Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 825, de 21/12/1999
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 1999 VI Legislatura Núm. 825
CONSTITUCIONAL
PRESIDENCIA DEL EXCMO. SR. D. GABRIEL CISNEROS LABORDA
Sesión núm. 27
celebrada el martes, 21 de diciembre de 1999
ORDEN DEL DÍA:
Comparecencia del señor director de la Agencia de Protección de Datos
(Fernández López) para informar sobre:
- La memoria de la Agencia de Protección de Datos correspondiente al
año 1998. Apetición propia. (Número de expediente 212/002115.)
... (Página 24542)
- Su criterio sobre si los datos exigibles para determinar el cálculo
del tipo de retención aplicable sobre los rendimientos del trabajo
respeta el derecho a la intimidad de los afectados. A solicitud del
Grupo Parlamentario Federal de Izquierda Unida. (Número de expediente
212/001869.) ... (Página 24556)
- Contenido del dictamen emitido el 23 de diciembre en relación al
modelo oficial «IRPF, Retenciones del trabajo personal. Comunicación
de datos al pagador». Asolicitud del Grupo Socialista del Congreso.
(Número de expediente 212/001872.) ... (Página 24556)
- Informar, a la vista de lo sucedido con la Generalidad Valenciana
en la preparación de una fiesta de la tercera edad, de las medidas y
actuaciones que va a adoptar encaminadas a garantizar el cumplimiento
por las Administraciones públicas de los preceptos de la Ley Orgánica
de Regulación del Tratamiento Automatizado de los Datos de carácter
personal (Lortad). A solicitud del Grupo Parlamentario Mixto. (Número
de expediente 212/001901) ... (Página 24560)
- Actuaciones realizadas por la Agencia para esclarecer la presunta
utilización de datos de origen desconocido en la llamada «Gran fiesta
de la tercera edad», organizada por la Consejería de Bienestar Social
de la Generalidad Valenciana, así como su entrega a una empresa
privada. A solicitud del Grupo Socialista del Congreso. (Número de
expediente 212/001911.) ... (Página 24560)
- Actuación de la Agencia en defensa de los derechos de los
ciudadanos afectados por su inclusión ilegítima en los llamados
«ficheros de morosos», así como de las reformas legislativas
necesarias para su mayor eficacia en este ámbito. A solicitud del
Grupo Parlamentario Mixto. (Número de expediente 212/001910.)
... (Página 24566)
- Medidas que pudieran adoptarse para prevenir la cesión ilícita de
datos personales archivados por las Administraciones públicas. A
solicitud del Grupo Socialista del Congreso. (Número de expediente
212/001933.) ... (Página 24566)
- Adecuación de las medidas adoptadas por el ministro de Sanidad y
Consumo a la ley Orgánica 5/1992, de 29 de octubre, de regulación del
tratamiento automatizado de los datos de carácter personal (Lortad).
Asolicitud del Grupo anterior. (Número de expediente 212/002141.)
... (Página 24566)
- Valoración de la Agencia acerca de la cesión de historiales
clínicos de los centros del Insalud a empresas privadas. A solicitud
del Grupo Parlamentario Mixto. (Número de expediente 212/002403.)
... (Página 24566)
Se abre la sesión a las cinco y cinco minutos de la tarde.
COMPARECENCIA DEL SEÑOR DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS
(FERNÁNDEZ LÓPEZ) PARA INFORMAR SOBRE:
- LA MEMORIA DE LAAGENCIA DE PROTECCIÓN DE DATOS CORRESPONDIENTE AL
AÑO 1998. A PETICIÓN PROPIA. (Número de expediente 212/002115.)
El señor PRESIDENTE: Buenas tardes, señoras y señores diputados. Esta
Comisión Constitucional se reúne para celebrar su sesión número
veintisiete correspondiente a la legislatura. Me encantaría poder
anunciarles con alguna solemnidad que se trataba de la última y
aprovechar para felicitarles las Pascuas -bueno, eso en todo caso-,
pero no está descartada la eventualidad de que tengamos que celebrar
una última reunión entre los días 24 y 31, a la vista de la evolución
final de los trabajos de la subcomisión sobre el modelo público de
Radiotelevisión Española. Esperemos que la hipótesis no se verifique.
La Comisión Constitucional quiere agradecer la presencia de don Juan
Manuel Fernández López, director de la Agencia de Protección de
Datos, y acogerle muy cordialmente. El señor Fernández López había
solicitado esta comparecencia a efectos de informar sobre la memoria
de la Agencia que tan dignamente preside correspondiente al ejercicio
de 1998. Ese es el punto primero del orden del día y sobre él
agruparemos un primer debate por parte de los portavoces de los
grupos parlamentario que quieran participar en él, tras la exposición
del señor director de la Agencia. Después, y a la vista del
asentimiento que me otorguen
los señores portavoces, introduciremos respecto a los restantes ocho
puntos del orden del día un criterio de agrupación bien sea temático,
en razón de las tres materias sobre las que versan las iniciativas,
bien según los grupos que las suscriben. En uno u otro caso, creo que
eso nos permitirá aligerar el desarrollo de una sesión que se presume
ardua, por lo que agradezco de antemano la colaboración del señor
director, de SS.SS. y de los señores funcionarios de la Cámara que
nos asisten.
Sin más, el señor Fernández López, don Juan Manuel, director de la
Agencia de Protección de Datos, tiene la palabra.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Muchas gracias, señor presidente.
Buenas tardes, señorías. Es para mí un honor y una satisfacción
comparecer ante esta Comisión parlamentaria directamente vinculada
con la tutela y desarrollo de los derechos fundamentales. Convocar a
la Agencia de Protección de Datos demuestra la sensibilidad de SS.SS.
en cuanto a la protección de la intimidad de los ciudadanos y el
reconocimiento de las funciones atribuidas a este ente público
independiente que es la Agencia de Protección de Datos. El control
parlamentario es una garantía más de esa independencia que exige la
propia ley. Es por ello que a los pocos días de tomar posesión como
director de la Agencia de Protección de Datos pedí comparecer
voluntariamente para exponer mi plan de actuación, lo que se llevó a
cabo el día 27 de mayo del año pasado, y al concluir la memoria
nuevamente volví a solicitar comparecer para rendir cuentas del
primer año de mi mandato y recibir de SS.SS. las sugerencias
pertinentes que me permitan un mejor desempeño de mis funciones.
La memoria de 1998, la que tengo en la mano, es ya conocida por SS.
SS., toda vez que cumpliendo la exigencia legal fue remitida en su
día a las Cámaras. Siguiendo la estructura de la misma, que viene
establecida por el estatuto de la Agencia, comentaré a continuación
los puntos más relevantes que posteriormente podré aclarar o ampliar
a preguntas de SS.SS. En primer lugar, he de referirme a la actuación
de la Subdirección General de los Registros de Protección de Datos.
La gestión de todo tipo de movimientos referentes a la inscripción de
ficheros ha sido significativamente fluida, ya que el tiempo medio de
respuesta desde que una notificación tiene entrada en el registro
hasta que se emite la correspondiente resolución de inscripción al
responsable del fichero no supera los tres días de media. Dentro de
las actividades propias del registro se ha tramitado la inscripción
de 3.253 nuevos ficheros, se han modificado 5.704 inscripciones y se
han suprimido 1.234. Todo ello supone que al 31 de diciembre de 1998
el número de ficheros inscritos en el registro general era de
232.028, de los cuales 28.890 correspondían a inscripciones de
titularidad pública y 203.138 a inscripciones de titularidad privada.
Se han mantenido diversas reuniones con responsables de determinados
sectores a fin de conseguir un cumplimiento de la ley y, como
consecuencia, una inscripción de los ficheros. Se pueden resaltar por
su interés las reuniones mantenidas con el Consejo General del
Notariado y otros colectivos profesionales, como son los sectores de
los seguros, de la banca y del marketing.
En cuanto a inscripción de ficheros públicos, con el objeto de
concienciar a los responsables de los ficheros de las
administraciones públicas a lo largo del año se han mantenido
diversas reuniones y se han realizado requerimientos de inscripción.
En el área específica de los ficheros de la Administración local se
ha instado al vocal del Consejo Consultivo de la Agencia de
Protección de Datos para que traslade a la Federación Española de
Municipios y Provincias la necesidad de todos de cumplir con la ley.
En cuanto a la publicación del catálogo de ficheros inscritos, que es
una obligación que la ley determina para la Agencia de Protección de
Datos, hemos de decir que para cumplir con este precepto se ha
mantenido una actualización mensual del catálogo de ficheros en la
página web de la Agencia, lo que permite completar las publicaciones
que se vienen realizando tanto en soporte papel como en CD-Rom.
Asimismo se han publicado los modelos de declaración de ficheros en
la página web de la Agencia, facilitando de esta forma la obtención
de los impresos establecidos como modelos normalizados, obteniéndose
una media cercana a 20.000 accesos mensuales a nuestra página web. El
próximo año 2000 la Agencia espera estar en condiciones de facilitar
incluso la inscripción a través de Internet. En cuanto a la
inscripción de ficheros de datos especialmente protegidos, he de
significar que en relación con los datos de la salud, de origen
racial y vida sexual, enumerados por el artículo 7.3 de la ley, se
observa un incremento en la declaración de ficheros que contienen
este tipo de datos. Se han inscrito 202 ficheros que declaran datos
de salud, correspondiendo una parte de los mismos a ficheros cuya
finalidad es la gestión de recursos humanos de empresas que mantienen
políticas de prevención de riesgos laborales y vigilancia de la salud
de sus trabajadores. Hay que aclarar a este respecto que
estos datos son siempre tratados por los servicios médicos de la
empresa y nunca por el empresario, al menos en las declaraciones.
También incluyen datos de salud los ficheros de entidades del sector
asegurador que ofrecen seguros de vida y salud o gestionan pólizas de
asistencia sanitaria o decesos. La Agencia de Protección de Datos
analiza especialmente las declaraciones que contienen datos de este
tipo antes de proceder a su inscripción, aunque como SS.SS. saben
esta inscripción es meramente declarativa.
Una actividad importante de la Agencia es la autorización de
transferencias internacionales de datos. Hasta diciembre de 1998 se
han resuelto 101 expedientes de solicitud de autorización de
transferencias internacionales, autorizándose durante el año 1999
doce expedientes iniciados ya en el año 1998. Además, durante este
año 1999 se han iniciado 38 expedientes, encontrándose todos ellos
resueltos a la fecha de hoy, lo que ha supuesto 36 autorizaciones de
transferencia internacional y el archivo de dos expedientes por
desistimiento de los solicitantes. La mayor parte de ellas son con
destino a los Estados Unidos de Norteamérica, excepto dos que lo han
sido con destino a Filipinas y a Marruecos. Hay que aclarar,
señorías, que por supuesto las autorizaciones dentro de la Unión
Europea no son necesarias por el principio de libre circulación que
establece la directiva y porque todos los países de la Unión Europea
tienen tanto ley de protección de datos como autoridad de control,
aunque también es bueno decir que no se realiza este control con el
rigor con que lo hacemos los españoles. Todas las autorizaciones de
transferencias internacionales están amparadas en el consentimiento
informado de los afectados, a excepción de cuatro que están amparadas
en una solución contractual. La primera vez que se ha utilizado la
solución contractual en el contexto de la transferencia internacional
ha sido a fines de 1998, concretamente en el expediente de
transferencia internacional masiva de datos de la entidad Readers
Digest. Las cláusulas que se han exigido en esta autorización, en los
términos que posibilita la Directiva 95/46, son las siguientes. En
primer lugar, la obligación de las partes de la transferencia a
garantizar que aplican íntegramente el principio de protección de
datos. En segundo lugar, la delimitación de la finalidad del
tratamiento, garantía de que los datos de carácter personal no podrán
utilizarse para fines distintos de los especificados en el contrato y
de que no pueden ser cedidos a terceros en el país de destino de la
transferencia, ni siquiera para su conservación, siendo necesaria su
destrucción o devolución al responsable una vez cumplida la
prestación contractual. En tercer lugar, la exigencia del
cumplimiento de medidas de seguridad conforme a lo dispuesto en el
artículo 9 de nuestra ley. Una condición especialmente significativa
es la impuesta sobre el control de la aplicación de la legislación de
protección de datos, así como la de realizar auditorías por parte de
la propia Agencia o por un auditor externo independiente designado
por ésta, incluida la de realizar inspecciones en el país de destino.
Es decir, la Agencia española podrá realizar en el país de destino
los datos e inspecciones bien directamente o a través de un auditor
independiente que pueda garantizar el cumplimiento de la ley.
Seguidamente también se exige, en relación con la atribución al
remitente de la responsabilidad por los incumplimientos de las
garantías legales, el que se responsabilice
a la entidad que realice la transferencia internacional de cualquier
infracción de las leyes de protección de datos por su parte o por
parte de la entidad destinataria; es decir, se exige responsabilidad
solidaria. Se deberá garantizar expresamente el cumplimiento por su
parte y por parte de la entidad destinataria de todas las
obligaciones y derechos dispuestos en nuestras ley y facilitar desde
España, en su condición de titular responsable del fichero, los
derechos de acceso, de rectificación y cancelación que en cualquier
caso corresponden a nuestros ciudadanos. Se deberán aplicar cláusulas
que garanticen al afectado, cuando resulte perjudicado, el pago de
las indemnizaciones por el responsable del fichero y la posibilidad,
en su caso, de imponer sanciones por la Agencia de Protección de
Datos española. Conforme con las garantías exigidas por el director
de la Agencia, se incluirá que la entidad remitente responderá
solidariamente con la destinataria frente a la Agencia de Protección
de Datos y a los tribunales españoles de los eventuales
incumplimientos que esta última puede incurrir respecto de las
obligaciones asumidas en este contrato. Se planteó el problema
-vuelvo a repetir que es la primera vez que se realiza una
transferencia contractual donde no está el consentimiento de los
ciudadanos afectados- de si este fichero ya venía con todas las
bendiciones o para los próximos que se incorporaran debía exigirse el
consentimiento. La Agencia entendió que es un deber incorporar a este
fichero informar a los nuevos clientes de que sus datos van a ser
transferidos y el destinatario del fichero. Esta cuestión -vuelvo a
repetir- ha sido muy discutida. Incluso otros países menos garantes
que el nuestro no la aplican. Pero yo he entendido que así como puede
justificarse la transferencia masiva por las dificultades de la
comunicación, siempre que existan garantías, en ningún caso puede
obviarse el consentimiento cuando el ciudadano puede decidir
previamente si sus datos van a un sitio u a otro. Todo ello ha
supuesto, señorías, una felicitación a la Agencia de Protección de
Datos por la Comisión de la Unión Europea. Somos el único país que
hemos notificado las transferencias internacionales en este caso y,
además, nuestro escrito, donde se autoriza la transferencia que he
referido, se va a utilizar como alternativo al problema tan debatido
del marco del puerto seguro que los Estados Unidos de Norteamérica
están presionando para que sea aceptado por la Unión Europea. El
Grupo del artículo 29, donde nos reunimos todas las agencias de
protección de datos de los países de la Unión, se ha manifestado
mayoritariamente a Estados Unidos en contra de esta transferencia
porque consideramos que no se dan garantías, no hay ley de protección
de datos, no hay autoridad de control; son sólo buenos principios sin
ninguna garantía, lo que a mi criterio personal supondría la muerte
de la propia directiva y la imposibilidad de exigir otras
transferencias a otros países. Como consecuencia de que no se ha
llegado al acuerdo, se ha propuesto como alternativa el modelo de la
Agencia española para posibilitar estas transferencias que otros
países consideraban que eran imprescindibles que había que autorizar
sin ningún tipo de garantías.
Otro tema importante, señorías, es el de los códigos tipos, es la
autorregulación. El año 1998 merece una especial consideración en la
actuación de la Agencia de Protección de Datos porque se ha
autorizado el primer código de
comercio en Internet que propició la Federación española de comercio
electrónico y marketing directo. Dentro de las dificultades que
supone reglar las transacciones o las comunicaciones en Internet, un
medio eficaz consiste en promocionar códigos éticos para proteger los
datos de los ciudadanos en dicha red. Hemos sido el primer país de la
Unión Europea en el que se ha inscrito un código ético de protección
de datos sobre comercio electrónico en Internet. La finalidad del
código es garantizar que las empresas asociadas proporcionen un marco
apropiado de protección de la intimidad ante la promoción de
productos a través de Internet. Sus aspectos más destacables son los
que a continuación se mencionan. La asociación que lo ha elaborado
incluye empresas muy significativas de diversos sectores como el
bancario, los medios de comunicación audiovisual y escrita, correos,
telégrafos, grandes establecimientos comerciales, edición y
distribución de libros, informática, telecomunicaciones, marketing,
asesoría, etcétera. En la promoción del código ético han participado
tres de las principales asociaciones de consumidores, así como la
Asociación para el autocontrol de la publicidad, organismo de
carácter privado que actúa como autorregulador en el ámbito de la
publicidad ilícita. De este modo se ha pretendido que el contenido
del código no se limite a tener en cuenta el criterio de las
empresas, sino también la problemática e intereses de los
consumidores. Su presencia no se ha limitado a participar en la
elaboración del código, sino que tiene un carácter estructural y
permanente. El efecto de los diez miembros que integran el comité de
protección de datos de la Asociación española de comercio
electrónico, órgano que tiene atribuida la competencia de control del
cumplimiento del código ético, es que cuatro son representantes de
las asociaciones de consumidores y uno de la Asociación para el
autocontrol de la publicidad. El derecho a la información de los
afectados de que sus datos han sido recabados o capturados por los
anunciantes encuentra su primera manifestación en la obligación que
se impone a éstos de informar en su página web, mediante un aviso, de
que se está produciendo dicho tratamiento de datos. El consumidor
podrá oponerse total o incluso parcialmente al tratamiento de sus
datos. El consumidor podrá también seleccionar o excluir las
finalidades para las que consiente que sean destinados sus datos. En
el caso de terceros deberá informársele sobre la identidad de los
cesionarios y sobre las finalidades perseguidas por la cesión. El
derecho de oposición puede ejercitarse mediante un sistema on line.
En las relaciones con terceros contratantes, las empresas
involucradas en la cesión de datos para realizar ofertas por e-mail
deberán garantizar que cumplen con los principios del código ético.
En relación al tratamiento de datos sobre menores, ante la dificultad
de conocer cuando un menor facilita sus datos, se aplican garantías
indirectas que tratan de evitar el riesgo que afectan a tales
usuarios. Se concede a los padres la posibilidad de que
preventivamente puedan ejercer los derechos de acceso, cancelación y
rectificación, debiendo respetarse el aviso de los padres contrario a
la solicitud de información o de publicidad. A tal efecto, los
anunciantes deberán animar a los menores para que consulten a sus
padres. Finalmente, no podrán cederse los datos ni utilizarse para
campañas inadecuadas a la edad de los menores. Las recomendaciones
que he tratado de resumir
son muchos más amplias (y podré ampliar, si SS.SS. lo desean) y han
sido pioneras en la protección de datos personales a través de
Internet, habiendo constituido el modelo seguido en la actualidad por
el Consejo de Europa y por las autoridades de protección de datos de
algunos países, como es el caso de Francia.
Siguiendo con la estructura de la memoria, les informaré de las
actividades realizadas por la Agencia a través de la Secretaría
General. Éstas han ido dirigidas a posibilitar el funcionamiento de
la Agencia de Protección de Datos en sus aspectos materiales,
técnicos y de recursos humanos, así como al área de atención al
ciudadano. Para ello se han realizado las siguientes tareas. En
primer lugar, gestión y administración de personal funcionario y
laboral. Tenemos un total de 55 personas que trabajan para la
Agencia, incluido su director; todos son funcionarios a excepción de
tres ordenanzas con vínculo laboral. En el año 1998 hemos conseguido
que se nos amplíen tres plazas en la Agencia, toda vez que nuestro
personal es evidentemente escaso. También se ha controlado la
ejecución y seguimiento del presupuesto. Como SS.SS. saben, nuestro
presupuesto no está dependiendo de ningún ministerio, sino que es
autónomo dentro de los Presupuestos Generales del Estado. Se ha
gestionado un presupuesto de 523 millones; como ven, es un
presupuesto modesto. También es importante destacar la gestión de
ingresos de la Agencia, que han tenido su procedencia, por un lado,
de transferencias establecidas por los Presupuestos Generales del
Estado y, por otro, del pago de las sanciones impuestas por la
Agencia en el ejercicio de su potestad sancionadora. En el año 1998
se han producido unos ingresos en este concepto de 373 millones y se
han reconocido derechos por el mismo concepto en cuantía de 986
millones de pesetas.
Se ha convocado por la Agencia la segunda edición del premio de
protección de datos, que, como saben, existe desde hace ya dos años
para premiar una obra en materia jurídica sobre el tema de la
protección de datos, con lo cual estamos propiciando la investigación
y el desarrollo de las garantías constitucionales. En este caso, el
premio ha recaído en un profesor asociado de derecho procesal de la
Universidad del País Vasco, don José Francisco Etxeberría Guridi, por
un tema de máxima importancia y actualidad, la protección de datos de
carácter personal en el ámbito de la investigación penal, y, dada la
calidad de los trabajos presentados, el jurado, constituido por todos
los miembros del Consejo Consultivo y por el director de la Agencia,
por unanimidad accedió a conceder un accésit, dotado con 100.000
pesetas, a la obra titulada La responsabilidad civil del responsable
del fichero en la Ley Orgánica 5/1992, de la que es autor el profesor
titular de la Universidad de las Islas Baleares, don Pedro Grimalt.
Una actividad sumamente importante de la Secretaría General, de la
que depende directamente, pero yo diría que también de la Agencia, es
el área de atención al ciudadano. La obligación que nos impone la
propia ley orgánica es en cualquier caso realizarlo con el máximo
celo. Por un lado, hay campañas de difusión en los medios de
comunicación social. Nuestro presupuesto en este caso es mínimo, 20
millones para publicidad, con los que normalmente hacemos una campaña
de publicidad en medios de prensa en todo el territorio nacional.
Aparte de eso, distribuimos múltiples
trípticos donde se informa a los ciudadanos de sus derechos, y
por supuesto directamente, en el área de atención al ciudadano, se
responden las consultas, las dudas o los problemas que tienen los
ciudadanos. En el año 1998 se han resuelto 12.780 consultas
telefónicas, un 30 por ciento más que en el año anterior, 1.300
consultas presenciales y 1.453 consultas por escrito, con un
incremento del 44 por ciento respecto a 1997. Con independencia de la
emisión de estas consultas, a lo que además viene obligado por la
ley, la Agencia también ha producido 300 dictámenes, dentro de su
carácter no obligatorio, para las administraciones públicas y para
las empresas, para ayudarles, en definitiva, a un mejor conocimiento
y a un mejor cumplimiento de la ley. Asimismo las consultas en
nuestra página web han sido importantes en 1998, ya que se han
producido 216.000 accesos. A todo esto, hablando sólo de números,
podría decirles que en cuanto a los inforrmes preceptivos que tiene
que realizar la Agencia en materia de anteproyectos de ley, de
proyectos de ley y de otras normas inferiores, en el año 1998 se han
evacuado 22 informes preceptivos que a estas alturas, en 1999, han
aumentado a 34, lo que en definitiva demuestra una mayor sensibilidad
de todos por el tema de la protección de datos. Igualmente SS.SS., a
través de preguntas parlamentarias, aumentaron su interés por la
Agencia, ya que, frente a diez consultas o preguntas parlamentarias
en 1998, en 1999, al día de hoy -y aún hay una por contestar-, van ya
22. Por los tipos de fichero, las cuestiones relativas a solvencia
patrimonial y crédito constituyen el grupo más numeroso de las
consultas de los ciudadanos, y siguen a continuación los de los
ficheros relativos a la publicidad.
