Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 53, de 20/09/2000
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2000 VII Legislatura Núm. 53
CONSTITUCIONAL
PRESIDENCIADE LAEXCMA. SRA. D.a MARGARITA MARISCAL DE GANTE MIRÓN
Sesión núm. 4
celebrada el miércoles, 20 de septiembre de 2000
ORDEN DEL DÍA:
Comparecencia del señor director de la Agencia de Protección de Datos
(Fernández López) para informar sobre:
- La memoria de la Agencia de Protección de Datos correspondiente al
año 1999. A petición propia. (Número de expediente 212/000069.) . . .
(Página 1134)
- Contenido de la memoria correspondiente al año 1999. A solicitud
del Grupo Parlamentario Socialista. (Número de expediente 212/
000046.) . . . (Página 1134)
- Protección de la intimidad personal y familiar en relación con
Internet. A solicitud del Grupo Parlamentario Socialista. (Número de
expediente 212/000080.) . . . (Página 1155)
Se abre la sesión a las diez y cinco minutos de la mañana.
COMPARECENCIA DEL SEÑOR DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS
(FERNÁNDEZ LÓPEZ) PARA INFORMAR SOBRE:
- LA MEMORIA DE LA AGENCIA DE PROTECCIÓN DE DATOS CORRESPONDIENTE
ALAÑO 1999. A PETICIÓN PROPIA. (Número de expediente 212/000069)
- CONTENIDO DE LA MEMORIA CORRESPONDIENTE AL AÑO 1999. A SOLICITUD
DEL GRUPO PARLAMENTARIO SOCIALISTA. (Número de expediente 212/000046)
La señora PRESIDENTA: Buenos días.
Como SS.SS. conocen, el orden del día está conformado por las tres
comparecencias del director de la Agencia de Protección de Datos, dos
de ellas, una a petición propia y otra del Grupo Socialista, tienen
el mismo contenido, que es el informe sobre la memoria de la Agencia.
El desarrollo de la comparecencia en el día de hoy será, en primer
lugar, y para que exponga el resumen de la memoria, la exposición del
director de la Agencia de Protección de Datos, don Juan Manuel
Fernández López, a quien saludamos y agradecemos su presencia ante
esta Comisión. Ysin más, y si SS.SS. no tienen nada que objetar,
tiene la palabra el señor compareciente.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Muchas gracias, señora presidenta.
Como es habitual, el director de la Agencia de Protección de Datos
comparece ante esta Comisión del Congreso de los Diputados para
informar de la memoria que preceptivamente tiene que redactar
anualmente la Agencia dando cuenta de la labor desarrollada en el año
anterior, en este caso la correspondiente a 1999. La comparecencia se
realiza a petición propia y de uno de los grupos parlamentarios.
Quiero agradecer a la Mesa de la Comisión la celeridad con la que se
ha producido mi convocatoria, prácticamente al principio de la
legislatura, y aprovechar este momento para saludar a SS.SS. como
miembros de esta Comisión. Espero continuar con SS.SS. la misma
fluidez y cordialidad en la relación que tuve con los anteriores
miembros de la Comisión.
Como ya destaqué en anteriores comparecencias, el control
parlamentario es una importante garantía de la independencia y
sometimiento a la legalidad que ha de guiar todas las actuaciones de
la Agencia de Protección de Datos, sirviendo además para que el
director de la misma reciba de SS.SS. las sugerencias que, como
representantes de los ciudadanos, contribuirán, sin duda, a
fortalecer la garantía y protección en lo que concierne al
tratamiento de datos personales y las libertades públicas y derechos
fundamentales de las personas físicas y especialmente de su honor e
intimidad personal y familiar, empleando la terminología del artículo
1 de la vigente Ley orgánica de protección de datos.
La memoria les fue remitida el pasado mes de junio, dando
cumplimiento a la exigencia que establece el Estatuto de la Agencia.
Siguiendo su estructura, que viene condicionada por aquel estatuto,
comentaré los puntos más relevantes, quedando a disposición de SS.SS.
para las precisiones o aclaraciones que estimen pertinentes.
