un régimen específico, es decir, que no están regulados por este proyecto de ley, nos parecía importante que estuvieran expresamente citados para mayor claridad
del operador jurídico y de los destinatarios de la norma. Así ahora aparecen citados los tratamientos de datos en el ámbito de Instituciones Penitenciarias, Registro Civil, registros de la propiedad y mercantiles que resultan, por lo menos a título
indiciario, significativos para saber exactamente qué es lo que se regula.
Cuando en el artículo 2 se citan los derechos de los ciudadanos, solamente en el texto inicial que nosotros conocimos como anteproyecto se hablaba de los derechos nuevos que incluye el reglamento, es decir, de la limitación y de la
portabilidad, y nos pareció adecuado sugerir por qué no se repetían los que ya eran derechos anteriores en la normativa anterior, porque podía aportar claridad; se corrigió así en el texto del anteproyecto. El anteproyecto reconoce a las
autoridades autonómicas el control del ejercicio de una serie de funciones que también pedimos que, específicamente, se quedasen plasmadas, como es el promover y aprobar códigos de conducta y mecanismos de certificación o la intervención en
tratamientos transfronterizos como autoridad principal o interesada, intervención que, por cierto, también ha tenido su consagración en los informes hechos por el Consejo General del Poder Judicial o por el Consejo de Estado. En otras cuestiones
debo decir que la ley española -el proyecto de ley que se presenta ahora en la Cámara- es absolutamente respetuosa en lo que hace referencia a regulación de procedimientos y su propia regulación orgánica regula, exclusivamente, la Agencia Española
de Protección de Datos, dejando que los normadores autonómicos sean luego responsables de lo que sobre ellos quieran articular. Nos parecía importante -e insistiremos en que algún grupo presente enmiendas- la necesidad que, dado el tenor del
reglamento, existe de modificar el artículo 28.2 de la Ley 39/2015, de Régimen Jurídico de las Administraciones Públicas, aunque sea muy reciente -y más recientemente todavía haya entrado en vigor-, porque establece un sistema de silencio que es
absolutamente incompatible con el que se establece en el reglamento europeo. Por tanto, nos parece que la ley orgánica de protección de datos que salga de esta Cámara debería contener la previsión expresa, entre las múltiples normas que dice que
han de ser modificadas, de modificar el artículo 28.2 en cuanto se refiere a la imposibilidad de consentimientos tácitos, puesto que nos parece que también es una piedra angular sobre la que pivota el nuevo régimen que se da en la normativa a la
protección de datos.
En cuanto a la Agencia Vasca de Protección de Datos o las agencias que hoy existen, cada una de las que han existido y existen tiene una historia distinta y un nacimiento temporal distinto. La primera de las agencias autonómicos que existió
hoy ya no existe, fue la agencia de la Comunidad de Madrid, que surgió en el 2000, que hizo una excelente labor y que su obra ha quedado en cuanto a fijar su impronta doctrinal en numerosas materias, pero en el año 2013 desapareció. En el año 2002
apareció la Agencia Catalana de Protección de Datos y en el año 2004 la Agencia Vasca de Protección de Datos. En cuanto a la configuración actual de una y otra existen importantes diferencias, puesto que en Cataluña surgió en el año 2002 de manera
parecida a como surge la agencia vasca pero, con posterioridad, ha plebiscitado un estatuto de autonomía. Por lo tanto, el derecho a la protección de datos aparece expresamente recogido entre el bloque de derechos que el estatuto catalán vigente
contiene y, por tanto, forma parte del bloque de constitucionalidad de lo ya regulado. Además, la propia Agencia de Protección de Datos Catalana tiene también su propia existencia como órgano dentro del estatuto. El estatuto vasco es del año 1979,
muy anterior a todo lo que ahora estoy hablando sobre las regulaciones que ha habido en materia de protección de datos y, por tanto, no contiene esas previsiones que sí deberán acogerse en una normativa posterior y, sin embargo, no creo que les den
distinto estatus a los ciudadanos vascos en relación con su derecho fundamental y con que las autoridades vascas tutelen y protejan ese derecho. Al igual que el estatuto catalán, han asumido esa competencia, y la mencionan como derecho de sus
ciudadanos, el de Aragón, el de Baleares y el de Andalucía pero, sin embargo, luego no han creado agencias de protección de datos más allá de Andalucía que, en este momento y hasta que se produzca la plena efectividad del reglamento en el mes de
mayo, no va a tener operativa la parte referida a protección de datos y solo ejerce como órgano de competencia en materia de transparencia.
He mencionado antes el artículo 58 del proyecto que se refiere a la cooperación institucional de la agencia española y las autoridades autonómicas, en la cual no ha habido nunca el más mínimo problema, y nos parecen adecuados los términos en
los que se plantea. Lo único que no se entiende es la previsión contenida en el artículo 59 que posibilita la intervención de la Agencia Española de Protección de Datos ante una hipotética dejación de funciones de las autoridades autonómicas
porque, repito, es algo que no se ha producido en la historia de las agencias. Nos parecería también interesante, reivindicando la postura
de las agencias distintas a la estatal, que -siendo claro que la agencia española es la que ostenta la representación común de España ante el Comité Europeo de Protección de Datos- la ley sí recogiera al menos una capacidad de propuesta de
las autoridades autonómicas ante el representante común al objeto de aplicar de forma coherente el reglamento europeo. Esperemos que de la tramitación parlamentaria sí pueda recogerse esa capacidad de propuesta ante el representante común que es,
queda claro, la Agencia Española de Protección de Datos.
He examinado las comparecencias anteriores y algunas de las preguntas más frecuentes de sus señorías y sobre alguna de ellas quería hacer alguna afirmación en este momento, aunque luego puedan ser objeto de preguntas. La rebaja de la edad
del consentimiento que prevé la ley de los dieciséis que establece el reglamento pero dentro de lo que él permite a trece, me parece que ha sido objeto de pregunta y comentario por parte de todos. Cuando siendo yo parte del Congreso de los
Diputados y, por tanto, legisladora tocó hacer la Ley penal del menor en el año 2000, queríamos buscar una edad que resultase coherente en todo el ordenamiento interno español a la que darle virtualidades jurídicas. Enseguida vimos que era
prácticamente imposible, ya que los doce años en materia civil tienen alguna especificidad para poder ser oído en un procedimiento, los catorce tienen connotaciones en distintos sectores del ordenamiento y en materia sanitaria los dieciséis para el
consentimiento informado. Por tanto, depende de lo que resulta más adecuado a la naturaleza de lo que se regula, aunque lo deseable sería unir o intentar que la edad de referencia en materia de menores fuese lo más parecida posible o la misma en
todos los sectores del ordenamiento, pero creo que eso es difícil y les va a corresponder a ustedes, como legisladores, ver qué es más coherente. La intervención de la directora me pareció muy solvente, aun sosteniendo que es interesantísimo -y hay
que hacerle caso- que Francia y Alemania mantengan la edad en los dieciséis que el reglamento fija, pero también que otros ocho Estados la hayan bajado a trece y que, entre ellos, estén algunos países desde los que funcionan operadores de Internet,
no nos parece que sea un dato a desdeñar. Por tanto, no creo que deba considerarse como una opción no meditada y no razonable la de los trece años que el proyecto de ley contempla. En todo caso, a ustedes les va a corresponder llegar a otros
acuerdos.
Sobre el establecimiento de reglas específicas para el tratamiento de datos en investigación científica y, particularmente en la biomédica, debo decir, tras escuchar la intervención de la directora de la agencia española, que muy pronto ha
cumplido la palabra que dio de elaborar un instrumento por parte de la agencia en el que pudiera aclararse en alguna medida la postura que se sostiene de que no supone ninguna modificación respecto del statu quo hoy existente las posibilidades que
el reglamento y la ley orgánica establecen para la investigación que, con carácter internacional, se puede efectuar en este momento. En todo caso, hoy está prevista la comparecencia del profesor y doctor Hernández Rivas, que les dará a ustedes
elementos de juicio para ver si las afirmaciones que desde el terreno del derecho hacemos algunos son reales o desde el terreno científico -desde la labor en la que él está incurso, sin ninguna duda, con enorme prestigio- hay elementos que pudieran
requerir del legislador un tratamiento distinto. Hoy es el día en el que, sin duda, ustedes tendrán mayor ilustración. Se preguntaba también porque desapareció del anteproyecto al proyecto la previsión de modificación de normativa sanitaria.
Respecto a la normativa sanitaria en esa materia en la que es aplicable -tanto la de la autonomía del paciente como las de investigación en biomedicina o como la de reproducción humana asistida-, ciertamente tendremos que convenir que el derecho va
mucho más lento que la investigación científica y, siendo de 2006 y 2007, a lo mejor sí han quedado un poco retrasadas en relación con la realidad a la que hoy tienen que atender. En todo caso, sí parece prudente y no creo que haya ningún
prelegislador al que le guste atarse con plazos dentro de un proyecto de ley: en dos años se regulará. No creo que al prelegislador le gustara verse concernido. En todo caso, que se realicen las posibles iniciativas legislativas o que desde los
departamentos o las áreas sanitarias se considere la conveniencia de mejorar estos textos normativos en el caso de que, no me consta, se hayan quedado antiguos, tampoco me parece inadecuado que se haga aprovechando la ocasión de la Ley de protección
de datos o seguido de que esta se reforme.
Un elemento absolutamente novedoso y que ha dado mucho que hablar tanto en lo público como en lo privado es la figura del delegado de protección de datos y sobre él sí quisiera hacer alguna precisión de cómo lo vemos desde la Agencia Vasca
de Protección de Datos. En primer lugar, la utilización que se hace tanto en el reglamento como en la ley orgánica de autoridad u organismo público como entes que necesitarán obligatoriamente la tenencia de un delegado de protección de datos, sí
podría considerarse que contiene alguna indeterminación jurídica. Por eso, no vienen mal las enumeraciones que se hacen en
el texto del proyecto de ley. Además, el grupo del artículo 29 ha elaborado algún documento que remite al derecho nacional de los Estados miembros para esta determinación pero ya da algunas pautas que nos parecen interesantes. El proyecto
hace una enumeración que, en alguna medida, nos parece que puede considerarse excesiva. Puesto que ha comparecido aquí el delegado de Protección de Datos del Consejo General de la Abogacía Española, y aunque en opinión de la Agencia Vasca de
Protección de Datos la exigencia del DPO a los colegios profesionales pudiera resultar excesiva, sí me parece interesante y políticamente relevante porque es muy simbólica que al Consejo General de la Abogacía Española le haya parecido importante
tener nombrado un delegado de protección de datos dando relevancia a lo que va a tratarse o al propio derecho fundamental. Otra cosa sería -y sería muy útil- que se incluyese entre los servicios que pueda prestar este delegado de Protección de
Datos al Consejo de la Abogacía o a los consejos de las profesiones de que se trate no solamente lo que hace referencia a los propios ficheros o datos que estos manejen, sino también a los colegiados que vengan obligados a designar DPO por el tipo
de tratamientos más complicados que efectúen; es decir, que no se redujese únicamente a los ficheros que un colegio -limitados dentro de sus funciones- o un Consejo de colegios utiliza, sino que, además, pudieran facilitar a los colegiados ayuda,
asesoría, luz en la complejidad que la entrada en vigor de este proyecto de ley va a suponer para muchas de las tareas que la profesión de la abogacía, o cualquier otra, pueda tener encomendadas.
Respecto de la cualificación de los DPO, que en algunos momentos se vinculaba con la formación universitaria, el cumplimiento de los requisitos establecidos en el artículo 37.5 del reglamento para la designación de delegado de protección de
datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación; mecanismos que ya han sido ya objeto de elaboración, participando también las agencias autonómicas, la vasca en
concreto. Nos parece adecuado que sea con ese carácter de mecanismos voluntarios de certificación. La fijación de unos criterios que no lo conviertan en un sistema preferente y que nadie impide que en un futuro pueda llevarse a titulaciones
universitarias especializadas, incluso a una específica y que pueda haber un licenciado en protección de datos, y así parecería que la referencia contenida en el artículo 35 del proyecto debiera ampliarse a una referencia a posibles titulaciones
universitarias o, de lo contrario, quizá este precepto debiera suprimirse.
Mayor importancia concedemos, para aclaración de algunas de las preguntas o de quienes ya se han dirigido intentando inscribir a sus delegados de protección de datos en la agencia vasca, a la personalidad jurídica del DPO y su relación
jurídica con el responsable. El Reglamento de Protección de Datos habla de que se puede prestar esta función en el marco de un contrato de servicios y de ahí, el proyecto de ley orgánica habla de que pueda ser una persona física o jurídica. El
cumplimiento de los requisitos establecidos en el artículo 37 del reglamento para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse... Es la referencia. Sin embargo, del tenor del grupo del
artículo 29 referido esta cuestión, se deduce que, en aras de la claridad jurídica y de la buena organización y con el fin de evitar conflictos de intereses de los miembros del equipo, se recomienda asignar claramente las tareas dentro del equipo de
DPO -es decir, en el caso de que sea persona jurídica o un equipo-, y designar -y ahí voy y es nuestro deseo- una persona única como contacto o persona de encargo de cada cliente; es decir, creemos que persona jurídica puede ser, diversificación en
el desempeño de la tarea, pero como única persona de contacto o persona a cargo de cada cliente. Asimismo, en el apartado 3.2 de esta misma resolución del grupo del artículo 29 se dice que, en función del tamaño y estructura de la organización,
puede ser necesario establecer un equipo de DPO. En esos casos, deben delimitarse con claridad la estructura interna del equipo y las tareas y responsabilidades de cada uno de sus miembros. De manera similar, cuando la función del DPO la ejerza un
proveedor de servicios externo, un grupo de personas que trabaje para dicha entidad podrá realizar de manera eficaz las funciones de DPO como equipo, bajo la responsabilidad de un contacto principal designado para el cliente; es decir, la necesidad
de si se hace manera colectiva bajo persona, la forma de persona jurídica o con entes colegiados, como también lo están intentando, o nos lo han presentado así algunas administraciones públicas, deberá ser bajo la responsabilidad siempre de un
contacto principal. Sin perjuicio de la relación jurídica que exista entre el responsable o el encargado del tratamiento y el DPO designado que pueda ser de naturaleza mercantil, el DPO deberá ser siempre en su referencia persona física.
La última salvedad a la que me quiero referir es otra cuestión que he visto que se suscitaba por sus señorías con alguna frecuencia, y es si la presencia del DPO en algunos casos no suponía distanciar las reclamaciones de los afectados
respecto de la intervención de las autoridades de control. A nosotros nos
parece que lo que se regule en esta materia no puede distanciar nunca al administrado de su posibilidad de acceso a la autoridad de control. La alternativa más adecuada sería, por tanto, establecer que cuando el responsable o el encargado
del tratamiento hubieran designado delegado de protección de datos este tenga que tomar parte en el proceso de resolución de la solicitud por parte del responsable, especialmente cuando la solicitud se resuelva en un sentido diferente a lo
solicitado por el interesado para que, cuanto antes, quien esté disconforme con la decisión que se ha adoptado pueda tener tutelados sus derechos dirigiéndose la autoridad de control correspondiente.
Concluye aquí mi intervención y quedo en espera de que ustedes consideren la conveniencia de hacerme alguna pregunta, si bien ya por comparecencias anteriores he visto mucho aclarado.
El señor VICEPRESIDENTE: Muchas gracias, señora Uría.
Pasamos a la intervención de los grupos parlamentarios. En primer lugar, por el Grupo Parlamentario Vasco, tiene la palabra el señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente.
Doy las gracias también a la compareciente por las explicaciones que nos ha dado en su intervención. Dado que la compareciente representa a la Agencia Vasca de Protección de Datos, me voy a limitar a plantear alguna cuestión relativa a las
autoridades de control autonómicas, señalando cuatro cuestiones. La primera es si usted considera que las referencias a la legislación autonómica en relación con las autoridades de control en el proyecto es suficiente o, como dijo la directora de
la agencia española, se entendía que eso se dejaba en el ámbito de las comunidades autónomas. Si no le parecería más adecuado que esa duda se disipara y se hiciera aquí mención a esa futura normativa que pudiera, en su caso, aprobarse. La segunda
cuestión es qué consideración le merece cómo ha contemplado el proyecto la acción exterior, porque la única acción exterior que, al parecer, se contempla en el artículo 56 es la acción exterior de la agencia. Asimismo, si no considera que esta
posición de la agencia no casa correctamente con las posibilidades que tienen las comunidades autónomas a la luz de la Ley de acción exterior o de la Ley de tratados. La tercera cuestión se referiría al artículo 59, aunque realmente estaba en la
ley orgánica actual, en el artículo 42; si esta posibilidad del 59, que son los tratamientos contrarios al reglamento y a la presente ley orgánica, no tiene un deje de alta inspección y si constitucionalmente usted cree que este precepto que, como
ya digo, se arrastra de la ley actual, del artículo 42, no encubre una cierta extralimitación. Por último, si considera que en los tratamientos transfronterizos las autoridades de control autonómicas están suficientemente contempladas.
Muchas gracias por su intervención.
El señor VICEPRESIDENTE: Gracias, señor Legarda.
Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Muchas gracias, señor presidente.
En primer lugar, le pido disculpas por haberme incorporado unos minutos tarde, cuando ya había comenzado su intervención. Muchas gracias, por supuesto, por su prolija intervención. Como se ha repasado todas las comparecencias anteriores,
nos ha dejado poco margen para preguntarle, ya que ha dado respuesta a casi todas las inquietudes que se han puesto de manifiesto en estas comparecencias. Quisiera agradecerle también el compromiso de la agencia que usted representa con la
elaboración de este proyecto, que ha quedado acreditado a lo largo de su intervención. Dado que el compañero que me ha precedido en el uso de la palabra ha preguntado ya ampliamente respecto a cuestiones de ámbito competencial, solamente voy a
preguntarle por la independencia de las autoridades de control a la que usted se ha referido brevemente. En el modelo de la agencia vasca, el director, o directora en este caso, es nombrado por el Gobierno por un período de cuatro años. Vaya por
delante que no cuestiono ni pretendo ni está en mi ánimo cuestionar la independencia con la usted ejerce su cargo, pero quizá su modelo es el que menos apariencia de independencia tiene si lo comparamos con el modelo de la agencia catalana y si lo
comparamos con el que se recoge en este proyecto de ley. En definitiva, lo que yo le quiero preguntar es si usted no se sentiría más cómoda con un modelo de elección parlamentaria. También quiero preguntarle por la composición del consejo
consultivo que se establece en este proyecto de ley para la agencia española, y dado que ha sido inevitable que lo comparara con el suyo, mi pregunta es qué aporta a sus funciones un representante de territorios históricos y otro de entidades
locales, porque si tienen realmente un aporte significativo en la labor que ustedes desarrollan, nosotros deberíamos
plantearnos designar también a alguien en representación de la Federación Española de Municipios en la composición de este órgano. En definitiva, qué aporta este tipo de composición en contraposición a otra que pudiera ser considerada más
de perfil técnico.
Nada más y muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Unidos Podemos, tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Muchas gracias, señor presidente.
Señora Uría, gracias por su intervención. Ha empezado agradeciendo que hubiéramos considerado que su presencia tenía algún interés, y tenía mucho interés, al menos para mi grupo parlamentario, porque la tramitación de este proyecto de ley
en el Congreso empezó con una enmienda a la totalidad de un grupo parlamentario cuestionando el tema del ataque a las competencias. Su intervención ha tranquilizado a mi grupo en el sentido de que ha habido colaboración, que ha habido un trabajo
previo conjunto, que no ha habido un ataque como se había dicho, y podía haber alarmado, desde el Grupo Parlamentario Mixto en la enmienda a la totalidad que se presentó.