Paso seguidamente a comentarles las tareas realizadas por la Agencia
en materia de inspección y de instrucción de expedientes
sancionadores, que desgraciadamente tienen que existir porque no
todos están dispuestos al cumplimiento de la ley. Hablando sólo en
números muy generales, las reclamaciones y denuncias recibidas en
1998 fueron 493; las resueltas, 543 -había alguna pendiente del año
anterior-; los procedimientos sancionadores resueltos han sido 147,
en los cuales hay que incluir nueve referentes a administraciones
públicas, de los que han sido resueltos seis; se han dictado
resoluciones de archivo motivadas en número de 292 y se han
practicado inspecciones en 182 casos, con independencia de las
inspecciones sectoriales, cuya finalidad y número les referiré a
continuación. Las sanciones por faltas muy graves han sido cuatro;
graves, 72, y leves, 46. Durante el año 1998 se ha procedido a una
revisión en profundidad de determinados sectores -es el caso de los
sistemas de información de Telefónica de España- dentro de un plan
que ha sido completado en el año 1999 con la inspección del resto de
los grandes operadores en telecomunicaciones, Retevisión, Euskatel y
Uni 2. Se ha ampliado este plan a partir de agosto de 1999 al examen
del cumplimiento de la normativa específica de la protección de datos
en el sector de las telecomunicaciones, conforme a lo establecido en
el artículo 50 de la Ley General de Telecomunicaciones y en el Real
Decreto 1.736/1998, que desarrolla aquel precepto. También se han
revisado exhaustivamente los sistemas de las mayores entidades
dedicadas a la información de solvencia patrimonial y crédito,de una
muestra de las más grandes compañías aseguradoras
españolas, e igualmente se ha revisado la oficina Sirene española,
órgano de colaboración policial establecido en el marco del Convenio
de Schengen, y asimismo se ha realizado una inspección sectorial a
las salas de bingo repartidas por diversas provincias del territorio
nacional. La Agencia destina todo ello a la comprobación del
cumplimiento de la ley, con la idea fundamental de ayudar a estas
empresas al mayor respeto del derecho a la intimidad de los
ciudadanos. Como resultado de estos planes de inspección, la Agencia
ha elaborado un conjunto de recomendaciones dirigidas a las
asociaciones más representativas de cada sector u organismo público
correspondiente, encaminadas a la subsanación de aquellas
deficiencias encontradas durante la realización del plan y su mejor
adecuación a la Lortad.
En el caso de ficheros de solvencia patrimonial y crédito podemos
destacar algunas recomendaciones significativas, con lo cual, señor
presidente, a lo mejor estoy adelantado una pregunta parlamentaria
que se formulará posteriormente, pero está dentro del plan de
inspección que la Agencia ha realizado en el año 1998. Las
recomendaciones a los titulares de los ficheros de solvencia
patrimonial, de acuerdo con las deficiencias detectadas, han sido las
siguientes: a) En el caso de que se realice una anotación por cada
movimiento impagado, deberá diferenciarse el capital de los
intereses; b) En el caso de que no se incluyan anotaciones que puedan
referirse inequívocamente a una persona específica, deberá
concretarse esto; c) que se respeten los plazos legales de
actualización de oficio de los ficheros, es decir una semana como
máximo; d) que se adopten las medidas necesarias para que cuando se
distribuyan copias de los ficheros éstas sean idénticas, se eviten
las versiones piratas y se dé a los afectados toda la información que
la ley establece: destinatarios de los datos, complementos,
evaluaciones, etcétera; e) Recordar a los responsables de este tipo
de ficheros las obligaciones que impone el Real Decreto 994/1999, en
materia de medidas de seguridad, que, como saben SS.SS., ha entrado
en vigor el mes de junio pasado y tendrá efectividad a partir del día
26 de este mes, en que ya serán de exigencia a todos los ficheros
existentes al menos las medidas de seguridad de nivel básico. Por lo
que respecta a las compañías aseguradoras, se hicieron
recomendaciones en relación a la mejora de los procedimientos de
actualización de la información que debe remitirse al Registro
General de Protección de Datos; igualmente, al mantenimiento en los
ficheros de los datos de las aseguradoras, con especial atención a
los datos especialmente protegidos, y de estos, claro está, a la
salud, que son los que más habitualmente manejan las compañías de
seguros; también a la información que se ofrece a los tomadores y a
los asegurados, a la formación de los empleados de la compañía y a
las comunicaciones de datos entre las compañías y los mediadores de
seguros. En relación con las inspecciones de oficio a las salas de
bingo, las principales recomendaciones volvieron a hacer referencia a
la necesidad de que se remita en tiempo y debida forma la información
que la ley marca al Registro General de Protección de Datos; a la
necesidad de solicitar el consentimiento de sus clientes para la
remisión de publicidad y a los tipos de datos que pueden recogerse de
los afectados -según el reglamento del juego del bingo: nombre,
apellidos,
domicilio, DNI y pasaporte- y a las fechas de las visitas. En
algunos casos se producen algunos problemas respecto a las
legislaciones autonómicas que permiten que esos datos estén
mantenidos más de los seis meses que establece la legislación de
protección de datos. Por lo que se refiere a la inspección llevada a
cabo en la oficina Sirene, encaminada a evaluar las medidas de
seguridad existentes, se constató que, aún siendo en general
satisfactorias -yo les diría que una de las más satisfactorias de
Europa-, sería conveniente no obstante incrementarlas en las áreas
relativas a los estándares, gestión de soportes, aspectos formales de
acceso a los sistemas y acceso a las instalaciones.
En lo que respecta a los ficheros de titularidad privada, ya he
expuesto anteriormente el cuadro de procedimientos sancionadores
incoados en 1998 y el número de sanciones impuestas, por un importe
total de 975 millones de pesetas. De entre ellas cabe destacar cuatro
que corresponden a infracciones muy graves, por infracción del
artículo 11 de la ley: cesión de datos, sancionado con 50 millones 1
peseta. Recuerden SS.SS. que las cuantías previstas para las muy
graves van de 50 millones 1 peseta a 100 millones, por lo que aquí no
se apreciaron circunstancias especiales. Las entidades a las que se
han impuesto tales sanciones son las cuatro siguientes: Gestión y
Técnicas del Agua, S. A.; Manipulat y Trameses, S. L.; Sumun Films,
S. A. y Banco Bilbao-Vizcaya, S. A. Otra actividad que mereció la
atención de la Agencia, en el ámbito de los ficheros de titularidad
privada, fue la iniciativa de las empresas que recopilaban
masivamente información detallada de los ciudadanos a través de las
denominadas encuestas de consumo, con objeto de configurar sus bases
de datos. Los procedimientos sancionadores incoados a las entidades
VNU Marketing Information Service, S. A. y a Consodata España, S. A.,
fueron sobreseidos por entender que en ningún caso se vulneraba lo
establecido en la Lortad. En ambos supuestos, el folleto remitido al
destinatario dejaba bien claro que, salvo manifestación en contra del
ciudadanos, sus datos personales podían ser cedidos a empresas
comerciales del sector, que podían dirigir ofertas a su domicilio; en
el propio impreso existía la casilla para poder decir: no, lo cual es
importante. Otra importante actividad de la Agencia el año pasado
comprendió la inspección a Telefónica de España en relación con la
utilización de datos personales de abonados al servicio de
telecomunicaciones. Se impusieron dos sanciones a Telefónica y tres a
Telefónica Publicidad e Información, por cesión de datos a terceros
sin consentimiento de los afectados, tratamiento sin consentimiento y
por no facilitar la información que exige la ley en la recogida de
datos. Por su parte Telefónica de España, primero, en 1998, dirigió
un escrito a todos sus abonados, firmado por su presidente, en el que
anunciaba que la compañía iba a dejar de ceder sus datos. Al mismo
tiempo, Telefónica Publicidad e Información solicitaba a la Agencia
de Protección de Datos, compañía a la que en principio iban a ser
cedidos los datos, la supresión de la inscripción del fichero, con lo
cual este expediente terminó con la elevación a definitivas de las
medidas cautelares y sin sanción. Afortunadamente, las medidas
cautelares sirvieron para que Telefónica no llegara a ceder los datos
y no hubo que sancionarla;se nos hizo caso. Es de señalar que el
expediente abierto a
Telefónica terminó sin sanción -como digo-, supuesto que es muy
importante, puesto que la Agencia está utilizando cada día más el
medio de las medidas cautelares, que es el campo adecuado para evitar
sobre todo un daño que luego puede ser difícilmente reparable.
En cuanto a los procedimientos abiertos a las administraciones
públicas, se iniciaron nueve expedientes sancionadores por
infracciones a esta clase de ficheros, de los cuales se resolvieron
en 1998, seis: los cuatro primeros declarando responsabilidad y los
dos restantes decretando su archivo. Aeste respecto hay que señalar
que a la Consejería de Hacienda y Economía de la comunidad autónoma
de La Rioja se le declaró una infracción del artículo 11 de la Ley de
Protección de Datos, en relación con el artículo 15.1 de la Ley de la
Función Estadística, y, por tanto, fue sancionada. El Ayuntamiento de
Vinalesa (Valencia) también fue sancionado por infracción del
artículo 11, porque cedió datos del padrón municipal sin
consentimiento previo del afectado. A la Dirección General de Tráfico
se le sancionó por infracción del artículo 4.3 de la Ley, principio
de veracidad de los datos, al constar en sus ficheros datos del
titular de un vehículo que no respondían a la realidad. Al
Ayuntamiento de Gavá (Barcelona), por infracción del artículo 4.2,
por haber incorporado de forma masiva a sus ficheros de finalidad
policial datos del padrón municipal, y también por infracción del
artículo 20.2 de la misma ley orgánica, por haber registrado datos
personales fuera de los casos permitidos por dicho artículo. En otro
caso, a la Dirección General de la Policía se sobreseyó el expediente
y se archivó por una denuncia por presunta infracción del artículo
10.
Al Banco de España también se le declaró sin responsabilidad en una
especial problemática en relación con el fichero Firbe, que estimo
merece una consideración aparte. Como resultado de la tramitación de
diversos expedientes iniciados por denuncias presentadas ante esta
Agencia, se decidió la apertura de un procedimiento de infracción de
administraciones públicas al Banco de España en su calidad de
responsable del fichero central de información de riesgos. El CIR o
Firbe, como también se le conoce, contiene información sobre los
riesgos financieros contraidos por personas físicas y jurídicas,
fundamentalmente por estas últimas. Los datos son facilitados por las
entidades bancarias y financieras y el Banco de España, tras
consolidar la información recibida, remite a cada entidad los datos
relativos a sus clientes. Durante la tramitación de los expedientes
se constató que el citado fichero trata datos relativos a deudas
transcurridos más de seis años desde la fecha de su incorporación. La
resolución del director de la Agencia concluye que el CIR, por ser un
fichero de titularidad pública, debe considerarse excluido del
régimen que establece el artículo 28 de la Lortad, por cuanto que
siendo una de sus funciones informar a las entidades de crédito de la
totalidad del riesgo contraído por sus clientes en el sistema
financiero tiene esta titularidad pública. No obstante, la similitud
existente entre este hecho y las funciones previstas para los
ficheros a los que se refiere el artículo 28 de la Ley Orgánica de
Protección de Datos hizo conveniente aclarar que, por tratarse de un
fichero de titularidad pública, debe entenderse el CIR excluido del
régimen del artículo 28. No obstante lo anterior, con el objeto de
evitar cualquier duda
sobre la suficiente cobertura legal de la normativa vigente, el
director de la Agencia realizó gestiones ante el Banco de España para
que se promoviera un marco legal más adecuado. En este sentido, a fin
de regularizar la situación del Firbe, entre los consiguientes
contactos con el Banco de España y la Agencia de Protección de Datos,
se remitió el 28 de mayo de 1999 un proyecto de disposición, con
rango de ley, para actualizar la regulación del fichero adaptándola
a la regulación de la normativa vigente en materia de protección de
datos. Hay que pensar que la regulación del Firbe es de los años
sesenta. La citada disposición fue informada por la Agencia de
Protección de Datos en un extenso informe, de fecha 15 de junio de
1999, en el que se hacía hincapié en muy diversas cuestiones
referentes a la adecuación del fichero al régimen consagrado por la
Lortad.
Otra resolución de especial relevancia, porque hasta ahora la Agencia
de Protección de Datos no se había pronunciado al respecto, es una
referente a los contratos de leasing. El leasing, por considerarse
que es una actividad empresarial individual (el contrato de leasing,
por su propia normativa, está concebido exclusivamente para
empresarios), ha entendido la Agencia que no está bajo la protección
de la Lortad. La Lortad protege el derecho personal y familiar del
ciudadano a la protección de su intimidad. Los comerciantes, aparte
de las personas jurídicas, en el ejercicio de su actividad están, por
su propia idiosincrasia, sometidos a un régimen de publicidad. No
obstante esto, habrá que distinguir en algunos supuestos cuándo el
comerciante actúa como tal o como ciudadano, pero en el contrato de
leasing no ofrece duda porque es un contrato sólo posible entre
comerciantes. Otro tema que también requirió nuestra atención son las
tarjetas de identificación de las universidades. Se tramitaron
algunos expedientes que al final resultaron archivados por no
encontrar responsabilidad, pero se detectó que las universidades, en
muchos supuestos, tienen la colaboración de los bancos para tramitar
los carnés tanto de los estudiantes como de los profesores y personal
administrativo. Esto no tiene ningún problema si se realiza dentro de
un marco de colaboración como los que define el artículo 27 de la
ley, pero no se podrán ceder esos datos para que la entidad bancaria
haga ningún tipo de prospección. La Universidad sí podrá, en su
propia información, facilitar, como existe en algunos casos, ventajas
a los estudiantes y profesores que les ofrecen determinadas empresas
bancarias. No obstante ello, ante la problemática detectada y ante la
posibilidad de incumplir por desconocimiento la ley, la Agencia ha
dirigido un comunicado al Consejo de Universidades, a través del
representante de esta institución que figura en el Consejo
Consultivo, a fin de facilitar el cumplimiento de la ley, toda vez
que la primavera pasada tuve una reunión con los gerentes de las
universidades catalanas que estaban muy preocupados por el
cumplimiento de la ley.
Finalmente, voy a referirme a otra de las actividades importantes de
la Agencia y que cada día va teniendo mayor exigencia, como es la
actividad internacional. En primer lugar, tengo que decir que a los
pocos días de hacerme cargo de la Agencia de Protección de Datos,
concretamente en abril pasado, se celebró en Dublín la conferencia de
primavera de los comisionados europeos de protección de datos,
compuesta por todos los equivalentes a nuestra
Agencia de Protección de Datos en la Unión Europea, además de los
representantes de Islandia y Noruega. En ella, la delegación
española, aparte de participar en los debates, presentó un proyecto
de cooperación entre las distintas agencias para crear un sistema
integrado de información, utilizando la red Internet y la tecnología
web, con vistas a facilitar una mayor coordinación entre las propias
agencias y ofrecer una mayor información a los ciudadanos europeos.
Un hecho que hay que resaltar en el año 1998 en el plano
internacional es que a la Agencia española le correspondió el honor
de organizar la 20.ª Conferencia internacional de autoridades de
control de datos que se celebró en Santiago de Compostela. La Agencia
española recibió este encargo y la conferencia se celebró los días 16
a 18 de septiembre de 1998. El objeto de cada conferencia
internacional, que se celebra con una periodicidad anual, es la
puesta en común de las distintas legislaciones en materia de
protección de datos para profundizar en los problemas existentes en
cada país y en el estudio de las incidencias de la nueva tecnología
en la privacidad de los ciudadanos. En la 20.ª Conferencia
internacional participaron 20 representantes de agencias de
protección de datos de todo el mundo; además de las europeas, que
estuvieron todas, estuvieron también otras como Canadá, Australia,
Nueva Zelanda y Japón. No obstante, los Estados Unidos de
Norteamérica, a pesar de su importancia capital en el tratamiento de
datos personales -hay que señalar que carecen de legislación general
en esta materia y de autoridad de control-, pidieron su participación
como observadores. También asistieron a la conferencia 30
representantes tanto de otras administraciones que carecen de
autoridad de control como del mundo empresarial y jurídico
relacionado con la protección de datos, además de un representante
del Consejo de Europa. La Agencia de Protección de Datos española
presentó cuatro ponencias. La primera, relativa al derecho a la
privacidad y su frontera con los demás derechos humanos, fue
presentada por mí como director de la autoridad de control del país
anfitrión. Se trataba de dar una visión de conjunto de los derechos
al respeto a la esfera privada en los cuatro aspectos contemplados
por el artículo 8 del Convenio Europeo de Derechos Humanos (vida
privada, vida familiar, domicilio y correspondencia) y del
tratamiento recibido por parte de la jurisprudencia del Tribunal
Europeo de Derechos Humanos. Por su parte, el subdirector general de
la inspección intentó transmitir el enfoque general de la labor de
investigación que se emplea en la inspección de la Agencia,
proveniente, sobre todo, de la experiencia adquirida y de los
problemas en las casi dos mil investigaciones realizadas en los
cuatro años de existencia de la Agencia española, y que han llevado
aparejadas casi mil inspecciones in situ en una gran variedad de
sistemas de información. El jefe del gabinete jurídico de la Agencia
estudió los problemas que se han planteado en la práctica de la
Agencia de Protección de Datos en relación con las empresas dedicadas
a la realización de informes de riesgo financiero. En las distintas
sesiones se abordaron temas relativos al escenario internacional y a
la Directiva europea de protección de datos, desarrollado por un
miembro de la Comisión Europea, la aplicación de las reglas de
protección a datos accesibles al público, la protección de datos, en
el caso de las nuevas tecnologías, para vigilancia de
carreteras, Internet, correo electrónico, venta electrónica,
etcétera.
Por último, el 18 septiembre y en una sesión cerrada para las
autoridades de protección de la Unión Europea, se abordaron los temas
de determinación de estándares de inspección y de datos especialmente
protegidos. Al finalizar la conferencia se aprobó una declaración
conjunta de los asistentes en relación con un proyecto del gobierno
de Islandia, consistente en la creación de una base de datos
genéticos de todos los habitantes de Islandia. En dicha declaración
expresamos nuestra seria preocupación acerca de este asunto
y recomendamos a las autoridades de Islandia que reconsideraran su
proyecto a la luz de los principios fundamentales consagrados por el
Convenio Europeo para la protección de derechos humanos y libertades
fundamentales, del Convenio 108 relativo a la protección de datos y
la Recomendación 97/5, referente a datos médicos, ambos del Consejo
de Europa, así como de la Directiva 95/46. Los asistentes adoptamos
un acuerdo sobre la utilización de Internet. En dicho acuerdo se
ponía de manifiesto que, sobre la base de los principios de
protección de datos personales, ya establecidos en muchos países y
aplicables a Internet, todos los Estados, y en particular aquellos
que hacen un mayor uso de las nuevas tecnologías, deben adoptar
y reforzar las medidas de protección de los datos personales y promover
la cooperación internacional, basada en la recomendación de
principios universales, para asegurar que el crecimiento del uso de
Internet no produce consecuencias incompatibles con la protección de
datos y la privacidad.
Dada la calidad de estas ponencias y las aportaciones de los
participantes, la Agencia las ha publicado y se han presentado en un
acto que tuvo lugar el 28 de abril en el Colegio de Abogados de
Madrid, organizado conjuntamente por dicha corporación y la Agencia.
En él intervinieron ante un nutrido auditorio dos diputados
pertenecientes a los grupos parlamentarios con mayor representación
en el Congreso. Asimismo, intervino el profesor don Miguel Ángel
Dabara, quien pronunció una conferencia sobre protección de la
intimidad en la sociedad de la información, y la presentación del
libro de la XX Conferencia estuvo a mi cargo como director de la
Agencia, cerrando el acto el decano del Colegio de Abogados, quien
resaltó la trascendencia del derecho a la intimidad y el importante
papel de la abogacía en su defensa.
Otro tema que ha desarrollado la Agencia en el ámbito internacional
se ha producido como consecuencia de la celebración de la Conferencia
de Santiago. Se despertó un interés por la autoridad de control de
los Países Bajos, por la Registratiekamer, en llevar a cabo una
experiencia común para compartir las auditorías de privacidad y
llegar a métodos de procedimiento para inspecciones comunes. La cada
vez mayor internacionalización de los tratamientos de datos y la
entrada en vigor de la Directiva 95/46, hace que sea previsible que,
cada vez con mayor frecuencia, sea necesario recurrir a actuaciones
coordinadas entre las inspecciones de varias autoridades. Los
primeros trabajos fueron presentados en la Conferencia de primavera
de este año, celebrada en Helsinki. Habrá un posterior desarrollo de
los trabajos que serán presentados en la próxima Conferencia de
primavera.
Una labor que tenemos obligación de realizar y que además llevamos a
cabo con bastante buen nivel, es la relación con nuestros colegas de
la Unión Europea a través del grupo del artículo 29 de la directiva.
Dicha directiva estableció en su artículo 29 la creación de un grupo
de trabajo sobre protección de datos personales. Este grupo tiene la
obligación de facilitar a la Comisión, al Parlamento Europeo y al
Consejo un informe anual sobre el estado de la protección de las
personas físicas con respecto al tratamiento de sus datos, tanto en
la Comunidad como en terceros países. El grupo de trabajo está
compuesto por los representantes de las autoridades nacionales
independientes, encargadas de la protección de la intimidad, y por un
representante de la Comisión Europea. En un futuro incluirá un
representante de la autoridad responsable de las cuestiones
relacionadas con la protección de datos en la Unión Europea, que aún
no ha sido nombrado. La Agencia española forma parte de este grupo de
trabajo, participando activamente en los diferentes debates y
trabajos preparatorios, así como en los diferentes subgrupos que ya
se han establecido al efecto. Como fruto de este trabajo, y en el
ejercicio de las competencias atribuidas por la directiva, el grupo
de trabajo ha elaborado en 1998 seis documentos, sobre los que no me
extiendo porque constan en la memoria, que van desde el tratamiento
de la privacidad en Internet a temas como la privacidad en los
sistemas de información, en el sistema SIR de las líneas aéreas,
etcétera.
Asimismo, participamos en el Consejo de Europa como miembros del
Convenio 108 para la protección de los individuos en relación con sus
datos automatizados. Es también relevante nuestra participación en
Schengen. La Agencia de Protección de Datos ha participado
activamente como autoridad de control común y han sido precisamente
ingenieros españoles los que han dirigido el examen del fichero de
datos común de las policías europeas, sito en Estrasburgo, porque
precisamente nuestros ingenieros en protección de datos eran los más
capaces. Dentro de esta actividad, la autoridad española ha
inspeccionado la oficina Sirene, la de la policía española, que se
llevó a cabo en 1998, con las recomendaciones que antes mencioné.
También se ha llevado cabo una campaña de publicidad respecto a dar a
conocer a los ciudadanos esta existencia del Convenio Schengen y la
posibilidad de acceder, rectificar o cancelar sus datos.
También hemos sido nombrados autoridad de control en Europol. El
Consejo de Ministros de 25 de septiembre ha nombrado a la Agencia de
Control de Datos autoridad de control y en este grupo de Europol que
se ha constituido recientemente incluso se ha establecido una cámara
de recursos -una cámara administrativa, pero cámara de recursos-
donde los ciudadanos europeos, en el caso de que tengan que hacer
alguna reclamación, puedan recurrir; se trata de una autoridad
administrativa, pero europea.
Finalmente, quiero destacar que también participamos en el grupo de
datos de telecomunicaciones, más conocido por grupo Berlín, donde se
estudian expresamente las cuestiones relativas al desarrollo, cada
día más fulgurante, de las telecomunicaciones. Este grupo ha
celebrado en el año 1998 dos reuniones, la de primavera en Hong-kong
y la otra en Berlín, y fruto de ellas ha sido la aprobación de
diversas posturas comunes, relativas a Internet, a la interceptación
de comunicaciones privadas y a las tecnologías avanzadas en
la protección de datos.
Señorías, no quiero entretenerles excesivamente en un día como hoy,
pero sí quiero que comprendan que la exposición de la memoria no
puede quedar reducida a cinco minutos. Por ello, les pido disculpas y
quedo a su entera disposición.