En primer lugar, he de referirme al Registro General de Protección de
Datos. Ante el mismo, por imperativo legal, se han de declarar todos
los ficheros informatizados de los que sean titulares tanto las
administraciones públicas como las entidades privadas. Su principal
finalidad es posibilitar a los ciudadanos el conocer al titular del
fichero y su domicilio a efectos de ejercitar sus derechos de acceso,
rectificación o cancelación. Como saben SS.SS., a partir del año 2007
también estarán bajo la competencia de la Agencia aquellos ficheros
que no se traten informatizadamente, toda vez que el legislador
español ha hecho uso de la prerrogativa que en este aspecto otorga la
directiva y ha diferido a tal fecha el establecer competencias de la
Agencia sobre este tipo de ficheros.
A lo largo de 1999, las solicitudes recibidas en el registro general
se han visto incrementadas en más del 50 por 100 respecto de las del
año anterior. No obstante, la gestión de todo tipo de movimientos
referentes a la inscripción de ficheros ha seguido siendo
significativamente fluida, ya que el tiempo medio de respuesta desde
que la notificación tiene entrada hasta que se emite la
correspondiente resolución de inscripción no ha superado los siete
días. Sin embargo, la evolución de solicitudes de inscripción lleva
una tendencia fuertemente creciente durante el presente año, ya que
en los siete primeros meses del año 2000 se han recibido más del
cuádruple de solicitudes que en el mismo período del año anterior.
Dentro de las actividades propias del registro, durante el año 1999
se ha tramitado, a instancias de los responsables de ficheros, la
inscripción de 5.201 nuevos ficheros, se han modificado 2.753
inscripciones y se han suprimido 1.479, lo que supone un total de
9.433 operaciones. Una de las causas a las que puede imputarse el
crecimiento de solicitudes de inscripción ha sido la aprobación por
el Real Decreto 994/1999, de 14 de junio, del reglamento de medidas
de seguridad. Somos, señorías, el primer país de la Unión Europea que
ha dictado un reglamento de medidas de seguridad en materia de
protección de datos. Este reglamento prevé una exigencia escalonada
de los tres niveles de medidas de seguridad que el mismo establece,
disponiendo
que las medidas de nivel básico, es decir, aquellas exigibles a todo
fichero que contiene datos, entraran en exigencia el 26 de diciembre
de 1999, luego prorrogada al 26 de marzo de 2000. Ello ha supuesto un
auténtico colapso en la Agencia de Protección de Datos en el último
mes del año, debiendo recurrir a medidas extraordinarias y
contratando por ello servicios externos, aunque prestados en la
propia sede de la Agencia, para dar respuesta al imprevisible aumento
de la declaración de ficheros.
A pesar de que el reglamento de medidas de seguridad no exige ninguna
declaración inmediata complementaria de la que ya se hubiese
realizado, de lo que informó la Agencia entre otros medios a través
de su página web en Internet, la exigencia de implantación de medidas
de seguridad ha tenido el efecto beneficioso de que se conociera la
obligación derivada de la ley de declaración de los ficheros ante la
Agencia, con el efecto inducido de acumulación de solicitudes que
antes mencioné.
Por otra parte, la entrada en vigor de la Ley Orgánica 15/1999, de
protección de datos de carácter personal, ha exigido la adecuación
del registro a las nuevas previsiones legales. A lo largo de este año
1999, se ha realizado el estudio y desarrollo de los sistemas de
información necesarios para implantar aquéllas. Esta situación ha
dado lugar a la aprobación de la resolución de la Agencia de
Protección de Datos, de 30 de mayo de 2000, por la que se aprueban
los modelos normalizados en soporte papel, magnético y telemático a
través de los que deberán efectuarse las solicitudes de inscripción
en el Registro General de Protección de Datos. Asimismo, se ha
desarrollado el proyecto que está permitiendo en la actualidad
instrumentalizar la notificación de ficheros para su inscripción en
el registro a través de Internet.
Otro aspecto importante que afecta al registro es la publicación del
catálogo de ficheros. La Ley 15/1999 dispone en su artículo 14, como
ya lo hiciera la vieja Lortad, el derecho de consulta al Registro
General de Protección de Datos. Entre las funciones de la Agencia se
encuentra la de velar por la publicidad de la existencia de los
ficheros automatizados, a cuyo efecto se publica periódicamente una
relación de dichos ficheros. El objetivo de este catálogo es dar
publicidad a la existencia de los ficheros, siendo fundamental
conocer la dirección ante la que el ciudadano pueda ejercitar los
derechos de acceso, rectificación y cancelación de sus datos
personales que la ley le reconoce. Para cumplir el precepto de dar
publicidad a la existencia de ficheros se ha mantenido con una
actualización mensual el catálogo de ficheros en la web de la
Agencia, lo que permite completar las publicaciones que se vienen
realizando, tanto en formato papel como en CD-ROM, de forma que los
ciudadanos puedan, por este medio, conocer la situación de los
ficheros con una actualización mensual.