Quiero agradecerle sus aportaciones, que nos han parecido muy razonables en las cuestiones que ha planteado, en todo lo relacionado con los delegados de protección de datos, con que se amplíen las posibles titulaciones universitarias en el
tema de la certificación, en la designación de personas físicas. Son cuestiones que estudiaremos a la hora de presentar las enmiendas concretas al articulado de la ley. Solamente quiero pedirle que amplíe aquello en lo que me ha parecido más
crítica, en el artículo 59, la actuación subsidiaria de la agencia estatal respecto a las agencias autonómicas, que usted ha tildado de excesiva, y en ese sentido, qué propuesta haría de adecuación de la redacción de ese artículo 59. Para terminar,
también nos parece muy bien -y así lo apoyaremos en las enmiendas que presentemos- el tema de la capacidad de propuesta para que las agencias autonómicas tengan algún tipo de incidencia a la hora de nombrar al representante de la agencia estatal,
que es quien tiene la competencia internacional, en todo caso; pero que las agencias autonómicas, que tienen su capacidad, tengan reconocida esta capacidad de propuesta.
Nada más y muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Sixto.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Bienvenida, doña Margarita Uría. Siempre es un placer compartir con usted un buen rato sobre cuestiones de todo tipo y hoy las de esta naturaleza. Ha hecho una intervención exquisita, rigurosa, muy sugerente, pero es obvio que los grupos
parlamentarios, como usted conoce muy bien, no tenemos más allá de cuatro o cinco minutos para hacer nuestra intervención, así que nos vamos a tener que remitir a otros foros para poder obtener más criterio.
En todo caso, nos parece muy sugerente su consideración sobre la técnica normativa constitucional que ampara o no este proyecto de ley. Deducimos un acuerdo general con el proyecto de ley y en particular un acuerdo explícito con el modelo
de relaciones entre la agencia española y las agencias autonómicas, en cuyo diseño ustedes también han participado, que se enmarca en una tradición de buena relación, pero que se ubica también en el marco más complejo del nuevo Reglamento de
protección de datos. La verdad es que los temas que ha recorrido coinciden en gran medida con cuestiones que nosotros hemos ido planteando y que tenemos bien anotadas para formular enmiendas. Tomamos buena nota de su equilibrada posición en
relación con la fijación de la edad de los menores, digamos que muy bien llevada en esta comparecencia, y también en algunos otros aspectos. Desde luego, la previsión del artículo 59 no se sostiene bajo ningún concepto y, por lo tanto, yo avanzaría
que nosotros entendemos que no hay solución de enmienda. Tomamos buena nota también de la coincidencia en relación con el papel que deben jugar las modificaciones; el papel del delegado de protección de datos, DPO, en el artículo 37. Hay mucha
coincidencia, como digo.
Yo me quedaría aquí y le daría más pie a usted para que pudiera ampliar aún más las consideraciones que estime convenientes. Hay una cuestión, que es la de la elección -ya se ha apuntado- del presidente de la agencia, sobre la que usted
puede ilustrarnos bien porque no solo ostenta hoy un cargo por nombramiento gubernamental y con un estatuto de independencia, sino que también ha ostentado otros
cargos de elección parlamentaria. Por lo tanto, está en condiciones de hacer una ponderación, entiendo yo, no sobre hasta qué punto uno u otro modelo garantiza más o mejor la independencia, sino hasta qué punto uno u otro modelo garantiza
una legitimidad superior al nombramiento.
Nada más y muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra su portavoz, el señor Martínez.
El señor MARTÍNEZ VÁZQUEZ: Muchas gracias, señor presidente.
Gracias, señora Uría, por su comparecencia. Siempre es un placer coincidir en esta casa y en esta Comisión que durante tantos años fue su Comisión. Su comparecencia ha sido especialmente ilustrativa y le agradezco, además, que lo haga
después de haber leído y conocer el contenido de las comparecencias anteriores, porque de esa manera ha sido especialmente útil y no hemos incurrido en algunas reiteraciones. De su comparecencia creo que se deduce que ha habido una buena sintonía
con la agencia en la fase de elaboración del anteproyecto y, por lo tanto, que ustedes han participado activamente y no solo eso, sino que algunas de sus sugerencias o aportaciones en las sucesivas fases de elaboración de borradores han sido
incorporadas y creo que eso es muy bueno. Es verdad, como decía el señor Sixto, que empezamos la tramitación de este proyecto de ley orgánica con una enmienda a la totalidad por razones de invasión de competencias. Realmente, no tuvo mucha fortuna
aquella enmienda a la totalidad, porque fue derrotada por un amplio número de votos de la Cámara y, en ese sentido, escucharle a usted es también tranquilizador en la medida en que hay un acuerdo general, con posibilidades lógicamente de mejora,
sobre el modelo de relación entre la agencia estatal y las autoridades autonómicas. Por eso, todo el contenido de su comparecencia ha sido tranquilizador y también enormemente enriquecedor y constructivo para el trabajo de esta Comisión.
Le haré algunas preguntas muy concretas que tienen que ver con algunas de las cuestiones que usted ha apuntado, en las que me gustaría que, en la medida en que el tiempo lo permita, profundizara un poco más, quizá porque yo no le he
entendido suficientemente bien. Primero, a propósito de esa reforma que usted sugería del artículo 28.2, de la ley 39/2015, entiendo que tiene que ver con el tratamiento del consentimiento en la Ley de procedimiento administrativo común de las
administraciones públicas. Me ha parecido entender que generaba cierta contradicción con el contenido del proyecto -entiendo que del Reglamento europeo-. Me gustaría que pudiese aclararlo un poco.
También me ha parecido entenderle que proponía que las autoridades autonómicas tengan verdadera capacidad de propuesta ante su representante común, es decir, ante al agencia. ¿Entiendo que considera entonces mejorable el artículo 58 o
simplemente es, digamos, más una cuestión de funcionamiento práctico que de reforma de la redacción actual de los preceptos? Evidentemente, que la agencia sea el interlocutor único es una exigencia del considerando 119 y la cuestión es cómo se pone
eso en la práctica. Pero no he llegado a entenderle si estaba pensando más en el funcionamiento del día a día o en alguna modificación en el texto del proyecto de ley orgánica. A propósito del debate que tendremos, que ya hemos iniciado en gran
medida, sobre la edad del consentimiento, para no interpretar mal, lo que le entiendo a usted es que le parece que hay razones suficientes para la regulación actual, es decir, que está justificada la edad de trece años que establece el proyecto de
ley orgánica. Me gustaría que me aclararse si lo he entendido bien.
También se ha referido al informe de la agencia, que hemos conocido hace unos días, a propósito de la investigación biomédica. Entiendo que con las sugerencias que usted hacía más de cara al futuro sobre posibles actualizaciones de la
legislación sanitaria ese capítulo queda también suficientemente cubierto, por supuesto no solo por el proyecto de ley orgánica, sino sobre todo por el reglamento. Y, en última instancia, a propósito de la intervención del delegado de protección de
datos y esa duda que suscitaba de si pudiese generar una cierta distancia con respecto a las autoridades de protección de datos, entiendo que se refería usted al artículo 37. Como lo ha dicho al final, a lo mejor yo no he estado muy lúcido en ese
último momento. Me gustaría que aclarase un poco más en qué sentido era la propuesta de modificación de este precepto.
Muchas gracias, señor presidente.
El señor VICEPRESIDENTE: Muchas gracias, señor Martínez.
Para contestar a las preguntas y observaciones que se le han formulado, tiene la palabra la señora Uría.
La señora DIRECTORA DE LA AGENCIA VASCA DE PROTECCIÓN DE DATOS (Uría Etxebarría): Comenzaré pidiendo perdón porque creo que he abusado de mi posición dominante. Siempre que he estado en esta Cámara me situaba en aquel lado, con lo cual
estaba sujeta a tiempos pautados, y se conoce que me ha hecho mucha ilusión que el tiempo fuera mío. En todo caso, intentaré contestar ahora de manera más sintética a lo que se me ha preguntado.
Me preguntaba el diputado señor Legarda por las posibilidades que la ley orgánica establece respecto de la entrada de legislación autonómica. Cuando nosotros hemos intervenido como agencia vasca, en algunas ocasiones solicitábamos del texto
que se estaba barajando por la agencia española que expresamente figurasen determinadas cuestiones, y yo atribuyo a la prudencia del prelegislador, a la agencia española -y así quedó luego claro en la sección correspondiente de la comisión de
codificación-, que lo que había era respeto, que el legislador autonómico entre donde crea que deba entrar y en lo que crea que deba entrar, sin que sea necesario que se diga `el legislador autonómico regulará´. El legislador autonómico regulará lo
que crea que debe regular y parecía más limpio y más claro atenerse a la regulación de lo que hacía referencia a las competencias de la agencia española y a lo que es derecho común para todos. Por lo tanto, esas referencias a la legislación
española, las no referencias a `la legislación autonómica regulará´, es no querer dar órdenes al legislador autonómico y no querer tampoco interferir en que necesariamente deba hacerlo o no hacerlo, porque esa será su opción.
Por supuesto, deseo matizar que en el ámbito de la comunidad autónoma, en el ámbito de Euskadi, son muy necesarias las reformas en este momento, puesto que, mientras que la agencia catalana parte de una regulación estatutaria posterior, en
nuestro caso el estatuto era de 1979, la ley es de 2004, es todavía muy reciente la sentencia del Tribunal Constitucional referida a los ficheros de titularidad pública o privada y, por tanto, muy ceñida a un planteamiento muy modesto de ejercicio
de competencias. Creemos que el tiempo transcurrido, el desenvolvimiento de este derecho, el Reglamento europeo, e incluso la propia trayectoria nos lleva a que ahora la regulación pudiera ser otra. El reglamento permite -y la ley orgánica creemos
que lo está queriendo- que la legislación autonómica llegue a regular la competencia de la autoridad vasca en todo el sector público vasco, como es en el caso catalán, pero eso es cuestión del legislador autonómico vasco. Nos estamos preparando
para poder hacer frente a ese nuevo escenario de desarrollo del derecho y también de competencia más clara o con una normativa europea distinta, al que vamos a tener que hacer frente.
Se refería también el señor Legarda a la acción exterior, a si no creíamos que estaba muy circunscrita. Yo creo que lo que se establece respecto de la presencia de las agencias distintas de la estatal en materia exterior está, sin demérito,
referido estrictamente a lo que regula la Ley orgánica de protección de datos. Otra acción exterior de la agencia vasca estará regulada por la regulación del sector exterior de España que no queda derogada por esta materia; es decir, no quedan
impedidas actuaciones que se puedan tener de relación con otras agencias europeas o incluso internacionales por el hecho de que esta legislación lo diga. La normativa general de relaciones de actividad en el sector público exterior de las
comunidades autónomas está regulada por la legislación general y no restringida por esta.
En cuanto a la intervención en procesos transfronterizos, evidentemente los que vayan a tener las autoridades autonómicas van a ser siempre mucho menores que los que le van a corresponder a la agencia española, no solo por la extensión y la
dimensión en la que ejerce competencias, sino también porque nosotros nos dirigimos solamente al ámbito de lo público. Son las administraciones públicas las que son objeto de nuestra intervención y no aparece limitada; es más, como he dicho en la
intervención, aparece salvada tanto por el Consejo de Estado como por el Consejo General del Poder Judicial. En la medida en que se produzca, la agencia vasca de protección de datos podrá actuar en lo transfronterizo. Ha hecho referencia,
denominándolo alta inspección -se ha mencionado también por otro de los ponentes-, a la posibilidad de que la agencia española intervenga en caso de inactividad -es el contenido del artículo 59-. Como alta inspección, desde luego, no ha existido en
toda la historia de las agencias ni creo que sea la pretensión del precepto actual. Más bien trae continuidad de lo ahora vigente en la ley orgánica, y a nosotros nos gustaría que desapareciera, porque, desde luego, en el desenvolvimiento de los
cometidos de las agencias, tanto de las no estatales -autonómicas- como de la agencia estatal, para nada se ha producido ni inspección de lo que se hace -cuando se ha comentado o colaborado ha sido por voluntad propia-, ni ha habido ocasión de
reñir, reprimir o utilizar alguna actuación impeditiva o revisora respecto del contenido de lo que hacen las agencias. Si en algún sector del ordenamiento de la actividad en el que se desarrollan las comunidades autónomas y la Administración
General del Estado el comportamiento es modélico -al menos en lo que a mí me ha tocado comprobar,
como diputada, como vocal del Consejo General del Poder Judicial en materia de justicia y ahora en esta responsabilidad- es en el funcionamiento en materia de protección de datos, es un ejemplo de cómo debiera funcionarse en un Estado que,
siendo compuesto, se pretende inclusivo. Es decir, el trato entre las agencias es correcto, colaborativo y de cooperación en todo caso. No alentamos el miedo ni de una alta inspección ni de la injerencia respecto del contenido de los cometidos que
la Agencia Vasca de Protección de Datos pueda llevar adelante.
Me preguntaban por la independencia y el consejo consultivo. La independencia es exigencia del reglamento y las condiciones en las que se desarrolla van más en el desenvolvimiento que en la forma concreta del nombramiento. En todo caso, la
forma de nombramiento que el reglamento permite es el procedimiento transparente por su Parlamento, su Gobierno, su jefe de Estado o un organismo independiente. El nombramiento por el Gobierno entra, pues, dentro de lo que el reglamento prevé. Lo
importante es que luego tengas independencia presupuestaria, independencia organizativa e incluso de aprobar tu propia relación de puestos de trabajo, que es el caso en el que se desenvuelve la Agencia Vasca de Protección de Datos. La injerencia no
existe; yo solo llevo dos años, pero desde luego en los tiempos anteriores han existido supuestos, como también tuvo ocasión de señalar la directora de la agencia española, en los que ha habido que intervenir respecto de la propia Administración de
la que procede tu nombramiento, y se ha intervenido sin ningún tipo de problema. La independencia viene dada por las condiciones del desenvolvimiento en muchos casos, sin que yo tenga nada en contra de los nombramientos parlamentarios, que sí
pueden tener problema en muchos casos de alargar o impedir, en el supuesto de mucha fragmentación parlamentaria, que haya nombramientos. Ella citó el caso del Defensor del Pueblo, el de la dirección de Televisión Española y también el de otros
parlamentos autonómicos. En todo caso, por aquí han pasado directores de la agencia, además del actual, como es el caso del profesor Piñar, al que antes me he referido, el portavoz del Grupo Socialista, nombrados por Gobiernos de distinto signo que
creo que se han desenvuelto. El buen hacer de la agencia española nunca ha estado en entredicho por cuestiones que tengan que ver con el origen o con la parcialidad de quienes han desempeñado el cargo. Yo he sido muy seguidora, muy gourmet de esta
materia de la protección de datos, y creo que en modo alguno se ha notado el sesgo partidista o el sesgo relativo a la procedencia de su nombramiento en quienes han desempeñado la función. Desde el primero de ellos, a quien se me suele gustar
rendir tributo -y lo voy a hacer ahora también-, Juan Martín-Casallo, que procedía de la carrera fiscal y fue un excelente director de la agencia española a quien le tocó organizar todo este tinglado ex novo, por lo cual hay que darle las gracias y
rendirle el homenaje que se merece.
Se refería también al consejo consultivo. La composición del español es distinta al de las agencias autonómicas. Cada una hemos regulado por nuestros parlamentos la composición que hemos querido. Yo formo parte del consejo de la agencia
española también. La española incluye dentro de su consejo consultivo a las agencias autonómicas. En el caso de la agencia vasca, la presencia de los representantes de los territorios históricos y de las entidades municipales se debe a que nuestra
propia competencia lo es sobre el sector público; un sector público con competencias muy importantes, además del Gobierno y del Parlamento, que también está presente en el consejo consultivo, son por supuesto los territorios históricos. Sus
diputaciones o las juntas generales ejercen una actividad pública importantísima y son con muchísima frecuencia destinatarios de la actuación en la agencia española. Y, por supuesto, los municipios están representados, a través de Eudel en nuestro
caso, y en el caso de la agencia española, está representada la FEMP. Creo que es útil y necesario, en la medida en la que se ejercen competencias sobre el sector público. Por ejemplo, en este tramo en el que estamos ahora de ayudar a las
administraciones públicas a poner en marcha lo que necesitan para estar al día cuando el reglamento se lleve a efecto, es muy importante la labor que, a través de la FEMP o de Eudel en el caso vasco, se haya podido realizar en dar consejos o
asesorar. Por tanto, la presencia de estas administraciones en el consejo consultivo sí me parece importante.
En el caso vasco hay, además, presencia de expertos de la universidad: uno por la rama del conocimiento del derecho -tenemos un catedrático de Derecho Procesal Penal- y otro por la rama tecnológica que afecta -en este caso hay un
catedrático de las facultades de ingeniería-. Creo que aportan mucho y son de enorme utilidad a la hora de discurrir sobre las distintas materias porque las dos patas que las agencias tienen -la tecnológica y la jurídica- tienen que caminar siempre
juntas, y es interesante conocer lo que los expertos de ambos lados nos puedan decir.
Tenía una pregunta sobre el artículo 59, que me parece que es el que hace referencia a esa cierta tutela, a ejercer la posibilidad en caso de no atención por parte de las autoridades autonómicas. Insisto,
creo que el mantenimiento en el texto del proyecto actual es inercia respecto de la Ley Orgánica de Protección de Datos vigente, y no obedece a suspicacia alguna -o quiero pensarlo así- sobre el funcionamiento en la actualidad que, en lo que
yo conozco, me parece que ha sido no solo absolutamente respetuoso con el principio de competencia de cada uno de los entes, sino colaborativo; porque la existencia de reuniones no se ha ceñido, en la historia de las agencias, solo a ahora que
había que ponerse de acuerdo para elaborar cómo vamos a implementar o llevar a cabo lo que el reglamento nos exige o cómo vamos a trabajar de cara a esta ley orgánica, sino que ya con anterioridad era normal que los servicios jurídicos y los
servicios de inspección de las tres agencias se reunieran; es decir, el funcionamiento conjunto y pensar que todos tenemos que hacer lo mismo y con parecidas pautas, creo que es una constante en la historia de las agencias de protección de datos.
Respecto a la elección, se ha dicho que por haber pasado por cargos distintos. Yo he sido de elección por la soberanía popular -es decir, porque he sido diputada a Cortes-, y he sido de elección por las Cortes Generales, puesto que fui
miembro del Consejo General del Poder Judicial por elección del propio Congreso. Creo que en el desenvolvimiento la mayor libertad -quizá también porque ahora gestiono- la he tenido con este nombramiento que se ha realizado por un Gobierno.
Insisto, tengo la independencia que el órgano necesita en cuanto a gestión de sus propios presupuestos, gestión de su propio personal y definición de su propia relación de puestos de trabajo; es decir, el desenvolvimiento me ha dado más la
independencia que el origen del nombramiento.
En relación con el 28.2 y la modificación de la Ley de régimen jurídico de las administraciones públicas, incluso hemos redactado y presentado -tanto a la comisión de codificación como dentro de la propia agencia- cómo creíamos que ese
precepto de la Ley 39 debiera quedar redactado, puesto que el consentimiento que él prevé dando validez a los consentimientos tácitos no vale. Evitaría muchos errores que lo que pretende ser la regulación del procedimiento administrativo general
quedase ya claro desde la propia Ley Orgánica de Protección de Datos que para este caso concreto no vale. Daría claridad, seguridad jurídica y creo que existen textos -quizás incluso algún grupo parlamentario lo recoja- en los que veríamos cómo era
para todos mucho más claro un 28.2 redactado de una manera distinta.
Respecto a la edad nuevamente, parece adecuada, desde mi punto de vista, la edad de los trece puesto que tiene otras virtualidades en el derecho español y también es la que distintos países de la Unión Europea han elegido. Puede tener un
sentido el debate en la propia Cámara si ustedes deciden que cuando se pretende rebajar las edades penales hay que subir las edades de los consentimientos, pero encierra para mí un cierto contrasentido considerarles adultos o capaces para ciertas
cosas y, sin embargo, no imputables -o sí- en materia penal. No lo sé. A ustedes como legisladores les corresponderá, pero la opción de los trece, desde la perspectiva de la agencia vasca, la hemos considerado sensata. Visto lo que nos ha tocado
y la cercanía que tenemos al sector educativo, los trece puede ser una edad adecuada.