El señor PRESIDENTE: Muchas gracias, señor Fernández López. Sus
disculpas son innecesarias; al contrario, la Comisión le queda
rendidamente agradecida por el rigor, la precisión y la exhaustividad
en la exposición de la memoria, con independencia de los juicios que
merezca a cada grupo parlamentario en el libre ejercicio de su juicio
político. Entiendo, al menos así se deduce de la parte final de su
exposición, que la muy activa presencia exterior de la Administración
española, a través de la Agencia de Protección de Datos, en muy
distintos sectores de colaboración europeos es altamente indiciaria
del alto prestigio que ha alcanzado nuestra Agencia de Protección de
Datos, a pesar de su bisoñez, de su corta experiencia administrativa
en este ámbito internacional, en el que las tecnologías abren
posibilidades inéditas, pero también riesgos, para conceptos
fundamentales asociados a nuestras más profundas convicciones sobre
la libertad personal y los derechos humanos. De suerte que, sin
entrar en los puntos concretos del orden del día, sino a los solos
efectos de comentar o formular alguna sugerencia o repregunta sobre
la intervención general del señor director de la Agencia de
Protección de Datos, abriríamos un primer turno de intervenciones,
que podría llegar a ser hasta de diez minutos, aun cuando estoy
seguro de que serán capaces de ser más sintéticos.
A tales efectos, por el Grupo Parlamentario Federal de Izquierda
Unida, tiene la palabra el señor Castellano.
El señor CASTELLANO CARDALLIAGUET: Centrándonos en el punto 1.º del
orden del día, exposición de la memoria, nuestro grupo quiere
agradecer sinceramente la presencia del director de la Agencia de
Protección de Datos. Valoramos muy positivamente la exposición que ha
hecho de las actividades efectuadas por dicha Agencia, celebrando
que, como ha señalado el señor presidente, una institución de tal
importancia haya tenido esa preocupación en cuanto al cumplimiento de
sus obligaciones de redacción, registro y vigilancia en la confección
de los correspondientes ficheros, que ha culminado levantando las
correspondientes actas de infracción. Nada más tenemos que añadir,
porque pensamos que el resto de comparecencias solicitadas, que van a
entrar en temas muy concretos, permitirá conocer cuáles son los
criterios de la Agencia en el cumplimiento de sus obligaciones. Por
tanto, pura y sencillamente, reiteramos nuestra felicitación al señor
compareciente y expresamos la satisfacción de este grupo
parlamentario por la exposición de la memoria.
El señor PRESIDENTE: Por el Grupo Parlamentario Socialista, tiene la
palabra don Carlos Navarrete.
El señor NAVARRETE MERINO: Señor director de la Agencia de Protección
de Datos, quiero, en primer lugar,manifestar el enojo de nuestro
grupo porque esta sesión de
trabajo de la Comisión Constitucional tenga lugar en una fecha como
esta, cuando los acontecimientos inmediatos, tanto la anunciada
disolución de la Cámara como las propias festividades navideñas,
ponen de manifiesto que esta sesión de trabajo va a tener muy poca
repercusión en los medios, y a las pruebas me remito. Siendo la
Agencia de Protección de Datos un arbolito recién nacido, parece que
debiera ser objeto de un cuidado muy especial por parte de los
legisladores, cosa que más bien brilla por su ausencia; no se
entiende muy bien el retraso en la comparecencia ni la propia demora
en el señalamiento de la fecha para esta Comisión. Dicho esto, quiero
disolver los escrúpulos del director compareciente, a quien
agradecemos su presencia, porque el tiempo que ha invertido es el
corriente en la exposiciones habidas en otras comparecencias
similares de autoridades de la Administración del Estado.
Cabe pensar que las cosas han ocurrido de esta manera porque no han
podido ocurrir de otra o porque se oculte una secreta intención. En
este caso, habría que decir que esta reunión parlamentaria es como
una metáfora de la vida, lo que importa es el sentido final, la tarea
de las diferentes generaciones de seres humanos. Por consiguiente,
aunque estemos al final de la legislatura y sea difícil convertir en
criterios concretos las conclusiones que aquí pudiéramos sacar, el
Grupo Socialista en la próxima legislatura seguirá poniendo el mismo
empeño en que la labor de la Agencia de Protección de Datos sea cada
vez más garantista de la intimidad de las personas y más cumplidora
de los objetivos que tanto orgánica como constitucionalmente le están
atribuidos.
Aclarado esto, nos parece que la exposición ha tenido una
extraordinaria corrección en cuanto a sistemática y que ha abarcado
de una manera elocuente y lógica los distintos ámbitos de actuación
de la Agencia de Protección de Datos, las consultas, las
inscripciones de ficheros, las actividades de denuncia, inspección y
sanción y, finalmente, la repercusión de las tareas internacionales
en el ámbito de trabajo de la Agencia de Protección de Datos.
Voy a hacer algunos comentarios muy breves al socaire de la memoria.
En la página 18 aparece algo referente al tiempo medio de respuesta
desde que las notificaciones tienen entrada en el registro hasta que
se emite la correspondiente resolución, que es de tres días. Me
gustaría que la Administración del Estado y las administraciones
autonómicas, así como las administraciones locales, tomaran ejemplo y
los ciudadanos pudieran verse satisfechos en sus pretensiones con la
misma rapidez. En la página siguiente se menciona el artículo 20.10
de la Directiva, donde se establece un precepto de una extraordinaria
importancia, que ha ocupado últimamente los trabajos de esta
Comisión, que establece que los tratamientos que puedan suponer
riesgos específicos para los derechos y libertades de los interesados
deberán ser examinados previamente, antes del comienzo de dichos
tratamientos, por la Agencia de Protección de Datos. Como en esos
trabajos que han conducido a la elaboración de una nueva, entre
paréntesis, ley orgánica de protección de datos no aparece esta
facultad de control previo, mi pregunta al señor director de la
Agencia es si, en su opinión, queda viciada esta Ley Orgánica de
Protección de Datos con la ausencia de un precepto de la Directiva
que, como decimos, al menos para el Grupo
Socialista tiene una extraordinaria importancia. Esta es la primera
cuestión que le planteamos.
El buen hacer de la Agencia no solamente se refleja en el tiempo que
invierte para la realización de sus cometidos, sino también en la
forma en que lo hace. Hacía una alusión verbal el señor director de
la Agencia a las medidas cautelares como alternativa o como
complemento a las vías disciplinarias y sancionadoras y,
evidentemente, no solamente en la medicina, sino también en el
derecho tiene plena vigencia aquello que se dice de que es mejor
prevenir que curar. Las reuniones con los colegios notariales, con el
sector del seguro, la banca y el marketing, con la Federación de
Municipios, así como trabajos concretos con colegios, hospitales,
etcétera, demuestran que existe esta preocupación, normalmente
acompañada de éxito, por dar a conocer los cometidos de la Agencia y
porque las entidades tanto públicas como privadas contribuyan con su
colaboración a esa misión constitucional que es la protección de la
intimidad de las personas.
En la página 39 se expresa que hay un aumento extraordinario en 1998
de las declaraciones de inscripción de ficheros con finalidad de
encuestas de opinión, prospección de mercado, publicidad propia y
publicidad para terceros, aumento que puede estar basado en el
desarrollo de nuevas técnicas en el ámbito del tratamiento de la
información, como datawarehouse, data mining, data mart, Sistema de
ayuda a la decisión, etcétera. Estas técnicas, concluye el párrafo,
surgen por la necesidad de hacer más operativa la enorme cantidad de
información almacenada en distintas bases de datos. Y en la página
siguiente se nos recuerda que alguna de estas técnicas se emplean
para recopilar la mayor información posible sobre un tema o sobre un
sujeto para, en base a ello, establecer perfiles o tomar decisiones.
El comentario que ha hecho usted en relación con este tema merece una
dedicación por nuestra parte, puesto que le atribuimos una gran
importancia. Primero, porque la directiva, y así se recogía en la
Lortad con palabras parecidas a las que emplea la nueva ley, entre
comillas, establece que ningún procedimiento automatizado podrá
servir para la elaboración de perfiles o decisiones. Estamos viendo
que con estas bases de datos que se utilizan en materia de
prospección comercial u otras actividades semejantes precisamente
a lo que se está contribuyendo es a lo que está prohibido por la
directiva, estaba prohibido por la Lortad y un recto entendimiento de
la Ley Orgánica de Protección de Datos continúa prohibiendo. Pero,
paradójicamente, en la nueva ley se ha establecido la posibilidad de
crear un censo promocional con base en el censo electoral, además de
dar carta de naturaleza a la recogida de datos que aparecen
recopilados en los listines telefónicos y en las relaciones de
colegios profesionales.
Cuando hoy venía hacia acá he oído en Radio 5 la noticia de que es
bastante habitual, bastante frecuente, y según el comentarista no
tenía ninguna importancia, que exista una representación de intereses
ante la Unión Europea, representación que yo creo que no solamente
existe ante la Unión Europea, sino también ante otras instancias,
siendo seguramente esta representación de intereses la que ha logrado
que se incorporen a la legislación tres fuentes de datos bajo,
digamos, el eufemismo de fuentes públicas para
lograr con estas técnicas a las que me estoy refiriendo, y de las que
trata la memoria en las páginas que he mencionado, violar clara, lisa
y llanamente el espíritu de la directiva. El hecho de que estas
comparecencias se produzcan, como es habitual, con una cierta demora
nos plantea luego algunos problemas de metodología en nuestras
intervenciones. Ahí tenemos la propia memoria del año 1998, que hace
referencia a los necesarios trabajos de adaptación de la Lortad a la
directiva vigente.
Tendríamos que hacer referencia a algunos temas siguiendo con el
asunto de la representación de los intereses. Se ha logrado,
precisamente en esta línea que estamos comentando, que Unespa
incorpore una enmienda, que figura como sexta en la Ley Orgánica de
Protección de Datos, por la cual se podrá tratar actuarialmente, con
el fin de evitar el fraude y lograr una tarificación más adecuada, la
incorporación a los ficheros comunes de todas las compañías
aseguradoras en España de los datos personales de los asegurados.
Bien es verdad que a este grupo de presión y a los legisladores que
se sentían más sensibles ante ello se les planteaba un doble dilema,
puesto que a estos sectores se les reconocía, en línea con lo que
dice la directiva, el derecho de oposición, que es preceptivo en
todos los casos en que la información no se obtiene del interesado
con su consentimiento. La primera propuesta de enmienda no mencionaba
el derecho de oposición, y alguien debió advertir que se estaba
incumpliendo tal directiva, por lo que llegó una segunda redacción al
Senado, una propuesta de enmienda, en la que sí se reconocía el
derecho de oposición, pero con una sanción que en el lenguaje más
llano, el que utiliza el pueblo, se podría calificar de chantaje. Si
el asegurado, cuyos datos personales se obtienen para incorporar
a unos ficheros comunes, se opone, quedará privado de la posibilidad de
concertar el contrato de seguro, lo cual, evidentemente, era una
actitud de dominio, de monopolio, de oligopolio del mercado del
seguro, porque estamos hablando del colectivo de todas las compañías
de seguros en España. Pues bien, se eligió el mal menor, con lo que
tenemos una sexta norma adicional con respecto a la cual me gustaría
saber si el director de la Agencia de Protección de Datos comparte el
criterio del Grupo Parlamentario Socialista, que es el de que dicha
disposición adicional, independientemente de otros efectos
colaterales, como es la aparición de una presencia monopolística en
la práctica actuarial española, significa una radical contraposición
y violación de la directiva al no reconocer el derecho de oposición.
Por último, se hace alusión a los 10 miembros, incluido el director
de la Agencia de Protección de Datos, que no preside el Consejo
Consultivo. El Grupo Parlamentario Popular ha tenido la genialidad de
ampliarlo ad nauseam, de manera que al Consejo Consultivo, un órgano
de carácter estatal, un órgano de consulta y de asesoramiento de la
Agencia de Protección de Datos, se pueden incorporar 17
representantes de las comunidades autónomas. Se trata de un órgano
estatal donde el Estado tiene un solo representante, este Congreso
tiene un solo representante, el Senado tienen un solo representante y
las comunidades autónomas pueden tener 17. Las preguntas que con
respecto a este asunto le planteamos al señor director de la Agencia
es, primera, si se va a resentir el carácter funcional de ese Consejo
Consultivo, al tener una multitud tan grande congregada; segunda,
si puede ocurrir que prevalezcan los criterios autonómicos más que
los criterios de la Administración central o del Estado en las
opiniones que emita el Consejo Consultivo; tercera, si vislumbra la
posibilidad de que, cuando se constituyan en las comunidades
autónomas órganos similares, los órganos de dichas comunidades
autónomas le van a conceder a la Administración del Estado un número
de representantes equivalentes a la multiplicación por 17 de los
representantes que tenga la comunidad autónoma en ese órgano
consultivo.
No quiero ser más amplio en mi exposición. Comprendo que sobre el
ánimo de los diputados presionan los acontecimientos a que he hecho
referencia y que van en directa contraposición a los intereses de la
Comisión Constitucional y de la Agencia de Protección de Datos.
El señor PRESIDENTE: Gracias, señor Navarrete, por las
consideraciones que ha hecho al hilo de la intervención del señor
director general, así como por las otras, por ese tercer turno de
enmienda a la ley recientemente aprobada, a las que obviamente el
señor director general está facultado para responder o no, según su
criterio, y mucho menos para el ejercicio de la profecía, al que
también le ha emplazado, sobre cuál pueda ser la funcionalidad del
nuevo órgano.
Por el Grupo Parlamentario Vasco (EAJ-PNV), tiene la palabra la
señora Uría.
La señora URÍA ECHEVARRÍA: Muchas gracias, señor presidente. Una vez
más debo dárselas sinceramente por permitirme intervenir en cualquier
momento durante el desarrollo de las sesiones de esta Comisión,
puesto que, como me ocurre casi siempre, en este momento estoy
también asistiendo a la subcomisión para el estudio del modelo
policial.
No tenía más deseo que cumplir con el deber de cortesía de saludar al
señor director de la Agencia de Protección de Datos, organismo que
sabe que goza de todo nuestro reconocimiento, al igual que él y su
predecesor en la tarea que tienen encomendada, que, desde la óptica
del grupo al que represento, tiene relevancia constitucional.
Si estamos hablando de la protección de un nuevo derecho fundamental,
el llamado derecho a la autodeterminación informativa en relación con
el ámbito personal de todos y cada uno de los ciudadanos, si estamos
obligados a la protección de este derecho, y no sólo por lo que dice
el artículo 18.4 sino que es más amplio que esto, según he
manifestado, puesto que se habla de la protección de la esfera
personal, más allá del uso de los datos informáticos, si lo ponemos
en relación con el artículo 10.2 de la propia Constitución, podríamos
hablar, y así lo ha sostenido el grupo al que represento, de que la
Agencia de Protección de Datos es un órgano que tiene relevancia
constitucional.
Desde la perspectiva del grupo al que represento, no hemos tenido
grandes problemas con la Agencia, sino todo lo contrario. Con ocasión
de una anterior comparecencia y también en la de su predecesor,
manifestaron su alabanza hacia las autoridades del Gobierno vasco,
con relación a cómo se había producido el proceso de actualización y
de regularización de sus ficheros, incluidos los policiales. Eneste
caso me corresponde a mí estar a la recíproca, puesto
que en los últimos tiempos es el gran problema que ha afectado a la
Administración policial vasca sobre cómo podía utilizarse el dato de
los números de afiliación por cada uno de los sindicatos que
funcionan en la Ertzaintza, en relación con su presencia en el
Consejo Sindical, sin vulnerar la protección de los datos personales
en relación con un dato tan sensible como es el de la pertenencia o
no a una ideología, de la pertenencia o no a un sindicato.
Finalmente, los esfuerzos efectuados por las dos partes para llegar a
una solución que pudiese cumplir con los requisitos que la Agencia
exigía, no porque así se lo pareciese, sino porque creía que ésa era
su obligación legal -y efectivamente así lo era-, y la solución dada
desde la Administración vasca en relación con la disociación del dato
de afiliación con el número correspondiente a cada uno de los
ertzainas, parece que ha podido satisfacer los requisitos y que es la
fórmula que se ha utilizado, siendo un ejemplo de cómo la buena
voluntad en la utilización de los mecanismos que el ordenamiento
permite puede llevar a soluciones satisfactorias.
Quizá, puesto que es previsible que vaya a tener que ausentarme,
porque el modelo policial avanza, vaya yo también a excederme del
contenido de la memoria respecto de la cual no tengo sino que decir
que me parecen muy meritorias las tareas que la Agencia realiza, pero
sí quisiera hacer alguna reflexión en relación con el suceso más
importante ocurrido desde su última comparecencia, que es la
aprobación de la Ley Orgánica de Protección de datos de carácter
personal. El haber sido ponente de esta ley no me lleva a tener
respecto de ella el complejo de madre, porque creo que realmente no
es, de los textos legales de los que esta diputada haya sido ponente,
del que se pueda sentir más orgullosa. Para empezar, es efectivamente
lamentable, desde mi propia consideración, que se trate de una ley
orgánica -orgánica referida al desarrollo de derechos fundamentales-
que carece de exposición de motivos, que es un elemento esencial
interpretativo de cualquier ley que se precie. Pero es que, además,
derogamos la vieja Lortad, que tenía una muy buena exposición de
motivos.
Sí quisiera preguntarle, por si pudiera hacer alguna consideración,
el porqué de las suspicacias manifestadas desde la Agencia, o por lo
menos así se nos han transmitido a determinados grupos, en relación
con las pretensiones de asunción o de reconocimiento de determinadas
competencias en manos de las comunidades autónomas referidas a la
protección de datos. Ya existían las reconocidas en el artículo 40 y
el haber querido ir algo más lejos ha creado -según pensamos-
determinadas suspicacias, y me viene bien la argumentación anterior
en relación con los datos policiales y cómo han sido tratados, o cómo
ha respondido la Administración vasca al respecto, para decir que
nunca se han intentado utilizar más allá de lo legalmente permitido,
de lo que es el marco legal, estatutario y constitucional, las
competencias que se detentan. Me gustaría saber por qué existen
suspicacias al respecto.
Otra consideración es la de qué criterio le merece o cómo cree que se
va a poder cohonestar el que mientras estaba tramitándose en esta
Cámara el proyecto de ley que luego ha sido Ley Orgánica de
Protección de datos de carácter personal, se produjese desde el
Gobierno la publicación de un nuevo reglamento para la protección de
los
ficheros, aprobado por Real decreto 994/1999, y si cree que se adecua
bien al propio contenido de la ley, que no fue una precipitación el
dictarlo en una fecha como la del 11 de junio, en relación con la
protección de los ficheros, y si no va a ser necesario no sólo el
intento de interpretación de la ley sino también la adecuación de
todas estas normas reglamentarias.
Hay una última consideración, que entenderé perfectamente que no me
conteste le parece que si no es adecuada, que es por qué, si se
considera inadecuado que las comunidades autónomas puedan solicitar
de sus institutos de estadística, en el caso de que los tenga, como
es el caso catalán o vasco, datos porque están protegidos por el
secreto estadístico (esa virtualidad solamente se salva respecto del
Estado), sin embargo sí se contenga en la ley una disposición que
coloca a las compañías de seguros en una situación que para nosotros
-y hablo como si yo fuese comunidad autónoma- los partidos que
gobernamos en las comunidades autónomas los quisiéramos.
Alguno de los diputados intervinientes en el trámite final de la ley
se permitía incluso llamar la atención del Defensor del Pueblo para
que esta disposición fuese recurrida. No nos atrevimos otros, a
tanto, pero sí me gustaría saber si no considera que esta disposición
adicional, contemplada como sexta, que modifica el artículo 24.3 de
la Ley de Ordenación y supervisión de los seguros privados no incurre
en flagrante contradicción con lo que son los bienes y derechos que
el proyecto de ley, en sí, debe cumplir.
Muchas gracias, y bienvenido a esta Comisión, como siempre, señor
director general.
El señor PRESIDENTE: Por el Grupo Parlamentario Popular, tiene la
palabra doña Sandra Moneo.
La señora MONEO DÍEZ: En primer lugar, y como no podía ser de otra
forma, en nombre del Grupo Popular quiero agradecer al director de la
Agencia de Protección de Datos, señor Fernández López, su solicitud
de comparecencia ante esta Comisión para informar respecto al
cumplimiento de los compromisos adquiridos por él mismo, y además
mostrados en esta Comisión, al hacerse responsable de la Agencia de
Protección de Datos. Recuerdo que en aquella comparecencia expuso
ante los miembros de esta Comisión una serie de cuestiones que iban a
constituir el hilo o los compromisos que pretendía cumplir al frente
de la Agencia de Protección de Datos. Algunos de ellos hacían
referencia a una mejor coordinación con otras instituciones,
especialmente con el Defensor del Pueblo, que recibe quejas en cuanto
al cumplimiento de esta ley orgánica. Hablaba usted también de los
planes de inspección de ficheros, de la aplicación estricta de la ley
a los infractores, especialmente a aquellos que eran reincidentes, de
estimular al consejo consultivo, de una mayor participación de la
Agencia de Protección de Datos en los foros internacionales
y especialmente de una potenciación del servicio de atención al
ciudadano. De la extensa y yo diría que brillante exposición que
hemos escuchado hoy se deduce que la mayor parte de estos objetivos
han sido cumplidos. Especial interés merece al Grupo Popular el que
respecta a la atención al ciudadano. Creemos que el ciudadano debe
estar perfectamente informado, y que la Agencia debe estar
obligatoriamente comprometida en ello, respecto a los derechos que le
asisten en cuanto a la privacidad de sus datos personales. Especial
atención nos ha merecido también la exposición que ha hecho respecto
a la consideración internacional que merece nuestra Agencia, tanto en
la participación de foros internacionales como en lo que respecta
a las transferencias internacionales o a la propia felicitación de la
Comisión respecto a los códigos éticos utilizados por la propia
Agencia.
Nos felicitamos también del seguimiento que hace tanto de empresas
públicas e instituciones públicas como privadas para el cumplimiento
de la ley. Por tanto, podemos decir que, en vista de ese cumplimiento
de la mayoría de los objetivos planteados en su inicial compromiso,
nos felicitamos de que estos hayan sido objeto de un seguimiento
diríamos nosotros que muy muy interesante y nos ponemos -como así lo
hacíamos en la anterior comparecencia- a su entera disposición en un
absoluto compromiso de colaboración para el cumplimiento estricto de
esta ley.
El señor PRESIDENTE: Con la mayor capacidad de síntesis de que sea
capaz, doy la palabra al señor Fernández López, pero antes he de
decir que es ocioso que reitere lo que hacía a propósito de la
intervención del señor Navarrete. El señor director de la Agencia de
Protección de Datos comparece aquí desde su condición de autoridad
administrativa en una intervención de control. Sus opiniones o sus
juicios son sin duda estimables pero no pueden pasar de ser opiniones
o juicios sobre una responsabilidad que a nosotros como legisladores
incumbe. Es decir, esos juicios de valor merecidos por la reciente
reforma o por la nueva ley de protección de datos, en razón del
principio legítimo de mayorías y minorías, tuvimos ocasión de
explayarlos de forma cumplida con ocasión de la propia tramitación.
Pero innecesaria es esta apelación sin duda a la prudencia del señor
director de la Agencia del Protección de Datos.
El señor Fernández López tiene la palabra.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Ante todo quiero agradecer las palabras de don Pablo
Castellano por todos los elogios que ha hecho de la actuación de la
Agencia. En definitiva, como él bien conoce, lo único que hacemos es
cumplir con la misión que nos ha sido encomendada de proteger los
derechos de los ciudadanos y está, creo yo, fuera de dudas que en el
momento en que eso no lo pudiera hacer yo no estaría al frente de la
Agencia.
Contestar al señor Navarrete es mucho más complicado, porque cada
palabra del señor Navarrete dispara cuatro o cinco ideas; no
obstante, voy a tratar de hacerlo. En primer lugar, comparto y tengo
los mismos problemas que él por el día, pero todos los días son
hábiles y todos estamos al servicio de nuestra misión y, como él bien
ha dicho, lo que importa es el sentido final.
En cuanto a la referencia que ha hecho al artículo 20 de la
directiva, sobre la comunicación en casos especiales, yo entiendo que
está suficientemente cumplida, porque la directiva, a mi modo de ver,
no debía ser de mínimos, como es, debía ser una directiva mucho más
armonizadora, porque esto da lugar a que tengamos sistemas más
proteccionistas
como el español y otros mucho menos proteccionistas, lo cual
coloca a todos los ciudadanos europeos en distinta situación y sobre
todo a las empresas que han de cumplir con las obligaciones también
en situaciones que nunca debieran ser de discriminación, pero la
realidad es la que es. Creo que el artículo 20 queda suficientemente
garantizado con nuestra ley porque, en definitiva, los datos
especialmente protegidos tienen un tratamiento muy concreto y muy
especial en nuestra ley, sin que en el resto de los supuestos se
imposibilite el que los derechos de los ciudadanos puedan ser
ejercitados con toda amplitud.