La publicación en Internet se incluye como una opción más dentro de
la web institucional de la Agencia, donde se puede encontrar, en
primer lugar, información de carácter general. También se facilitan
las instrucciones necesarias para inscribir nuevos ficheros en el
registro, pudiendo obtenerse el modelo normalizado de inscripción,
tanto de ficheros de titularidad pública como de titularidad privada,
y el catálogo de ficheros propiamente dicho. Descargando los
formularios o un programa de la página web de la Agencia de
Protección de Datos, se facilita el cumplimiento de estas
notificaciones por un medio rápido y eficaz.
También debo hacer mención a los ficheros con transferencias
internacionales. Salvo los países que proporcionan un nivel de
protección equiparable al que presta la ley española para transferir
datos a terceros países es necesario solicitar la preceptiva
autorización de transferencia internacional al director de la Agencia
de Protección de Datos, según detallaré posteriormente. Dada la
relevancia que han adquirido los movimientos internacionales de datos
por diversos motivos, como puede ser la centralización de recursos de
las empresas para su tratamiento de forma globalizada, los nuevos
sistemas de información de la comunicación, las nuevas formas de
mercado, los nuevos sistemas de gestión integrada de las compañías y
otros factores similares, se ha producido un aumento de los ficheros
privados que declaran transferencias internacionales de datos. El
total de ficheros inscritos en el registro a fecha 31 de diciembre de
1999 que contienen en su declaración transferencias internacionales
es de 1.081, de los cuales 53 corresponden a inscripciones de
titularidad pública y 1.028 a titularidad privada.
Entre los supuestos legales en los que se amparan las declaraciones
de los ficheros inscritos con transferencias internacionales de datos
destacan las transferencias amparadas en la norma general del
movimiento internacional de datos cuando se efectúan con destino a
países con nivel de protección equiparable al español. El número de
ficheros privados declarados en el registro amparados en este
supuesto legal es de 923. A continuación, con 53 inscripciones, se
encuentran los ficheros que declaran transferencias dinerarias
conforme a la legislación específica, casi todos ellos pertenecientes
a entidades financieras que realizan transferencias amparadas en la
legislación en materia dineraria, normalmente adheridos al sistema
internacional de intercambio de datos bancarios. Los ficheros que
realizan la transferencia de datos a otros países, con objeto de
intercambiar datos de carácter médico, cuando así lo exija el
tratamiento del afectado o una investigación epidemiológica,
ascienden a 24. En cuanto a los ficheros de titularidad pública, en
la mayoría de los casos se trata de transferencias internacionales
con destino a países de igual nivel de protección. Los amparados en
tratados o convenios se declaran en los ficheros de las
administraciones tributarias y Seguridad Social, en virtud
de lo dispuesto en los convenios internacionales de asistencia mutua
en estas materias y en ficheros de los Cuerpos y Fuerzas de Seguridad
con fines de investigación concreta, amparado en convenios
internacionales como los de Interpol, Schengen o Europol.
Conforme a la ley española, a la hora de efectuar una transferencia
internacional de datos, hay que solicitar autorización del director
de la Agencia de Protección de Datos. Durante el año 1999 se ha
producido un aumento en el número de solicitudes de autorización de
transferencias internacionales, lo que ha supuesto un incremento del
25,8 por 100 respecto del año anterior. Así, en 1999 se han tramitado
39 expedientes, encontrándose resueltos todos, autorizándose de ellos
37 y archivándose dos por desistimiento. Todas las autorizaciones
tienen como destino Estados Unidos de Norteamérica, excepto dos, cuyo
destino ha sido Filipinas y Marruecos. Las autorizaciones de
transferencias internacionales están amparadas en el consentimiento
informado de los afectados, a excepción de cuatro expedientes que
están amparados en una solución contractual y a los que se exigen
determinadas garantías.