En materia de investigación me he vuelto a ceñir a que me parecía a mí muy esclarecedora, porque tampoco hemos visto nunca que tuvieran excesivo significado las quejas que desde distintos sectores de investigación se hacían en cuanto a que
se recortaban sus posibilidades. A nosotros nos parecía que el reglamento no corta las posibilidades que en la actualidad existen y, sin embargo, sectores implicados dicen que sí. Hoy tendrán ocasión ustedes con el cuarto compareciente de aclarar
si esto es así o si merece alguna explicitación en el texto de la norma distinta, porque lo que sí será consentido por todos es que nadie quiere frenar a través de la protección de datos o de una forma exhaustiva de la regulación de la protección de
datos, las posibilidades de la investigación científica y médica. Con lo cual, que ustedes acierten de la mejor manera posible.
El señor VICEPRESIDENTE: Muchísimas gracias, señora Uría.
Para mí ha sido un placer volver a escucharla en esta Comisión que ha sido la suya durante tantos años.
Suspendemos dos minutos la sesión de la Comisión. (Pausa).
- DEL SEÑOR MUELAS CEREZUELA, EXDECANO DEL ILUSTRE COLEGIO DE ABOGADOS DE CARTAGENA, ESPECIALISTA EN LA MATERIA. (Número de expediente 219/001055).
El señor VICEPRESIDENTE: Reanudamos la sesión, y lo hacemos dando la bienvenida al don José Muelas Cerezuela, exdecano del ilustre colegio de abogados de Cartagena y especialista en la materia de
protección de datos, quien comparece para aportar todos sus conocimientos y recomendaciones en la tramitación del presente proyecto de ley.
Tiene la palabra el señor Muelas Cerezuela.
El señor MUELAS CEREZUELA (Exdecano del Ilustre Colegio de Abogados de Cartagena, especialista en la materia): Con la venia de sus señorías.
En primer lugar, tengo que agradecer que sus señorías hayan tenido el detalle de invitar a esta Comisión a un modesto letrado de provincias que naturalmente se encuentra orgullosísimo de poder siquiera tratar de ayudarles, aunque dudo que
pueda hacerlo, pero al menos, voy a intentarlo y mi mejor voluntad sí la voy a poner.
Lo ha dicho la compareciente anterior y creo que es un aspecto sobre el que convendría fijarse. Estamos hablando de una ley en la que se interrelacionan ley y tecnología, y esta mezcla, este cóctel de ley y tecnología es probablemente uno
de los más fecundos, uno de los más fértiles para estimular la creatividad de los juristas y para incluso cambiar los conceptos jurídicos más asentados. Fue el profesor de la Universidad de Harvard, Lawrence Lessig, padre de esto que llamamos, a mi
juicio, impropiamente el derecho informático, el que a raíz del juicio Netscape contra Microsoft sugirió que verdaderamente el derecho cambia exclusivamente a golpes de cambio tecnológico. No tengo más remedio, solo durará un minuto, que contarles
la historia de los granjeros Causby de Estados Unidos.
El concepto que los juristas han tenido durante muchísimos siglos de la propiedad sobre la tierra se estableció desde que Triboniano compiló El Digesto, y ese criterio era que la propiedad de un hombre sobre la tierra llegaba por abajo hasta
los infiernos y por arriba hasta los cielos, y eso no cambió o no fue puesto en cuestión hasta que unos mecánicos de bicicletas elevaron sobre un pueblo de Carolina del Norte un aparato más pesado que el aire. Esto fue en 1903. Pues bien, en 1946,
un par de granjeros de Estados Unidos, los hermanos Causby, llevaron al Tribunal Supremo de Estados Unidos una demanda porque esos molestos aparatos molestaban a su ganado, y como ellos tenían el criterio y la seguridad de que toda la jurisprudencia
de los Estados Unidos y de los últimos siglos defendía su propiedad por arriba hasta los confines del universo, le pidieron al Tribunal Supremo que protegiese su propiedad y que no dejase pasar los aviones. El Tribunal Supremo de los Estados Unidos
reconoció que los hermanos Causby tenían razón, que ciertamente esa era la jurisprudencia, pero que su posición atentaba al sentido común y que, como atentaba al sentido común, el Tribunal Supremo de los Estados Unidos iba a cambiar la
jurisprudencia en ese momento y gracias a esa decisión la navegación aérea es perfectamente posible. ¿Por qué les cuento esto? Se preguntarán por qué nos cuenta este hombre esto, porque estamos en una ley que atañe a muchos elementos tecnológicos
y en muchos de los casos sería bueno que la mirásemos con los ojos del sentido común y quizá no con algunos conceptos jurídicos firmemente asentados, siquiera sea por la costumbre o por el paso del tiempo. Ya más adelante señalaremos algunos
lugares donde este atentado al sentido común puede producirse en la regulación de la ley sobre la que estamos debatiendo.
Conceptos jurídicos que se desvanecen a veces como la soberanía. Cuando yo voy a hacer un contrato inteligente y lo deposito en una red de Blockchain, ¿en qué territorio estoy operando? Es necesario que sepamos eso, porque si yo no puedo
trabajar como jurista en contratos inteligentes, porque si el resto de la comunidad jurídica de España no puede trabajar en contratos inteligentes, muy probablemente estaremos condenando a los juristas españoles a que vayan por detrás en el tiempo,
siendo así que si somos creativos, si son ustedes creativos -obviamente, porque son ustedes los que crean las leyes- pueden dar a España, pueden dar a este país, una ventaja competitiva respecto al resto, y quien dice esto está hablando de otras
redes como la IPFS. Igual a ustedes esto les suena a ciencia-ficción, pero no lo es tanto. Recuerden que la IPFS ha estado de moda con motivo del referéndum del 1-O. Hay quien sustentó y hay quien manifestó -yo lo miré por hobby y me parece que
es así- que el censo catalán se colocó precisamente en la Interplanetary File System. ¿Y en qué país está eso?
Es posible que nosotros trabajemos sobre esas redes, esa red necesariamente mala, ¿o es neutra? ¿O las cosas pueden usarse en beneficio de la humanidad? -Me encanta esa declaración que hace el Reglamento General de Protección de Datos
acerca de que está instituida la protección de datos en beneficio de la humanidad-. ¿Se pueden utilizar esas redes en beneficio de la humanidad o no? Probablemente el trabajo de ustedes será lo suficientemente creativo como para permitir que la
comunidad jurídica pueda dar un salto adelante y, sin perder el respeto a Triboniano y a Justiniano -vengo de un sitio, Cartagena, donde El Digesto fue derecho vigente, porque mientras ustedes eran visigodos nosotros éramos bizantinos, y eso tiene
su punto-, subirnos sobre hombros de gigantes y tratar de ser extremadamente creativos y producir nuevas cosas para el beneficio de España.
Supongo que, aunque me voy a centrar en otras cuestiones -porque imagino que si soy abogado y me han traído aquí será para hablar de un tema muy concreto- antes hay que pasar por encima de otros asuntos que, al parecer, han despertado el
interés de sus señorías en sesiones anteriores. No tengo nada que decir respecto a alguno de los temas. Sí que hay que celebrarlo. A mí la ley me parece pertinente y oportuna, y además creo que no hay otra opción. Hay un reglamento, ese
reglamento es imperativo y ese reglamento desarrolla el derecho fundamental, que está en nuestra Constitución, pero ese reglamento desarrolla el derecho fundamental que está en los tratados europeos a la protección de datos y, por tanto, no hay nada
que discutir respecto a la pertinencia de la ley. Si acaso, desear que ustedes logren acelerar su tramitación y llegar justo a tiempo. Es verdad que ahora mimo solamente Alemania -tengo por aquí la ley alemana- y creo que Austria la tienen, pero
no debe consolarnos el hecho de que estemos en la misma situación que la mayoría de los países. Deberíamos tratar de aprobarla antes que el resto de los países.
Hay que celebrar las innovaciones que introduce el reglamento general. Algunas que se predican como derechos de los ciudadanos a mí me parecen más bien derechos de las compañías, por ejemplo, el derecho a la portabilidad, ese derecho a
bajar nosotros en un formato legible. No me imagino a un ciudadano español dirigiéndose a Google y que diga: Quiero que usted me dé mis datos en formato CSV para que sea tratable. A lo mejor lo hace alguien, pero en general no lo veo. Más bien
me parece que esa portabilidad está puesta a favor de las compañías que, a través de un simple consentimiento, pueden pasar ese formato CSV a otra compañía y así transferir con más comodidad los datos que se han recogido previamente con titularidad
distinta.
Me parece en general bien la regulación de los derechos de los consumidores, incluso de los ficheros de crédito y de solvencia, aunque, por cierto, en los ficheros de crédito y solvencia siempre ha habido algo que me ha llamado la atención.
Alfonso X El Sabio resolvió esto hace ya un montón de años, creo que en la Ley 46 de la Partida Tercera, donde regulaba la acción de jactancia, una acción vigente todavía hoy, pues no fue derogada por el Código Civil, que además está vigente en una
gran parte de Estados sudamericanos y de los Estados Unidos que tienen como derecho histórico las Partidas del Rey Alfonso X. Esa ley dice que nadie está obligado a demandar, salvo que se jacte, que se vanaglorie de tener un derecho contra alguien.
Es exactamente lo que es un fichero de solvencia. Yo dejo de pagar una determinada cantidad a una operadora de telefonía y esa operadora dice que le debo ese dinero y lo cuelga a la exposición pública, a la pública vergüenza, pero yo puedo pagarle
o no porque entiendo injusto el pago. De forma que dice: No tiene usted ningún problema; acuda, reclame, utilice el procedimiento qué, y ¿por qué? Se deposita o se residencia en el consumidor el deber de tener que rectificar. Creo que esto es
más sencillo. Si usted se vanagloria de que yo le debo dinero, yo, consumidor, debo tener la opción de decir: O me demanda o se calla. Eso tiene que hacerse de forma sencilla y rápida. Es decir, si se dirige a mí un operador de telefonía,
acordándome del viejo rey Sabio, le diré: Creo que no se lo debo; deje de exponerme a la pública vergüenza y demándenme o calle, que es el contenido, el espíritu, de esta acción de jactancia.
En fin, ustedes no han venido aquí a que les hable de Alfonso X ni de cosas por el estilo. Aunque me parece extremadamente actual el contenido de esta acción, y siendo abogado como soy, lo que más me interesa es la interrelación o en qué
afecta el reglamento del anteproyecto de ley que tramitan al funcionamiento de la Administración de Justicia. -Total, es donde vivo desde hace treinta años-. Hasta nueve veces el anteproyecto de ley y el reglamento citan a la Administración de
Justicia para establecer la relación entre ellos, y el reglamento y la ley son extremadamente claros. El considerando 20 del reglamento, al definir la interrelación existente entre la Administración de Justicia y los datos, dice: A fin de
preservar la independencia del Poder Judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en el
ejercicio de su función judicial. El control de esas operaciones de tratamiento ha de poder encomendarse a organismos específicos establecidos dentro del sistema del Estado miembro. Este precepto es recogido por el anteproyecto de ley y el
anteproyecto de ley, además, ha sido informado positivamente por el Consejo General del Poder Judicial porque se entiende que respeta esa división introducida en la Ley Orgánica del Poder Judicial, en el artículo 136 bis y siguientes, hasta el
decies, que distingue los datos jurisdiccionales de los datos no jurisdiccionales. Datos jurisdiccionales son aquellos que se incorporan al expediente judicial y, sobre esos datos jurisdiccionales, tanto el reglamento como la ley y el Tribunal
Supremo -sentencia de noviembre de 2011, Sala tercera-, están absolutamente de acuerdo. Esos datos escapan al control de las agencias de
protección de datos, que dependen del Poder Ejecutivo. Son independientes, pero no son Poder Judicial. Tanto el anteproyecto de ley como el propio reglamento entienden que esta asignación de los datos al Poder Judicial afecta a la
independencia judicial y tanto el reglamento como la ley entienden que el control de esas actividades se residencia en un órgano en España de forma natural -también lo establece el artículo 236 de la Ley Orgánica del Poder Judicial-, en el Consejo
General del Poder Judicial.
Hay algo que en la ley y en el reglamento se escapa, y es que los datos jurisdiccionales que componen el expediente judicial no solo están en el juzgado. Estos datos los tienen los procuradores y los letrados, que tienen una copia exacta
del expediente judicial. Es probable que tuviésemos que discutir con la Agencia Española de Protección de Datos si al llevar a cabo una inspección sobre nuestros ficheros estos archivos, donde los abogados y los procuradores tenemos los datos de
carácter jurisdiccional, entrarían o escaparían a esa competencia inspectora por parte de la autoridad de control. Pero voy mucho más allá porque me preocupa. Hay un grupo de datos a los cuales ni la ley ni el reglamento parecen prestar atención y
a los que no debe tener acceso realmente nadie. Se trata de los datos que el cliente comenta con su abogado.
Voy a contarles una anécdota y sigo con la ley. Recordarán que cuando la mujer de Bárcenas fue a visitarle a prisión llegó con una pizarrita y un rotulador que le fueron intervenidos por los funcionarios de prisiones. Uno se pregunta por
qué le querrían quitar a esta mujer la pizarrita y el rotulador. Si ustedes entran en una prisión, verán que hay instalado un sistema de grabación que se llama Marathon Evolution. Básicamente, usted no puede hablar con su cliente sin que los
mensajes pasen a través de ese sistema, que puede grabar o no en función de las instrucciones que haya dado el juez. -Recordemos que grabaciones de ese sistema le costaron su carrera al juez Garzón-. Además, la jurisprudencia europea es exquisita
y dice: Cuando un abogado contacta con su cliente no solamente tiene que poder hacerlo en secreto, sino que tiene que contactar en un ambiente tal que tenga la absoluta confianza de que se está comunicando con él en secreto. Estos datos, que
tienen que estar a salvo del Poder Ejecutivo y que incluso tienen que estar a salvo del Poder Judicial, ameritan o son dignos de una regulación o de una mención que tranquilice a los abogados en relación con la disponibilidad de sus datos para
personas que en principio no debieran conocerlos, más allá del secreto judicial que las leyes también protegen.
Pero a lo que iba: si el Reglamento General de Protección de Datos, la Ley Orgánica del Poder Judicial y el nuevo anteproyecto de ley orgánica dicen que los datos de carácter jurisdiccional se residencian en el Poder Judicial, ¿cómo se
comprende la situación actual? En el momento actual los datos de estos titulares son tratados por el Poder Ejecutivo estatal en zona ministerio, y por el Poder Ejecutivo autonómico en cada una de las comunidades que tienen transferidas las
competencias. Además, no parece que los estén tratando de forma uniforme ni siguiendo unos consejos o unas directrices que el Consejo General del Poder Judicial diese, porque no creo que el Consejo General del Poder Judicial pudiese desear que
Navarra tuviera un sistema, Avantius; que Cantabria tuviera otro, Vereda; que el País Vasco tuviera otro, Justizia.bat; que Cataluña tuviera otro, eJustícia; que Andalucía tuviera el Adriano o que Canarias tuviera el Atlante. Extraño, ¿verdad?
Este año los problemas en cuanto al tratamiento de datos de los juzgados y tribunales han alcanzado extremos preocupantes, no ya porque en julio este ponente que les habla tuviese que advertir al ministerio de que su sistema de
notificaciones, LexNET, estaba absolutamente abierto, sino porque con motivo del referéndum del 1-O se produjeron situaciones no demasiado deseables, como que los jueces de Cataluña en algunos casos evitasen colocar los datos de los procedimientos
sobre una infraestructura que no era controlada por ellos, sino por el Ejecutivo, porque el Ejecutivo o parte de él formaba parte de las personas sobre las cuales estos jueces y tribunales tenían que instruir. No parece razonable, desde un punto de
vista reglamentario, legal o de anteproyecto, que los datos jurisdiccionales sean tratados por poderes ejecutivos distintos del Poder Judicial, y ello sin perjuicio de que cada comunidad autónoma tiene perfectamente reconocidos los derechos a tratar
aquellos datos que no son jurisdiccionales, puesto que los Ejecutivos sí que tienen absoluta competencia para tratar todos aquellos datos, en las comunidades donde están transferidos, que no sean de naturaleza jurisdiccional. Yo sé que en la Cámara
se han defendido diversas posturas, y en esta misma Comisión me consta que hay partidos que han defendido férreamente, incluso antes de la tramitación de este anteproyecto de ley, que los datos de la Administración de Justicia no estén en manos del
Poder Ejecutivo sino en manos del Poder Judicial, sé que hay partidos que todavía no tienen del todo formada su opinión y sé que hay partidos que defienden justamente la opinión contraria, aunque, como siempre, las ideas van evolucionando. A mí me
parece que atenta al sentido común que administraciones que pueden ser objeto de investigación por parte de los juzgados y
tribunales sean aquellas que, por encima de las competencias que las leyes establecen, determinen cómo se han de tratar estos datos jurisdiccionales.
No quisiera aburrirles mucho más. De hecho -no sé cuánto tiempo llevo-, me parece que me he pasado y bastante. Creo que les he contado lo que podía contarles. Discúlpenme si les he hablado de Triboniano o de los hermanos Causby, pero creo
que podía tener cierto interés. Quedo a su disposición para, si es que soy capaz, responder a las preguntas que ustedes hagan.
El señor VICEPRESIDENTE: Muchas gracias, señor Muelas Cerezuela.
Turno de los grupos parlamentarios. El Grupo Mixto no interviene y el Grupo Parlamentario Vasco tampoco. Por el Grupo Parlamentario Ciudadanos, tiene la palabra su portavoz, el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, señor presidente.
Gracias, señor Muelas, por su intervención. Creo que ha hecho usted una aportación novedosa a estas comparecencias conjugando la profesión de la abogacía con la tecnología y ha aportado una visión diferente, sugerente y, por qué no decirlo,
también amena por lo didáctica que ha sido, así que muchas gracias.
Yo me voy a limitar a hacerle un par de preguntas relativas al colectivo al que usted representa en esta comparecencia. En concreto me voy a referir al artículo 19, donde se habla del tratamiento de los datos de contacto y de empresarios
individuales. ¿Cree usted que aquí falta una referencia concreta o explícita a los profesionales liberales, que parecen haber sido olvidados en la redacción? En segundo lugar, referido al artículo 34, ese listado de obligados a tener un DPD, un
delegado de protección de datos, ¿cree usted que falta o que sobra algún elemento en este listado? Usted ha sido decano del Colegio de Abogados de Cartagena. ¿Cómo considera esta obligación de tener un DPD que se establece para los colegios
profesionales?
Aquí dejo mi intervención. Gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Unidos Podemos, tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Muchas gracias, señor presidente.
Agradecemos al señor Muelas Cerezuela su intervención, muy didáctica, introduciendo una visión sobre cuestiones que en ninguna de las comparecencias habíamos entrado, no habíamos entrado específicamente sobre los datos judiciales, que
ciertamente no son objeto de este proyecto de ley, son objeto de la Ley Orgánica del Poder Judicial, que es la que determina las competencias al respecto, pero que en todo caso ha dado lugar a diversas comparecencias y actuaciones en el seno de esta
Comisión y parece muy interesante poder tratarlo, aunque sea tangencialmente, a la hora de hablar de este proyecto de ley.
Tenía preparadas varias cuestiones, pero sustancialmente van en la misma línea de las planteadas por el portavoz de Ciudadanos respecto a la autoridad de protección de datos en el marco de los colegios profesionales y respecto a los ficheros
de carácter personal, de contactos de empresas, que figuran también en el articulado de la ley. Me sumo a las mismas preguntas y le agradezco la comparecencia.
Muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Sixto.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Gracias, señor Muelas, por su comparecencia, por su ilustrativa y erudita intervención, completa y concluyente en el objetivo específico en el que se había focalizado. Podríamos compartir reflexiones en torno a la problemática del control
de los datos de naturaleza jurisdiccional o no jurisdiccional. El reglamento ha resuelto esa cuestión, pero como usted ha planteado quedan en el aire algunas otras sobre la titularidad de los ficheros y registros de esta naturaleza y el papel que
debe desempeñar el Poder Ejecutivo. No nos queda otra, en todo caso, que agradecerle no solo el compromiso con esta materia, sino en otro orden de cosas y en otros ámbitos denunciando algunos de los más escandalosos efectos de algunas de estas
actuaciones del Ministerio de Justicia.
Muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra el señor Barrionuevo.
El señor DE BARRIONUEVO GENER: Muchas gracias, señor presidente.