Comparto absolutamente con el señor Navarrete sus reticencias sobre
las nuevas tecnologías del marketing como son el datawarehouse y el
data mining. Evidentemente esto nos puede llevar a la obtención de
perfiles que tal vez sea la más grave violación del derecho a la
intimidad, en tanto en cuanto esos perfiles sean generales y no vayan
relacionados con el fin de los datos y con una promoción comercial
relativa exclusivamente a ese fin.
La Agencia se ha visto en la necesidad muy reciente de imponer
medidas cautelares a Telefónica de España porque estaba tratando
datos de los ciudadanos de forma inversa; es decir, si bien la
normativa específica en materia de telecomunicaciones habilita para
que las empresas de telecomunicaciones traten los datos de los
ciudadanos que hayan dado su consentimiento y sólo los datos de
facturación para ofrecerles mejores promociones, nos hemos encontrado
con la sorpresa, en la actuación que personalmente dirigí en el mes
de agosto para ampliar la inspección que se estaba realizando a las
compañías de telecomunicación en el específico caso de las
telecomunicaciones, de que Telefónica estaba obteniendo los datos de
los ciudadanos de los números que le llaman y a los que llaman y,
señorías, creo que esto no se necesita para ninguna promoción
comercial. Se podrá tener necesidad de conocer los datos a los que
llamo por cuanto que se va a establecer la factura telefónica, ante
la que yo tendré también durante un tiempo la posibilidad de
reclamar, pero los datos de que me llame alguien a mí no sé para qué
se necesita.
Como consecuencia de estos procedimientos modernos, la Agencia de
Protección de Datos ha impuesto a Telefónica medidas cautelares y,
aún sin terminar el procedimiento sancionador, ya he recibido la
visita de su secretario general diciéndome que van a empezar de cero,
que van a pedir nueva autorización y que se van a concretar a los
datos que habilita la ley.
Vuelvo a repetir, la obtención de perfiles es algo muy grave si está
fuera de los ámbitos de la ley. Siempre diré que un banco es el que
más datos nuestros tiene: sabe lo que ganamos, sabe en lo que lo
invertimos, sabe si tenemos hijos, si no tenemos, si van a un colegio
religioso, si no van a un colegio religioso, y es necesario, porque,
¿quién va a ir hoy día a la compañía de la luz a pagar su recibo o va
a ir a cualquier otro sitio con el dinero en efectivo? Es una
necesidad de la vida que nos ha tocado vivir. Pero -y ahí está lo
importante- el banco no debe nunca utilizar esos datos fuera de la
relación contractual que le liga con sus clientes. Con lo cual el que
tenga esos datos es necesario; el que emplee esos datos sería
establecer perfiles que irían a una vulneración grave de nuestra Ley
de protección de
datos, tanto la aún vigente, como la que lo estará en el próximo mes
de enero.
En cuanto al tema del censo promocional, ya conoce el señor Navarrete
mi opinión al respecto y la hice patente en esta Cámara en mi primera
comparecencia en el momento de tomar posesión como director de la
Agencia. Teníamos el problema de que, por un lado, la Ley General
Electoral establece que los datos del censo electoral deben
utilizarse sólo para lo que dice la ley, para que los ciudadanos
puedan ejercitar su derecho al sufragio activo. Por otro lado -y es
una ley que también se ha aprobado en esta Cámara-, está la Ley de
Comercio minorista -que no es orgánica, pero es una ley-, que
establece que las empresas que se dediquen al marketing y a la
publicidad podrán obtener del censo los nombres, apellidos y
domicilios de los ciudadanos para esta función. Esto, como fácilmente
comprobarán SS.SS., es una contradicción legal que nunca debió
existir, pero ahí está. Como consecuencia de eso, la Agencia se ha
visto con diversos expedientes sancionadores sobre la materia. Para
resolver la controversia se consultó a la Junta Electoral Central,
que dijo claramente -y no podía ser de otra forma- que los datos del
censo electoral sólo pueden aplicarse para lo que aquella ley dice,
por lo que una serie de empresas se han visto sancionadas por aplicar
la Ley de Comercio minorista. Esto había que solucionarlo, y creo que
es una magnífica solución la que proporciona el censo promocional. El
censo promocional, permítame, señor Navarrete, que le diga que no es
el censo electoral camuflado, no. El censo promocional va a ser el
formado por los nombres, apellidos y domicilios de aquellos
ciudadanos que se tomen del censo electoral y que decidan no
apartarse de él, es decir, que deseen recibir ofertas publicitarias.
Pero es que, además, el ciudadano podrá -en el caso de que, en un
principio, haya decidido no estar en el censo promocional- estarlo en
un futuro o dejar de estarlo cuando autorizó al principio, por lo
cual está previsto que esto pueda actualizarse anualmente.
El otro día me encontré con la presidenta del INI y me dijo que había
que trabajar en el reglamento, y la Agencia de Protección de Datos no
va a ser la que escurra el bulto en este aspecto; vamos a trabajar en
el reglamento que lo desarrolle, de forma que puedan cohonestarse
ambos derechos: el legítimo de las empresas para realizar una
actividad de lícito comercio que, por otro lado, existe en la
totalidad de los países de la Unión Europea y sin las garantías que
nosotros le vamos a dar y, por otro lado, el derecho del ciudadano a
poder preservar su intimidad y decir no al censo promocional o poder
decir hoy sí y mañana no, y poder al año siguiente decir lo
contrario. Creo que el censo promocional es una buena solución y es
una solución más garantista que la que establecen nuestros colegas de
la Unión Europea, porque, señor Navarrete, si nosotros a las empresas
de publicidad y marketing -las que actúan lícitamente, vuelvo a
repetir- les ponemos las cosas imposibles, lo único que ocurrirá es
que estas empresas se irán a otros países de la Unión Europea y desde
allí podrán realizar sus mismas promociones sin sanción de ningún
tipo. Eso nos llevará a que las empresas españolas vayan cerrando,
vayan destruyéndose puestos de trabajo y, en cambio, el que quiera
ganar dinero y quiera hacerlo de una forma
menos controlada, lo pueda hacer. Con lo cual -repito- creo que el
censo promocional es una buena solución.
Me ha preguntado también sobre la posibilidad -promocionada por
Unespa, a través de una disposición adicional-, de que las compañías
aseguradoras tengan registros compartidos. Aunque mi misión no es,
por supuesto, alabar ni criticar la ley, sino aplicarla, sí tengo que
decir una cosa y es que a mí, en principio, esta disposición no me
gusta que esté en la ley porque es una disposición sectorial y
debería estar, en su caso, en la ley de seguros y no en esta. Por
otro lado entiendo (también es legítimo el interés de las compañías
de seguros) que la represión del fraude en materia de seguros es
importante, pero en este momento no puedo decirle si esta es la forma
adecuada o no. Tal vez si yo lo hubiera tenido que establecer lo
hubiera hecho de otra forma. En cualquier caso, tenga la tranquilidad
de que hay bastantes compañías de seguros, por lo menos por lo que yo
conozco, que no comparten esta necesidad y que van a funcionar por
libre, no van a verter sus datos a ficheros comunes, con lo cual,
mientras esto ocurra, los ciudadanos podrán exigir la posibilidad de
estar en unas u otras. Lo importante -y eso sí se mantiene en la ley-
es el derecho de informar a los ciudadanos de que sus datos van a ser
o no comunicados a un fichero común.
Estoy totalmente de acuerdo con S.S. en que 17 representantes de las
comunidades autónomas en el Consejo consultivo son excesivos o, en
cualquier caso, no es proporcionado con la representación de la
Cámaras, que, como es bien conocido, es de un diputado y un senador.
Pero ahí están y bienvenidos sean. Como también S.S. conoce, yo al
Consejo Consultivo trato de mantenerlo activo, trato de aprovecharme
de él y de que me informen, y si esto va a ser para bien, bienvenido
sea. Estoy de acuerdo en que la representación es absolutamente
desproporcional tanto en cuanto a las Cámaras como a los otros
implicados, ya sean consumidores o empresas.
Se dice también al respecto si prevalecerán los criterios de la
autonomía. Como también conoce S.S. el Consejo es puramente
consultivo y, para bien o para mal, el director de la Agencia es
unipersonal y es alguien que, para bien o para mal, tiene que tomar
sus decisiones con todas sus consecuencias. Oirá al Consejo
Consultivo, por supuesto lo oirá y tratará de que le aporte lo más
posible, pero al final, en la soledad de la decisión, el director de
la Agencia, como el juez, tiene que tomarla. No creo que haya dejado
ningún tema sin tratar, si no me lo dice y con mucho gusto le
contestaré.
Respecto a las observaciones de la señora Uría, quiero, en primer
lugar, agradecer tanto sus palabras como su cooperación siempre
abierta a la Agencia, lo cual es absolutamente cierto, como también
es cierto que la Agencia ha mantenido unas excelentes relaciones con
el Gobierno vasco. La Ley de Policía se ha hecho teniendo en
consideración los criterios de la Agencia y ha habido diversas
reuniones al respecto.
No me produce ninguna suspicacia las competencias de las comunidades
autónomas, lo que no me gustan nada son las competencias difusas o
indefinidas y, desgraciadamente, señorías, el texto que salió de esta
Cámara no había por dónde cogerlo, porque no se sabía verdaderamente
qué competencias se daban a las autonomías o qué competencias
se le quitaban a las autonomías. Y esto es muy serio, cuando estamos
hablando de los derechos de los ciudadanos. Fíjense ustedes que si ya
es complicado para los ciudadanos tener que ir a la Agencia de
Protección de Datos para averiguar en qué ficheros están sus datos,
si eso ocurre en relación con 17 comunidades autónomas, si, además,
la infracción no sabemos dónde se produce, porque alguien recoge los
datos en una comunidad pero los transfiere a otra -estamos hablando
de medios de comunicación telemáticos-, ¿quién es el competente,
quién es el que tiene que sancionar, quién es el que puede perseguir?
Esto sería muy grave, podríamos crear una situación que el ciudadano
no llegara a comprender nunca. Yo siempre estoy de acuerdo con las
transferencias a las comunidades autónomas, siempre que las reglas
del juego sean precisas y cada uno sepa lo que tiene que hacer, y no
estoy de acuerdo en cómo salió de esta Cámara el proyecto de ley de
protección de datos que, por otro lado, nunca he entendido cómo
cuando el Gobierno mandó un anteproyecto que iba muy circunscrito
a unas reformas, que eran las necesarias, que en caulquier caso se
podían haber mejorado, la Cámara decidió hacer una nueva ley.
En cuanto a si el reglamento de las medidas de seguridad que tuvo su
luz en el mes de junio se adecua bien a la nueva ley, yo entiendo que
sí. Quizá yo aquí tengo que ser demasiado partidista porque el
borrador del reglamento fundamentalmente nació de la Agencia y los
méritos -que indudablemente los tiene- no se deben a mí, sino a mi
antecesor y a los funcionarios de la Agencia. El reglamento se trató
como una cuestión técnica, además -según la información que tengo- se
convocó a especialistas universitarios, tanto del mundo tecnológico
como del mundo del derecho, y se elaboró ese reglamento que es
bastante bueno y que no hace nada más que desarrollar las previsiones
que ya se contienen en el artículo 9 de la propia ley. Creo que no
habrá problemas con el reglamento.
En cuanto a la referencia que hace a la situación discriminatoria
y que las compañías de seguros van a poder pedir datos y que las
comunidades autónomas, en cambio, no podrán pedirlos debido al
secreto estadístico, yo creo que son situaciones absolutamente
distintas. Habrá que analizar en profundidad el artículo (yo lo he
visto hace sólo unos días y no he tenido tiempo de pensar sobre
ello), pero creo que tienen fundamentalmente dos funciones: por un
lado, establecer datos actuariales, es decir, los grandes números y,
por otro, controlar el fraude. Lo que habrá que tener muy en cuenta
-y les aseguro que la Agencia va a estar muy vigilante- es que no se
rebasen las competencias que atribuye la ley. La Agencia, por
supuesto, las acatará, pero nunca se podrá ir más allá.
En relación con la intervención de la señora Moneo, ante todo quiero
agradecer sus palabras, responderle a algunas cuestiones que ha
formulado sobre lo establecido en mi comparecencia anterior ante esta
Comisión y reiterarle mi compromiso de conseguir una mejor
coordinación con el Defensor del Pueblo. Por razones que desconozco,
cuando yo llegué a la Agencia al parecer las relaciones eran
tirantes. Últimamente he visitado tanto al Defensor como a los dos
adjuntos. Creo que nuestra relación es de lo más fluida y no creo que
haya presentado ninguna queja contra la
actuación de la Agencia, porque se le ha contestado cumplida
y puntualmente.
También se ha referido S.S. al consejo consultivo. Creo que para el
director de la Agencia el consejo consultivo es algo muy útil, puesto
que lo constituyen personas que aportan visiones distintas desde
diferentes sectores de la sociedad, con lo cual el director va a
estar mejor informado de qué es lo que está ocurriendo, y también
puede colaborar a una mejor difusión de un ámbito determinado de la
ley, a proyectar los problemas que acontecen en un sector, etcétera.
Aunque pueda parecer que el consejo consultivo es un órgano de
adorno, yo les aseguro que no es así, y además los miembros lo saben
porque yo al menos trimestralmente les convoco, les pido su consejo y
les planteo cuestiones porque, aunque sea yo el que deba adoptar la
decisiones, su conocimiento sobre los temas, sus consejos e incluso
las posibilidades de transmitir las opiniones de la Agencia me son de
una gran utilidad.
En cuanto a nuestra presencia internacional, creo que es una
presencia importante y que en la Unión Europea se tiene a la Agencia
de Protección de Datos española un poco como modelo. Hay que tener en
cuenta que, aunque nuestra ley sea un poco tardía, hemos sido de los
más activos en la intervención. Piénsese, por ejemplo, que un país
como Italia, que tiene una ley nueva y que lleva actuando dos años,
aún no realiza planes de inspección, mientras nosotros llevamos ya
4.000. Y en otros países, como Holanda, con una tradición mucho mayor
en la protección del derecho a la intimidad, la tradición va más en
el conocimiento y en el respeto por los ciudadanos pero no, en
cambio, en la actuación de la agencia, y lo hemos visto a través del
taller que hemos realizado con los holandeses, donde se ha puesto de
manifiesto la mayor capacitación de nuestros inspectores y el mayor
conocimiento de las funciones en el desarrollo de la misión. Los
inspectores holandeses sólo intervienen en casos últimos y después de
que dos abogados -no vale el requerimiento de los ciudadanos-, uno
representando al ciudadano y otro a la empresa, les hayan requerido
expresamente para que hagan algo porque las cosas no van bien.
Creo que tenemos (por supuesto no es mérito mío, porque yo no he
hecho ni esta ley ni la anterior) un marco legislativo adecuado y
creo que nuestra Agencia, desde el principio, ha funcionado
adecuadamente y ha dado respuesta a las inquietudes y a las
necesidades de los ciudadanos. Lo que ocurre es que la demanda cada
vez es mayor y nuestro dispositivo humano se queda cada día más
pequeño, y por ello este año he solicitado una ampliación de
plantilla en 15 personas, que es el mínimo para poder subsistir
y poder dar una respuesta mínima porque, como efectivamente hemos
visto, no se puede improvisar sino que tiene que haber gente
atendiendo, y a mi modo de ver tendríamos que hacerlo aún más
eficazmente. Alo mejor ahora ya comunica demasiado la línea y
tendríamos que tener más líneas telefónicas. En cualquier caso, creo
que podemos estar seguros de que nuestro nivel en la Unión Europea es
uno de los más tuitivos en la protección de los ciudadanos.
El señor PRESIDENTE: Muchas gracias, señor Fernández López.
Nos adentramos en la consideración conjunta de los puntos 2 y 3 del
orden del día... (El señor Navarrete Merino pide la palabra.) ¿Señor
Navarrete?
El señor NAVARRETE MERINO: Señor presidente, cuando hay una
comparecencia, es habitual que los diputados hagamos uso de la
palabra para decir si nos han satisfecho o no los informes que se nos
han dado sobre las distintas cuestiones propuestas. Por mucha prisa
que tengamos, por lo menos vamos a tratar de aprovechar el tiempo.
El señor PRESIDENTE: No tenemos otra, señor Navarrete, que la que
determina lo denso del orden del día que nos convoca.
Tiene la palabra, señor Navarrete.
El señor NAVARRETE MERINO: Lo primero que quiero decir, con el afecto
que sabe el señor presidente que le tengo desde hace muchos años, es
que el buen éxito de la actividad parlamentaria consiste en que cada
uno de los vértices de la trilogía que interviene en las
comparecencias cumpla su función correctamente: las mesas y las
juntas de portavoces organizan la actividad de la Cámara, los
diputados plantean propuestas y cuestiones con respeto y el
compareciente contesta hasta donde su ciencia llegue. Eso es lo que
yo he pretendido con mis preguntas.
En cuanto a las respuestas que el ilustrísimo señor director de la
Agencia me da respecto al asunto de las compañías de seguros, yo soy
un poco más pesimista en mi comentario porque se habla de cálculos
actuariales y los cálculos actuariales son estadísticos. Se trata de
datos que no se obtienen con consentimiento del interesado, luego dan
lugar al derecho de oposición, según la directiva. Es más, en el
anexo 9 de la memoria, donde aparece una recomendación del Consejo de
Europa para los datos estadísticos, se dice que siempre se tiene que
informar al interesado y éste podrá ejercitar el derecho de
oposición; derecho que la adicional sexta la niega. En este aspecto,
me parece que el análisis del ilustrísimo señor director general de
la Agencia no ha sido todo lo exhaustivo que pretendíamos que fuera.
Con respecto al censo promocional quiero aclarar que no he partido de
la base de que se va a utilizar la totalidad del censo, sino de que,
dadas las tendencias que la propia Agencia reconoce en sus memorias,
que tiene la recopilación de datos para fines comerciales, es
presumible que se va a utilizar el censo electoral con cruce de los
datos que se obtengan de los colegios profesionales y del listín de
teléfono para conseguir una finalidad fraudulenta que está
expresamente prohibida por la directiva.
Para terminar, quiero agradecer este turno de palabra al que creía
tener derecho, que, en todo caso, no ha discutido la Presidencia.
El señor PRESIDENTE: Señor Fernández López, brevísimamente, por
favor.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Discrepo cordialmente, como siempre, en este caso del señor
Navarrete.
Ami modo de ver, no es cierto que la disposición adicional
sexta no posibilite el derecho oposición. Fíjese usted que dice: La
cesión de datos a los citados ficheros no requerirá el consentimiento
previo del afectado, pero sí la comunicación al mismo de la posible
cesión de sus datos personales a ficheros comunes para los fines
señalados con expresa indicación del responsable. Si hay una
indicación previa antes de la cesión yo me podré oponer. ¿Sí o no?
Entiendo que sí.
- SU CRITERIO SOBRE SI LOS DATOS EXIGIBLES PARADETERMINAR EL CÁLCULO
DEL TIPO DE RETENCIÓN APLICABLE SOBRE LOS RENDIMIENTOS DEL TRABAJO
RESPETA EL DERECHO A LA INTIMIDAD DE LOS AFECTADOS. ASOLICITUD DEL
GRUPO PARLAMENTARIO FEDERAL DE IZQUIERDA UNIDA. (Número de expediente
212/001869.)
- CONTENIDO DEL DICTAMEN EMITIDO EL 23 DE DICIEMBRE EN RELACIÓN AL
MODELO OFICIAL «IRPF RETENCIONES DEL TRABAJO PERSONAL. COMUNICACIÓN
DE DATOS AL PAGADOR». A SOLICITD DEL GRUPO SOCIALISTA DEL CONGRESO.
(Número de expediente 212/001872.)
El señor PRESIDENTE: Tiene la palabra don Pablo Castellano para
explayar la petición de comparecencia que versa sobre si los datos
exigibles para determinar el cálculo del tipo de retención aplicable
sobre los rendimientos del trabajo respeta el derecho a la intimidad
de los afectados.
El señor CASTELLANO CARDALLIAGUET: Entendía esta representación que,
al tratarse de una comparecencia cuyo motivo conoce ya el señor
director, podría empezar él contestando y a continuación se le diría
si está uno o no satisfecho, porque de la otra forma cambíabamos la
técnica parlamentaria en forma de pregunta. Yo preguntaría unos
antecedentes, él contestaría, yo tendría que volver a intervenir y
luego intervendría él, con lo cual se dilataría más; sin embargo, si
es comparecencia, no sé si según el artículo 202, el compareciente
explica, interviene el solicitante, contesta y aquí paz y después
gloria.
El señor PRESIDENTE: ¿Comparte el señor Navarrete el criterio
expuesto por don Pablo Castellano? (Asentimiento.)
En consecuencia, el señor director de la Agencia de Protección de
Datos tiene la palabra para responder a las cuestiones suscitadas por
los grupos parlamentarios Federal de Izquierda Unida y Socialista del
Congreso, que aparecen reseñados como puntos 2 y 3 del orden del día
de esta comparecencia.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Ante todo tengo que señalar que la Agencia de Protección de
Datos no recibió solicitud de información en relación con las
consecuencias que, para la protección de datos personales, sepudieran
derivar de la Ley 40/1988, de 9 de diciembre,
reguladora del impuesto sobre la renta de las personas físicas ni de
los reales decretos de desarrollo reglamentario de aquélla. (El señor
vicepresidente, Vera Pro, ocupa la Presidencia) Únicamente se recibió
solicitud de informe por parte de la directora del Departamento de
Gestión Tributaria de la Agencia Tributaria en relación con el
proyecto de resolución del Departamento de Gestión Tributaria por el
que se aprobaría el modelo de comunicación de la situación personal y
familiar del perceptor de rentas de trabajo o de su variación ante el
pagador y se determina la forma en que debe efectuarse dicha
comunicación.
El citado informe fue solicitado, con carácter urgente, el 22 de
diciembre de 1998, siendo emitido el informe de la Agencia el día 23
siguiente. El informe emitido formuló diversas observaciones sobre la
adecuación del proyecto de la resolución a las exigencias de la
Lortad, cuyo contenido fue sintéticamente el siguiente, y repito,
señorías, que el informe sólo se refiere al proyecto de resolución,
que es lo que se nos consulta: A) La existencia de deficiencias
respecto del deber de información previsto en el articulo 5 de la
Lortad, al no existir en el modelo de declaración una cláusula de
información, la Agencia de Protección de Datos entendió que no cabía
admitir la omisión del deber de información por deducirse ésta
claramente de la naturaleza de los datos solicitados ni de las
circunstancias en que se recaban (artículo 5.3 de la Lortad), al
menos en lo relativo a la identificación del responsable del fichero
y de su dirección, elementos básicos para ejercer los derechos de
acceso, rectificación y cancelación. El informe apuntaba como posible
solución la inclusión de una cláusula informativa en la que
adicionalmente se recabara el consentimiento para el tratamiento de
datos.
B) La necesidad de obtener el consentimiento expreso de los afectados
para el tratamiento de datos especialmente protegidos, como son los
relativos a la salud, puesto que el modelo de declaración prevé el
tratamiento de información sobre discapacitados, tanto si es el
propio contribuyente como los miembros de la organización familiar.
El informe apuntaba como posible solución la inclusión de una
cláusula en el modelo de declaración para la prestación del
consentimiento expreso exigido por el artículo 7.3 de la Lortad.