Otra función importante de la Agencia de Protección de Datos es la
inscripción de códigos tipo o deontológicos. El artículo 32 de la Ley
Orgánica 15/1999, de protección de datos de carácter personal, prevé,
como ya lo hacía la Lortad, la posibilidad de formar códigos tipo
a los responsables de los ficheros, a través de acuerdos sectoriales o
mediante decisiones de empresas o convenios administrativos. Estos
códigos tienen el carácter de códigos deontológicos o de buena
práctica profesional y deben ser depositados en el registro general
de protección de datos, donde se procederá a su inscripción, siempre
que se ajusten a las disposiciones legales y reglamentarias sobre la
materia o se denegará en caso contrario. En este último supuesto,
previamente, los solicitantes son requeridos para que efectúen las
correcciones necesarias. Durante el año 1999 se ha inscrito el código
ético de publicidad en Internet por la asociación de autocontrol de
la publicidad. Este código tiene por objeto cubrir el vacío que sobre
conductas publicitarias en general existe en el entorno de Internet,
estableciendo unas normas mínimas sobre la publicidad en Internet,
partiendo del principio de control en origen, que son adoptadas de
forma voluntaria por los sectores integrados en la asociación de
autocontrol de la publicidad. Al establecer el principio de control
en origen se siguen las recomendaciones que las instituciones
comunitarias europeas propugnan en el libro verde sobre la
comunicación comercial y se asegura la efectividad a la hora de
establecer los mecanismos que aseguren el cumplimiento del código. En
el ámbito deontológico, este código tiene vocación de
complementariedad con el establecido por la Federación española de
comercio electrónico y marketing directo, del que trataré
posteriormente.
Otro módulo de la Agencia de Protección de Datos lo constituye la
Secretaría General. Las principales actividades realizadas por la
misma durante 1999 han ido dirigidas a posibilitar el funcionamiento
de la Agencia en sus aspectos materiales, técnicos y de recursos
humanos, así como el área de atención al ciudadano. El incremento de
actividades de la Agencia exige un aumento continuado de recursos
humanos y en el año 1999 se ha concretado, al finalizar el mismo, con
una plantilla total de 62 funcionarios. El mismo problema se plantea
respecto a la sede de la Agencia, a la que se ha tratado de dar una
solución mediante la firma de un contrato de arrendamiento con opción
de compra de un edificio de casi 3.000 metros cuadrados en la calle
de Sagasta, toda vez que en diciembre de este año nos vence el
contrato de arrendamiento de las plantas que tenemos alquiladas en
Castellana 41, los costes del arrendamiento son muy altos y, además,
tampoco nos posibilitaban el volumen de metros de crecimiento que nos
eran necesarios.
En el ejercicio de sus competencias, con el fin de lograr un mejor
conocimiento de la ley y para tratar en profundidad temas de la mayor
actualidad e interés, la Agencia de Protección de Datos ha organizado
unas jornadas sobre privacidad, contratación electrónica e Internet,
en colaboración con el centro regional de Extremadura de la
Universidad Nacional de Educación a Distancia, que tuvieron lugar en
Mérida los días 1 y 2 de julio de 1999. En el año 2000 se han
celebrado, en colaboración con la universidad pública de Navarra,
otras jornadas sobre protección de la privacidad, en este caso en el
aspecto de las telecomunicaciones y también de Internet. De igual
forma, con la finalidad de extender el conocimiento de la Ley de
protección de datos y las funciones de la Agencia, se han
multiplicado los foros en los que la Agencia de Protección de Datos
ha participado, y estos han sido en multitud de cursos y seminarios,
tanto sobre aspectos generales como específicos y novedosos, tales
como los relativos a Internet, firma electrónica, comercio
electrónico. Personalmente he intervenido en el pasado año en más de
30 jornadas, cursos y seminarios sobre estas materias.
Se ha convocado, en 1999, la tercera edición del premio protección de
datos personales, con una dotación de un millón de pesetas y un
accésit dotado con 250.000 pesetas, con la finalidad de profundizar
en el estudio del desarrollo del artículo 18.4 de nuestra
Constitución. El jurado establecido en las bases de la convocatoria
otorgó el premio a la obra Protección de los datos de carácter
personal relativos a la salud, presentada por la doctora en medicina
doña Carmen Sánchez Carazo y el licenciado en derecho don Juan María
Sánchez Carazo. De la referida obra, la Agencia ha realizado una
edición de 1.000 ejemplares para su entrega y difusión institucional.