Señor Muelas, muy agradecidos por las amplias explicaciones que ha dado y me reitero en los comentarios de mi amigo Gómez Balsera en cuanto a lo amena que ha sido su intervención ante esta Comisión, además no desde el punto de vista
académico ni científico, sino desde la esfera de un profesional de la justicia, lo que va a enriquecer este debate. Me quedo con esa valoración positiva que ha hecho usted tanto del reglamento como del proyecto de ley y tomamos nota de las críticas
sobre la titularidad o no de los datos de carácter judicial, si tienen que estar en el Ministerio de Justicia o bien en el Consejo General del Poder Judicial, sobre lo que ha sido muy extenso en su explicación.
No voy a reiterar preguntas que ya han sido hechas por otros grupos, pero le voy a hacer dos preguntas. Estamos discutiendo que el reglamento contempla la edad para el consentimiento de los menores en los dieciséis años. Actualmente está
en catorce y el proyecto lo fija en trece. Me gustaría saber su opinión personal sobre este punto. Y también quería saber qué le parece que el proyecto garantice el derecho de las personas fallecidas, por tanto de sus familiares, de poder tener
acceso a esos datos, rectificarlos o, en su caso, suprimirlos y si cree que está bien regulado el derecho al olvido.
Muchas gracias, señor presidente.
El señor VICEPRESIDENTE: Gracias, señor Barrionuevo.
Para contestar las cuestiones que le han sido planteadas, tiene la palabra de nuevo el señor Muelas Cerezuela.
El señor MUELAS CEREZUELA (Exdecano del Ilustre Colegio de Abogados de Cartagena y especialista en la materia): Espero no defraudarles y responder con la máxima celeridad, señor presidente.
Referencia a las profesiones liberales el artículo 19. Sí, estoy con usted, creo que lo compartimos.
El listado de obligados a tener DPD y si me parece bien que los colegios profesionales lo tengan. Sí. De todas maneras, me gustaría que se estudiase la posibilidad de que no necesariamente cada uno de los 83 colegios profesionales de
España tuviese que tener un DPD, sobre todo los colegios de procuradores, que realmente son pequeñitos y les costaría mucho. Creo que es perfectamente posible cooperar para que las instituciones colegiales pueden tener un DPD, pero sin que ello
signifique una merma importante en cuanto a sus ingresos.
Don Sixto, muchas gracias, muy amable. No recuerdo que haya una pregunta concreta, pero me parece muy bien su reflexión. No creo que haya debate en cuanto a quién es el titular de los datos. Lo dejan bien claro el 236 de la Ley Orgánica
del Poder judicial, el Reglamento General de Protección de Datos y este anteproyecto de ley, si no es tocado, porque cuando quiere decir lo contrario lo dice, como el artículo 10: ... y los datos que no sean jurisdiccionales los tratará el
Ministerio de Justicia. Sin embargo, el silencio es elocuente cuando en el resto de los artículos no se dice quién los tratará porque se dice que son titularidad del Poder Judicial aunque, probablemente por un cierto pudor, no se dice: Y los
tratará... No, porque sabemos que en la actualidad se está produciendo esta dispersión de sistemas de tratamiento, que lo que están haciendo es que nos hayamos gastado diez veces cuando podríamos haber gastado solo una. La informática tiene una
ventaja, como las ideas. Cuando uno construye un submarino cuesta dinero, cuando construye el segundo cuesta mucho más, pero cuando uno lanza una idea o cuando uno lanza un programa informático, el resto son copias. En el mundo de la informática o
en el mundo de la información no hay escasez. Si usted ha descubierto un buen sistema para informatizar un solo juzgado de España ha informatizado los miles de juzgados de España; a ese precio. ¿Qué es lo que pasa? Que tenemos magníficos
sistemas judiciales, como el Avantius de Navarra, pero que en lugar de estar utilizando software de código abierto o software libre están utilizando software propietario base de datos Oracle, que creo que también la tiene Cataluña; el País Vasco no
sé si utiliza Oracle. Y para poder extender el sistema de Navarra, que es realmente bueno, a toda España -y que si no tuviera esas licencias podríamos disponer todos de él- resulta que al Estado, a lo que se llama el territorio común, le iba a
costar una pasta. Por eso, la inversión en informática no tiene por qué ser cuantiosa, pero sí tiene que ser inteligente, porque en informática el dinero es el precio de la ignorancia.
Señor Rallo, muchísimas gracias. ¿Qué le puedo decir? Encantado de oírle. Tampoco hay ninguna pregunta a la que haya de responderle y simplemente le diré que para un abogado como yo el que un
catedrático, una persona con profundos conocimientos científicos en el mundo del derecho, lo felicite créame que es algo realmente importante.
Muchísimas gracias también al Partido Popular. Sí, la ley es pertinente; la ley es necesaria; la ley hay que tramitarla. Sobre eso no cabe ninguna duda y creo que si el Gobierno ha tenido una iniciativa en este punto ha hecho muy bien.
Era lo que tenía que hacer y si no lo hubiera hecho probablemente habría que habérselo censurado con crudeza.
En cuanto a la edad, tienen ustedes un problema porque todas las edades tienen sus pros y sus contras. Son ustedes la voluntad del pueblo, así que a ustedes les va a tocar lidiar con ese toro; los trece años no parece que esté mal, aunque
sea a efectos de uniformidad. No voy a hablar de cómo se me ocurre a mí que se podría mejorar la regulación porque entonces voy a sacar a pasear el senadoconsulto Macedoniano y creo que ya he paseado demasiado latinos por aquí.
En cuanto a los fallecidos, solo me pregunto una cosa. Ahora se va a abrir el derecho -si la ley se aprueba- a modificar los datos de las personas fallecidas por parte de sus herederos. ¿Hasta cuándo? ¿Qué tipo de límite hay a esa
capacidad de modificación? Porque a mí, por ejemplo, pudiera interesarme decir: Oiga, el certificado de adhesión que expidieron a mi abuelo se lo expidieron porque mi abuelo estaba pasando mucho miedo, pero ese certificado de adhesión se obtuvo
por miedo. ¿Puedo yo tratar de corregir un certificado de adhesión que se expide en 1942? Ahora vamos a permitir rectificar determinados datos y ficheros de los fallecidos, ¿hasta dónde? Porque hay familias en España que se pueden remontar casi
hasta Enrique de Trastámara. Hay que poner algún límite, ¿verdad? Eso creo yo, o por lo menos a mí me gustaría ver un límite. Porque se puede decir que está la prescripción, que está el derecho al honor, que tiene veinte años, etcétera. Sí, pero
nunca ha habido la posibilidad de ejercer esta acción de rectificación; si ahora se abre un plazo de acción de rectificación, ¿hasta dónde vamos? No lo sé, probablemente sea producto de mi desconocimiento pero yo me quedaría mucho más tranquilo si
supiese que a partir de determinado momento acaba el derecho de rectificación y comienza la investigación histórica. No sé qué decidirán ustedes, supongo que incluso esto puede tener sus corolarios o sus correlatos con la Ley de memoria histórica,
pero ese no es trabajo mío, ahí están ustedes, ustedes son la soberanía popular y es a ustedes a quienes les toca dar a esta cuestión la mejor de las soluciones. A mí me parece bien que se puedan modificar algunos registros de los fallecidos porque
son realmente útiles, pero supongo que hay que dar una definición un tanto más perfilada de a qué puede dar lugar este derecho de rectificación. Discúlpenme si alguno de ustedes considera que lo que estoy diciendo en este momento está perfectamente
salvaguardado por alguna otra disposición legal. A mí no me parecía mal que se diera esta precisión.
Espero no haber agotado la paciencia del presidente. Creo que he terminado.
El señor VICEPRESIDENTE: En absoluto. Muchísimas gracias, señor Muelas Cerezuela, por sus aportaciones.
Suspendemos dos minutos la sesión. (Pausa).
- DEL SEÑOR PADÍN VIDAL, ABOGADO DEL DEPARTAMENTO DE DERECHO MERCANTIL DE GARRIGUES, RESPONSABLE DEL ÁREA DE PRIVACIDAD Y PROTECCIÓN DE DATOS. (Número de expediente 219/001056).
El señor VICEPRESIDENTE: Señorías, reanudamos la sesión y damos la bienvenida al tercer compareciente del día de hoy, don Alejandro Padín Vidal, abogado del Departamento de Derecho Mercantil de Garrigues y responsable del área de privacidad
y protección de datos. Tiene la palabra el señor Padín.
El señor PADÍN VIDAL (Abogado del Departamento de Derecho Mercantil de Garrigues, responsable del Área de Privacidad y Protección de Datos): Muchas gracias, señor presidente.
Yo también quiero agradecer a la Comisión la deferencia de haberme invitado a exponer la visión desde el punto de vista práctico del proyecto de ley. Mi objetivo es precisamente ese, hablar de la parte práctica desde una experiencia en mi
caso concreto de prácticamente nueve años en un operador de telecomunicaciones y otros nueve en un despacho de abogados, pisando el terreno y viendo en el día a día la problemática de la protección de datos. Últimamente hemos participado en algún
foro de debate y estudio específico, como la Fundación FIDE, con la que también hemos tenido la oportunidad de analizar en detalle algunas de las cuestiones específicas de este proyecto y del reglamento en general. Por tanto, quiero identificar, en
la medida de lo posible, aquellas experiencias que en las últimas semanas o meses
hemos vivido a la hora de adaptar una empresa al Reglamento de protección de datos y así aportarlas a la Comisión.
Antes de entrar en cuestiones prácticas quiero hacer unas consideraciones un poco teóricas pero que creo que enmarcan bien el contenido de lo que voy a decir después. Se ha hablado ya aquí en diversas ocasiones de que estamos ante un
derecho fundamental, obviamente, que si bien es instrumental porque permite defender otros derechos fundamentales como el derecho al honor, a la intimidad, etcétera, ha sido considerado por el Tribunal Constitucional como un derecho autónomo en sí
mismo. Así está recogido también en la Carta de Derechos Fundamentales de la Unión Europea y en el Tratado Fundacional. Y se ha repetido en varias ocasiones aquí que es la primera vez que un derecho fundamental se va a regular por una norma
eminentemente europea. Esto, más allá de ser algo digno de comentar o una sorpresa, es una buena noticia para los europeístas, para los que entendemos que Europa debe ser una verdad y no simplemente una entelequia o una formalidad. Si Europa es
una entidad como la que se quiere, un derecho fundamental europeo debe ser regulado a nivel europeo y no a nivel nacional. Esto que estoy diciendo me lleva a la siguiente reflexión y es que el propio reglamento europeo dice que solo se pueden
regular a nivel nacional aquellos puntos explícitos y limitados que el propio reglamento establece e incluso en un considerando específico dice que no se podrán copiar contenidos del reglamento, porque no tendría ningún sentido regular otras
cuestiones que no estuviesen explícitamente recogidas en el reglamento. ¿Por qué es así? Porque si precisamente pretendemos regular un derecho fundamental a nivel europeo y hacemos normas de desarrollo de ese reglamento a nivel nacional, al final
volvemos a lo que teníamos, veintiocho normas que regulan un derecho fundamental. Este es un derecho fundamental que el propio reglamento dice que tiene que circular libremente por toda Europa. Uno de los principios y objetivos fundamentales es la
libre circulación de los datos. Por tanto, si tenemos veintiocho regulaciones que en algún caso se contradicen vamos a conseguir que el derecho fundamental no se regule de forma coherente y unificada, que no circulen libremente los datos e incluso
en algún caso que se ponga en peligro, en riesgo ese derecho fundamental. Este enfoque me parece importante a efectos de algunas de las cuestiones concretas que luego comentaré.
Otro punto importante que quería poner de manifiesto y que también se ha comentado aquí con cierta sorpresa por algún compareciente anterior es que más que regular un derecho fundamental se regula un mercado. Yo creo que efectivamente se
quiere regular un mercado y no porque se esté regulando un mercado desde el punto de vista puramente patrimonial, sino un mercado que está basado en un derecho fundamental. Este es un elemento esencial. Este principio que he comentado antes de la
libre circulación de los datos nos da la visión de que no solo protegemos un derecho como el derecho a la libertad o el derecho a la vida, sino que estamos regulando un derecho que hoy en día es en sí mismo un activo que tiene un valor económico y
que se quiere en Europa que circule libremente. Puede parecer una obviedad pero creo que una de las cuestiones importantes en esta regulación es que debemos abrir el abanico de conceptos, debemos abrir ventanas, olvidarnos de prejuicios y ver que
estamos tratando de un activo, el dato personal, que hoy en día es el activo principal de muchos negocios y de muchas compañías. Por tanto, es absolutamente necesario, por supuesto, regular el derecho fundamental, pero es que ese derecho
fundamental hoy día es también un activo económico. Esto, a su vez, tiene otra consecuencia y es que es un activo económico que no tiene fronteras. Hoy día el valor económico de ese activo no se circunscribe a un territorio, a una jurisdicción, ni
siquiera a la europea. Es muy obvio, es evidente que hoy día los datos tienen valor precisamente por su circulación a nivel global, a nivel transfronterizo, de forma absoluta. Por tanto, debemos hacer un esfuerzo por colocarnos en una posición en
la que veamos toda la foto de forma abierta y no penar que por regular esto de forma nacional, dándonos en España una serie de normas que son muy protectoras, eficientes y explícitas, esto va a ser beneficioso. Hay que llegar, por supuesto, a un
equilibrio: no perder de vista el derecho fundamental pero tampoco perder de vista que estamos ante un mercado y ante un activo económico, con valor económico y real.
Por tanto, mi visión y la visión de los grupos de trabajo en los que he participado es que el desarrollo debe ser contenido, que la ley orgánica española -y ya siento que sea así, por una parte- no debería ser una ley que desarrolle todo el
derecho fundamental, sino que se limite exclusivamente a aquello que el Reglamento de protección de datos nos ha dicho. Tenemos que confiar -y así debe ser- en que el reglamento ya ha tenido en cuenta que estamos tratando un derecho fundamental y,
por tanto, las cuestiones importantes ya están reguladas en el propio reglamento. Si vamos más allá y superamos esa barrera de contención pueden ocurrir cosas de las que ya tenemos ejemplos y con esto entro en las cuestiones prácticas. Tenemos en
el proyecto de ley una disposición transitoria quinta que da una especie
de mecanismo para conseguir un plazo de prórroga para cumplir determinadas obligaciones del reglamento, que es la firma de los acuerdos de encargado de tratamiento, que dice que los acuerdos que se firmen antes del día 25 de mayo de 2018
podrán adaptarse a la nueva normativa cuando venzan o, si son indefinidos, en un plazo máximo de cuatro años. El primer comentario es que esta disposición transitoria, si las fechas van como esperamos, creo que debería retirarse del proyecto porque
no tiene ningún sentido. Pero, suponiendo que tengamos una norma así, ¿qué ocurre con los contratos firmados con proveedores que no están en España? Otro caso similar, una resolución de la CNIL, la Agencia de protección de datos francesa, de hace
escasamente dos semanas que permite que las evaluaciones de impacto de privacidad se realicen en un plazo de tres años, es decir, en vez de no antes del 25 de julio de 2018, sino en el plazo de tres años. ¿Qué ocurre con una empresa española que
tenga actividad en Francia o una empresa francesa que tenga actividad en España o en Alemania y que no va a hacer sus evaluaciones de impacto de privacidad? ¿Cómo regulamos esto? Son dos ejemplos muy concretos de que no tiene ningún sentido
regular de forma autónoma cuestiones que irían más allá de lo que permite el reglamento. Por tanto, como trabajo específico de campo se deberían identificar los puntos en los que el reglamento sí dice que hay que regular. Se ha hablado aquí de 56
o 58, pero las cuentas que hemos hecho nosotros son más reducidas porque tenemos que distinguir entre los casos en los que el reglamento dice 'este punto se regulará por derecho nacional' y los casos en los que dice 'salvo que el derecho nacional
diga otra cosa', que son cuestiones muy diferentes. Los puntos en los que el reglamento dice específicamente que esto se regulará por derecho nacional (Muestra un gráfico), según nuestras cuentas, son los apartados amarillos de este lado y no pasan
de dieciocho o veinte cuestiones que sí hay que regular obligatoriamente a nivel nacional. Por supuesto, hay otras; las que están en verde en este cuadro son las que se pueden regular, y se puede hacer o no, pero las que son obligatorias son esas
quince. Por tanto, yo, en las que están en verde, que son las que se pueden regular, aplicaría un criterio de cautela precisamente para no incurrir en esos excesos que al final nos van a poner en aprietos y dificultades interpretativas en el
mercado transnacional y, desde luego, no entraría en ningún caso a regular cuestiones que no están expresamente previstas en el reglamento.
Concluyendo con este enfoque, no sé si estamos a tiempo de reorientarla, quizá no, porque además yo también tengo muy claro, como se ha dicho anteriormente, que es urgente y necesario tener una ley de protección de datos, pero probablemente
reorganizarla implicaría casi volver a empezar o dedicarle un tiempo que no tenemos; ahora estoy hablando desde el punto de vista de los operadores jurídicos, de las empresas, de los asesores e incluso de los ciudadanos, de los interesados, que
tampoco tienen tiempo para que esto se retrase mucho más.
Un último detalle antes de entrar en las cuestiones prácticas, y enlazando con lo que decía al principio, es que estamos en la regulación de un mercado, que es un mercado global, y el propio reglamento -y ahí hace hincapié la Comisión
Europea en su comunicación del 28 de enero- dice que esta regulación es una oportunidad para Europa porque, entre otras cosas, nos sitúa en primera línea a nivel mundial en cuanto al nivel de exigencia en el cumplimiento y en la protección de los
datos. Yo aplicaría eso mismo a España. Tenemos que tener la visión de que la regulación que hagamos en España nos puede permitir situarnos en primera línea en cuanto a competitividad en ese mercado de los datos. Si optamos por una norma que va a
plantear limitaciones, restricciones, complejidades y dificultades de interpretación, las empresas que quieran actuar en Europa se van a ir a otro país. Si queremos aprovechar esta oportunidad -es una oportunidad única que no se repetirá en mucho
tiempo-, tenemos que saber que estamos hablando de un mercado tecnológico mundial y que España puede ser un punto de entrada de negocio basado en los datos. Con esto no estoy diciendo en absoluto que no vayamos a regular, al contrario, siendo
garantistas -aquí además tenemos una ventaja y es que tenemos una tradición de garantías en materia de protección de datos que está muy por encima de la práctica mayoría de los países europeos- podemos apalancarnos en esa garantía, en esa tradición
jurídica, en esa seguridad para ponernos en primera línea en cuanto a competitividad en materia de mercados de protección de datos.
Voy a empezar a desgranar algunas de las cuestiones jurídicas que, como planteaba, estamos viendo que suponen dificultades a la hora de adaptar empresas al Reglamento de protecciòn de datos y que nos pueden servir como imagen de, si estamos
a tiempo todavía, poder aprovechar el trámite de creación legislativa en España para solventar alguno de esos problemas. En mi caso, he tenido experiencias -y aquí retomo el hilo del compareciente anterior- como abogado tecnológico. Los abogados
tecnológicos siempre hemos sido los raros de la abogacía; cuando yo estaba en la empresa de telecomunicaciones era raro porque era abogado y ahora, que estoy en un despacho, soy raro porque soy tecnológico, pero al final
lo que pretendemos, lo que pretendo yo aquí es tratar de aunar esas dos vertientes de la tecnología y el derecho y, en mi caso en particular, la práctica profesional como abogado en materia de protección de datos para aportar alguna cuestión
de las que todavía no se ha hablado.