C) La falta de claridad sobre quién es el responsable del fichero, la
Agencia Tributaria o las empresas retenedores, a los efectos de
exigir garantías de la Lortad, respecto de los tratamientos de datos,
creíamos que debían ser concretados. La exigencia como documentación
que debe acompañar a la declaración del certificado de minusvalías y
testimonios literales de las resoluciones judiciales sobre pago de
anualidades por alimentos en favor de hijos o de pensiones
compensatorias en favor del cónyuge, lo que supone poner en
conocimiento de retenedores, ajenos a la relación jurídico-pública
del impuesto, informaciones que afectan a la intimidad protegida por
la Lortad, privándose de los correspondientes beneficios fiscales en
el supuesto de no atender a estas peticiones. El informe proponía que
se habilitara un sistema alternativo de acreditación directamente
ante la Administración tributaria. La resolución que se nos envió
para informar fue aprobada el 28 de diciembre de 1998 y publicada en
el BOE del 30 del mismo mes.
El 18 de febrero de 1999, la directora del Departamento de Gestión
Tributaria remitió a la Agencia de Protección de
Datos un escrito en el que se analizaba el informe de ésta y se
exponían los criterios que sirvieron de base para la elaboración de
la resolución aprobada. Después de mantener diversas conversaciones
sobre la cuestión, el 25 de febrero de 1999, la Agencia de Protección
de Datos solicitó aclaraciones sobre diversos extremos antes de
proceder a la emisión de un informe definitivo. Las aclaraciones
fueron contestadas por el Departamento de Gestión Tributaria el 23 de
marzo. El 5 de abril de 1999, la Agencia de Protección de Datos
emitió el informe definitivo y sus conclusiones afectan a las
siguientes cuestiones: A) La exigencia de proceder al tratamiento
automatizado de los datos declarados a efecto de retenciones,
circunstancia que determina la aplicación o no de las garantías de la
Lortad. En esta materia, el informe de la Agencia manifiesta que ni
la resolución aprobada, ni el software facilitado por la Agencia
Tributaria, que pone a disposición de las empresas para efectuar el
cálculo de la retención, implican una exigencia normativa de proceder
al tratamiento automatizado de datos. La falta de exigencia normativa
no excluye que exista una alta probabilidad de dicho tratamiento
automatizado, toda vez que un número elevado de contribuyentes han
declarado ficheros inscritos en el registro de protección de datos
que tienen por objeto la gestión de retenciones. Por ello, la
resolución debe facilitar el cumplimiento de las obligaciones de la
Lortad, aunque haya casos en los que la normativa no sea exigible.
B) En cuanto al responsable del fichero, circunstancia que afecta al
sujeto obligado a cumplir con las exigencias en materia de protección
de datos, hemos de manifestar lo siguiente: Siendo el tratamiento
automatizado, conforme se ha expuesto, decisión autónoma del
retenedor, éste tendrá la condición de responsable del fichero. La
obligación de las administraciones públicas de informar a los
ciudadanos sobre sus derechos y obligaciones, (artículo 35.g) de la
Ley 30/1992, artículo 96 de la Ley General Tributaria y artículo 5 de
la Ley de derechos y garantías de los contribuyentes) se cumple
insuficientemente por la mera inclusión en la resolución de un
apartado 9 que se limita a reiterar las exigencias de los artículos
5, 9, 10 y 11 de la Lortad.
Ajuicio de la Agencia de Protección de Datos, la forma más
conveniente de facilitar el cumplimiento de la norma citada
implicaría incluir en el modelo de comunicación una cláusula tipo con
la información del artículo 5 de la Lortad, incluir en el mismo
modelo un apartado que facilite la presentación del consentimiento
expreso de los afectados para el tratamiento de datos de salud, como
son los relativos a la declaración de minusvalías y pueden ser otros
especialmente protegidos por el artículo 7 de la misma ley en los
supuestos de pensiones compensatorias y anualidades por alimentos. La
ausencia de tales previsiones en el modelo de declaración puede dar
lugar al incumplimiento o al cumplimiento inadecuado de la Lortad,
con las consiguientes e innecesarias consecuencias sancionadoras.
Finalmente, aclarado y admitido por el Departamento de Gestión
Tributaria que los medios para acreditar la existencia de pensiones
compensatorias o por alimento son los que facilitan al contribuyente
una cómoda acreditación de los hechos, pero no los únicos válidos
para realizarla, sería conveniente, a juicio de la Agencia, que la
resolución advirtiera expresamente sobre tales posibilidades
alternativas,
que puedan evitar a los retendores el incurrir en infraccciones de la
Lortad. Con posterioridad a la aprobación de la resolución sobre
retenciones de IRPF, no se han producido denuncias sobre el
incumplimiento de la Lortad que hayan exigido la actuación de la
Agencia.
Por otro lado, quiero señalar, señorías, que en el año 1999 la
Agencia de Protección de Datos ha realizado una inspección de oficio
a la Agencia Tributaria respecto de los ficheros que la misma
gestiona en relación con el IRPF, inspección que está aún pendiente
de finalizar.
El señor VICEPRESIDENTE (Vera Pro): Tiene la palabra el señor
Castellano.
El señor CASTELLANO CARDALLIAGUET: Nos hubiera gustado -y al decir
nos hubiera gustado casi debería decir le hubiera gustado a don Pedro
Antonio Ríos Martínez, a quien yo sustituyo en este acto, que ha
mantenido con usted correspondencia sobre este tema, porque con fecha
18 de febrero usted le contestó a un escrito del día 17 de febrero,
día en que también pidió esta comparecencia- que ese informe que ha
remitido usted a la Agencia Tributaria lo hubiéramos podido tener,
porque incluso a lo mejor hubiéramos retirado esta comparecencia. En
todo caso, es evidente que aquí se produce una situación muy peculiar
por la contestación que usted da a la Agencia Tributaria en cuanto a
la valoración de los datos que se recaban de los contribuyentes, de
cuyo cumplimiento se deducirán las posibilidades de desgravación o no
y cuál sea la cantidad que le es objeto de retención, porque al
tratarse de instituciones públicas, como es la que usted tan
dignamente preside y la Agencia Tributaria, lógicamente tiene una
cierta facilidad de coordinación. (El señor presidente ocupa la
Presidencia.) Pero el problema se complica cuando resulta que los
receptores iniciales de todos estos datos son empresas que
lógicamente puden alegar que están actuando por delegación de la
Administración y que se les encomienda, ni más ni menos, que la carga
de tener que ser ellas incluso las que apliquen la legislación y
digan cuáles son las retenciones a practicar y hagan casi, valga la
expresión, una autoliquidación.
El hecho es que esta consulta que le efectuó don Pedro Antonio Ríos,
su contestación y aquel conjunto de trámites que usted ha realizado y
de los que nos acaba de informar, no nos han sacado de una situación
de absoluta inseguridad jurídica. Vemos, por lo que usted nos
informa, que los datos que son objeto de conocimiento por las
empresas pagadoras no tienen ninguna garantía de ningún tipo que nos
pueda permitir saber si, efectivamente, están siendo objeto de
cualquier clase de abusos, teniendo en cuenta además -fíjese usted-
la dificultad de control de todo un conjunto de entidades pagadoras.
Será el ciudadano el que a lo mejor, dando esos datos, pensando en
que con ello facilita el cumplimiento de sus obligaciones fiscales,
ha de confiar y para cuando quiera conocer si ha sido objeto ni más
ni menos que de una arbitrariedad o de un abuso será ya en una
situación que casi lo colocarán en la más absoluta indefensión.
Por ello, no sé hasta qué punto es suficiente y bastante el informe
al que usted ha hecho referencia, evacuado el día 5 de abril como
consecuencia de los datos del día 23 de
marzo, porque no nos ha sacado en modo alguno de una situación de
total inseguridad. A lo mejor sea necesario -esta es la sugerencia,
señor director- que por parte de la Agencia, en combinación con la
Agencia Tributaria, se establezca clarísimamente cuál es el modelo
que ha servido a la retención. Alo mejor es mucho más dificultoso
para la actuación de la Administración, pero se debe evitar esta
actitud de delegación por parte de la Agencia Tributaria a las
empresas pagadoras y se debe recurrir a un sistema en el que haya una
relación muchísimo más directa, porque la Administración está
amparada por una presunción de legalidad y la Administración está
amparada por una presunción de utilización de los datos a los fines
exclusivos que se les exige, pero esa presunción no ampara a las
entidades pagadoras que van a conocer unos datos de enorme
importancia. Y la solución, que puede ser no contestar a esos datos,
ni más ni menos que lleva aparejada una situación absolutamente
perjudicial para el contribuyente, porque, al no contestar a esos
datos, se le van a aplicar de inmediato las máximas retenciones, con
lo cual, además de la inseguridad jurídica, hay no voy a decir una
sanción, pero sí la colocación por parte del contribuyente de una
situación, la menos favorecedora, y sin ninguna clase de garantías.
La pregunta que yo le formulo, en sustitución de mi compañero don
Pedro Antonio Ríos, que, repito, se dirigió a usted el mismo día que
conoció este modelo para la declaración a efectos de retención de
trabajo personal y solicitó esta comparecencia, la damos por
satisfecha desde el punto de vista de la Agencia, me refiero de la
Agencia de Protección de Datos, y entendemos perfectamente su
contestación. Lógicamente, pone de manifiesto una situación en la
que, por muchas que sean las precauciones que quiera tomar la Agencia
de Protección de Datos y por muchas que sean las exigibilidades que
quiera tomar la Agencia Tributaria en el cumplimiento de sus
funciones y por mucha que sea la lógica predisposición del
contribuyente a cumplir con sus obligaciones, sigue dependiendo de
unas entidades no sometidas a ninguna clase de medidas de control ni
más ni menos que la observación de lo que es la finalidad de nuestra
propia legislación en materia de protección de datos y protección de
la intimidad. Estamos a expensas del buen criterio que puedan tener
las entidades pagadoras, sin ninguna clase de mecanismos de tutela ni
de garantía. Hemos hablado a lo largo de lo que va de tarde muchas
veces de la garantista ley que nos hemos dado, pero, llegada una
situación como la presente, en la que no es la Agencia de Protección
de Datos la responsable ni es la Agencia Tributaria, es la forma de
hacer las cosas, se está a expensas, repito, ni más ni menos de cuál
sea el grado de respeto que puedan tener las entidades retenedoras de
estas cantidades con respecto a estos datos, lo cual nos lleva a
solicitar del director de la Agencia de Protección de Datos que, en
el seno de su propia Agencia, trate de articular, de acuerdo con la
Agencia Tributaria, un mecanismo que evite por completo que podamos
seguir en esta situación de inseguridad.
El señor PRESIDENTE: Señor Navarrete.
El señor NAVARRETE MERINO: En primer lugar, tengo que adherirme a
bastantes de las manifestaciones
hechas por mi compañero don Pablo Castellano en cuanto a la
corrección y satisfacción que nos producen las respuestas dadas por
el director de la Agencia de Protección de Datos, puesto que en
nuestra petición de comparecencia solicitábamos que informara del
contenido del dictamen emitido el 23 de diciembre en relación con el
modelo oficial «IRPF, retenciones del trabajo personal. Comunicación
de datos al pagador». Nos ha transmitido su informe y, desde ese
punto de vista, tenemos que expresar nuestra satisfacción.
La segunda cuestión que queremos plantear, que también coincide
tangencialmente con algo que don Pablo Castellano ha sugerido, es que
tenemos que partir de la realidad de que, por ser la protección de la
intimidad una materia relativamente nueva en nuestro derecho, queda
un largo camino por andar y una extensa necesidad de profundizar en
el respeto a la intimidad. Esto, en principio, es bueno desde el
punto de vista de la actuación administrativa, pero a veces se adopta
como criterio el del mínimo esfuerzo de la Administración, y no puede
convertirse en regla áurea del comportamiento administrativo, que en
aras de esa rapidez y mínimo esfuerzo de la Administración pública,
se violenten otros intereses constitucionalmente protegidos, como es
el caso de la intimidad. La figura de la retención fiscal es
necesaria; pero cuando la retención fiscal entra en contacto con la
intimidad de las personas quizás habría que transitar por un camino
de circunvalación. Es decir, la Administración tributaria podría
requerir al particular que le presente aquellos datos personales que
van a modalizar su cuota tributaria, y una vez conocidos, sin pasar
por el eslabón intermedio del que retiene los pagos o deduce las
cuotas correspondientes, es decir, sin pasar por ese conocimiento de
la intimidad del sujeto, lo único que tendría que aplicar
automáticamente serían los criterios fiscales que, en función de esos
datos personales, le suministre Hacienda. Retendría, calcularía
correctamente la cuota; pero la intimidad sólo sería visible para la
Hacienda pública.
La situación es todavía más risible desde el punto de vista
legislativo si se tiene en cuenta que nosotros habíamos planteado una
enmienda, que fue rechazada, a la Ley orgánica de protección de datos
personales, en la que decíamos, más o menos, que, debiendo contribuir
todos los poderes públicos en la persecución de la evasión fiscal, se
debería facultar a la Administración tributaria para que, a los
efectos de evitar esa evasión fiscal o el fraude a los derechos
sociales, o para provocar la emergencia de la economía sumergida o
perseguir el delito, pudiese cruzar los datos públicos con aquellos
que obran en archivos de particulares. Aesto se dijo que no, aunque,
como en este caso se pone de manifiesto, es algo que viene
ocurriendo, permitiéndose y facilitándose que una persona interpuesta
en la relación tributaria entre la Administración fiscal y el
ciudadano se entere de cosas de las que no tenía que enterarse.
Ala vista de esto, y teniendo en cuenta la reflexión que hacía mi
compañero de tareas parlamentarias y de algunas otras cosas, don
Pablo Castellano, lo que sugeriría con todo el respeto a cualquier
otro criterio mejor fundado es que, para zanjar este asunto, la
Agencia de Protección de Datos pueda proponerle a la Administración
tributaria que requiera los datos personales que afectan a la
intimidad del sujeto pasivo para que se le comuniquen a la Agencia,
que ésta
practique las operaciones fiscales que deben ser tenidas en cuenta
por el que va a retener la cuota o descontar el pago correspondiente
y así se lograría que las cuotas se correspondan con la situación
personal de los sujetos y preservar la intimidad. Esto debería salir
de la propia Administración tributaria. Como no ha sido así, como
parlamentario representante de mi grupo y como persona que en estos
momentos tiene la relación correspondiente con la Agencia de
Protección de Datos, me permito sugerírselo así.
El señor PRESIDENTE: ¿Grupos distintos de los solicitantes de la
comparecencia que quieran fijar posición sobre este debate. (Pausa.)
Por el Grupo Parlamentario Popular, tiene la palabra el señor
Martínez-Pujalte.
El señor MARTÍNEZ-PUJALTE LÓPEZ: Con absoluta brevedad, como se
merece el tema y la hora.
Este asunto viene ya de hace tiempo, es una derivación de la reforma
del IRPF y de la voluntad manifestada en este Parlamento de ajustar
la factura fiscal final a las retenciones que se van practicando. De
todos es conocido que en España se estaba produciendo una situación
de tremenda injusticia, que castigaba fundamentalmente a las rentas
más bajas y a los asalariados. Con el modelo de retenciones que se
estaba practicando en España desde hace un tiempo se producía una
sobrefinanciación de la Administración, porque se retenía por encima
de la factura fiscal final no en cantidades pequeñas, sino en
cantidades que se acercaban al billón de pesetas. Eso a la
Administración le iba muy bien, porque era una financiación con coste
cero, pero era una situación de tremenda injustica, fundamentalmente
para los más débiles, porque los asalariados eran los que cargaban
sobre sus espaldas esas mayores retenciones. Por eso, en este
Parlamento, con la reforma del IRPF, hubo una voluntad política, yo
creo que consensuada por amplia mayoría, de ajustar retenciones y
factura fiscal final, de tal manera que las retenciones fueran la
determinación de lo que cada sujeto iba a pagar. Como en el nuevo
IRPF hay una serie de conceptos para llegar a la base imponible, que
configuran el impuesto, como son el mínímo personal y familiar,
etcétera, es lógico que en el decreto de retenciones los retenedores
pidan una serie de datos a los trabajadores, datos que, por otra
parte, no exceden en absoluto de los que se estaban pidiendo hasta
ahora. Siempre hay que tener, por una parte, ese objetivo de ajustar
factura fiscal y retenciones y, por otra, la legítima defensa de la
intimidad de las ciudadanas y ciudadanos españoles, por lo que se les
pedía una serie de datos. Sólo se modificaban, respecto a lo que
venía funcionando con anterioridad, dos datos: se solicita a los
retenidos información de las rentas del cónyuge y certificado de la
discapacidad propia o familiar, porque, como es de todos sabido, la
discapacidad configura una menor tributación y, por tanto, una
exigencia de menor retención.
El artículo 82 del Real Decreto 214/1999, establece el carácter
voluntario de la comunicación de datos por parte del contribuyente a
su retenedor, no estamos hablando de una obligatoriedad, sino de un
carácter voluntario en la aportación de esos datos. Si no se
suministran unos datos que lo que conllevan es una menor retención,
se aplican unas retenciones mayores, que no es una mayor imposición,
porque luego se produce la devolución, como sucedía hasta ahora.
Ciertamente, el dato de la discapacidad ya era solicitado por las
empresas para tener algún tipo de beneficios sociales o laborales.
Tampoco aporta nada excepcional. También quiero manifestar la firme
voluntad de mi grupo de trabajar, sin olvidarnos de ese objetivo
prioritario de ajuste factura-retención, para no desproteger la
intimidad de nadie, que es un bien, y más en esta Comisión
Constitucional, que mi grupo defiende a capa y espada. Bien es verdad
que la solución que en su día se nos planteó en las enmiendas de
algún grupo parlamentario -y no es el foro para discutirlas- nos
parecía un procedimiento que no llevaba aparejada una solución
definitiva, porque era una complicación administrativa enorme y
además no se podía establecer una retención adecuada, porque la
retención depende de las retribuciones, y eso sólo lo conoce el
retenedor.
PRESIDENTE:
El señor ¿Algún comentario, señor director ?
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Solamente, como punto final de este tema, quiero decir que la
Agencia no ha detectado ningún tratamiento de datos ilícito. Lo único
que hizo fueron unas recomendaciones que, a nuestro entender, la
Agencia Tributaria debió trasmitir a los ciudadanos y lo hizo.
Tambien quiero señalar que las medidas de seguridad que se han
aprobado van a contribuir en una mayor preservación de los datos.
Nada más, señor presidente.
- INFORMAR, A LA VISTA DE LO SUCEDIDO CON LA GENERALIDAD VALENCIANA
EN LA PREPARACIÓN DE UNA FIESTA DE LA TERCERAEDAD, DE LAS MEDIDAS
YACTUACIONES QUE VA A ADOPTAR ENCAMINADAS A GARANTIZAR EL
CUMPLIMIENTO POR LAS ADMINISTRACIONES PÚBLICAS DE LOS PRECEPTOS DE LA
LEY ORGÁNICA DE REGULACIÓN DEL TRATAMIENTO AUTOMATIZADO DE LOS DATOS
DE CARÁCTER PERSONAL (LORTAD). A SOLICITUD DEL GRUPO PARLAMENTARIO
MIXTO. (Número de expediente 212/001901.)
- ACTUACIONES REALIZADAS POR LAAGENCIA PARA ESCLARECER LA PRESUNTA
UTILIZACIÓN ILEGAL DE DATOS DE ORIGEN DESCONOCIDO EN LA CONVOCATORIA
DE LA LLAMADA «GRAN FIESTA DE LA TERCERA EDAD», ORGANIZADA POR LA
CONSEJERÍA DE BIENESTAR SOCIAL DE LA GENERALIDAD VALENCIANA, ASÍ COMO
SU ENTREGAAUNAEMPRESAPRIVADA. ASOLICITUD DEL GRUPO SOCIALISTA DEL
CONGRESO. (Número de expediente 212/001911.)
El señor PRESIDENTE: Nos adentramos en la consideración conjunta de
los puntos 4 y 6, que versan sobre
el mismo incidente, y para explayar las respuestas sobre los mismos,
el señor director de la Agencia tiene la palabra.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Para contestar a estas dos preguntas tengo que referirme a
las actuaciones que la Agencia ha realizado al efecto. A tal respecto
debo decir que en el mes de enero de 1999 se presentaron ante la
Agencia de Protección de Datos diversas denuncias relativas a una
cesión ilícita de datos personales por parte de la Generalidad
Valenciana, para la convocatoria de la gran fiesta de la tercera
edad.
La Agencia realizó las oportunas actuaciones inspectoras, que dieron
lugar a la iniciación de un expediente de infracción de
administraciones públicas en el mes de marzo de 1999. En este
procedimiento ha quedado acreditado lo siguiente: La Generalidad
Valenciana remitió el 15 de octubre de 1998 a 558.454 personas
mayores de 65 años, residentes en la Comunidad Valenciana, una
invitación para asistir a la gran fiesta de la tercera edad,
utilizando para ello los ficheros de la Consellería de Bienestar
Social. Para la realización de estos envíos se contrataron los
servicios de la empresa Meydis. Los datos entregados a Meydis
proceden de los ficheros de pensiones no contributivas, centros base,
bonos de residencia, fondo de asistencia social, amas de casa y
termalismo.
Asimismo, se entregó a Meydis un número indeterminado de disquetes,
que obraban en la Subsecretaría de Bienestar Social, de los cuales no
se puede precisar su origen ni su contenido. Meydis devolvió a la
Consellería ocho disquetes ya normalizados, que contenían información
sobre nombre, apellidos, domicilio, código postal, población,
provincia, número de registro y año de nacimiento. En consecuencia,
la actuación de la empresa, de Meydis, es una mera prestación de
servicios informáticos, amparada por el artículo 27. Es alguien que
realiza un trabajo para alguien.
La Lortad exige que los datos personales sean tratados por las
administraciones públicas, de acuerdo con la finalidad para la que se
obtuvieron, artículo 4.º 2. Esta previsión se ha considerado
incumplida por la Generalidad Valenciana, ya que en las normas de
creación de los ficheros utilizados no se concreta la posibilidad de
utilizar los datos para el acto convocado.
En consecuencia, se ha declarado la existencia de una infracción del
artículo 18 de la Lortad, que debe ser calificada como leve, conforme
al artículo 43. Asimismo, se ha requerido a la Generalidad Valenciana
para que regularice el nuevo fichero derivado del servicio contratado
a Meydis, mediante la publicación de la correspondiente norma
habilitante y su posterior inscripción en el registro de protección
de datos, o, en caso contrario, para que proceda a su destrucción.
Finalmente, se dio cuenta de la resolución, como es preceptivo, al
Defensor del Pueblo.
Nada más, señor presidente.
El señor PRESIDENTE: Por el Grupo Parlamentario Mixto, tiene la
palabra el señor Peralta.
El señor PERALTA ORTEGA: Doy las gracias al señor director de la
Agencia de Protección de Datos por su comparecencia y por la
información que nos ha proporcionado.
Me va a permitir que, de cara a poder comprender exactamente la
situación, amplíe algunos de los datos a los que usted, lógicamente,
por la acumulación de trabajo que hay hoy, no ha hecho referencia o
la ha hecho muy brevemente.
Tal como ha dicho, en octubre de 1998, la Generalitat Valenciana
convoca lo que denominó el primer encuentro de mayores de la
Comunidad Valenciana y, en el marco de ese encuentro, prácticamente
como único contenido del mismo, lo que llamó la gran fiesta de
mayores, que se celebró en el estadio Mestalla y para la cual se
cursaron, tal como ha dicho usted, 800.000 invitaciones.
Ha habido duda de si la cifra era 800.000, como ha dicho usted, o
560.000, como en algún momento se dijo.
El señor PRESIDENTE: Discúlpeme, señor Peralta.
A esta Presidencia le ha parecido entender que la cifra dada por el
señor director de la Agencia era 500.000.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): 558.454, algunos de los cuales se depuraron en el
tratamiento, con lo cual, aunque no hay constancia, serían menos.
El señor PERALTA ORTEGA: Gracias, señor presidente, por su
intervención.
Sin entrar en este detalle, que me parece relativamente irrelevante,
creo, señor Fernández, que la cifra inicial que se entregó a Meydis,
la empresa que se contrató, era de 800.000 y la que Meydis entregó
finalmente es de 560.000. En todo caso, me parece que son datos sin
relevancia; estamos hablando de centenares de miles de ciudadanos de
la Comunidad Valenciana.