Se concedió el accésit a la obra titulada El derecho a la
autodeterminación informativa, marco constitucional y europeo, de la
que es autora
doña Juana Marí Cardona, profesora de la universidad de Barcelona. En
el año 2000 se ha convocado la cuarta edición de este premio y,
además, un premio de periodismo en materia de protección de datos.
El área de atención del ciudadano desarrolla, dentro de la Agencia,
la función de atención personalizada a todos aquellos ciudadanos que,
o bien acudiendo directamente a las dependencias de la Agencia o a
través de teléfono o de correo ordinario o electrónico, solicitan
información sobre la protección de sus datos personales. A lo largo
de 1999 se han contestado alrededor de 15.000 consultas. De ellas,
11.500 han sido telefónicas, 1.150 presenciales y 1.739 por escrito.
Con respecto a 1998, se observa que se han incrementado en un 20 por
100 las consultas escritas. Por lo que se refiere al año 2000, se
constata un creciente aumento de las consultas, tanto las efectuadas
por escrito como presenciales o telefónicas, que pueden suponer a
final del año un incremento aproximado del 54 por 100.
Con el fin de lograr una mayor difusión de la existencia y funciones
de la Agencia, así como de la legislación en materia de protección de
datos, en general, y de los derechos de los ciudadanos, en
particular, se ha editado una página web de la Agencia de Protección
de Datos. El número de ciudadanos que han accedido a dicha página
durante 1999, en cómputo global, fue el de un total de 506.362
accesos, lo que supone un incremento del 43 por 100 respecto al
número de accesos del año anterior.
De conformidad con lo establecido en el artículo 36, h), de la Lortad
y en el artículo 5 del Estatuto, corresponde a la Agencia informar
con carácter preceptivo los proyectos de disposiciones generales que
desarrollen la ley orgánica. A lo largo de 1999, se ha sometido al
parecer de la Agencia de Protección de Datos un total de 35
disposiciones, lo que supone un incremento del 59 por 100 respecto
a 1998. Entre las disposiciones informadas por la Agencia, deben
destacarse las siguientes: la propuesta de reforma con rango de ley
para la actualización de la regulación de la Central de Información
de Riesgos del Banco de España -Cirbe-, el anteproyecto de la ley de
creación de la Agencia Catalana de Protección de Datos y el
anteproyecto de ley sobre firma electrónica, aprobado posteriormente
por el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma
electrónica.
Trataré a continuación los problemas planteados con las consultas
efectuadas por los responsables de ficheros. La Agencia ha venido
resolviendo desde su creación un importante número de cuestiones de
mayor complejidad jurídica planteadas por las personas o entidades
públicas o privadas que ostentan la condición de responsables de
ficheros o por sus representantes legales o empresas que prestan a
aquéllas asesoramiento en materias relacionadas con la informática y
el derecho. Esta actividad ha experimentado un incremento a lo largo
de 1999, año en el que se ha pasado de la elaboración de 221 informes
a 370, con un aumento de casi
el 68 por 100. El volumen de consultas provenientes de los sectores
públicos y privados es sustancialmente similar -55 por 100 de
privados, frente al 45 por 100 de públicos-, siendo destacables por
su importancia numérica las planteadas por los ayuntamientos -27 por
100-, dentro del sector público, y por los empresarios mercantiles
-39 por 100-, dentro del sector privado. Es de reseñar el volumen de
cuestiones planteadas por el sector financiero, aparte de las
relacionadas con servicios de solvencia patrimonial y crédito, y el
incremento de las cuestiones planteadas por las empresas del sector
de las telecomunicaciones, respecto de las cuales se ha acentuado la
actividad de la Agencia de Protección de Datos durante 1999, tal y
como se expone en la memoria.
Atendiendo, por otra parte, al origen geográfico de las consultas
planteadas, debe indicarse que la práctica totalidad de las mismas
-363- fueron planteadas por entidades u organismos nacionales o
residentes en territorio nacional, mientras que sólo siete de ellas
lo fueron por no residentes en España o extranjeras.