Muchas de las cuestiones que tenía preparadas se han comentado anteriormente en el día de hoy y de otras que también tenía preparadas tampoco las voy a comentar porque ya se han planteado en comparecencias anteriores, si bien quedan algunas
que creo que pueden ser interesantes. El primer problema que tenemos es el enfoque de la norma, de una norma basada o establecida desde un punto de vista más anglosajón en cuanto a conceptos jurídicos determinados, en complaints, en
accountabilities, en esas cosas que se plantean cuando habla uno con un empresario del día a día no sabe de qué estás hablando, no tiene idea. ¿Me va a poner una sanción por no saber esto de lo que estamos hablando? Efectivamente, tenemos una
norma basada en conceptos jurídicos indeterminados y yo creo que en la ley española deberíamos tratar de evitar duplicar ese enfoque. El reglamento está lleno de conceptos jurídicos indeterminados, de análisis de riesgos, de enfoques basados en el
riesgo y lo que quiere el empresario y lo que quiere el interesado -porque cuando hablo de empresario no es porque yo esté dando la visión de los empresarios, a los que no represento en absoluto, estoy dando la visión del mercado. Las dificultades
de los empresarios son también la otra cara de la moneda de las dificultades de los interesados en este caso- es seguridad jurídica, no quiere interpretar un concepto jurídico indeterminado que al final se convierta en un problema. Esto es
especialmente importante en las pymes, de las que depende la gran mayoría del tejido económico español, y afecta también a una cuestión eminentemente jurídica, que es el procedimiento administrativo sancionador, al que me referiré después, pero
cuantos más conceptos jurídicos indeterminados, más dificultades tendremos para acotar un tipo sancionador o un tipo infractor.
Observo cierta indefinición en el ámbito territorial de la norma, precisamente por estas cuestiones que comentaba anteriormente. Es decir, una empresa que tiene actividad en España, en Francia y en Italia, ¿a qué ley se va a atener? ¿Qué
es lo que va a tener que cumplir, el acuerdo encargado del tratamiento español o las evaluaciones del impacto de privacidad dentro de tres años de Francia o lo que diga la ley italiana cuando salga? Creo que esto se evita precisamente con la
contención a la que me refería: cuanto más contenidos y más nos quedemos en el ámbito reglamento, menos tendremos este problema.
Voy a referirme también, y no en el mismo orden en el que está en el reglamento o en la ley, a algunos puntos que considero importantes, como la cuestión de la portabilidad, de la que se ha hablado. No comparto el criterio del compareciente
anterior en cuanto a que la portabilidad se ha puesto a favor de las empresas, pero tampoco comparto que sea algo a favor de los interesados. La portabilidad, tal y como está en el reglamento, no la entiendo. La portabilidad está estupendamente
cuando está organizada. Tenemos el ejemplo en España, donde funciona perfectamente la portabilidad telefónica tanto en fijo como en móvil, que está basada en una actividad que inicialmente hacía la antigua CMT y posteriormente la CMT cuando aún era
CMT, y privatizó en los operadores, a los que se les dijo en su día: Organizad una asociación. Es obligatorio que os asociéis todos y esa asociación tiene que disponer de una tecnología a la que se conecten todos los operadores. Por tanto,
funciona perfectamente la portabilidad porque todos los operadores están conectados en tiempo real y eso circula de forma perfecta con unos estándares técnicos tanto de almacenamiento como de comunicación, que están regulados. Yo he oído por ahí
decir que la portabilidad de datos está muy bien porque así uno se puede cambiar de operador de teléfono. Es que eso ya está, eso ya lo tenemos, para eso no hace falta la portabilidad. La portabilidad, tal y como está en el reglamento, implica que
alguien le pida al Banco Santander que dé sus datos a Google o que le diga a Facebook que le dé sus datos a la compañía de seguros o que le diga al colegio de los niños que dé sus datos a Google. Es decir, el cien por cien de las empresas tienen la
obligación de dar la portabilidad al cien por cien de las otras empresas; luego, no tiene ningún sentido si eso no está organizado de alguna manera. Lo cierto es que el reglamento afortunadamente contiene una mención que es: Siempre que sea
técnicamente posible, que yo creo que es la agarradera que de momento va a salvar el esquema. La otra pata de la portabilidad es que el usuario también puede pedir los datos individualmente, pero para eso ya tenemos el derecho de acceso, para eso
no hacía falta la portabilidad. Creo que hay recorrido todavía, quizá para mercados nuevos, pero privatizados no regulados. Ahí es donde yo hecho en falta quizá alguna mención para que se regule ese mercado.
Voy a pasar a la cuestión del consentimiento y la información. En los dos casos, evidentemente es algo que suponía la base del esquema del cumplimiento anterior tradicional de la directiva y de la actual LOPD. Para tratar datos hay que
tener un consentimiento -ahora, junto con otras bases posibles- y hay que informar. ¿Qué ocurre? Que el reglamento nos dice que el consentimiento tiene que ser
específico y explícito para cada finalidad y en el proyecto de ley, además, el artículo 6.2 nos dice que todas las posibles finalidades tienen que ser aceptadas cada una de ellas. ¿A qué nos lleva que tengan que ser aceptadas cada una de
ellas y no todas ellas, como dice el reglamento? Nos lleva a que tengamos -como se dice por ahí, en las leyendas callejeras- algunas cláusulas de trece tips, de trece cosas que hay que poner de si quiero o no quiero que al final al usuario no le
facilita precisamente la idea. Si unimos a eso otras posibles casillas que salen de la regulación, que son las que encontramos cuando hablamos de la base jurídica del interés legítimo, en las que hay que ofrecer el derecho de oposición y, por lo
tanto, en ese caso la casilla es 'no quiero que trate mis datos', nos podemos ver en situaciones de que tengamos trece casillas de las cuales doce o diez son para poner 'sí quiero' y dos son para poner 'no quiero'. Y, además, para entenderlo, el
usuario tiene que leerse la información que, como tiene que ser exhaustiva, transparente y completa, son cuatro páginas de información que por supuesto ni se va a leer; o bien va a ticar todas las boxes, todas las casillas; o a no ticar ninguna.
Con lo cual, al final no se sabe qué se está haciendo con los datos.
¿Qué quiero decir con esto? Que lo que está muy bien, que es que la información sea clara, que el consentimiento sea explícito, no lo podemos llevar al extremo de que sea un galimatías y que no se entienda. Por eso tenemos una propuesta
concreta, que es que en el artículo 6.2 se hable de que haya que aceptar todas las finalidades y no cada una de las finalidades, porque, como digo, esto puede ser un verdadero problema junto con la información. A título de ejemplo, traigo un
documento de información que es el que habría que incluir en un contrato de trabajo si cumplimos el Reglamento de protección de datos. Esto está a doble página y salen unas diez páginas de información porque hay que contar, aparte de cada uno de
los tratamientos, la base legal de cada uno de los tratamientos y hay bases legales distintas cuando hay una relación jurídica compleja, los destinatarios de esa información, las transferencias internacionales, el plazo de conservación; y después
los derechos inherentes a cada una de las bases legales, que, si tenemos interés legítimo, le damos el derecho de oposición, si tenemos los datos dados por el usuario, tienen el derecho de portabilidad; y además tiene después los tradicionales de
acceso. Es decir, esto se convierte en un verdadero galimatías, que no es lo que se quiere, y aquí el interesado es el principal perjudicado y no la empresa, porque esta al final redacta cinco u ocho páginas la primera vez, las cuelga en Internet,
y que se arregle todo el mundo. Pero el usuario se va a ver inundado porque en vez de un parrafito -antes no se leía el parrafito, por supuesto, y era una de las principales críticas, que teníamos un parrafito, por el artículo 5 de la LOPD que
nadie se leía-, pero es que ahora vamos a tener ocho páginas que nadie se va a leer y que no se va a saber lo que se quiere hacer. Yo creo que sí tenemos un margen para dar un poco de cordura en el planteamiento de la norma.
Otro de los problemas que acucian realmente a las empresas cuando están intentando cumplir -y de nuevo repito porque no quiero en absoluto que se interprete mal el enfoque-, si la empresa que quiere cumplir ve que hay un problema que le
acucia, en el otro lado está el interesado y tanto el problema como la resolución van a afectar a los derechos del interesado: son las medidas de seguridad. Aquí yo tengo quizá la única queja del cambio de enfoque. En España teníamos un estupendo
sistema de medidas de seguridad perfectamente desarrollado y establecido y reflejado en un real decreto de obligado cumplimiento que nos permitía tener un estándar objetivo de referencia no digo que sencillo, pero sí sencillo de cumplir porque
alguien que quisiera cumplir sabía que simplemente cumpliendo todas las medidas de esa lista ya tenía todo resuelto. ¿Qué pasa? Pues que ahora el nuevo enfoque del reglamento elimina eso y aquí nos quedamos en peor situación de lo que estábamos.
Las empresas dicen ¿y cómo cumplo yo ahora las medidas de seguridad? Porque tenemos los sistemas previstos de certificación, tenemos los sistemas previstos de códigos de conducta, pero son sistemas previstos que no van a estar el 25 de mayo y, por
lo tanto, antes del 25 de mayo, el que quiera cumplir tiene que tomar decisiones en el sentido de o me invento las medidas de seguridad y justifico que son las buenas, o me sigo agarrando al Real Decreto 1720/2007, que es algo que podría ser una
cuestión que se reflejara en algún sitio, no sé si en el proyecto de ley o en alguna norma de desarrollo inmediatamente posterior y que se pueda salvar de ese Real Decreto 1720/2007 un marco objetivo de referencia en materia de medidas de seguridad,
porque sería, de verdad, absolutamente, una buenísima noticia para las empresas en cuanto a costes, en cuanto a cumplimiento. Y además porque era un sistema validado y que funciona. Esa era la única queja porque, frente a otros países europeos,
esto lo teníamos ya ganado, es que aquí no necesitábamos nada más que cumplir esa norma que en otros países europeos no tenían y que muchas veces estaban en peor situación en cuanto a cumplimiento de medidas.
También me voy a referir a cuestiones de publicidad y de cookies. Realmente tenemos un problema con las cookies. Los dispositivos que se almacenan en los ordenadores y que sirven para recabar información que se utiliza -si se utiliza bien-
para cosas que todos queremos, porque, con esto de la tecnología, vuelvo a repetirlo, todos queremos que la tecnología nos ayude a hacer cosas y que tengamos desarrollos tecnológicos y que podamos servirnos de la tecnología para nuestra vida diaria
o para los negocios. Para que eso sea así, en la otra parte hay desarrollos tecnológicos entre los que están las cookies. Por lo tanto, las cookies como elemento bueno de la vida diaria de los interesados y de los negocios son necesarias. Y la
regulación de las cookies está en este momento en un estado de incertidumbre absoluta que está planteando enormes dudas y enormes preocupaciones a los operadores económicos. ¿Por qué será así? Porque las cookies se regulan en otra norma distinta,
que es la Ley de servicios de la sociedad de la información, que en el artículo 22 se remite a efectos de consentimiento e información a la LOPD de 1999, con lo cual cuando alguien que gestiona cookies tiene que revisar cómo va a informar ahora de
las cookies, tiene, por una parte, la obligación del reglamento y de la ley orgánica, pues tiene que informar por separado según finalidades y demás y obtener consentimientos expresos; y, por otro lado, tengo que dar toda la información del
artículo 13 del reglamento. Eso, si pensamos en lo que son las cookies, todos vemos que el banner absolutamente engorroso que tenemos cuando entramos en una web, que todos buscamos dónde está la crucecita para hacerlo desaparecer, no es ya que no
se lea, es que es un estorbo, ahora, según lo que tenemos que hacer, nos va a aparecer, no un banner pequeñito, sino toda la pantalla ocupada con una política de cookies o algo así.
¿Qué es lo que tenemos que hacer? Aquí yo entiendo que el reglamento contiene una previsión, que es el artículo 95, que deja al margen todo lo relacionado con la directiva de comercio electrónico y establece que el reglamento no implicará
en ningún caso obligaciones adicionales para los usuarios; y tenemos la normativa de la LSSI que sigue estando en vigor mientras no se modifique con el reglamento de e-privacy. Yo creo que ahí no estaría de más que el proyecto, y la ley en su
caso, incluyera una mención similar al artículo 95; es decir, que el ámbito de la LSSI no va a implicar obligaciones mayores y que no va a hacer falta cambiar el sistema de consentimientos de la LSSI, que por ser una ley especial puede seguir
siendo perfectamente aplicable a estos efectos.
Otro punto que también se ha comentado, al menos en una de las comparecencias, es el artículo 52 del proyecto y la posibilidad que tiene la Agencia de Protección de Datos de requerir información. Este artículo tiene realmente algunos
problemas que quizá son de encaje con la legislación actual en materia de conservación de datos, que, como saben, procede de una directiva que ha sido anulada por el Tribunal de Justicia de la Unión Europea y, por tanto, hay que tratar con cautela.
A mí se me antoja quizá excesivo que la Agencia de Protección de Datos pueda exigir a un operador de telecomunicaciones o a un operador de servicios de la sociedad de la información que, sin orden judicial, aporte información para investigaciones.
O sea, no en el ámbito de otro tipo de expedientes judiciales, sino en el ámbito de un procedimiento administrativo sancionador; o incluso en el ámbito de un expediente de información. Además, hay algunas cuestiones que no encajan bien con la
regulación de conservaciones. Se dice, por una parte, que hay que proporcionar determinada información, según sean operadores de comunicaciones electrónicas o de la sociedad de la información, pero alguna de esa información no está incluida en la
ley de conservación, con lo cual el operador puede no tenerla. Además, en el caso de los servicios de la sociedad de la información, muy habitualmente no va a tenerla, porque la IP desde la que se crea una dirección de correo electrónico, por
ejemplo, no tiene por qué tenerla el operador que le da servicio a ese usuario porque se puede haber dado de alta en otro lugar. Además, el artículo parece excluir de todo su contenido todo aquello que sí está contenido en la ley de conservación,
con lo cual nos lleva a que en la mayoría de las cuestiones que puede requerir la agencia, un operador se pueda oponer porque tiene que conservarlas en virtud de la Ley de conservación de datos. Yo creo que este artículo, por lo tanto, requeriría
cierto ajuste para evitar incoherencias e inseguridades en cuanto a qué hay que conservar y qué es lo que hay que dar y qué es lo que puede pedir la agencia.
Un apunte sobre el delegado de protección de datos. Creo que se ha hablado ya de la situación de disparidad entre empresas obligadas y no obligadas a tener delegado de protección de datos en relación con esta facultad que tiene la Agencia
de Protección de Datos de referir las reclamaciones de usuarios al delegado de protección de datos para que conteste en dos meses. Aquí las empresas que tengan delegado de protección de datos van a estar en cierta ventaja frente a las que no lo
tengan, independientemente de lo que comentaba la semana pasada uno de los comparecientes sobre que esto puede dar lugar a algunas negociaciones extrañas en algún ámbito. De hecho, ya ocurre hoy día, y eso
puede pasar. Se me ocurren dos soluciones para estos problemas, en primer lugar, que se puedan remitir también reclamaciones de usuarios a empresas que no tengan delegado de protección de datos, con lo cual estaríamos en paridad de
circunstancias -además, yo veo bien que sea potestativo y no obligatorio por parte de la agencia- y, en segundo lugar, para evitar este tipo de negociaciones extrañas se podría incluir expresamente como atenuante acreditar que la empresa ha
intentado llegar a un acuerdo, lógicamente, no a un acuerdo irrazonable o a cualquier precio, pero sí un ofrecimiento razonable de algo que palíe el perjuicio ocasionado. El problema que tenemos en esto es que en una negociación en la que en un
lado de la balanza están sanciones de mucho importe y en el otro lado está un perjuicio que en cada caso será diferente, la balanza puede estar descompensada.
En cuanto al sector público, quisiera comentar una cosa que no se ha dicho porque se ha hablado mucho de esto. En relación con el sector público y el tema de si sanciones o no, entiendo como razonables los argumentos que se han empleado,
pero también hay un problema cuando hay una empresa que se relaciona, en este caso hablo también de los tribunales. Casos concretos es cuando un tribunal requiere a una empresa determinada información. Estoy pensando, por ejemplo, en el ámbito de
la salud. En un accidente de tráfico, por ir al caso más sencillo, un juzgado de instrucción requiere a un hospital el historial médico o el parte de urgencias de un usuario. ¿Cómo se hace esta petición? Por fax. ¿Cómo le dice el juzgado al
hospital que mande la documentación? Por fax. Estamos hablando de datos sensibles, de historiales médicos. He hablado con algún responsable de hospital que me decía: ¿qué hago, incumplo la orden judicial diciéndole que está pidiéndome que
incumpla las medidas de seguridad más básicas o le mando eso e incumplo la Ley de protección de datos, porque al final el fax no cumple ninguna de las medidas que me exige a mí la norma? Eso tiene como consecuencia que el juzgado tiene muy poco
incentivo para cumplir y, sin embargo, la empresa tiene una situación de riesgo muy elevado de incumplir o una orden judicial o una norma como es la normativa de protección de datos.
No quiero hablar de más cuestiones prácticas, ya ven que he desgranado varias; simplemente quiero aportar dos ideas que creo que podrían tenerse en cuenta, en las que no sé si estamos a tiempo de intervenir. Una es que se pueda barajar el
concepto de banco de pruebas o sandbox en inglés, a efectos de nuevos desarrollos tecnológicos que tratan datos. Es un concepto que ya está incorporado de forma normativa en algunos ordenamientos, que incluso en España en el ámbito del fintech se
está valorando y que sería muy interesante que no solo en el ámbito del fintech, sino en el contexto del tratamiento de datos -fintech incluido- se establezca la posibilidad de que se permitan entornos de desarrollo de tecnología y de productos y
servicios nuevos basados en datos, sin que tenga que estar validado previamente el sistema de forma absoluta. También quiero matizar la cuestión, porque no se trata simplemente de decir: ancha es Castilla, hagamos lo que queramos. El ámbito del
banco de pruebas permite que en un entorno controlado y limitado -y, por tanto, temporalmente limitado y controlado de forma focalizada y detenida-, se puedan establecer unas reglas de juego que no necesariamente implican la consecución de los
objetivos al cien por cien de lo que exige la norma, porque está destinado precisamente a productos y servicios nuevos, a desarrollos tecnológicos que no están testados y que, por tanto, en muchos casos no se puede saber cuál es la consecuencia. El
enfoque consistiría en que, para ese tipo de desarrollos tecnológicos que se acojan a un ámbito de banco de pruebas, se pueda establecer un régimen que no sea el régimen sancionador íntegro de imposición de sanciones por incumplimiento, sino el de
ver qué pasa y monitorizar el servicio para ver si funciona o no y aprovechar así las ventajas de la tecnología. Aquí enlazo con lo que decía al principio, esto puede ser una puerta a ponernos a la cabeza del desarrollo de la tecnología a nivel
europeo o a nivel mundial para los que vienen de fuera de Europa y de poder ofrecer España como jurisdicción de interés para desarrollos en el ámbito de la tecnología.
Por último, en cuanto a normas sectoriales, echo de menos también -probablemente el tiempo que tienen como legisladores para desarrollar la norma ya no permita incluirlo- algo que habría sido muy interesante, que se hiciese una revisión de
las normas sectoriales que tratan de protección de datos en distintos ámbitos, el financiero, el ámbito de seguros, en muchos otros ámbitos que además ya están compendiados. He visto el dosier de la Cámara, que tiene un listado muy completo de
normas de distintos sectores que tratan cuestiones de datos personales. Probablemente esto va a ser un problema para algunos sectores cuando las remisiones a la LOPD haya que hacerlas a la nueva LOPD o al reglamento y no encajen los conceptos y no
encajen los criterios, con lo cual habrá que interpretar. Y todo lo que es interpretación en esto supone riesgos.
Nada más; me pongo a su disposición para lo que deseen comentar.
Muchas gracias.
El señor VICEPRESIDENTE: Muchísimas gracias, señor Padín Vidal.
Pasamos al turno de los grupos parlamentarios. El Grupo Mixto no interviene. Por el Grupo Parlamentario Vasco, el señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente, y muchas gracias también al compareciente por la amplia exposición que nos ha hecho, muy interesante por cierto.
Simplemente quiero hablar de un aspecto en cuanto al comentario que ha hecho respecto a los estándares antiguos objetivos a efectos de medidas de seguridad y el nuevo modelo, que va a ser una responsabilidad activa, es decir, que el gestor
de los datos tiene que valorar en cada momento los riesgos que está corriendo en función de los datos, los sistemas, etcétera. Me ha parecido entender que esta es una cuestión que usted consideraba que es dispositiva, y parece que forma parte del
modelo del reglamento que esto sea así, o lo he entendido yo mal. Era simplemente esta cuestión.
El señor VICEPRESIDENTE: Gracias, señor Legarda.