Se plantea el problema del origen de esos datos, de dónde han salido,
y qué uso se ha hecho de ellos. No ha dicho usted, y creo que es
bueno tenerlo en cuenta, que la Agencia de Protección de Datos dice
por escrito que se requirió a la Generalitat valenciana información y
documentación relativa a la campaña. La Generalitat responde con un
fax indicando que se realizaron 560.000 envíos, utilizándose para
ello la base de datos propia que la Consellería de Bienestar Social
posee por las competencias que tiene asumidas. Esta es la respuesta
literal de la Consellería.
Con muy buen criterio, la Agencia de Protección de Datos que usted
preside, dice que, dado lo sucinto de la información remitida y la
necesidad de comprobar el carácter y volumen de los datos incluidos
en las bases propias de la Consellería, resultó preciso realizar una
acción inspectora. Se lleva a cabo una acción inspectora en la sede
de la Consellería de la Generalitat valenciana y se encuentra allí un
número indeterminado de disquetes cuyo origen y contenido no puede
precisar el subsecretario, de los cuales dispone y, a tenor de lo que
había manifestado por escrito, disponía de ellos por las competencias
que tenía asumidas. Esta es la realidad; me falta completarla
diciendo que públicamente se declaró que estos disquetes los había
dejado el Gobierno anterior.
Una Administración pública tiene esos disquetes, conoce su contenido,
no los legaliza, no los registra y los entrega a una empresa de
fuera. Esta es la realidad, señor director de la Agencia de
Protección de Datos. Me falta decirle que en el debate que se plantea
en relación con este tema hemos oído las interpretaciones más
variopintas, como la de una consejera que insiste en que son
exclusivamente datos que ella tiene registrados, y que es evidente
que no se corresponde con la verdad, porque las bases de datos que la
Consellería tiene registradas en la Agencia de Protección de Datos
lde ninguna manera justifica la cifra de 560.000 ciudadanos
valencianos a los que se remitió la invitación; ese es un dato
perfectamente comprobable. En ningún momento la Consellería informa
de que tiene a su disposición y usa unos disquetes cuyo contenido
ignora, cuyo origen ignora y que sin embargo entrega a una empresa
para que prepare un acto determinado, lo cual es realmente inaudito
e increíble. Si uno desconoce cuál es el contenido y el origen de unos
disquetes no los entrega para la preparación de un acto determinado.
Finalmente, tal como usted ha dicho, se utilizan todos esos archivos
y todos esos datos -algunos de ellos registrados, otros no
registrados y que se han obtenido no sabemos cómo- para un acto que
no tiene nada que ver, absolutamente nada que ver, con la razón por
la que se constituyeron esos pocos archivos que están registrados.
Esta es, señor director, en nuestra opinión, la situación real. En
esta situación real, señor director, permítame que le diga que no
cabe duda de que es verdad que se ha cometido una falta, y es que se
han utilizado datos para un objetivo que nada tenía que ver con eso;
estamos de acuerdo en eso. Pero dígame, señor director de la APD, ¿no
es ninguna ilegalidad que una administración pública disponga de unos
datos y haga uso de unos disquetes con datos de los que afirma
desconocer su contenido y su origen? ¿Es que es admisible en nuestro
país, desde el punto de vista de protección de datos, que una
administración pública tenga a su disposición unos archivos de datos
de los que no es capaz de precisar su origen, su contenido y que, sin
embargo, los entrega, para la preparación de un acto muy concreto, a
una empresa? En nuestra opinión, no; estamos convencidos de que eso
no es admisible y de que si la legislación española permitiera, que
por supuesto no lo permite, esa actuación, usted debería pedir que se
modificara urgentemente; pero no hace falta que lo pida, no lo
permite la legislación española, no puede permitir que circulen
libremente datos y que además sean utilizados por una administración
pública y se pueda hacer irresponsablemente.
Creo, señor Fernández, que además debería hacer una reflexión sobre
cómo es posible que la Agencia de Protección de Datos no tenga la
capacidad de conseguir que una administración diga de dónde procede
eso. ¿Cómo puede usted aceptar o cómo puede aceptar la Agencia de
Protección de Datos que una administración pública actúe de esa
manera y a continuación usted no haga nada cuando le dicen que no se
puede precisar ni el contenido ni el origen de los disquetes, pero
que sí los tienen y los entregan para la preparación de un acto muy
concreto? ¿Es que es posible tragarse -permítame la expresión- bolas
tan grandes, señor Fernández? Está en juego la credibilidad de la
Agencia, señor Fernández. Si usted le permite eso a una admi
nistración
pública, ¿por qué a otro tipo de entes no? Dicen: no lo sabíamos,
mire usted, nos hemos encontrado aquí los datos, no sabemos ni el
origen ni el contenido. Imagínese si es burda la mentira, pero, según
dice usted, no pasa nada. Según usted, lo único que se ha producido
es una falta leve consistente en que se han utilizado un conjunto de
datos, unos conocidos por la Agencia y legalizados, otros no, para un
fin que no era el adecuado. Yo comprendo que, en ocasiones, los temas
no se plantean sólo por los procedimientos exclusivamente legales, se
utilizan también los procedimientos políticos, que por supuesto son
legales, pero que no se limitan a los que se siguen ante la Agencia
de Protección de Datos. Este, sin lugar a dudas, ha tenido una
resonancia política, pero eso, señor Fernández, no puede ser de
ninguna manera una razón para que se dé carpetazo al asunto; al
contrario, para reconocer la enorme trascendencia de los temas que
están en juego. Cientos de miles de ciudadanos valencianos tienen
datos que son manejados, al margen de la legalidad, sin registrar,
por una Administración pública para un fin que no es el previsto, y
eso, me dice usted, que es simplemente una falta de carácter leve.
Sinceramente, no es ésa nuestra opinión. Ysi es esa la conclusión que
se desprende con la legislación vigente, debería usted pedir
inmediatamente que se modificara, porque resultaría absolutamente
insuficiente.
Por tanto, señor Fernández, en opinión de Nueva Izquierda, la
comparecencia que usted ha hecho hoy aquí, que nosotros le
agradecemos por estar en sede parlamentaria y por los datos que nos
da, es ciertamente insuficiente. Desearíamos -y queremos creer, señor
Fernández- que de esta comparecencia de hoy aquí pueda sacar
reflexiones y puntos de vista que le lleven a concluir que los hechos
sobre los que ha tenido ocasión de llevar a cabo una investigación
hasta la fecha, merecen un tratamiento distinto del que usted ha
dado. En nuestra opinión, aquí se han producido infracciones muy
serias, muy graves, de una legislación que tiene trascendencia
constitucional y por eso está en esta Comisión. Estamos hablando de
temas muy importantes y nosotros desearíamos que la Agencia de
Protección de Datos cumpliera y tuviera en cuenta la importancia de
esos datos.
El señor PRESIDENTE: Tiene la palabra el señor Navarrete.
El señor NAVARRETE MERINO: Señor presidente, señoras y señores
diputados, no tendría nada de extraño que la Administración
penitenciaria difundiera determinados antecedentes penales de varios
centenares de miles de ex reclusos convocados por la propia
Administración penitenciaria para la celebración de la gran fiesta de
ex internos de cualquier prisión provincial.
El señor Peralta manifestaba su convencimiento de que la normativa
legal está en contra de este tipo de actuaciones. No tengo más
remedio que darle la razón, porque el artículo 19 de la Lortad dice
que los datos de carácter personal recogidos por las administraciones
públicas para el desempeño de sus atribuciones no serán cedidos a
otras administraciones públicas para el ejercicio de competencias
diferentes o que versen sobre materias distintas, salvo cuando la
cesión hubiera sido prevista por las disposiciones
de creación del fichero o por disposición posterior de igual o
superior rango.
Estamos una vez más ante el descubrimiento de un nuevo monumento
erigido a la hipocresía política. Porque, con el objeto de agravar la
situación de las administraciones públicas, este artículo ha sido
reformado posteriormente en la ley que ha sustituido a ésta, diciendo
que sólo sería posible por disposición de superior rango. Pues bien,
aquí ni la de igual rango ni la de superior rango. Libérrimamente ha
decidido la Generalitat Valenciana tirar de los archivos públicos de
otros departamentos de la propia Generalitat para organizar una gran
fiesta, cuyo alcance político no se le escapa a nadie que tiene que
ver con los casi ocho millones de afiliados al sistema de pensiones
que existe en nuestro país. Esa finalidad, la finalidad de organizar
grandes fiestas no está en los ficheros de las administraciones
públicas sobre esta materia.
Hay otra cuestión que nos preocupa, y es el tema de los trabajos que
terceros privados pueden realizar para las Administraciones públicas,
que están legalmente permitidos como en su informe nos decía el
director de la Agencia de Protección de Datos, es verdad, eso es
lícito, pero también hay una figura muy clásica en el derecho
administrativo que es la desviación de poder cuando se utilizan
determinadas facultades establecidas por el ordenamiento jurídico
para el ejercicio de unas funciones que de ninguna manera están
contempladas por el ordenamiento jurídico, y el caso de las grandes
fiestas evidentemente no constituye algo contemplado por el
ordenamiento jurídico y la adaptación de los datos para otras
finalidades que están en poder de las administraciones públicas con
ese concreto propósito constituye al menos una desviación de poder,
además de una violación flagrante del artículo 19.
Me gustaría saber quién ha calificado la sanción, porque la verdad es
que la redacción del artículo 45 da pábulo a cualquier tipo de
legitimación, la de la Agencia o la de la propia Administración
pública. Lo que manda el artículo 45 es que la Agencia notifique al
responsable del fichero, al órgano del que dependa jerárquicamente y
a los afectados, si los hubiera, las medidas que procede adoptar para
que cesen o se corrijan los efectos de la infracción, además de
poderse iniciar -no dice qué sujeto la inicia- la correspondiente
actuación disciplinaria. Que sepamos, del informe de la Agencia no se
desprende que se haya dado cumplida noticia a los afectados de la
arbitrariedad que se ha cometido con sus datos personales, y yo
desearía que se estableciera el compromiso de la Agencia de subsanar
esa notificación a los afectados.
Por otra parte, siendo válido que determinados datos sean tratados
por particulares, también sería bueno que la Agencia estableciera un
criterio de prudencia, porque a pesar de las obligaciones de guardar
el secreto, de someterse a las instrucciones que pueda dar el
mandante, etcétera, es evidente que siempre se establece una
situación de riesgo para la intimidad de los datos personales cuando
el tratamiento se realiza por un tercero de naturaleza privada. Por
consiguiente, este debiera ser un recurso excepcional al que
recurrieran las Administraciones públicas, pero no me quiero explayar
mucho sobre este asunto porque luego nosvamos a ocupar del asunto de
las historias clínicas, que
tiene evidente parentesco con cuanto estoy expresando en estos
momentos.
Por tanto, nos parece que en la actuación administrativa que se ha
seguido se ha omitido el requisito de la notificación a los afectados
de lo decidido por la Agencia en relación con el comportamiento
irregular de la Generalidad Valenciana, y creemos que cuando se
multiplica por 568.000 o por 800.000 un hecho que individualmente y
con un criterio benigno podría ser calificado como falta leve,
evidentemente desborda el marco de las faltas leves, y aunque lo
cuantitativo no tenga siempre el mismo relieve jurídico, me parece
que en este caso la calificación de la infracción y la sanción
aplicada han sido extraordinariamente benévolas y poco acordes con el
mandato del artículo 18 de la Constitución.
El señor PRESIDENTE: ¿Grupos no solicitantes de la comparecencia que
desean fijar posición sobre la misma? (Pausa.)
El señor Castellano tiene la palabra.
El señor CASTELLANO CARDALLIAGUET: Es evidente que asiste plena razón
a los grupos que han solicitado la comparecencia para conocer cuál ha
sido la actuación de la Agencia de Protección de Datos en el posible
abuso cometido por una institución como la Generalitat Valenciana, en
la utilización de unos determinados datos de domicilio y
circunstancias personales de unos ciudadanos, que evidentemente no
fueron obtenidos para la organización de fiestas y saraos, dado que
ni en el Estatuto de Autonomía de la Comunidad Valenciana ni en
ningún otro figuran estas cosas.
A mí me produciría cierta violencia que la posible actuación de la
Generalitat Valenciana y su juicio fueran a recaer en esta
comparecencia en responsabilidad del señor director de la Agencia de
Protección de Datos. Me parecería algo así como el intento de
sancionar a un ciudadano por haber redactado un panfleto insultante y
descalificador por el simple hecho de que carecía del pie de
imprenta. Sinceramente, es verdad que podemos excitar, y debemos
hacerlo, a la Agencia de Protección de Datos -que no actúa de oficio,
que siempre actuará a petición de parte- para que lleve adelante la
protección de esos datos y para que instruya los expedientes. Ignoro
el contenido del expediente, por tanto no me encuentro con fuerza
suficiente para saber si había atenuantes o eximentes y de qué tipo y
si eso era merecedor o no de una calificación de gravedad o levedad
en cuanto a esa utilización.
En todo caso, no voy a mesarme los cabellos, porque estoy
acostumbrado a saber que las administraciones, desde el más modesto
ayuntamiento hasta el Gobierno de turno, utilizan el conocimiento de
ciertos datos con carácter político. Obviamente, al no haber sido
peticionario de esta comparecencia me tengo que quedar aquí.
Procuraré conocer a través de la diputada en Valencia, doña
Presentación Urán, qué actividades se han realizado en el Parlamento
de Valencia, en la exigencia de control a las autoridades políticas
valencianas sobre este tema. Una vez que conozca este dato, nuestro
grupo parlamentario -colocando lógicamente los bueyes delante de la
carreta-, podrá en primer lugar exigir las responsabilidades
políticas de
quién haya hecho esto, y en segundo lugar una vez que aquellas
hubieran sido exigidas, penetrar en cuáles pudieran ser las funciones
de la Agencia de Protección de Datos.
Repito, no me escandaliza que en Valencia se haya organizado una
fiesta de mayorcitos, pero sabemos que es frecuente que los
presidentes de las comunidades autónomas dirijan cartas, en unos
casos a los pensionistas, en otros a las madres solteras, en otros a
los soldados sin graduación y, en otros a aquellos que les parece
conveniente, con la intención, por otra parte lícita, de recabarles
el voto. Evidentemente, me parece que los ciudadanos deberían ser más
merecedores de respeto. No soy muy dado a la utilización de citas
bíblicas, porque no pertenecen a mi acervo cultural, pero quién esté
libre de pecado que tire la primera piedra.
El señor PRESIDENTE: Tiene la palabra la señora Díez de la Lastra.
La señora DÍEZ DE LA LASTRA BARBADILLO: Esta petición de
comparecencia forma parte de otras iniciativas que tuvieron lugar,
una en las Cortes Valencianas, y otra en el Congreso de los
Diputados. Yo creo que con la contestación que dio en las Cortes
Valencianas el presidente del Consell quedaba bastante clara la
situación, pero incluso cuando se inició el expediente el Grupo
Socialista seguía preguntando todavía sobre la misma cuestión. La
contestación que dio el señor Zaplana fue precisamente que no se
trataba de una gran fiesta y un gran sarao, como ha dicho
coloquialmente el señor Castellano. No. Es que, siguiendo la
recomendación de la Asamblea de Naciones Unidas sobre la celebración
del Año Internacional de las Personas Mayores, se debatieron durante
una mañana las nuevas necesidades y carencias por especialistas,
representantes de los jubilados y otras personas, y se acabó con una
reunión en sentido lúdico, pero no fue una gran fiesta
exclusivamente. Aquí se ha obviado que hubo una serie de discusiones
y una serie de actos que se hicieron siguiendo las directrices de la
Asamblea de Naciones Unidas.
Para mí, la intervención del señor Peralta o la del señor Castellano
tienen su sentido, aunque su compañera de partido, la señora Marcos,
ha aceptado otras situaciones en otros tiempos. Parece ser que se han
acostumbrado a una serie de actuaciones en la época del Gobierno
socialista y cargan sobre todos los grupos políticos la misma
actuación que hicieron ellos; pero eso no es así. Todos recordamos
perfectamente, cuando gobernaba el señor Lerma en la Comunidad
Autónoma Valenciana, las fiestas de los mayores, de los jóvenes e
incluso las cartas de Felipe González, el ex presidente del Gobierno
a todos los jóvenes que cumplían 18 años para darles la enhorabuena y
aanimarles a votar. Sinceramente creo que las dos comparecencias del
presidente del Consell aclararon bastante la situación, se dijo allí
incluso lo que había costado, eran 65 millones que provenían de la
Consellería de Bienestar Social, y que en el ámbito de su competencia
la Consellería tiene que tener una serie de datos para conocer la
población que debe atender, sus necesidades, sus demandas, razón por
la cual existen unos ficheros dedicados a la tercera edad. Se ha
dicho que los datos utilizados se entregaron a una entidad Meydis,
y que se firmó un contrato de confidencialidad que aquí
también se ha obviado decirlo. Creo que es buscar tres pies al gato.
Parece que a los grupos que han pedido la comparecencia les molesta
el éxito que tuvo aquel foro. Yo he estado 13 años en la oposición, y
en una democracia la oposición es tan importante como el Gobierno;
pero hay que ejercerla siempre con seriedad, rigor y buena fe y yo
creo que por parte del Grupo Socialista y del señor Peralta no ha
habido ninguna de las tres cualidades.
Tengo que hacer muy brevemente el resumen de las actuaciones de la
Agencia de Protección de Datos y de la resolución dictada por la
Agencia. La actuación de la Generalidad valenciana no ha supuesto
menoscabo ninguno de los derechos de las personas invitadas en su día
al acto convocado; no existe indicio alguno de delito en las
actuaciones desarrolladas por la Consellería de Bienestar Social; no
se aprecia la existencia de infracciones graves o muy graves. Es
curioso que cuando se pide una comparecencia y se hace una denuncia
lo menos que se puede es esperar a que se abra el expediente y no
calificar a priori, como hace el señor Zamora en su denuncia, que
aquellos hechos son graves o muy graves. La Consellería de Bienestar
Social no ha pedido ningún dato de forma fraudulenta al margen de la
legalidad, la Agencia sólo ha estimado la existencia de
irregularidades de tipo formal que no invalidan en ningún momento las
actuaciones desarrolladas por la Generalidad y se ha subsanado
claramente las deficiencias formales que había en el registro de
datos. Por eso, vuelvo a repetir, porque cuando se ha estado en la
oposición y se está apoyando al Gobierno parece que uno tiene más
visión total de cómo se debe ejercer eso, que el Grupo Popular cree
que ha faltado seriedad, rigor y buena fe; parece que es una pataleta
y el señor Navarrete no tiene ninguna autoridad moral para hablar
como ha hablado. (Los señores Navarrete Merino y Peralta Ortega piden
la palabra.)
El señor PRESIDENTE: Recuerden señores Navarrete y Peralta, que no se
trata de una iniciativa de carácter contradictorio, pero han sido
reiteradamente aludidos, por lo que tienen un minuto. En primer
término, tiene la palabra el señor Peralta.
El señor PERALTA ORTEGA: Gracias, señor presidente, por su en mi
opinión acertada interpretación de lo que ha ocurrido. De hecho se ha
hablado de que nos falta rigor, seriedad y buena fe. No sé cuantos
años lleva la señora diputada.
El señor PRESIDENTE: Muchísimos.
El señor PERALTA ORTEGA: Créame, señor presidente, que casi tantos
como yo.
Desde esta labor nos parece que hay leyes y ésta que hoy nos ocupa
tiene una fecha de nacimiento determinada. Antes se podía hacer
oposición, no sé si con rigor, seriedad y buena fe, pero no se podía
hacer con fundamento en la ley, ahora afortunadamente la podemos
hacer con fundamento en la ley. Quiero recordarle a la señora
diputada que el director de la Agencia de Protección de Datos ha
sancionado a la Generalidad Valenciana, no le he oído a la señora
diputada decir que se ha sancionado a la Generalidad
Valenciana. Ése es un hecho que como diputado debería merecer una
condena; a mí me la merece, sin lugar a dudas. Creo que lo
significativo en ese caso es que una Administración pública ha
infringido la ley, y la señora diputada considera más importante
decir que los diputados carecemos de rigor, de seriedad y de buena fe
y callar que la Generalidad valenciana, una administración pública ha
sido sancionada.
Créame, no pretendo juzgar a la Agencia de Protección de Datos, pero
si no sabe cumplir su papel, esa actuación que acabamos de ver de que
considera que lo grave es quienes hemos denunciado con acierto una
actuación ilegal de la Generalitat valenciana, se convertirá en norma
de conducta. No creo que podamos dar por buenas las infracciones
legales, por amplias que sean; yo no comparto ese criterio. Lo que
tenemos que hacer es, por más que cueste, lograr que se cumpla la
ley, y en esa tarea, la Agencia de Protección de Datos tiene un papel
fundamental. Qué duda cabe que la responsabilidad del incumplimiento
es de quien incumple; la Generalitat Valenciana gestionada por el
señor Zaplana, del Partido Popular, pero la Agencia de Protección de
Datos tiene un papel esencial en conseguir que se respete la ley. En
este caso, y le he dado datos y argumentos, entender que sólo se ha
producido una utilización de datos para un fin no adecuado, no es
suficiente. Tendría usted que preguntarle a la Generalitat valenciana
por qué tenía esos disquetes y de dónde los ha sacado y no dar por
buena la afirmación de que no puede justificar su origen, ni admitir
que una Administración pública pueda utilizar unos disquetes con
datos personales de manera absolutamente irresponsable y al margen de
la ley. En nuestra opinión...
El señor PRESIDENTE: Señor Peralta, le he dado la palabra para
replicar a la señora Díez de la Lastra, no al señor compareciente.
El señor PERALTA ORTEGA: Termino, señor presidente, y agradezco su
benevolencia. Desde Nueva Izquierda nos gustaría que esta
comparecencia sirviera para que usted nos informara a nosotros, pero
también para que escuche nuestras valoraciones, políticas sin duda,
que tienen la incidencia que deben tener en un expediente, porque son
valoraciones políticas y pueden servir para que avance el imperio de
la ley en nuestro país, y evitar hechos tan sonrojantes como que una
Administración pública utilice, al margen de la ley, datos de cientos
de miles de ciudadanos.
El señor PRESIDENTE: Tiene la palabra el señor Navarrete.
El señor NAVARRETE MERINO: Me voy a defender de las alusiones que se
han hecho, sin incurrir en el mismo tipo de argumentos ad hominem que
ha empleado la señora diputada, porque como nos sobran las razones no
precisamos recurrir a los adjetivos calificativos. La democracia, lo
digo por si hay alguna persona del Grupo Parlamentario Popular que
todavía no se ha enterado, es algo dialéctico. A la calidad
democrática contribuimos todos los que estamos en la vida política
con
más o menos preeminencia, criticando los defectos del adversario, sin
que los defectos que otro adversario pueda haber cometido sirvan de
alibí. A ver si se enteran ustedes de que en el derecho penal, y con
la misma legitimidad en la vida política, los malos precedentes no
constituyen ninguna patente de corso. Ustedes están en su derecho,
cuando consideren que cualquier autoridad o funcionario de cualquier
comunidad autónoma actúa incorrectamente, de poner las denuncias que
procedan; pero es verdaderamente torticero recurrir a difuminadas
responsabilidades para exonerarse de las propias. Ustedes han
infringido el artículo 19, y no sólo eso, sino que han hecho una
ceremonia teatral en la reelaboración del artículo 19, que no se
compagina con lo que está ocurriendo en algunas administraciones
públicas, y ponemos por caso el que estamos comentando esta tarde.
Por consiguiente, expreso mi opinión. Me parece que la sanción leve
no se compagina con la naturaleza de la infracción que se ha
cometido, digan lo que quieran sobre este asunto otros compañeros de
la Cámara. Desearía que se adoptaran las medidas pertinentes por
parte de la Agencia de Protección de Datos, la Generalitat, otras
comunidades autónomas y la Administración central del Estado, para
que los ciudadanos no se sientan manejados cada vez que convenga a
cualquier instancia política poco escrupulosa.
El señor PRESIDENTE: Señora Díez de la Lastra.
La señora DÍEZ DE LA LASTRA BARBADILLO: Sólo un minuto, para decirle
al señor Peralta que tenía conciencia de que había una infracción
leve, pero ante la acusación en la denuncia por el señor Zamora,
compañero suyo, de que la infracción era grave o muy grave, se me ha
pasado, pero yo le tengo que decir que la Agencia resuelve declarar
la ausencia de responsabilidad respecto a la imputación de infracción
del artículo 6 de la Lortad.
Señor Navarrete, le ha tocado a usted jugar ese papel, como nos toca
a veces a muchos. Es raro que no haya ningún diputado de la Comunidad
Autónoma Valenciana de su grupo, que está más en comunicación con las
Cortes valencianas, y supongo que le habrán pasado fichas, pero es
raro que no haya venido ninguno aquí a hablar de la Comunidad
Autónoma Valenciana siendo de esa comunidad. Claro que la oposición
tiene que contribuir a la calidad democrática. Ya le he dicho que yo
he estado 11 años en la oposición en el Ayuntamiento de Alicante y
mantengo lo que he dicho. Quizas usted querría que la falta fuera
gravísima y que se hubiera formado un escándalo. No es así; acate lo
que se ha dicho. Ustedes están de acuerdo con la justicia cuando les
va bien para ustedes, ahora con la protección de datos, y cuando no
está a favor de ustedes protestan. Eso no es seriedad, rigor, ni
buena fe.
El señor PRESIDENTE: Señor director de la Agencia, ¿algún comentario
sobre el debate y sobre las manifestaciones que se han realizado?
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Sí, señor presidente, y lo más brevemente posible.
Quiero dejar aquí muy claro es la actuación de la Agencia de
Protección de Datos. Señor Peralta o yo me he explicado mal o usted
no me ha entendido. En primer lugar, hay que dejar muy claro que los
datos que al final se depuran y por los que se envían las cartas son
558.454, que son los que la Generalidad valenciana remite el 15 de
octubre de 1998 con cartas a personas mayores de 65 años; no hay
800.000. En segundo lugar, ¿de dónde han salido los datos? Salen,
también creía que lo había explicado, de una serie de ficheros que
tenía la Consejería de Asuntos Sociales. Son ficheros relativos a
pensiones no contributivas, centros base, bonos residencia, fondo de
asistencia social, amas de casa y termalismo. ¿Y dónde aparecen esos
otros datos que usted dice? Estamos hablando de que la inspección la
hacemos pasado enero, que es cuando se denuncia. Se envían las cartas
en octubre, en enero es cuando se denuncian y me parece que cuando
nosotros inspeccionamos es en el mes de febrero. El mes de febrero
nos enteramos de que existen esos otros datos en unos disquetes por
la candidez del viceconsejero de Bienestar Social, que dice había por
allí unos disquetes desde hacía mucho tiempo, que estaban en la
Consejería y los entregó para que los depuraran. Se trataba de buscar
unas personas de una edad y además que estuvieran vivas. Por eso nos
enteramos, no por la perspicacia de mis inspectores, que a toro
pasado difícilmente podrían averiguar nada; de ahí es de donde
proceden los datos. Por tanto, en principio son datos que están en la
Consejería de Bienestar Social, que no se han utilizado de otro
departamento de la Administración autonómica, sino que en principio
hay que presumirlo del mismo, puesto que no tenemos otras pruebas.
A pesar de eso, la Agencia entiende que esos datos no tienen cobertura
en los ficheros y por eso se sanciona, pero se sanciona precisamente
como una falta leve, que por otro lado no tiene mayor trascendencia
porque a las administraciones públicas, como saben SS.SS, no se les
impone como a los particulares 100.000 pesetas o 100 millones, sino
que es el agravio público de haber infringido la ley. Lo que pasa es
que la Agencia tiene unos criterios cuando va a calificar una falta
como leve, como grave o como muy grave y esos criterios los tiene que
aplicar para todos, sea una Administración, sea un particular o quien
sea.
En cuanto a que se entregan a una empresa privada, sí se entrega a
una empresa privada, pero a una empresa privada que se dedica a este
tipo de tratamientos, con un contrato donde hay confidencialidad y
donde no se ha detectado ninguna infracción por parte de la empresa,
sino la devolución a la Consejería de Bienestar Social de los datos
ya depurados. O sea que no hay en ningún caso utilización por
particulares.
Estoy absolutamente de acuerdo con el señor Navarrete en que cuando
además estos datos van a ir en algún supuesto a una empresa privada,
hay que ser muy celosos de ellos. Fíjese si lo seremos que en algún
caso, aprovechando las facilidades que da el artículo 27, no en temas
de administraciones públicas sino de entes privados para hacer cesión
de datos, han tratado de enmascarar una cesión hablando de alquiler
de datos, se ha descubierto la cesión y se ha sancionado.
Por supuesto que en este tratamiento de datos la Agencia es
especialmente celosa y vigilante.
Nos han dicho también que no hemos hecho nada aparte de esto, y yo
tengo que decir que además de declarar la infracción se ha requerido
a la Generalitat valenciana para que regularice el nuevo fichero
derivado del servicio contratado a Meydis mediante la publicación de
la correspondiente norma habilitante y posterior inscripción en el
registro, y en caso contrario para que proceda a la destrucción. Es
decir, la Agencia sí ha hecho algo más.
Me han dicho también que no lo hemos comunicado a los afectados, y
tengo que decir que yo aplico las normas del derecho administrativo,
notifico a los que están presentes en el procedimiento como
afectados. No puedo hacer una notificación general; pero a todo el
que pide la comparecencia en el procedimiento, si acredita las
funciones apropiadas para ser parte en él, por supuesto se le
reconoce, se le notifica y se le habilita la vía de recursos. Además,
en cualquier caso serán los tribunales los que, corrigiendo la
posible equivocación en la calificación de la Agencia, tendrán la
última palabra. Sí les puedo garantizar que la Agencia ha actuado con
los criterios que tiene para enjuiciar un tipo de conductas y que en
este caso, además, si no es por el viceconsejero ni nos hubiéramos
enterado de la existencia de las cintas porque nadie nos habló de
ellas. Nadie, señor Peralta, nadie nos habló de ellas, y cuando los
inspectores fueron, que no pudieron ir antes de recibir la denuncia,
allí ya no había ningún fichero porque ya se habían envíado las
cartas y se habían depurado. La Agencia de Protección de Datos actuó
dentro de la más estricta legalidad y actuó además con prontitud.
Piense que tenemos 12 inspectores para atender a todo el territorio
nacional, y actuamos con total prontitud. En el mes de febrero
estaban los inspectores en Valencia, y se nos habían denunciado en
enero unos hechos que ocurrieron en el mes de octubre y que mientras
tanto a nadie se le ocurrió denunciar.
El señor PRESIDENTE: Gracias, señor director de la Agencia de
Protección de Datos.
Vamos a hacer un breve receso de cinco minutos y entraremos
inmediatamente en el punto 5 del orden del día, señor Peralta, en el
que aparece la solicitud de comparecencia suscrita por el grupo al
que pertenece S.S. (Pausa.)
- ACTUACIÓN DE LA AGENCIA EN DEFENSA DE LOS DERECHOS DE LOS
CIUDADANOS AFECTADOS POR SU INCLUSIÓN ILEGÍTIMA EN LOS LLAMADOS
«FICHEROS DE MOROSOS», ASÍ COMO DE LAS REFORMAS LEGISLATIVAS
NECESARIAS PARA SU MAYOR EFICACIA EN ESTE ÁMBITO. A SOLICITUD DEL
GRUPO PARLAMENTARIO MIXTO. (Número de expediente 212/001910.)
El señor PRESIDENTE: Se reanuda la sesión. Punto 5 del orden del día.
Señor Peralta, tiene S.S. la palabra en relación con el punto 5 del
orden del día.
El señor PERALTA ORTEGA: Quiero manifestar que, habiéndose modificado
la ley que regía cuando pedimos esa comparecencia, renunciamos a la
misma.
El señor PRESIDENTE: En consecuencia, el señor director queda eximido
asimismo de dar respuesta.
- MEDIDAS QUE PUDIERAN ADOPTARSE PARA PREVENIR LA CESIÓN ILÍCITA DE
DATOS PERSONALES ARCHIVADOS POR LAS ADMINISTRACIONES PÚBLICAS. A
SOLICITUD DEL GRUPO SOCIALISTA DEL CONGRESO. (Número de expediente
212/001933.)
- ADECUACIÓN DE LAS MEDIDAS ADOPTADAS POR EL MINISTRO DE SANIDAD
YCONSUMO, A LA LEY ORGÁNICA 5/1992, DE 29 DE OCTUBRE, DE REGULACIÓN
DEL TRATAMIENTO AUTOMATIZADO DE LOS DATOS DE CARÁCTER PERSONAL
(LORTAD). A SOLICITUD DEL GRUPO SOCIALISTA DEL CONGRESO. (Número de
expediente 212/002141.)
- VALORACIÓN DE LA AGENCIA ACERCA DE LA CESIÓN DE HISTORIALES
CLÍNICOS DE LOS CENTROS DEL INSALUD A EMPRESAS PRIVADAS. ASOLICITUD
DEL GRUPO PARLAMENTARIO MIXTO. (Número de expediente 212/002403.)
El señor PRESIDENTE: Pasamos al punto 7 del orden del día,
comparecencia suscrita por el Grupo Socialista del Congreso en
relación con las medidas que pudieran adoptarse para prevenir la
cesión ilícita de datos personales archivados por las
administraciones públicas. (El señor Navarrete Merino pide la
palabra.)
Señor Navarrete.
El señor NAVARRETE MERINO: Por aligerar el debate, y dado que los
puntos 7 y 8 están estrechamente relacionados, por nuestra parte no
habría ningún inconveniente en que se analizaran de forma conjunta.
No sé si el grupo que ha solicitado el punto 9 del orden del día (no
soy el titular de la comparecencia) estaría dispuesto a incluirlo en
el bloque.
El señor PRESIDENTE: Señor director, ignoro si el señor Peralta se va
a reintegrar o no en el transcurso de la sesión, pero le ruego que dé
respuesta a los puntos 7, 8 y 9 de forma conjunta, con independencia
de que después demos voz a los grupos para expresar sus posiciones.
El señor CASTELLANO CARDALLIAGUET: Si el punto 9 es pedido por el
Grupo Parlamentario Mixto y no hay nadie para sostenerlo, no entiendo
por qué razón tiene que ser objeto de tratamiento.
El señor PRESIDENTE: Porque versa sobre el mismo tema que el punto 8.
El señor CASTELLANO CARDALLIAGUET: Pero, señor presidente, la más
elemental coherencia impone que si el grupo que solicita una
iniciativa no está, se dé por decaída.
El señor PRESIDENTE: Señor Castellano, si el señor director va a
responder al punto 8, entendemos que el señor Peralta in absentia se
dará por satisfecho.
El señor CASTELLANO CARDALLIAGUET: El señor Peralta antes de irse
podía haber dicho si mantiene la iniciativa del punto 9 o no.
El señor PRESIDENTE: Esperemos que se reintegre. Estoy protegiendo la
ausencia del señor Peralta, señor Castellano.
El señor CASTELLANO CARDALLIAGUET: Me parece muy bien, señor
presidente, pero proteja usted también la presencia de los que nos
quedamos.
El señor PRESIDENTE: Señor director.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): En relación con estos puntos que ahora se agrupan, en primer
lugar, procede hacer alguna reflexión sobre la transmisión de datos
entre administraciones públicas. Todos sabemos que es necesario y que
en algunos supuestos se abusa de ello. El principio de finalidad,
aquel para el cual fueron recogidos los datos, es el que debe imperar
en las transferencias de los datos entre administraciones públicas.
En aquellos supuestos en los que no esté previsto por una norma o una
ley de creación de fichero los datos entre administraciones públicas
no deberán comunicarse a no sea que sea para una misma finalidad.
La Agencia está atenta a los problemas que puedan derivarse de la
transmisión de datos entre administraciones públicas. Buena prueba de
ello son los procedimientos de administraciones públicas, cada día
más numerosos, y que tienen un especial relieve en el presente año,
1999. Así podemos comprobar que se ha declarado una infracción muy
grave de cesión de datos sin consentimiento del afectado de la
Dirección General de Instituciones Penitenciarias. Este procedimiento
fue un poco curioso porque era un funcionario de la propia Dirección,
cuyos datos se comunican al registro de altos cargos. En principio
era un dato público porque su nombramiento y su cargo figuraban en el
Boletín Oficial del Estado, pero luego se cambia la titularidad del
cargo sin decir el funcionario y entonces se le cambia en el fichero
de altos cargos, con lo cual la cesión no pudo venir de ninguna
fuente accesible al público y por eso se sanciona a la Dirección
General. Se ha declarado una infracción muy grave de la Agencia
Estatal de Administración Tributaria por cesión de datos sin
consentimiento a la Cámara de Comercio, Industria y Navegación y a
ésta una infracción grave por tratamiento de datos personales sin
consentimiento del afectado.
En otra resolución, se declara una infracción grave por vulneración
del deber de secreto -artículo 10 de la Ley- de la Dirección General
de Coste de Personal del
Ministerio de Hacienda. También se declara una infracción muy grave
por tratamiento de datos especialmente protegidos, en relación con el
artículo 20 de la Lortad, del Ayuntamiento de Alcobendas; además aquí
hubo que decretar una medida cautelar. Este tema fue verdaderamente
bochornoso porque se estaban recabando datos de los ciudadanos por la
Policía municipal sin la exigencia de la ley: que sea para una
investigación concreta, donde se establecían referencias de origen
racial, de enfermedades -no sé para qué servirá esto en la
investigación policial-, creencias, etcétera. Afortunadamente, se
adoptó una medida cautelar y el procedimiento ha terminado con una
declaración de sanción muy grave. Asimismo se declara una infracción
muy grave por cesión de datos al departamento de Servicios Sociales
de la Diputación Foral de Guipúzcoa por esta transferencia a diversos
ayuntamientos. Se declara una infracción leve por vulnerar el
principio de finalidad a la Consejería de Bienestar Social de la
Generalidad Valenciana, a la que nos hemos referido antes, la fiesta
de la tercera edad. También se declara una falta grave por
vulneración del deber de secreto a la Agencia Estatal de
Administración Tributaria, en un procedimiento distinto al que me he
referido antes. Se declara infracción muy grave por cesión de datos
sin consentimiento del Ayuntamiento de Palma de Mallorca y del
Ayuntamiento de Santa Cristina de la Polvorosa. Se declara una
infracción grave por tratamiento de datos sin consentimiento del
Ayuntamiento de Albacete. Por falta de inscripción han sido
sancionados como falta leve los ayuntamientos de Ciempozuelos,
Llanes, Fuentelamo, Rivas-Vaciamadrid, Marbella, etcétera. Por la
misma causa de no inscripción, pero ya como falta grave ante la
reiteración y el incumplimiento, se sanciona al Ayuntamiento de
Bujalance y al Ayuntamiento de Torreperogil. Por último, se han
archivado diversas resoluciones en principio dirigidas contra el
Ayuntamiento de Motril, el Banco de España, la Agencia Estatal de la
Administración Tributaria, dos resoluciones de archivo. Éste es el
panorama de actuación de la Agencia de Protección de Datos en cuanto
a administraciones públicas en lo que va de año. Como verán, hay, por
un lado, una preocupación de los ciudadanos en denunciar y, por otro
lado, de la Agencia en tratar de conseguir que los datos no se cedan
entre administraciones sin habilitación legal suficiente y, sobre
todo, no se empleen para finalidades distintas. Vuelvo a insistir en
que la finalidad es la que nos puede dar la pauta del buen actuar de
las administraciones públicas. En algunas comunidades, tengo pensado
organizar algunas jornadas para un mejor conocimiento por los
funcionarios de las administraciones públicas de la Ley de Protección
de Datos, que desgraciadamente aún sigue siendo desconocida en muchos
aspectos y, por ello, en algunos casos infringida sin actitud
especialmente dolosa.
En relación con estos temas de las administraciones públicas, a los
que se refieren dos de las preguntas importantes, se encuentra el
sistema TAIR, que ha sido especialmente analizado por la Agencia de
Protección de Datos. En abril de 1998 se presentó ante la Agencia una
denuncia relativa al incumplimiento de la Ley de Protección de Datos
en la implantación por el Insalud del denominado
TAIR (Terminal Autónomo Identificativo del Paciente en las Recetas).
A ella se añadieron ulteriores denuncias presentadas en febrero y
marzo de 1999. Tras la recepción de la primera denuncia, la Agencia
inició las siguientes actuaciones para el esclarecimiento de los
hechos: requerimiento al Insalud de información detallada sobre el
amparo legal, objetivos y principales magnitudes del proyecto TAIR,
incluidas sus fases de implantación; requerimiento de aclaraciones
adicionales respecto de la confidencialidad de los datos a tratar y
de las personas autorizadas para acceder a los mismos; tratamientos
previstos por parte de los colegios farmacéuticos y especificación de
los cesionarios; práctica de actuaciones inspectoras in situ en el
Insalud, en el Colegio de Farmacéuticos de Madrid y en las empresas
contratadas para la grabación de recetas, Cipsa y Veridata.
De las actuaciones practicadas se desprende que a partir del TAIR se
generan dos flujos de información: a) Interno del Insalud, relativo a
la actividad asistencial y recetas médicas, sin que se recoja en
ellas el medicamento prescrito. En los centros de salud se realiza
una explotación de dichos datos para la gestión asistencial y
administrativa de los mismos; pacientes atendidos por consulta;
pacientes derivados a especialidades; recetas entregadas a pacientes;
partes de incapacidad laboral transitoria; solicitud de pruebas
diagnósticas, etcétera, no saliendo dicha información fuera del
entorno de dichos centros. El circuito interno de Insalud está
implantado parcialmente, recogida de datos mediante el TAIR y volcado
en los ordenadores de los centros de salud. Hay una implantación sólo
parcial, encontrándose en fase de diseño y no operativa el resto del
proyecto, que es el más relevante desde la perspectiva de la
protección de datos. Sobre la implantación de las fases no
operativas, la Dirección General del Insalud ha solicitado
formalmente la colaboración de la Agencia de Protección de Datos,
asumiendo el compromiso de mantenernos permanentemente informados. En
cumplimiento del mismo, en diciembre de este año, el Insalud ha
requerido la colaboración de la Agencia de Protección de Datos sobre
nuevas aplicaciones que están siendo analizadas para garantizar la
adecuación de la normativa de la protección de datos.
El otro flujo al que me refería, el apartado b), es externo al
Insalud, relativo a la información generada por la receta médica, su
grabación por los colegios farmacéuticos y su remisión posterior al
Insalud. Este circuito está en funcionamiento y constituyó el objeto
principal de la denunciada formulada, por lo que voy a centrar en él
mi intervención. El TAIR genera una etiqueta para adherir a la receta
que contiene datos del paciente, del médico, número de orden de la
receta y la fecha de prescripción. Dado que el TAIR no recoge el dato
relativo al medicamento prescrito, este es incluido en la receta de
forma manual por el médico. Las oficinas de farmacia dispensadoras de
los medicamentos recogen las recetas agregando físicamente el cupón
precinto que contiene otro código de barras que corresponde al
medicamento, así como los datos relativos a la propia farmacia.
Posteriormente las recetas son enviadas a los respectivos colegios
farmacéuticos, donde generalmente a través de terceras empresas
contratadas al efecto se graban en
un CD-ROM para su envío mensualmente al Consejo General de Colegios
Farmacéuticos.
Una de las innovaciones que ofrece el nuevo proyecto respecto de la
grabación de recetas que se viene haciendo desde hace años, es la
incorporación de la identificación del paciente mediante el código de
identificación personal, CIP, incluido en la tarjeta sanitaria,
identificación que con anterioridad se efectuaba escribiendo el
nombre del paciente. La única información identificativa personal que
se puede grabar en los colegios farmacéuticos es el código de
identificación personal -el CIP- de los pacientes y el código de
identificación del área sanitaria -CIAS- que pertenece a los médicos.
La actuación de los colegios farmacéuticos se rige por el concierto
firmado con fecha 17 de noviembre de 1998, concierto por el que se
fijan las condiciones para la ejecución de la prestación farmacéutica
a través de las oficinas de farmacia, que fue suscrito entre el
presidente ejecutivo del Insalud y el director general de la
Tesorería de la Seguridad Social, por una parte, y el presidente del
Consejo General de Colegios Oficiales Médicos por otra. El concierto
se rige por sus condiciones particulares, siendo de aplicación
directa la normativa sanitaria por la que se regula la prestación
farmacéutica en general y, en su caso, la de la Seguridad Social en
particular, así como la Ley Orgánica 5/1992 de Protección de Datos, y
resulta aplicable subsidiariamente la legislación reguladora de la
contratación del Estado. La cláusula sexta del convenio garantiza la
confidencialidad de los datos de carácter personal. Cualquier uso
distinto de la facturación deberá ser autorizado por el Insalud. Los
datos se graban en un CDROM por cada uno de los colegios
farmacéuticos que, a través del Consejo General los entregarán a las
dependencia del Insalud señaladas por éste. En algunos casos los
colegios farmacéuticos proceden a contratar la grabación de datos,
obligando a las empresas a salvaguardar la identidad y el secreto de
los mismos, de acuerdo con las instrucciones de cliente y lo que
establece al respecto la legislación vigente.
En la resolución del director de la Agencia de Protección de Datos de
24 de abril de 1999, se acuerda el archivo de las actuaciones en
relación con el tratamiento de datos de las recetas. Los fundamentos
de la resolución de archivos son sintéticamente los siguientes: A)
Norma habilitante para realizar el tratamiento automatizado de datos.
Según se desprende de las actuaciones practicadas por la inspección,
las únicas novedades derivadas de la introducción del TAIR consisten
en la incorporación a la receta del código de identificación personal
del paciente, CIP, en texto y en código de barras y en la impresión
en código de barras del código de identificación de asistencia
sanitaria, CIAS, correspondiente al médico, dato que ya se incluía
con anterioridad en la receta. La norma habilitante para la creación
de ficheros automatizados del Ministerio de Sanidad y de sus
organismos autónomos es la Orden Ministerial de 21 de julio de 1994.
En ella se contempla un fichero específico de usuarios nacionales de
la tarjeta sanitaria, inscrito en el Registro General de Protección
de Datos que comprende, en el apartado relativo a finalidad y usos,
el correspondiente a la gestión y control sanitarios. Las personas o
colectivos afectados
son todos los usuarios del Sistema Nacional de Salud y los organismos
oficiales de estadística. De lo expuesto se desprende que la novedad
del TAIR, en lo que se refiere al tratamiento de nuevos datos del
usuario del Sistema Nacional de Salud y, en particular, de personas
con derecho a prestación farmacéutica, se limita a la incorporación
relativa al CIP -código de identificación personal-, contenida en la
TSI, tarjeta sanitaria individual. El nuevo tratamiento de datos de
titulares del TSI tiene habilitación normativa, puesto que es
subsumible en el fichero de usuarios nacionales de tarjetas
sanitarias, incluidos en la Orden de 21 de julio de 1994 a la que me
he referido.
B) El consentimiento de los afectados, otro de los temas que trata a
la resolución. En lo que se refiere al consentimiento de los
afectados para la obtención de datos personales, la regla general del
artículo 6 de la Lortad es la exigencia del mismo, salvo que la ley
disponga otra cosa. Sin embargo, el apartado 2 de dicho precepto
exceptúa la obtención del consentimiento de los afectados cuando los
datos se recojan para el ejercicio de las funciones propias de las
administraciones públicas en el ámbito de sus competencias. Dado que
el artículo 85 de la Ley de Medicamento exige que la receta contenga
los datos básicos de identificación del paciente y que tales se han
asociado a los contenidos en el TSI, debe estimarse que la
Administración sanitaria está actuando en el marco de sus
competencias y que la recogida y el tratamiento de datos que figuran
en la TSI son adecuados, pertinentes y no excesivos en relación a
aquéllas, conforme al artículo 4 de la Lortad, por lo que cabe
prescindir del consentimiento del afectado, de acuerdo con lo que
señala el artículo 6.2 de la Lortad.