Por el Grupo Parlamentario Ciudadanos, señor Gómez Balsera.
El señor GÓMEZ BALSERA: Muchas gracias, señor presidente.
Gracias, señor Padín Vidal, por su, como ya se ha dicho, interesante comparecencia, muy clarificadora en muchos aspectos, algunos de los cuales compartimos.
Me gustaría pedirle, en su calidad de abogado mercantil, dado que usted lo ha apuntado como un temor y un riesgo, si no tiene inconveniente, que se moje y nos diga si en esta inevitable disyuntiva en la que nos movemos: por un lado, la
protección de un derecho fundamental de las personas físicas y, por otro, ese posible perjuicio que podríamos ocasionar a la competitividad de las empresas nacionales si nos excedemos en ese celo respecto a la protección, ¿de qué lado considera
usted que se inclina este proyecto de ley? O, dicho de otro modo, ¿cree usted que el proyecto de ley contempla un modelo más proteccionista que el del propio reglamento? Y si así fuera, ¿qué aspectos concretos -tres, cuatro- subrayaría usted como
los más importantes en los que corremos ese riesgo de perjudicar a la competitividad de las empresas, ese riesgo de que se produzca un éxodo al que usted se ha referido?
Nada más, simplemente quisiera pedirle si es usted tan amable de compartir con esta Comisión este cuadro que ha exhibido, ya que se ha tomado la molestia de hacer ese estudio y esa comparación con clasificación de materias en las que el
reglamento remite a la regulación interna de los Estados.
Muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea, tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Gracias, señor presidente.
Gracias, señor Padín Vidal, por sus aportaciones, que a mi grupo parlamentario, en principio, no le suscitan un entusiasmo exacerbado a la hora de hablar de un mercado basado en derechos fundamentales. Para mi grupo parlamentario lo
fundamental es la protección del derecho y, sobre todo, en un marco en el cual nos enfrentamos a muy grandes empresas trasnacionales fuera de nuestro territorio, frente a las cuales los ciudadanos nos vemos muchas veces absolutamente empequeñecidos
y nos podemos ver privados de poder ejercer nuestro derecho y defender nuestro derecho, en este caso a la propiedad de nuestros datos, al acceso y a la garantía de que no se van a utilizar de una forma perversa o contra nuestros intereses.
No obstante, mi grupo parlamentario es sensible, como no puede ser de otra forma, a la posibilidad de que cualquier normativa siempre sea una oportunidad y no un lastre para la actividad económica en nuestro país. A ello somos sensibles,
como el resto de fuerzas políticas, y todas las cuestiones que ha planteado las vamos a revisar con detenimiento. Hay algunas que nos parecen interesantes y que además forman parte de la vida cotidiana de las personas, como la cuestión de las
cookies o lo relativo al consentimiento, que entrañan una dificultad a la hora del acceso en la vida diaria de las personas a cualquier página web, pero tampoco porque supongan una dificultad tienen que conllevar que nosotros quitemos la garantía
jurídica; las personas tenemos que ser conscientes siempre cuando estamos cediendo nuestros datos de en qué condiciones los estamos cediendo y a quién se los estamos cediendo.
Me han parecido interesantes las cuestiones relativas a las medidas de seguridad, mantener el estándar legal o defender que dicho estándar continúe hasta el establecimiento de uno nuevo. Temas como el de los factores atenuantes en los
delegados de protección de datos son cuestiones a revisar.
Quiero relacionar lo que ha dicho respecto a la transferencia de datos entre las empresas y la Administración de Justicia con la intervención que hemos tenido del ponente anterior respecto al funcionamiento de la propia gestión de datos de
la Administración de Justicia, porque hay que reconocer que es un problema de dicha Administración, que además le toca a esta Comisión. Hay otras cuestiones en las que lamentamos no coincidir. Me detengo sobre todo en una, en el deber de
colaboración, artículo 52. Además, creo que la propuesta que usted haría sería muy similar a la que nos han pasado desde alguna asociación, en la cual prácticamente la petición que hay es eliminar la gran mayoría del texto del artículo 52.3. La
verdad es que para mi grupo parlamentario, más allá de la obligación legal que hay de sujetarse al Poder Judicial en las cuestiones que se suscitan ahí, sí tiene que haber un deber de colaboración que debe ser contemplado. Esta es una de las
cuestiones con la que menos de acuerdo estaríamos en la propuesta que hace, sobre todo porque no viene a contradecir la defensa de los derechos fundamentales que tiene que acabar protegiendo este texto legal.
Quiero agradecerle su comparecencia. Nada más, señor presidente. Muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Sixto.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Gracias, señor Padín. Ha sido una intervención ciertamente muy rica, muy sugerente, en la que hemos ido de lo más general a lo más concreto y en cuestiones concretas, como no puede ser de otra forma, unas son compartidas y otras no. Ya le
ha apuntado el portavoz, señor Sixto, una que nosotros tampoco compartimos. Se trata de esa preocupación relativa al artículo 52. No lo vemos porque, entre otras cosas, lo único que hace el proyecto de ley es legalizar el statu quo, es decir, no
innova ni le atribuye a la agencia competencia adicional que en este momento no esté ejerciendo. Ese es un punto. Tampoco acabamos de ver las preocupaciones referidas al artículo 37 y al papel del DPO en esa hipotética competencia que no sé de
dónde se deduce o facultad para facilitar negociaciones previas a la interposición de reclamaciones. Eso no tiene amparo en el reglamento y, por tanto, esa vía no puede constituir una barrera para que los ciudadanos ejerciten efectivamente ese
derecho. Tampoco acabamos de ver la preocupación relativa a las cookies, pero compartimos completamente la referencia que ha hecho a las medidas de seguridad y ver cómo podemos ofrecer un anclaje que aporte algo de seguridad a todos los operadores.
Nos tememos que la cuestión del consentimiento e información y la referencia a todas y cada una de las finalidades no tiene solución. Cada vez que leemos la referencia del proyecto seguimos sin ver diferencia sustantiva entre lo que prevé el
reglamento y lo que prevé el proyecto de ley. Más bien pensamos que lo que ha hecho la agencia o el proyecto de ley es, con la fórmula del 'cada una de ellas' aportar esa seguridad jurídica para los operadores, pero al parecer no ha satisfecho esa
aspiración. No se va a resolver el problema aplicativo posterior recuperando la fórmula del 'todas las finalidades'. Sí compartimos una cuestión principal de su intervención y es la necesidad de preservar, garantizar y aportar en la técnica
legislativa la mayor claridad y seguridad jurídica. Por eso, cada vez que oímos a algún compareciente apelar a la urgencia en la aprobación de este proyecto de ley no tenemos por menos que pensar que mal favor le haríamos precisamente a este país
si hiciéramos pronto y rápido el trámite legislativo, cerráramos los ojos y se pudieran hacer cosas que luego las tuviéramos que pagar con el tiempo, máxime cuando quien es el responsable de este retraso no es el legislador sino, como usted bien
sabe, dejémoslo en otros.
Usted no lo ha mencionado -le alabo casi el gusto a estas alturas-, pero yo sí quiero mencionar el tema de la edad del consentimiento del menor, al menos para pedirle su opinión, porque vemos que hay una posición que defiende mantener, en
contra del reglamento -el reglamento habla de dieciséis años-, la edad de trece años, atendiendo a dos elementos: uno, que es evidente que hay dos modelos en todos los países europeos, no hay uno mayoritario y otro minoritario, porque la mitad de
los países están optando por los dieciséis y la otra mitad por los trece, grosso modo; por el contrario, el argumento de autoridad que acaba implantándose o esgrimiéndose de que como en Irlanda están basadas las compañías tecnológicas que luego
suministran servicios a los menores, ese parece que es un argumento de autoridad. Le pregunto si ese puede ser un argumento de autoridad, si que haya un par de empresas o tres instaladas en un país por razones coyunturales de beneficios fiscales
puede ser la referencia para el legislador nacional o puede ser el argumento de autoridad concluyente. Esa es mi pregunta. La pregunta del millón -pero esa no me la va a poder contestar porque no tiene tiempo para hacerlo, creo- es la de cuáles
serían esos excesos. Es totalmente compartido que este proyecto de ley debería ser un proyecto de mínimos, no de máximos, como casi ha acabado siendo, pero usted ha hecho algunas referencias sin
bajar al terreno concreto y eso es lo que nos sería útil: cuáles cree usted que son esos excesos que rebasan la habilitación que el reglamento otorga al legislador nacional para adaptar el reglamento y para especificar determinadas reglas.
Nada más y muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra el señor Martínez.
El señor MARTÍNEZ VÁZQUEZ: Muchísimas gracias, señor presidente.
Gracias, señor Padín, por su comparecencia. Coincido con mis compañeros que me han precedido en el uso de la palabra en que ha sido, efectivamente, muy instructiva para esta Comisión porque, entre otras cosas, usted ha descendido a un
terreno muy práctico tras hacer una reflexión de carácter general y, además, ha evitado repetir algunas de las cuestiones que se habían planteado ya por comparecientes anteriores, lo cual le agradecemos, al igual que, como no podía ser de otro modo,
el esfuerzo de que un profesional en la materia pueda ilustrar a esta Comisión con su experiencia y su valoración. Fíjese, en la reflexión general creo que lo que trataremos de hacer en esta Comisión es regular indudablemente la protección de un
derecho fundamental, con la singularidad que supone que se desarrolle por primera vez un derecho fundamental íntegramente en una norma comunitaria, en una norma de la Unión Europea, y también crear un mercado. Creo que las dos cosas deben ser
compatibles, y en ese sentido coincido con su reflexión acerca de la necesidad de no poner impedimentos o trabas innecesarias a la competitividad de nuestro país, porque, más allá de que a nosotros nos guste más o menos, la realidad es que ya es un
mercado y, de hecho, es un mercado importantísimo y en crecimiento.
Usted nos ha planteado una crítica importante al proyecto en cuanto que considera que es excesivamente reglamentista con respecto al reglamento y va más allá, a lo mejor, de la regulación que sería estrictamente necesaria. Creo que es algo
que aquí también hemos discutido en comparecencias anteriores. Lo que pasa es que a mí me plantea alguna duda. Por un lado, pienso que eso ya está de alguna manera ponderado en la fase previa a la presentación del proyecto de ley orgánica en esta
Cámara porque justamente eso hizo el Consejo de Estado, depurar de alguna manera los excesos que el anteproyecto de ley orgánica podía tener con respecto a ámbitos en los que no se podía ir más allá o no se podía concretar o no se podía interpretar
el reglamento. Por otro lado, también usted ha dicho que el enfoque de riesgo y la abundancia de conceptos jurídicos indeterminados en el reglamento, y coincido con usted, es un problema para los operadores, especialmente para los de menor tamaño,
para las pymes, pero justamente por eso entiendo -y le pregunto su opinión al respecto- que la ley orgánica va a ser un complemento que va a arrojar cierta luz en algo que es un cambio total de modelo, ese enfoque de riesgo y que, en la medida de lo
posible, va a aclarar esos conceptos jurídicos indeterminados. Es decir, ¿podríamos haber ido a una regulación mucho más concisa, mucho más reducida? Sí, pero a lo mejor es bueno que esas 56 o 58, las que sean, posibilidades de que habla el
reglamento -coincido en que no todas son imperativas, sino que son posibilidades- las aprovechemos porque, es verdad, estamos cambiando el modelo y, de alguna manera, nos estamos introduciendo en una forma de regular una materia importante que no es
la propia de nuestra cultura jurídica. Por eso, creo que la reflexión que debemos hacer es si con esto ayudamos a ganar seguridad pública y a arrojar luz sobre los conceptos jurídicos indeterminados. En ese sentido, coincido con el señor Legarda.
Tengo la impresión, dentro de la crítica que usted hace sobre las medidas de seguridad, de que el principio de responsabilidad activa en este caso no es dispositivo, sino un cambio de filosofía en toda la norma y, por tanto, creo que eso es lo que
impide que haya un marco jurídico con medidas concretas de seguridad. Ahí es donde entiendo que debe hacer un trabajo que, por una parte, ya está haciendo la agencia, que ya no es simplemente un organismo sancionador, sino va a ser mucho más que
eso. Recientemente se han aprobado las guías de análisis de riesgo y evaluación de impacto. Creo que eso es una función tuitiva que, de alguna manera, tendrá la agencia y que permite el nuevo enfoque, el de responsabilidad activa, y que
evidentemente es distinto a la aprobación de un marco de medidas de seguridad. Querría saber su opinión al respecto.
Por preguntarle también alguna cuestión un poco más concreta, de las que usted ha avanzado en su comparecencia que me han suscitado interés y alguna duda, esta idea de los bancos de pruebas de los sandbox, no sé si podría desarrollarlo un
poquito más, más que nada para saber si un mal uso de esa posibilidad no podría ser también una puerta para un cierto fraude en cuanto a la aplicación del régimen sancionador.
Nada más y muchas gracias, señor presidente.
El señor VICEPRESIDENTE: Gracias, señor Martínez.
Para contestar a las cuestiones que se le han planteado, tiene la palabra de nuevo el señor Padín Vidal.
El señor PADÍN VIDAL (Abogado del Departamento de Derecho Mercantil de Garrigues, responsable del Área de Privacidad y Protección de Datos): Muchas gracias, señor presidente.
Intentaré ser muy breve por las limitaciones de tiempo. Voy a contestar la primera pregunta sobre medidas de seguridad y ya contesto a las dos que me han hecho. Creo que me he explicado mal, con toda seguridad, en cuanto al carácter
dispositivo de las medidas de seguridad. Si eso se ha entendido así, no es lo que quería decir. A lo que me refería es que el reglamento establece un sistema de análisis de riesgos que yo creo que es muy útil, porque permite adaptar el
cumplimiento a la complejidad de la compañía, y en eso es mejor un sistema flexible que un sistema rígido, lo que pasa es que prevé también un sistema de certificación y sistemas de códigos de conducta para facilitar ese cumplimiento. Entonces, en
el ámbito del cumplimiento en este momento no tenemos ni certificaciones ni códigos de conducta. Es decir, vamos a entrar el 25 mayo de 2018 sin herramientas que permitan, sobre todo a las pymes, cumplir el reglamento de una forma más sencilla,
porque realmente hacer el análisis de riesgo y adaptar las medidas de seguridad a la complejidad de la compañía lo puede hacer muy bien una compañía grande, pero las pymes no lo pueden hacer, ni siquiera con las guías de la Agencia de Protección de
Datos lo van a poder hacer, porque son guías complejísimas en cuanto a cómo hacer un análisis de riesgos. Son metodologías muy complejas que tiene que hacer un profesional en la materia o alguien muy versado, que un empresario individual o una
pyme, como son el 80 o 90 % de las empresas españoles, no saben hacer y que tendrán que gastar dinero en que alguien se lo haga. Por tanto, las medidas de seguridad son esenciales, son necesarias, no son dispositivas y hay que tenerlas. Yo
mencionaba el marco objetivo de referencia porque facilita, pero el marco objetivo de referencia no tiene que ser uno, puede ser un marco objetivo por tamaño, por complejidad, que es un poco lo que ocurrirá cuando haya certificaciones. Es decir, el
propio reglamento prevé certificaciones que son marcos objetivos de referencia. Cuando se aprueben esos marcos objetivos de referencia por vía de certificaciones habrá entidades que, según la complejidad de la empresa, dirán: esta empresa tiene
que hacer estas medidas. Al final va a ser muy parecido a lo que teníamos en el Real Decreto 1720/2007. Espero que con esto quede un poco más claro.
Por lo que se refiere a la pregunta del señor Gómez Balsera en cuanto a ejemplos de cómo es de proteccionista el proyecto o cuestiones que puedan resultar una traba a efectos de esa competitividad, por no entrar ahora en cuestiones
concretas, creo que todo lo que sea burocratización del cumplimiento es una traba y le voy a poner un ejemplo, no en lo del reglamento, porque tendría algún ejemplo que comentar, sino en algo que ya tenemos ahora y que es fácil contar porque lo
hemos vivido muchas veces, y es el régimen de transferencias internacionales de datos en España, a diferencia del que tienen el resto de Europa bajo la misma directiva. En el resto de Europa las empresas pueden trasferir datos fuera de la Unión
Europea utilizando las cláusulas contractuales tipo de la Comisión Europea. Firman esos documentos y ya está. Cuando vienen a España, salvo que hubiera otra base legal de algunas que hay en muchos casos, había que pedir autorización a la Agencia
de Protección de Datos. ¿Qué ocurría? Que cuando venían empresas con actividad en múltiples países, y especialmente en varios países de Europa, venían a España y les decíamos: No te vale con firmar ese documento, tienes que irte a un expediente
de la agencia, que puede durar hasta tres meses, en el que además tienes que aportar una serie de documentación complejísima, traducciones, legalizaciones, etcétera, y sin eso no puedes transferir datos. Este tipo de cosas son las que retraen a una
empresa de venir a España a hacer lo mismo que hace en Francia o en Inglaterra, que no quiere decir no regulación, sino regulación razonable y orientada a que se cumpla el mismo objetivo sin burocratización innecesaria, que es un poco a lo que me
refería yo.
En cuanto a las preguntas o comentarios del señor Sixto, muchas gracias. Eran varias cosas, pero yo creo que hay alguna cuestión que quería comentar y también de nuevo, si lo he explicado mal, me disculpan, porque el objetivo de mi
presentación no era optar por mercados desregulados para que hagan lo que quieran sin protección de los derechos fundamentales, al contrario, derechos fundamentales absolutamente protegidos como parte esencial de la normativa, porque no tendría
sentido y no es planteable otra cosa. En absoluto era mi intención decir que fuera así ni puede ser. Lo que creo que no debemos hacer es caer en la ingenuidad de pensar que estamos en un derecho fundamental y que si lo protegemos bien no va a
pasar nada y que cualquier cosa que pase en la tecnología si tenemos protegido el derecho fundamental, no va a pasar nada. Es una obviedad, es una evidencia, lo tenemos todos los
días, que la tecnología está superándonos por todas partes y sin enterarnos y está superándonos utilizando nuestros derechos fundamentales. Mi planteamiento era que tengamos en cuenta esa parte de la foto, no vamos a ver solo la parte de la
foto del derecho fundamental, sino que hay cosas que están ya haciendo dinero utilizando nuestros derechos fundamentales y que, por supuesto, hay que regularlos, pero yo creo que ahí la claridad y la transparencia son necesarias para que no hagan
cosas que no sabemos con nuestros datos -por supuesto tenemos que saber dónde están, quién los tiene y que no hagan cosas sin nuestra autorización-, pero que se regule de una forma que se permita eso, porque no lo vamos a poder parar. El avance de
la tecnología no lo vamos a poder parar con una ley orgánica. Si no lo hacen en España, lo harán en Portugal o lo harán en China con nuestros datos, no porque lo hagan en China con los datos de los chinos, con todo respeto para los chinos, sino que
lo harán en China con nuestros datos si no regulamos bien esto. Ese será el enfoque.
Ha habido varios comentarios con respecto al 52.3 y también, enlazando con el comentario del señor Rallo, hay una cuestión que en España está bastante consolidada y es que para conculcar un derecho fundamental hace falta una orden judicial.
Todo lo que sea salirse de ese ámbito deberían ser excepciones o tienen que ser excepciones. La propia Ley de conservación de datos que, como decía, viene de una directiva, esa directiva fue anulada por el Tribunal de Justicia precisamente porque,
a pesar de que preveía la necesidad de orden judicial, decía que eran obligaciones genéricas de conservación que no tenían ninguna justificación y, por tanto, no tiene ningún sentido establecer ese tipo de normas de carácter general que implican la
conservación de datos para una finalidad hipotética futura. Además, si introducimos el elemento de que esa finalidad hipotética futura va a depender no de un juez en el ejercicio de sus funciones, sino de una Administración pública, yo creo que
está cambiando un poquito los márgenes de juego de todo esto. Entiendo también que la Agencia de Protección de Datos pueda tener toda la legitimidad y todo el interés en reclamar y requerir información de personas para sus finalidades, que es la de
instruir un expediente, pero yo creo que nos sitúa en un ámbito de pérdida de garantías, en mi opinión, al respecto, sin perjuicio de esas contradicciones internas que, aun mantenido el artículo 52.3, no se compadece bien con el contenido de la Ley
de conservación de datos por lo que comentaba.