C) Tratamiento automatizado de datos. El artículo 8º de la Ley de
Protección de Datos habilita para proceder al tratamiento
automatizado de datos personales relativos a la salud de las personas
que acudan a las instituciones y centros sanitarios o hayan de ser
tratadas en los mismos, siempre que dicho tratamiento se realice de
acuerdo con la normativa sanitaria. Dado que los aspectos actualmente
operativos del proyecto TAIR se limitan a la grabación de los datos
incorporados en las recetas, con la finalidad de efectuar su
facturación y el control de ésta, y no a otros desarrollos pendientes
en los términos expuestos en los antecedentes de hecho de la
resolución, la habilitación para el tratamiento de datos por parte de
la Administración sanitaria encuentra su fundamento en los artículos
85, 95, 96 y 98 de la Ley 25/1990, de 20 de diciembre, del
Medicamento.
D) El concierto suscrito entre el Insalud y la Tesorería de la
Seguridad Social y el Consejo General de Colegios Oficiales de
Farmacéuticos. El artículo 97 de la Ley del Medicamento, que regula
la colaboración farmacia-Sistema Nacional de Salud, destaca la
calificación de las oficinas de farmacia como establecimientos
sanitarios, el deber de colaboración que se les impone para
garantizar el uso racional de los medicamentos y la posibilidad de
ser objeto de concertación en cuestiones distintas de las
obligaciones legales que se les imponen. Por su parte, la Ley 21/
1974, de 13 de febrero, de Colegios Profesionales, configura a estas
corporaciones como de derecho público, y se les atribuye la
representación de la profesión y el ejercicio de las funciones que
les sean encomendadas por la Administración.
La Ley de Colegios Profesionales regula los consejos generales
de los colegios como corporaciones de derecho público con
personalidad jurídica propia y plena capacidad. Entre sus funciones
incluye la de los propios colegios en cuanto tengan ámbito o
repercusión nacional, artículos 1, 5 y 9. Atendiendo a las normas
citadas, debe estimarse que las actuaciones que el concierto exige de
los colegios profesionales en las recetas constituye un supuesto de
cesión de datos entre administraciones públicas, conforme al artículo
19 de la Lortad.
E) Participación de empresas privadas en la grabación de datos. Esta
actividad se encuentra amparada en el artículo 27 de la Lortad, que
prevé la posibilidad de realizar el tratamiento de datos personales
por cuenta de terceros, siempre que cumplan las garantías de dicha
norma y, en particular, la confidencialidad.
Para concluir, he de señalarles que la Agencia de Protección de Datos
tiene una especial sensibilidad en el tratamiento de datos
especialmente protegidos, como son los relativos a la salud. Como
manifestaciones concretas de dicha preocupación, la Agencia iniciará
a principios del próximo año actuaciones inspectoras sobre la
ejecución del convenio en relación con el tratamiento de datos
personales. Asimismo velará, como señalé al principio, para que
continúen desarrollándose las actuaciones de colaboración con el
Insalud para el desarrollo posterior del proyecto TAIR, a fin de que
este se adecue a las exigencias derivadas de la normativa de
protección de datos.
Esto es, en resumen, lo que puedo informar de un tema que es
complejo, como es el sistema TAIR, que, como ven SS.SS., sólo tiene
desarrollada una parte. Esa parte es absolutamente correcta. En
cuanto a próximos desarrollos, tenemos el compromiso del Insalud, que
ya nos ha pedido la colaboración para que velemos por la protección
de la intimidad en esos desarrollos.
El señor PRESIDENTE: Tiene la palabra el señor Navarrete.
El señor NAVARRETE MERINO: Señor director de la Agencia de Protección
de Datos, la obtención, el tratamiento de datos, y en su caso, la
cesión de los datos por parte de las administraciones públicas dista
de ser un tema pacífico, lo cual no nos exonera a los legisladores ni
a los que forman parte de las administraciones públicas de aplicar
criterios de racionalidad en la interpretación de los preceptos
legales. Desde el punto de vista de la racionalidad, se ha querido
convertir algunas veces a las administraciones públicas en rehenes de
la Ley Orgánica de Protección de Datos Personales. Las
administraciones públicas tienen al menos tantos derechos como los
titulares de ficheros privados, yo diría que algún derecho más que
estos últimos. Lo reconocía el proyecto de directiva, lo reconocía la
Lortad y lo viene a reconocer actualmente la Ley Orgánica de
Protección de Datos, con un sistema que a veces produce una cierta
ambig¸edad o una cierta perplejidad. Por supuesto, hay una serie de
funciones, como bienestar, Seguridad Social, represión de los
delitos, etcétera, que constituyen títulos habilitantes para las
administraciones públicas parala recogida y el tratamiento de datos.
En las dos leyes que ha habido sobre esta materia en nuestro país se
exceptúa del consentimiento la recogida de datos por las
administraciones públicas, cuando son precisos para el cumplimiento
de sus finalidades. La cesión de datos entre las administraciones
públicas también se trata con benevolencia por todas las
disposiciones normativas, incluidas las de la Unión Europea, cuando
se trata de finalidades legítimas de las administraciones públicas.
Por consiguiente, habría que ir elaborando unos criterios que
faciliten la cooperación interinstitucional. Yo apunto uno de estos
criterios, que por otra parte se reconoce en el ámbito del derecho
privado: que las administraciones públicas, al menos las de la misma
naturaleza, tienen la misma personalidad jurídica, lo que convierte
en un exceso ling¸ístico que un ministerio ceda a otro un dato,
porque en ese caso no nos hemos salido de la misma personalidad
jurídica.
Por otra parte, habría que ser restrictivos en una serie de
cuestiones. En mis anteriores intervenciones apuntaba una idea: Los
tratamientos por cuenta de un tercero, realizados por particulares,
cuando el tercero son las administraciones públicas, debieran ser
contemplados restrictivamente por éstas y por la misma Agencia de
Protección de Datos.
Es más, las ciencias administrativas vienen buscando desde hace
tiempo distintas fórmulas para que las actuaciones sean lo más ágiles
y lo más eficaces posibles y el ciudadano no sea como un paciente que
es sometido a inyecciones cada quince minutos. En ese sentido, figura
en multitud de programas electorales la idea de que no se moleste al
ciudadano pidiéndole datos que ya están en poder de las
administraciones públicas, lo cual comporta la legitimidad de ciertas
cesiones, introducidas alguna vez de una manera más universal en
nuestro derecho, como la aportación de documentos que figuran en
ficheros de las administraciones públicas.
Estos temas, por el carácter de sensibles o de especialmente
protegidos que tienen los datos de salud, requieren una actuación
mucho más meticulosa por parte de las administraciones públicas y por
parte de la autoridad de control que existe en el derecho español,
que es la Agencia de Protección de Datos. Incluso habría que decir
que, desde el punto de vista del tratamiento que experimentan algunos
datos sanitarios, estamos ante una administración primaria,
instintiva o casi zoológica; no voy a emplear el término cateta,
porque tengo una gran consideración a las personas que habitan en los
pueblos. La administración reduce el problema de las historias
clínicas a un puro problema de almacenamiento. ¿Para qué sirven las
historias clínicas? A mí me gustaría que la administración sanitaria
fuera al menos tan consciente como yo, que soy un profano en esta
materia, de que las historias clínicas sirven para muchas más cosas
que para guardarlas en unos almacenes en los que se espera que la
polilla termine dando cuenta de ellas. Excepcionalmente, de vez en
cuando se piden a esos remotos almacenes, en poder de particulares,
tres o cuatro historias clínicas.
Las historias clínicas son extraordinariamente relevantes desde el
punto de vista del seguimiento de la eficacia de los medicamentos,
desde el punto de vista de la investigación de las relaciones
concomitantes que existen entre las características de determinadas
personas y el efecto que
sobre ellos producen determinados medicamentos y desde el punto de
vista de control sanitario.
No hay problemas de espacio en la era de los ordenadores. Resulta
ridículo que la polémica que existe se monte sobre la cuestión de que
la administración sanitaria en los hospitales no tiene el suficiente
número de metros cuadrados para guardar las historias clínicas. Como
estoy tratando de indicar desde el principio, las historias clínicas
sirven para algo más que para ser conservadas. Son como la propia
historia de la vida y del futuro, y no es concebible una
administración sanitaria moderna que no exprima, no saque todo su
jugo a esas historias clínicas que alguna persona lúcida en un
momento determinado decidió que valía la pena conservarlas. Desde el
punto de vista del grupo parlamentario al que represento, aunque no
estén presentes mis compañeros de otros territorios del Estado, debo
decir que nos gustaría que las historias clínicas fueran
informatizadas, conservadas dentro de los ordenadores, y así sería
extraordinariamente fácil que pudieran ser tratadas y sacar multitud
de consecuencias beneficiosas para la salud, tanto individual como
colectiva de los españoles.
Respecto a vista de las recetas, hay que decir que los colegios
profesionales -yo pertenezco a alguno de ellos también- no sólo
tienen una finalidad de carácter público, sino también privado.
Algunos son muy mercantiles. Durante mucho tiempo se ha considerado
que el tema de la distancia entre farmacias afectaba a centros
sanitarios y, por tanto, debían ser objeto de una contemplación
restrictiva y verdaderamente excepcional por el derecho;
restricciones que no se aplican, por ejemplo, a los bufetes de los
abogados ni a los estudios de los arquitectos, pero existía esa
consideración sanitaria. Algunos sostenían que simultáneamente era
muy importante la finalidad mercantil, no despreciable, no lo digo en
un sentido despectivo, que coexiste con lo anterior.
Entre estos criterios que estoy intentando defender, que debieran
aplicar las administraciones públicas, está no sólo el tema de la
contemplación restrictiva de los trabajos encargados a terceros, sino
también la transmisión de los datos nominales, que según la
legislación son de carácter personal. Si la Administración quisiera
estar más de acuerdo con la tónica de nuestro tiempo, la eficacia
igualmente se podría conseguir en multitud de casos sanitarios
mediante la disociación del contenido, por ejemplo, de las recetas
respecto del nombre y apellidos del que va a ser el destinatario de
sus efectos farmacológicos. Desde luego no puedo dar por válido el
argumento de que no hay dato personal, porque los mismos han sido
reconducidos a un código de barras, a la mención más o menos crítica
del CIF o del área sanitaria correspondiente.
Debo recordar que el artículo 3 de las dos leyes de protección de
datos que ha habido en nuestro país, al definir los términos,
considera como datos personales la información que hace a la persona
no sólo identificada sino también identificable. El número del carnet
de identidad, el número del CIF, el número del área sanitaria o
cualquier otro jeroglífico descifrable hace a la persona
identificable, por lo que estamos en el ámbito de lo que prohibe o
permite, según los casos, la Ley Orgánica de Protección de Datos.
Quiero apuntar un tercer tema y con esto voy a concluir, que es el de
los datos genéticos, que de vez en cuando aparecen en la polémica
periodística. Son de extraordinaria importancia, y como la técnica
susceptible de un doble uso: uno, adecuado y, otro, inadecuado.
De momento, el Grupo Parlamentario Socialista en esta comparecencia
lo que quiere hacer es una llamada de atención sobre la necesidad de
que la administración sea más cauta en el manejo de las recetas y de
los historiales clínicos, que estudien a fondo el tema de los datos
genéticos. Por último, mostrarnos nuestra insatisfacción por el
sistema de recetas implantado, más o menos totalmente, tanto en el
ámbito interno de Insalud como en el ámbito público, puesto que las
comunidades autónomas -que algunos tan recientemente han vituperado-
no siguen el mismo sistema que el Insalud, porque además se puso en
marcha un procedimiento sin la oportuna cobertura legal. Como
consecuencia de ello se dictó una orden ministerial que ha sido
modificada en dos ocasiones. Por tanto reprobamos , en la forma que
podemos hacerlo en esta sesión, los procedimientos que se están
siguiendo por el Insalud, tanto en materia de historiales clínicos,
como en materia de recetas.
El señor PRESIDENTE: ¿Grupos no solicitantes de la comparecencia que
desean manifestar su punto de vista? (Pausa.)
Tiene la palabra el señor Castellano.
El señor CASTELLANO CARDALLIAGUET: Con toda brevedad, porque nuestro
grupo puede exigir de la Agencia de Protección de Datos, que hoy
comparece a través de su digno director, aquello que la ley le
faculta, pero evidentemente no creemos que podamos exigir de la
Agencia que tenga capacidad para reformar las pautas de
comportamiento del resto de las administraciones. Como mucho podrá
tener una capacidad de sugerencia. En consecuencia, no nos queda más
que agradecer al director de la Agencia de Protección de Datos, en lo
que se refiere a estos últimos tres puntos del orden del día, que no
se haya dado cuenta de cuáles son las medidas que puede tomar y que
evidentemente no pueden tener un carácter previsor; tienen más bien,
como es lógico y natural un tratamiento a posteriori y una vez que se
haya descubierto cuál es el uso que se hace.
Acabo pura y simplemente, señor presidente, manifestando la
satisfacción que este diputado ha tenido, en nombre de Izquierda
Unida, de pertenecer a una Comisión Constitucional como ésta, tan
sabia y rectamente presidida por don Gabriel Cisneros. Agradezco
también al letrado que la asiste el conjunto de inmerecidas
deferencias de que por lo menos a mí me ha hecho objeto, así como a
todos y cada uno de los miembros de la Comisión Constitucional y
a sus portavoces la colaboración con la que han podido suplir las
indudables e inocultables deficiencias que han guiado la actitud de
esta parlamentario. Tengo que culminar, como es lógico y natural, no
faltaría más, deseándoles a ustedes, primero, que tengan unas felices
fiestas, que tengan un soberbio milenio y, a ser posible, lleguen
ustedes al año 3000 y, como dicen en tono coloquial, larga vida y
mejor fortuna. Si las listas de las respectivas organizaciones
no les han dado a ustedes la suficiente hospitalidad, cual sería
exigible por sus méritos, que se las dé a ustedes la del Servicio
Nacional de Loterías que sería mucho más productiva.
El señor PRESIDENTE: Muchísimas gracias, don Pablo. Pensaba dar
término a mi intervención con una referencia tan cumplida como S.S.
merece en torno a su indeseable abandono de las tareas
parlamentarias, desde luego de esta Comisión Constitucional, que se
ha honrado contándole entre su miembros y ha auxiliado a la
Presidencia con tanta eficacia como amistad en la rectoría de la Mesa
de esta Comisión. ¿El Grupo Parlamentario Popular va a fragmentar el
breve tiempo de que dispone con dos intervenciones? (Pausa.)
Don Cesar Villalón tiene la palabra.
El señor VILLALÓN RICO: Señor presidente, voy a intentar ser breve.
Quiero agradecer al director de la Agencia de Protección de Datos su
comparecencia y también alegrarme de que se hayan debatido estas tres
comparecencias, una que era de la cesión ilícita de datos personales
por parte de las administraciones públicas y las otras dos de lo que
podía ser el ámbito sanitario.
El director de la Agencia ha puesto de manifiesto lo que han sido
ciertas irregularidades por parte de las administraciones públicas,
tanto locales, como autonómicas e incluso de la Administración
central del Estado -ha hablado de centros penitenciarios y otros
datos- y ha puesto de manifiesto que la Agencia funciona conforme
está establecido en la ley y con el control que los ciudadanos
requerimos de la misma.
Me voy a remitir casi escuetamente a lo que ha sido un poco la
intervención del portavoz del Grupo Socialista sobre temas de datos
en el ámbito sanitario. La intervención que ha tenido el director de
la Agencia sobre el TAIR creo que ha quedado clara. Ha acudido a los
datos, a todo el estudio que se ha hecho. Me gustaría decir que estas
dos solicitudes de comparecencia sobre temas sanitarios y controlados
por la Agencia de Protección de Datos ya habían sido debatidas en
esta Cámara, tanto en la Comisión de Sanidad como en el Pleno del
Congreso, a través de varias interpelaciones, y en su momento por el
ministro de Sanidad y por los altos cargos del Ministerio ya se
dieron las respuestas oportunas. Como me da la sensación de que a la
hora de hablar del TAIR el director de la Agencia ha dado unos datos
que son una referencia explícita de cómo se han llevado a cabo por
parte del Insalud, que es un servicio de salud de una parte del
Sistema Nacional de Salud, tiene razón el señor Navarrete cuando
decía que no se hace en todos los sitios igual. Esa es la autonomía
de gestión que hace el Insalud y que otros servicios de salud no
consideran oportuno. Pero le tendría que hacer una matización, y es
que no hay posibilidad de utilizar los datos a través de este sistema
del TAIR, de la misma forma que a lo largo de muchos años no ha
habido la posibilidad de utilizar los datos con las clásicas recetas
de la Seguridad Social, donde figura el diagnóstico, el nombre del
paciente, el número de la Seguridad Social, y nadie se
había planteado hasta este momento que por esas recetas normales se
pudiera utilizar, que es lo que pasa en otros servicios de salud.
Dicho esto, que además, como ha dicho el señor Fernández, por parte
del Insalud ha habido una buena predisposición para seguir trabajando
en hipotéticas cuestiones que puedan afectar a lo que son los
derechos constitucionales de los ciudadanos españoles, a mí me parece
que hay que hacer una referencia explícita al último punto, que era a
solicitud del Grupo Mixto -el portavoz del Grupo Socialista también
ha hecho referencia a él-, que es el de las historias clínicas. Aquí
hay que decir dos cosas: si hay una preocupación, que podría ser por
parte del Grupo Socialista, por mantener los derechos
constitucionales que marca el artículo 18 de la Constitución,
nosotros somos los primeros y estaremos seguramente al mismo nivel
que el Grupo Socialista, no queremos ser ni más ni menos defensores
de los derechos constitucionales; pero si la preocupación es por la
custodia en sí misma de las historias clínicas, por si es una empresa
privada fuera de un ámbito público, como puede ser un centro
hospitalario, la intervención del señor Navarrete está algo
equivocada. Lo digo porque los datos que nosotros tenemos son de
algunas inspecciones que ha hecho la Agencia en relación con varios
hospitales que tienen estas historias clínicas en depósito a través
de empresas privadas, pero no son patrimonio de los hospitales del
territorio Insalud, en este caso de los hospitales más conocidos por
todos en Madrid, como puede ser el Doce de Octubre o el Ramón y
Cajal, sino que hay hospitales en Andalucía que hacen lo mismo; los
hospitales de Granada y Córdoba hacen lo mismo que estos hospitales.
¿Por qué? Entiendo que, aunque guiado de buena fe y de ese afán de
reservar los derechos constitucionales de los españoles, usted ha
cometido algunos errores, seguramente por un desconocimiento de lo
que es el ámbito sanitario. Las historias clínicas sirven para muchas
cosas. Pero ¿qué historias clínicas son las que están reservadas y se
archivan en alguna empresa privada, con la seguridad de la Agencia de
que hay confidencialidad de datos, según está establecido en el
contrato? Las que se llaman historias clínicas pasivas. ¿Qué quiere
decir eso? Que seguramente hace ya bastantes años los enfermos no han
ido a ese centro por muchas circunstancias, porque han fallecido,
porque en un momento dado acudieron a él y ya no han vuelto. La
relación puede ser diversa, esa es la gran mayoría, no todas, bien es
verdad.
Por otra parte, en todos los sitios se ha puesto eso de manifiesto.
Ya le ponía el ejemplo del hospital de Córdoba y el clínico de
Granada, que hacen lo mismo que en los hospitales del Insalud; dos
servicios de salud, el Insalud por un lado, que depende directamente
del Ministerio de Sanidad, y un servicio de salud, el SAS de
Andalucía, que hace lo mismo, que depende de un gobierno de una
comunidad autónoma de distinto color político. Por lo tanto, vea
usted lo que es la gestión en las historias clínicas.
Le voy a leer también lo que la junta técnico-asistencial del
hospital Doce de Octubre dice: Hay que mejorar el archivo de las
historias clínicas. Yfirman varios miembros de la junta técnico-
asistencial del hospital. Y el presidente de la comisión de historias
clínicas dice: Mejorar la situación
del archivo. Insistimos y deseamos que este proyecto se realice
lo antes posible, dada la vital importancia del archivo en el
funcionamiento del hospital. Incluso, esta comisión elabora un
documento donde dice cómo podrían archivarse estas historias
clínicas. Las historias clínicas se pueden archivar, como usted ha
dicho, a través de los sistemas modernos de los ordenadores, pero
también son unos documentos -porque hay historias clínicas desde hace
muchos años- difíciles de archivar. Imagínese usted los años que
lleva funcionando, por ejemplo, el hospital La Paz.
Aquí no hay un debate propiamente dicho de lo que es la preocupación
por los derechos constitucionales, el derecho de todos los españoles
a tener la confidencialidad de los datos; el debate se plantea sobre
si es una empresa privada o una empresa pública, en este caso un
centro hospitalario, quien archiva esos documentos. A mí me parece
que si se mantienen los controles que la Agencia de Datos establece,
los ciudadano podemos estar tranquilos. Todo aquellos objetivos para
los que se usan las historias clínicas, van a estar asegurados, no
sólo desde el punto de vista de los tratamientos, sino de la
investigación, de lo que pueden ser estudios epidemiológicos. Todos
esos temas están asegurados si las historias están bien archivadas y
bien ordenadas, cosa que en algunos hospitales es difícil porque no
tienen espacio material para hacerlo. Son algunas de las cuestiones
que había que puntualizar para tranquilidad del señor diputado y del
grupo al que representa.
El señor PRESIDENTE: ¿Algún comentario, señor director?
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Por mi parte, como también estaba entre las previsiones de mi
comparecencia que lo fuera para explicar el tema de las historias
clínicas, si quiere, brevemente lo explico, porque también ha sido
analizado por la Agencia de Protección de Datos.
El señor PRESIDENTE: Tiene tres minutos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Atendiendo iniciativas parlamentarias y noticias de los
medios de comunicación social y algunas denuncias, se ha examinado el
tema de las historias clínicas inspeccionando el hospital Doce de
Octubre, de Madrid; el hospital de Cabueñes, de Gijón; el hospital
provincial de Castellón; el hospital Clínico Universitario, de
Valencia; el hospital universitario, La Fe, de Valencia; el hospital
Nueve de Octubre, de Valencia, el hospital de Sagunto; el hospital
psiquiátrico provincial Padre Jofré, de Betera, el complejo
hospitalario provincial de Pontevedra y el Servicio gallego de
detección precoz de cáncer de mama. Excepto el hospital Clínico de
Valencia, el complejo hospitalario provincial de Pontevedra y el
Servicio gallego de detección precoz de cáncer de mama, las otras
inspecciones han quedado terminadas. Ello ha dado motivo a
resoluciones de archivo, por cuanto que las historias clínicas se
encuentran documentadas en soporte papel, sin que se produzca
tratamiento automatizado dedato alguno, por lo cual es ajeno a la
protección de la Lortad
en cuanto a la no existencia de datos informatizados. Las empresas
adjudicatarias de la gestión se limitan a establecer un sistema de
control de entradas y salidas de las historias clínicas. No manipulan
las historias clínicas y el tratamiento automatizado que realizan se
limita a la gestión de acceso y control de las historias, es decir,
nombre apellidos y números de la historia clínica, sin que traten
datos de salud . Esta actividad de estas empresas está totalmente
acorde. En los concursos públicos está así garantizada la
confidencialidad y es acorde con el artículo 27 de la Lortad. Por eso
los expedientes han sido archivados.
El señor PRESIDENTE: Muchas gracias, señor director.
Señora Uría, señor Navarrete, señor Villalón, señor López-Medel,
señor Vera, señor letrado, lo reducido del elenco de asistentes nos
permite despedirnos nominativamente de todos y cada uno de las
señoras y señores diputados
presentes en la sala. Ya don Pablo Castellano ha puesto un punto
de emoción en sus palabras de despedida, de suerte que a mí no me
cabe sino subrayarlas, poniendo de manifiesto que ha sido para esta
Presidencia un gran honor el poder presidir los trabajos de la
Comisión Constitucional a lo largo de esta legislatura que ya se
extingue. Deseo la mejor fortuna a todos ustedes. A los señores
funcionarios de la Cámara, al señor letrado y a los señores
taquígrafos que nos han asistido con su trabajo, quiero desearles muy
felices pascuas, y obviamente a los señores parlamentarios que
encuentren, como nos deseaba el señor Castellano, la más hospitalaria
acogida en las listas de nuestros respectivos partidos o, en su
defecto, que Dios reparta mañana suerte.
Muchas gracias y muy felices pascuas.
Se levanta la sesión.