En cuanto a las negociaciones previas, quizá he utilizado algún concepto que se comentó en alguna comparecencia anterior y quiero aclararlo. Es una realidad -he vivido personalmente la situación- que cuando una empresa incurre en una
infracción de protección de datos -no estoy hablando de incumplidores voluntarios, sino de incumplimientos-, una persona puede tener la tentación de llamar a la empresa y decir: Mi abogado dice que son 300 000 euros; me han enviado una carta al
domicilio anterior y yo había dicho que ese no era mi domicilio y que lo cambiaran. No le voy a reclamar 300 000, pero con 20 000 me doy por satisfecho. Este tipo de cosas pasan, es una realidad y es a lo que me refiero con las negociaciones.
Lógicamente, no está aquí previsto ni es la finalidad, pero permitir que se privatice la resolución de una reclamación puede dar lugar a eso, que yo creo que está bien porque descargamos a la Agencia de Protección de Datos de una carga
administrativa que muchas veces no tendría que figurar en ese ámbito. Se le da a la empresa la posibilidad de rectificar en caso de que haya sido un error y, si no lo es, está la agencia, porque no hace dejación de sus funciones, pero deberíamos
poner algún tipo de límite. Pongamos como un atenuante el hecho de que la empresa haya reconocido el error y haya ofrecido una solución, porque a lo mejor enviar una carta a un señor a una dirección equivocada no son 20 000, sino 1500 o regalarle
una suscripción a no sé qué. Estoy inventando. Me parece bien que se pueda establecer un marco de resolución de conflictos ajeno o previo a la agencia sin renunciar a ello, pero tratando de prever posibles usos torticeros de ese régimen.
Respondiendo a preguntas concretas -no puedo contestar a todos los comentarios porque daría para muchísimas horas-, por lo que se refiere al consentimiento del menor, no he hablado de ese tema de forma absolutamente consciente y voluntaria.
Mi objetivo aquí era dar una opinión técnica y práctica y ese tema no entra en dicho objetivo. Lo que puedo aportar desde el punto de vista jurídico es que muchas veces la edad de la persona a efectos de datos no puede ir desvinculada de la edad a
efectos jurídicos, es decir, un menor no puede contratar por debajo de una edad y, por tanto, no tiene ningún sentido que dé sus datos si al final no puede contratar, disponer de su patrimonio o adquirir bienes sin la supervisión de sus padres, de
sus tutores o de quien corresponda. Sinceramente, no tengo una opinión técnica formada al respecto. Creo que es una cuestión de política educativa, tuitiva, del menor sobre la que no me puedo pronunciar. En cuanto a la pregunta de si es un
criterio el hecho de que haya un determinado número de países y cierta jurisdicción que tenga esa edad, he de decir que no es un criterio. El criterio debe ser lo que queramos decidir hacer en este país respecto a cómo proteger a nuestros menores.
Me han preguntado cuáles son los excesos en cuanto a la regulación del proyecto. Más que excesos, aquí hay dos tipos de cuestiones. Por un lado, excesos en cuanto a regulación que va más allá de lo que permite el reglamento. Aquí
tendríamos para más tiempo, pero hay unos excesos formales más fáciles de identificar, que son aquellos casos en los que tenemos un artículo que dice: El registro de actividades de tratamiento se someterá a lo que dice el artículo no sé qué del
reglamento europeo. Hay cinco, seis o diez -no sé cuántas porque no las he contado y no tengo el cuadro, pero son bastantes- referencias a que se hará lo que diga el reglamento europeo y para eso no necesitamos llenar páginas con artículos.
Entiendo que en la regulación de los derechos puede que se haya hecho porque regulamos el derecho de acceso, rectificación, cancelación, oposición y supresión y en algunos de ellos hay adiciones y en otros no. Supongo que el criterio es: Vamos a
ponerlos todos y en aquellos en los que no decimos nada nuevo nos remitimos al reglamento. Son criterios de técnica legislativa y a esos excesos son a los que más bien me refería.
Señor Martínez, agradezco sus comentarios. Básicamente, lo de las medidas de seguridad he intentado aclararlo ya y la cuestión de las guías también, que yo creo que está muy bien. Además, aprovecho la ocasión para romper una lanza en favor
de la actividad de la Agencia de Protección de Datos, cuya labor ha sido fundamental. Ha hecho un gran trabajo no solo por lo que se refiere a las guías, sino también completando el programa de certificación de delegados de protección de datos.
Últimamente, ha hecho una ingente labor, pero no es suficiente con hacer guías, sino que también tenemos que adaptar las cosas a la realidad de las empresas, sobre todo de las pymes, evitando los conceptos jurídicos indeterminados y tratando de
objetivar obligaciones.
Me ha pedido que desarrolle el sandbox, el banco de pruebas. Obviamente, no es que si me apunto al banco de pruebas hago lo que me da la gana, sino que dentro de un marco ordenado, probablemente en este caso organizado bajo el paraguas de
la Agencia de Protección de Datos, una empresa puede decir: Tengo un proyecto para desarrollar este servicio, lo voy a comunicar a la Agencia de Protección de Datos dentro de este marco protegido y provisional y voy a poner este servicio en pruebas
durante seis meses o un año, tiempo durante el cual voy a reportar a la Agencia de Protección de Datos cómo va yendo el producto o el servicio. En este caso, en lo que afecta a protección de datos y en el ámbito financiero, por ejemplo, en lo que
afecta al mercado financiero. Hay países que utilizan esto como palanca para convertirse en imanes y atraer la innovación y el desarrollo tecnológico. Si nosotros hacemos lo mismo -he oído que se está planteado en España para el ámbito fintech- y
lo incorporamos al ámbito de protección de datos, habrá muchos desarrolladores de nuevos productos que lo quieran hacer aquí.
En cuanto a la sanción, no se trata de evitarla, sino de aprovechar las facultades que el reglamento otorga a los reguladores, porque no solo pueden sancionar, también recomendar, apercibir, requerir e informar. Precisamente, en ese ámbito
flexible de facultades de la agencia se podría establecer un marco de este tipo y, que al cabo de ese plazo, de seis meses o un año, la agencia pueda decir: Nos vale, continúe; o no nos vale, deje de hacer eso; o bien introduzca estas medidas de
seguridad porque con ellas puede continuar. Puede ser una vía interesante.
Una última cuestión. Me preguntaban qué cosas se pueden incluir. Hay una que no comenté antes: el artículo 85 del reglamento. Aquí también habría campo para desarrollar, pero no voy a entrar en ello. Y en cuanto a la regulación de la
libertad de expresión e información, ahí podemos tener un ámbito de regulación específico.
Muchas gracias. Quedo a su disposición para el futuro.
El señor VICEPRESIDENTE: Muchísimas gracias, señor Padín Vidal, por haber querido comparecer y compartir con nosotros todas sus reflexiones.
Suspendemos la sesión durante dos minutos. (Pausa).
- DEL SEÑOR HERNÁNDEZ RIVAS, DOCTOR EN MEDICINA Y CIRUGÍA POR LA UNIVERSIDAD DE SALAMANCA, CATEDRÁTICO DE HEMATOLOGÍA EN LA UNIVERSIDAD DE SALAMANCA, ESPECIALISTA EN HEMATOLOGÍA Y HEMOTERAPIA EN EL SERVICIO DE HEMATOLOGÍA DEL HOSPITAL
UNIVERSITARIO DE SALAMANCA. (Número de expediente 219/001057).
El señor VICEPRESIDENTE: Reanudamos la sesión.
Damos paso a la cuarta y última comparecencia del día de hoy. Damos la bienvenida para ello a don Jesús María Hernández Rivas, doctor en Medicina y Cirugía por la Universidad de Salamanca, catedrático de Hematología en la Universidad de
Salamanca y especialista en Hematología y Hemoterapia en el
Servicio de Hematología del Hospital Universitario de Salamanca. Ya sabe, porque ha estado al final de la sala, cómo es el procedimiento. Tiene una intervención y luego damos la palabra a los grupos parlamentarios para puedan plantear las
observaciones o cuestiones que estimen convenientes.
Tiene la palabra el señor Hernández Rivas.
El señor HERNÁNDEZ RIVAS (Doctor en Medicina y Cirugía por la Universidad de Salamanca, catedrático de Hematología en la Universidad de Salamanca, especialista en Hematología y Hemoterapia en el Servicio de Hematología del Hospital
Universitario de Salamanca): Muchas gracias. Buenas tardes a todos.
Antes de empezar, muchas gracias por seguir aquí todavía a estas alturas de la tarde, supongo que ya muy fundidos. Yo les voy a intentar transmitir algo totalmente distinto. No soy abogado, no soy legislador, me van a disculpar si cometo
algún error semántico al utilizar mal los términos. Como bien ha dicho el señor presidente, soy fundamentalmente médico, veo enfermos. No me voy erigir en el portavoz de los enfermos, eso es prácticamente imposible, pero les voy a intentar traer
un tema totalmente distinto a lo que se ha hablado, y es cuál puede ser la aplicación del proyecto de ley orgánica de protección de datos en el ámbito sanitario a nivel de investigación y a nivel de enfermedad. Es evidente que todos tenemos que
tener un respeto absoluto por la privacidad del enfermo, por mantener las garantías de esa privacidad del enfermo. En este momento existe una tensión por que esas garantías se manejen o se interrelacionen con la incorporación de las nuevas
tecnologías. Eso es lo que hace que esta ley que están ustedes debatiendo sea extraordinariamente compleja, porque intenta juntar lo nuevo, lo muy nuevo, lo tremendamente novedoso, con una aplicación en un ámbito social que tiene muchísimas
facetas. Yo he asistido a las dos comparecencias previas y me he quedado realmente asombrado, porque los sanitarios siempre vamos a lo nuestro, los abogados a lo suyo, los mercantiles a la parte del negocio, pero esta ley tiene unas facetas muy
importantes y vamos a ver cómo tendríamos que proteger la salud y la investigación científica, porque si las protegemos vamos a mejorar la práctica clínica de nuestro Sistema Nacional de Salud, que creo -en eso creo que estamos todos absolutamente
convencidos- que es uno de los orgullos que tenemos en nuestro país. Tenemos un gran Sistema Nacional de Salud y tenemos que protegerlo, tenemos que garantizar su sostenibilidad, y probablemente las nuevas tecnologías van a ayudarnos a mantener o
garantizar esa sostenibilidad, y tenemos que pensar cómo vamos a hacer compatible toda esa balanza.
Es complejo, pero hay que tener en cuenta una serie de datos. La sanidad es uno de los procesos que está menos digitalizado en la sociedad actual, es una cosa curiosa, y sin embargo genera una gran cantidad de datos. Los datos sanitarios
que podemos generar cualquiera de nosotros equivalen, aproximadamente, a unos 1100 teras, que son unos quinientos discos duros; esos son nuestros datos sanitarios. Curiosamente, la cantidad de datos del sector sanitario se duplica cada año y
dentro de tres años se va a duplicar cada setenta y tres días. Es decir, se están produciendo datos permanentemente, datos que se compilan y que pueden ser muy útiles para mejorar la propia sanidad y para tener suficiente información para que esos
datos sirvan para que mejoremos y avancemos. Nuestro sistema de salud genera a diario billones de datos que pueden utilizarse en beneficio del enfermo, y eso es lo que queremos. Yo creo que eso es lo que quieren, si no todos, la mayoría de los
enfermos. Cuando hablo con mis pacientes, siempre que les pregunto si podemos utilizar sus datos, nunca hay ni el menor asomo de duda. Yo trabajo con enfermos de cáncer; los enfermos de cáncer son muy especiales, son muy generosos y lo que no
quieren es que a otro le toque pasar por lo que ellos están pasando para lograr la curación de su enfermedad, hecho que se produce en muchas ocasiones.
El sistema sanitario y el sistema de los datos, de los big data, es lo que pretende legislar este proyecto de ley, entre otras razones. En el Sistema Nacional de Salud se están produciendo los datos de salud de manera constante y se están
analizando. Y con esos datos -y este círculo funciona en esta dirección- mejoran las buenas prácticas clínicas; esa mejoría hace que se llegue a un tratamiento personalizado que, por una parte, retorna a su vez al propio Sistema Nacional de Salud,
y por otra, tenemos que intentar activar los mecanismos para la reutilización de los datos de los enfermos. Ese es el punto importante de la comparecencia y, probablemente, uno de los motivos por los que ha surgido toda esta polémica que se ha
mantenido durante la semana pasada en los medios de comunicación. Esa reutilización de los datos mejorará los resultados, reducirá la variación que hay entre unos enfermos y otros, y haremos que sea una sanidad más sostenible. El problema es
cuando tenemos enfermedades como la enfermedad de la que me toca tratar a mis enfermos, el cáncer; una enfermedad de la que disponemos de una cantidad de
información tremenda; en la que se han hecho esfuerzos públicos impresionantes; se ha invertido muchísima cantidad de dinero en conocer cuáles son realmente los detalles genéticos, moleculares, qué es lo que les pasa a las células de
cáncer, por qué razón una persona tiene un tumor. Se dispone de esos datos, están ahí, muchas de las veces no están muy ligados con datos clínicos de los enfermos -es uno de los motivos por los cuales luego les hablaré de un proyecto de
investigación en el que estamos participando-, y aunque se han producido muchos avances en el cáncer, sigue siendo una enfermedad, en muchos de los casos, incurable. Aproximadamente, el 40 % de los enfermos con tumores hematológicos,
lamentablemente, fallecen debido a esa enfermedad. Tiene un gran impacto personal y un gran impacto económico y, si no somos capaces de reutilizar los datos de los que disponemos, la flecha en la que vamos a tener una sanidad más sostenible se va a
hacer muchísimo más fina, no va a ser una situación tan fuerte como la que hemos vivido previamente.
Por ello, nosotros consideramos que desde el punto de vista sanitario, desde el punto de vista de la investigación sanitaria pero también desde el punto de vista de la práctica asistencial, es necesario compartir datos; compartir datos,
evidentemente, en unos marcos de seguridad que garanticen que esos datos jamás van a permitir una reidentificación del enfermo, pero que también permitan, en un momento determinado, volver hacia atrás con las garantías que nos ofrece nuestro sistema
de salud. Y hay que compartir y reutilizar esos datos siempre en beneficio de los enfermos. ¿De qué nos vale tener tantísimos proyectos, tantísimos datos de los que hemos venido hablando si luego no vamos a poder ir hacia atrás a ver realmente
cómo han funcionado determinados tratamientos en los enfermos, si no vamos a poder hacer o vamos a dificultar los estudios epidemiológicos? Por tanto, a la vez que mejoramos la práctica clínica vamos a conseguir un sistema sanitario que va a ser
mejor, más digitalizado y más sostenible. Esto es lo que se está debatiendo en esta Comisión.
Yo les querría traer una idea que nos parece un poco curiosa. Leyendo el Reglamento europeo y leyendo después el proyecto de ley orgánica nos llaman la atención varias facetas. En primer lugar, el proyecto de ley orgánica hace una lectura,
en ocasiones, bastante restrictiva del propio reglamento. Esa es una situación que se ha producido en algunos países como, por ejemplo, Alemania, que ha hecho una interpretación restrictiva durante el verano pasado y que después, cuando aprobó la
ley -creo que fue en el mes de septiembre, aproximadamente-, cambió su percepción y abrió muchísimo más el concepto que tenemos, ya que parece que los centroeuropeos son más restrictivos en cuanto a la interpretación legislativa. Nos parece que es
importante que en el ámbito sanitario se maneje una idea de consentimiento amplio, un consentimiento que permita adaptarse a diferentes usos, a usos siempre legítimos, pero a diferentes usos de los datos, porque en medicina estamos permanentemente
innovando, permanentemente cambiando nuestra situación para mejorar el tratamiento de los enfermos. En ese sentido, es muy satisfactorio el informe que ha emitido la Agencia Española de Protección de Datos el viernes hablando de la posibilidad de
que esos consentimientos sean amplios. Nos parece muy importante que ese concepto de consentimiento amplio se recogiera en la ley orgánica, que no fuera simplemente una opinión de la agencia, sino que recogiéramos esa idea para intentar un nivel de
mejora de esa calidad.
Además, creemos que no solamente el consentimiento garantiza la privacidad y ofrece la garantía al ciudadano. Disponemos en este momento de muchísimos mecanismos para garantizar que los datos que se recojan de una determinada persona se
puedan custodiar de una manera absolutamente anónima. Podemos hacer administraciones técnicas, podemos restringir el acceso a los datos, podemos tener bases de datos a los cuales solamente puedan tener acceso las personas que estén cualificadas y
con una serie de condicionantes, incluso a nivel contractual y a nivel de establecer un gobierno de esos datos absolutamente adecuado. En la sanidad disponemos de comités éticos que siempre son garantes de la privacidad de los enfermos y de que
toda la investigación y todo el uso de los datos se haga de acuerdo con las normas de práctica clínica. Por tanto, pensamos que tenemos que funcionar en esos dos niveles: consentimiento, por supuesto, sí, pero fundamentalmente garantizar que esos
datos recogidos se recojan bien, se almacenen bien y, por supuesto, no haya un acceso público a los datos. Eso hará que tengamos unos datos mucho más garantistas.
Creo que, fundamentalmente, uno de los motivos por los que estoy aquí -son buenas noticias y como estamos acabando el día, creo que siempre es bueno acabar con buenas noticias- es que como hematólogo, como médico y como investigador en este
momento estoy coordinando un programa que es una iniciativa europea, la mayor iniciativa europea y el mayor concepto de colaboración público-privada en salud, que son los proyectos IMI. Estos proyectos son un grupo específico del gran programa de
proyectos de la Unión Europea que son los proyectos Horizonte 2020 del que, probablemente, sí han oído
hablar más frecuentemente. Dentro de los proyectos IMI hay un programa de proyectos que se llaman Big Data para la mejoría de los resultados -Big Data for Better Outcomes- cuya primera convocatoria ha surgido hace un par de años. Esta
convocatoria no es aislada sino que forma parte de la transformación digital, la incorporación de la salud electrónica y el concepto de la información médica digitalizada dentro de la Unión Europea. El último módulo de estos datos es el programa
Big Data for Better Outcomes. Dentro de este programa, en este momento se están llevando a cabo diferentes iniciativas: un programa, básicamente, basado en enfermedades neurológicas, en la enfermedad de Alzheimer; un programa dedicado a
enfermedades cardiovasculares, y un programa, que es el más importante, que está fundamentalmente dedicado al estudio de las enfermedades de los tumores hematológicos malignos. Este programa tiene en conjunto cuatro grandes focos, que son: diseñar
conjuntos de resultados estándar y demostrar su valor, aumentar el acceso a los datos de alta calidad de los enfermos, utilizar datos para mejorar la calidad de la asistencia sanitaria y aumentar la participación de los pacientes mediante soluciones
digitales. La buena noticia es que, dentro de estos tres grandes proyectos, España -en este caso tengo el honor de coordinar este proyecto junto a otro español, el doctor Guillermo Sanz, del Hospital de La Fe de Valencia- coordina un proyecto de
cincuenta y un socios, incluyendo prácticamente a toda la hematología europea, a las agencias reguladoras de medicamentos, a las asociaciones de enfermos, al conjunto de la economía de la salud y a las mejores instituciones en el manejo de datos
genéticos de cáncer. Eso es algo de lo que nos tenemos que sentir orgullosos. Es una colaboración público-privada para que todos los interlocutores en la hematología europea podamos construir una plataforma de big data con datos de alta calidad en
el ámbito de enfermedades de la sangre. También con la idea de armonizar la medida de los resultados porque, en muchas ocasiones, a la hora de evaluar un fármaco es muy difícil saber qué tipo de resultado es el que queremos analizar, hay muchísima
dispersión en este punto y en esto la EMA, la Agencia Europea del Medicamento, está especialmente preocupada y quiere que se haga un esfuerzo. Del mismo modo, con la idea de acelerar el desarrollo de los fármacos y de acortar el periodo entre que
un medicamento se concibe y se lleva a la cabecera del enfermo, y si lo acortamos, el enfermo va a mejorar y casi con toda seguridad vamos a disminuir su precio y, por tanto, vamos a intentar que el sistema sea un poco más sostenible. Y,
finalmente, para aumentar o mejorar la inclusión de los datos genéticos en la práctica clínica. Como he dicho, este proyecto se coordina desde España y es un orgullo poder hacer el mayor proyecto de big data en salud en este momento en Europa.
Por tanto, a modo de resumen, desde la práctica clínica creemos que es muy importante definir que, a la hora de reutilizar los datos, volver a solicitar el consentimiento informado alarga y complica los procesos, por lo que tenemos que
utilizar otros procesos que garanticen su utilización pero de otra manera distinta. Existen alternativas que aseguran la privacidad del paciente y que agilizan esos procesos y, además, hay que tener en cuenta que cuando hablamos de datos en salud
no solo nos referimos a datos de investigación, sino también a datos asistenciales.
Espero que la intervención haya sido suficientemente corta para todos, porque están cansados. Muchas gracias por su atención y si tienen alguna pregunta, estaré encantando de poder resolverla.
El señor VICEPRESIDENTE: Muchísimas gracias, profesor Hernández Rivas.
A continuación, damos la palabra a los grupos parlamentarios que lo soliciten para pedir aclaraciones o para hacer las preguntas que quieran.
Por parte del Grupo Parlamentario Vasco, tiene la palabra el señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente.
Muchas gracias, señor Hernández Rivas. Su presencia en esta Comisión está motivada -usted ya lo ha adelantado- por el debate que se ha producido durante las últimas semanas a raíz de una cierta alarma, transmitida también en medios de
comunicación, por el mundo científico vinculado a las ciencias médicas.
Quería hacerle una pregunta concreta que se intuye de lo manifestado por usted. Usted considera que los artículos clave para esta cuestión son el 6 y el 9 del proyecto de ley. La pregunta es si usted considera que la redacción de estos
artículos pone unas dificultades que no son reclamadas por el reglamento, teniendo en cuenta los considerandos 33, 50 y 157. ¿Estos dos preceptos son igualmente obstativos para esa investigación médica o cree usted -quizás en mi pregunta esté parte
de la respuesta- que es bastante más obstativo el artículo 6 que el 9? Esas son las dos cuestiones, si realmente considera que en el artículo 6 debería introducirse alguna modificación para caminar de una manera mucha más clara que los
considerandos que he citado y, sobre todo, porque el informe que nos prometió la directora de la
Agencia Española de Protección de Datos -y que lo ha mandado inmediatamente- camina en esa línea, pero nosotros consideramos que es una interpretación y que, como tal, puede cambiar. Por eso, consideramos que quizás estaría mejor ubicado en
el propio texto de la futura ley orgánica y, en concreto, en el artículo 6, en el apartado dos o con un nuevo apartado.
Estas son mis consideraciones que, a su vez, encierran también alguna cuestión.
Muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Legarda.
Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Muchas gracias, señor presidente.
Gracias, señor Hernández. En primer lugar, quiero compartir con usted una reflexión. Estamos hablando de datos de salud, de datos de una especial sensibilidad por lo que tienen que ser especialmente protegidos. La reflexión es la
siguiente: cómo conjugamos esa especial protección con algunas malas praxis que no acabamos de erradicar todavía en este país y me estoy refiriendo a cuando en esas consultas de medicina de familia se da entrada al siguiente paciente sin haber
salido el anterior. A poco que uno levante la mirada no solo ve mi nombre, sino lo que me están prescribiendo y puede deducir cuál es mi patología. Lo dejo ahí, simplemente quería compartir la reflexión.
La única pregunta que le quiero hacer precisa de una introducción. Doña Mar España Martí, la directora de la agencia, cumpliendo la promesa que hizo a esta Comisión la semana pasada, nos ha remitido un informe del letrado en el que se
concluye que tanto el reglamento como el proyecto de ley no alteran el marco normativo vigente en España para la investigación biomédica, por lo que la normativa sectorial se mantendría. Continúa diciendo que el reglamento permite una
interpretación más amplia de los fines para los que se recaba el consentimiento, porque así lo permite esta normativa sectorial. Dice también que hay una interpretación más amplia de los tratamientos cuando no hace falta ese consentimiento por
razón de interés general autorizado por los comités de ética o de bioética. Por tanto, la única pregunta es si entiende usted que las explicaciones recogidas en este informe son suficientes o si nos recomienda que, vía enmienda, introduzcamos lo
que viene a decir este informe. Asimismo, quiero saber si le parece que hace falta mejorar o actualizar esa legislación sectorial a la que se refiere.
Muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Unidos Podemos, tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Gracias, señor presidente.
Le agradezco al señor Hernández su comparecencia y la ilustración de los temas que nos ha traído hoy aquí.
La verdad es que es difícil buscar un campo de tratamiento de datos que no sea el sanitario que pueda producir más beneficios para el conjunto de la sociedad y más perjuicios para una persona concreta, si se utilizan bien los datos o si se
utilizan mal. Es el campo en el cual es más comprometido el uso de los datos de carácter personal porque si, por un lado, se pueden utilizar para la investigación y para acabar sabiendo cuáles son los efectos primarios y secundarios e interacciones
con otros medicamentos a la hora de utilizar un medicamento para una determinada patología, esos mismos datos, por otro lado, en manos de empresas de seguros o en el entorno laboral de una persona pueden utilizarse para saber qué patología tiene y
si se le puede prolongar el contrato laboral o no u otras cuestiones que pueden producir efectos muy negativos en su vida. Por ello, nos movemos en un terreno que puede producir grandes beneficios y grandes perjuicios según cómo se traten esos
datos de carácter personal.
No creo que sea una cuestión guerreada entre los grupos parlamentarios tratar de salvaguardar el uso científico de los datos y el aprovechamiento científico de los mismos. De hecho, han sido muchas las entidades que han pedido reunirse -al
menos con mi grupo parlamentario y estoy convencido de que también con el resto de los grupos parlamentarios de la Cámara- para trasladarnos su preocupación. Esto, además, en un marco en el que -como se ha dicho en informes y en algunas
comparecencias- no hay una alteración sustancial en el nuevo proyecto de los derechos y seguridades que hasta ahora había para las personas y para la investigación científica. Yo creo que todos los grupos parlamentarios vamos a trabajar -hablo del
mío, por lo menos- para salvaguardar el respeto al derecho fundamental de las
personas a disponer de sus propios datos, y también al derecho que nos asiste como sociedad a poder investigar y avanzar científicamente en el uso de los datos.
En su intervención, que ha sido interesantísima, ha tratado otras cuestiones. Nuestro sistema sanitario es magnífico -bueno, magnífico comparado con el de otros países-, y la prueba es la media de vida y la calidad de vida que tenemos en
España, que les lleva a algunos a poner en cuestión nuestro sistema de pensiones -y nos llevaría a mucho más-. Parte de su intervención es aplicable a otras competencias de otras comisiones, como el tema de la digitalización de la sanidad y de la
sociedad en general que, como le he dicho, ha sido muy interesante. Quiero terminar esta intervención trasladándole desde mi grupo parlamentario la voluntad de buscar la mejor fórmula entre todos para que no haya el más mínimo problema para el
desarrollo científico de nuestro país y el uso de los datos sanitarios; que siempre quede absolutamente salvaguardado el derecho fundamental de la persona de disponer de sus datos y la privacidad de los mismos -que es un derecho que tenemos que
respetar en todo caso-. Mi grupo parlamentario va a colaborar con el resto de los grupos para tratar de que el texto quede lo mejor posible.
Como han dicho otros comparecientes, este proyecto de ley salió del Gobierno y no llegó a la Cámara con una voluntad de, en un plazo determinado, hacer una revisión de la legislación aplicable a los temas de los datos sanitarios. Eso se ha
eliminado para evitar poner unos plazos que posteriormente podrían llegar a ser incumplidos. En este texto también vamos con unos plazos respecto de los que en varias intervenciones se ha dicho que avancemos lo más rápido posible a la hora de
aprobar este proyecto de ley, por lo que me solidarizo con la pregunta de si cree usted que sería necesario -dado el avance científico y dado el avance tecnológico en la digitalización- actualizar los textos legales que regulan el uso y el
tratamiento de los datos sanitarios, y en qué línea debería ir esa modificación. Yo creo que no entraría en este proyecto de ley en concreto porque es un asunto que se aparca en el mismo, pero vamos a tratar de que no choque con el resto, y la
cuestión sería si tenemos que entrar en el resto y hasta dónde.
Muchas gracias.
El señor VICEPRESIDENTE: Muchísimas gracias, señor Sixto.
Por el Grupo Parlamentario Socialista tiene la palabra su portavoz, don Juan Carlos Campo.
El señor CAMPO MORENO: Muchas gracias, presidente.
En primer lugar, quiero agradecerle al doctor Hernández Rivas su intervención, porque creo que algo se ha traslucido en todas las intervenciones anteriores, y es bueno en un tema que los juristas denominamos como árido, como es este de la
protección de datos, poner ese punto de rostro humano en la problemática que subyace.
Voy a ser muy breve porque todas las intervenciones han girado sobre lo mismo. Yo no le voy a cuestionar la importancia de la investigación y la utilidad de esos datos que con carácter previo se han podido suministrar para el avance, porque
creo que es innegable, pero evidentemente el mundo del derecho es un mundo de colisión y, por tanto, de prevalencia y, en este caso hablamos de privacidad y de la disponibilidad de la propia información. Esa es la realidad. No le voy a someter a
eso que podría ser calificado como trato humano inhumano y degradante si le preguntara cuál es su parecer sobre determinadas formulaciones jurídicas, pero sí me interesa mucho preguntarle sobre algo que tampoco es novedoso porque ya lo hemos oído
aquí, y es si con la regulación de esos artículos 6 y 9, fundamentalmente el artículo 9 -la reutilización de los datos, que es un poco la madre del cordero o el núcleo gordiano en el que nos estamos moviendo- si con esta normativa hipotética,
ustedes se sienten cómodos para dar ese avance que necesitan a los efectos de conseguir el fin biomédico que todos queremos. Asimismo, quería preguntarle sobre algo con lo que terminaba también el portavoz que me ha precedido en el uso de la
palabra, y es si consideran necesario, dados los problemas que estamos poniendo de manifiesto en las distintas comparecencias -o que ustedes nos están poniendo en las distintas comparecencias-, si al final esto es algo tan diferente que no es un
problema cuantitativo sino cualitativo y, por tanto, no es un plus, sino que es un aliud, es otra cosa y, en consecuencia, debería tener una legislación específica que regulara el tratamiento de datos en el ámbito de la salud. Con eso, mi grupo
parlamentario se da por satisfecho.
Muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Campos.
Por el Grupo Parlamentario Popular tiene la palabra el señor Barrionuevo.
El señor DE BARRIONUEVO GENER: Muchas gracias, señor presidente.
Señor Hernández, es un honor tener a una eminencia como usted ante esta Comisión. En mi nombre -mi padre murió de leucemia- y en el de mi grupo parlamentario quiero agradecerle todo su trabajo en pro de la medicina.
Somos conscientes de la inquietud que ha despertado dentro de la comunidad científica, especialmente la biomedicina, el artículo 6 del proyecto, que hoy trae a colación, al exigir el consentimiento específico e inequívoco para cada uno de
los tratamientos de los datos personales. Me gustaría tranquilizarle al respecto y le indico que mi grupo parlamentario estudiará con mucho detalle, de forma exhaustiva, las enmiendas que se pudieran presentar a los artículos 6 y 9 del proyecto.
Dicho esto, hago mías las palabras que dijo la directora de la agencia en la pasada comparecencia del 27 de febrero, cuando señalaba -me remito al Diario de Sesiones- que el artículo 9.2.j) del Reglamento Europeo se remite para la habilitación de
estos tratamientos a los datos de la legislación de los Estados miembros. Hay una legislación sectorial que sigue vigente, que es la Ley 14/2007, de Investigación biomédica, y el Real Decreto 1090/2015, sobre ensayos médicos con medicamentos. Hay
quien opina que ni el reglamento ni el proyecto de ley modifican el statu quo que había anteriormente y, por tanto, no tendría que haber esa alarma social que sabemos que se ha levantado en las últimas semanas. De hecho, ahí tenemos la
comparecencia anterior -me remito al Diario de Sesiones-, en la que la señora Uría Etxebarría ha dicho que a su parecer, como directora de la Agencia vasca de Protección de Datos, no ha cambiado sustancialmente ese statu quo como en su momento ya
anunció la directora de la agencia. Es más, la directora de la agencia hablaba del considerando número 33 y también del 159, señalando que al revés, que era incluso más amplio y que antes había que dar el consentimiento -voy a citar literalmente, y
que conste el Diario de Sesiones- para la investigación del cáncer de colon, siendo ahora más amplio y es para la investigación del cáncer, con lo cual incluso amplía lo que ya existía anteriormente. En cualquier caso, el artículo 20 de nuestra
Constitución desarrolla que los poderes públicos tienen que amparar la investigación científica y en ese campo estamos y que, si bien, la directora, como ya se ha dicho con anterioridad, ha dado cumplimiento fiel a su palabra y ha presentado ese
dictamen, no obstante, lógicamente no cerramos puertas a ver con detenimiento las enmiendas que respecto de los artículos 6 y 9 se pudieran presentar, por eso que usted ha dicho de la importancia que podría suponer para la investigación y para la
sanidad española.
Muchas gracias, señor presidente.
El señor VICEPRESIDENTE: Gracias, señor Barrionuevo.
Para dar respuesta a las cuestiones que le han sido planteadas, tiene la palabra de nuevo el doctor Hernández Rivas.
El señor HERNÁNDEZ RIVAS (Doctor en Medicina y Cirugía por la Universidad de Salamanca, catedrático de Hematología en la Universidad de Salamanca, especialista en Hematología y Hemoterapia en el Servicio de Hematología del Hospital
Universitario de Salamanca): Muchísimas gracias por todas las intervenciones. Creo que básicamente todas están relacionadas con lo mismo, que es pedir la opinión sobre si se debe intentar enmendar o reformar este proyecto de ley en su formulación
actual o si vale como formulación. Evidentemente, yo no soy jurista, y ahí sí me puedo escapar de esta situación porque puedo apelar a mi otra consideración. Como médico y como investigador creo que por encima de un informe de la agencia, es muy
importante el informe que se emitió el viernes -además es un informe que se emite en caliente-; es decir, en medio de la discusión en el Parlamento, se emite un informe de la agencia que de alguna manera matiza el propio proyecto de ley, y eso da
idea del pulso, de la inquietud -yo no lo llamaría alarma social-, de la inquietud y de la opinión de toda la gente. Me parece que es tremendamente importante que este debate salga y se gestione y se generen soluciones no sobre la marcha pero sí en
el mismo momento en que se han producido. El tema está en que eso es un informe; un informe, respetable, de la agencia, y lo que están ustedes discutiendo es una ley orgánica. Yo no sé mucho de leyes, pero la ley orgánica es justo lo que está
debajo de la Constitución. Evidentemente el artículo 20 de la Constitución está por encima de esta interpretación, pero esta ley va a estar por encima de todas las demás leyes, es decir, de las propias leyes específicas que están emitidas: de la
Ley de 2007, de investigación biomédica, etcétera; está por encima de todas las leyes. En el momento en que esta ley se apruebe, va a estar por encima del resto de leyes y, por tanto, si esta ley cierra esa posibilidad de la reutilización de datos
sanitarios, vamos a estar en un problema, porque eso puede llevar a un parón o, en cierto modo, a una mala interpretación y, además, porque va a entrar en contradicción con lo que ha
reflejado en su escrito la Agencia Española de Protección de Datos. A mí me parece que es un asunto muy importante.
¿Cómo hay que abordarlo? ¿Enmendar mínimamente o matizar el artículo 6? Sería probable, sería una opción. Probablemente sea necesario hacer una ley específica de datos sanitarios, pero teniendo en cuenta que ustedes van a debatir y
discutir una ley orgánica de protección de datos, pienso que a lo mejor no es una mala idea incluir una disposición adicional para sanidad formulada de acuerdo con la propia reglamentación. Insisto en que el reglamento europeo contiene no sé si
quince o veinte referencias a sanidad, y el proyecto de ley orgánica contiene un par de referencias. Evidentemente, entiendo que ha sido para evitar la colisión, pero presumiblemente hacer una disposición adicional teniendo en cuenta que los datos
sanitarios se regirían de manera especial, podría ser una idea para salir de este impasse y decir el 6, el 9, los dos o cómo lo hacemos. Y probablemente un mínimo retoque del artículo 6 para que se permita que en sanidad se puedan reutilizar los
datos, quizás pueda ser algo importante para todos los ciudadanos.
No voy a hacer referencia a ninguna de las intervenciones. Estoy totalmente de acuerdo con su intervención de que el hecho de que yo llame a mis enfermos con un altavoz público en una consulta de hematología, ya se supone que es lo que
tienen, y evidentemente eso ya entra en colisión con la privacidad, pero yo creo que aquí estamos hablando a otro nivel distinto. Estamos intentando establecer cómo los big data, que están aquí, que han llegado, pueden ayudarnos a mejorar; y
pueden ayudarnos a mejorar si establecemos los mecanismos de seguridad basados en nuestra legislación, en el funcionamiento de los comités éticos, en el hecho de que no sea estrictamente necesario pedir obviamente un reconsentimiento informado cada
vez que se va a intentar hacer una situación. En ese sentido, la agencia además se ha postulado de esa manera. El problema que tiene esto es que es un balance. Si abrimos un poquito más la mano para que la posibilidad de reidentificación sea
mayor, lógicamente pierdo en impacto sanitario y en impacto de conocimiento. Tenemos que llegar y tenemos que establecer ese balance y tiene que haber mecanismos que controlen eso. Yo creo que nuestra legislación los tiene y simplemente tenemos
que utilizar las nuevas metodologías para que los datos estén registrados de manera segura, para que no pueda haber fuga de datos en ningún momento y para que nadie pueda hacer un uso indebido de esos datos.
Nosotros, en el proyecto que les he planteado, estamos haciendo un proyecto en el cual estamos incluyendo datos en una plataforma y en el cual nadie tiene acceso a esos datos, salvo que existan preguntas de investigación que han sido
previamente autorizadas por los comités de ensayos clínicos. Es difícil que de esa manera se pueda hacer un mal uso de los datos; no ya solamente reidentificarlos, sino un mal uso de los datos. Probablemente tendremos que abrir un poco nuestra
visión a que el consentimiento es muy importante, pero que hay otros mecanismos con los cuales podemos garantizar que los datos se usen de una manera eficaz y de una manera positiva para la sociedad. Además, yo creo que hay una cosa que es
importante, sobre todo con el big data, que nos va a dar información sanitaria de aspectos que no conocemos en el momento actual, y es poder tener siempre la opción de volver atrás y de poder decirle al enfermo, usted puede tener esto; o incluso
que esas medidas que se están encontrando hacia delante, puedan revertir propiamente en el grupo de enfermos o con el grupo de pacientes que han generado esa información.
Resumiendo un poco sus preguntas, que creo que todas han sido sobre lo mismo, yo recomendaría que todos ustedes hagan una reflexión. Creo que los diferentes grupos parlamentarios, además, tienen un indicio de consenso de que a lo mejor es
necesario revisar de manera especial el artículo 6, probablemente mirar el artículo 9, a ver cómo está, y dejo un poco en su consideración incluir una disposición adicional que sea relevante para casos de salud y que abra la puerta a una legislación
específica en sanidad. Porque, si no, vamos a tener un periodo de tiempo en el cual vamos a tener un reglamento europeo muy abierto, una ley orgánica muy reducida, en espera de hacer una ley que posibilite la situación en sanidad.
El señor VICEPRESIDENTE: Muchísimas gracias, doctor Hernández Rivas.
Su intervención que ha sido instructiva y útil de verdad. Antes hablaba de la complejidad de esta ley; esto es lo que hacemos los legisladores, pedir la opinión de expertos, traerlos a Comisión, para nosotros tomar notas y presentar las
enmiendas que cada uno de los grupos parlamentarios estime conveniente.
Se levanta la sesión.
Eran las siete y cincuenta minutos de la tarde.