En cuanto a las materias objeto de consulta, debe destacarse la
cesión de datos de carácter personal -en especial, los relacionados
con la cesión de datos del Padrón Municipal y cesión de datos
sensibles o especialmente protegidos, en terminología de la Lortad- y
las consultas planteadas como consecuencia de la entrada en vigor del
Reglamento de medidas de seguridad: las relacionadas con los ficheros
de la Hacienda pública y el tratamiento de datos por cuenta de
terceros con la aparición cada día más habitual de la figura del
encargado del tratamiento.
Me corresponde también exponer a continuación, señorías, las
actividades realizadas en el año 1999 en el ámbito de la inspección
de datos. A estas alturas de mi exposición, y con el fin de no
cansarles excesivamente, trataré de sintetizar las tareas realizadas
por la Agencia en dos de sus más importantes funciones para el
efectivo cumplimiento de la ley: la función inspectora o
investigadora y la función instructora de los expedientes
sancionadores y procedimientos de tutela de derechos.
En el ámbito de la función inspectora, se iniciaron 292 inspecciones
durante 1999, a las que hay que añadir 23 actuaciones de información
previa con el fin de determinar con carácter preliminar si concurrían
circunstancias que justificaran la iniciación de procedimientos
y actuaciones inspectoras. Además, se han realizado diversos planes
sectoriales de inspección, a los que luego me referiré más
concretamente, a fin de comprobar el grado de adecuación de los
ficheros de administraciones públicas y de titularidad privada a las
prescripciones de la legalidad sobre protección de datos de carácter
personal. Con este objeto se han iniciado y terminado durante 1999
las inspecciones de oficio realizadas a la Agencia Estatal de
Administración Tributaria, a la Dirección General de Tráfico, al
sector de Atención Primaria, al Hospital Psiquiátrico de Foncalent,
al Hospital Militar Central Gómez Ulla y al Centro Nacional de
Epidemiología, ésta última iniciada en 1998. El director de la
Agencia ha dictado las correspondiente recomendaciones dirigidas al
sector de prestación de servicios de información, sobre solvencia
patrimonial y crédito, y al sector de las compañías aseguradoras,
cuyas inspecciones de oficio tuvieron lugar a lo largo de los
ejercicios de 1998 y 1999 y de las que informé en mi anterior
comparecencia.
Uno de los últimos planes sectoriales ha sido el relativo al campo de
las telecomunicaciones. Durante el pasado ejercicio se ha
inspeccionado a los principales operadores de telefonía fija
-Telefónica de España, Retevisión, Lince Telecomunicaciones Uni2 y
Euskaltel- de cara a conocer no sólo el grado de adecuación a la Ley
orgánica de protección de datos, sino también al Real Decreto 1736/
1998, que desarrolla la Ley general de telecomunicaciones y que ha
traspuesto a nuestro derecho interno la Directiva 97/66 CE.
En cuanto a la función instructora, voy a resaltar que, de las tres
clases de procedimiento que incoa la Agencia, 131 corresponden a
procedimientos sancionadores iniciados frente a responsables de
ficheros de titularidad privada, 24 a procedimientos sancionadores
iniciados frente a responsables de ficheros de titularidad pública, y
167 a procedimientos iniciados por tutela de derechos. La novedad
introducida por la Ley 4/1999, de 13 de enero, del restablecimiento
del recurso de reposición ha supuesto que durante el año 1999 se
hayan presentado y resuelto por primera vez 65 recursos de esta
clase, de los que 61 han sido desestimado y cuatro estimados.
Como consecuencia de los expedientes sancionadores incoados frente a
los responsables de ficheros de titularidad privada se han impuesto
sanciones por importe de 1.571 millones de pesetas. Lo digo sólo a
efectos informativos y estadísticos, dado que no es un dato del que
me sienta especialmente orgulloso; como he repetido en diversos
foros, el funcionamiento de la Agencia de Protección de Datos habrá
alcanzado su cenit precisamente el día en que la cuantía de las
sanciones sea insignificante, ya que ello supondrá no sólo que la
Agencia ha cumplido con la función encomendada por la ley -velar por
su cumplimiento- sino también que los ciudadanos, empresas y
entidades de derecho público han tomado conciencia de la importancia
de respetar el derecho a la intimidad de las personas físicas
consagrado como derecho fundamental por nuestra Ley de leyes.
Entrando más pormenorizadamente en el análisis de la actividad de la
Agencia por sectores, paso a detallar los aspectos más relevantes que
se han puesto de manifiesto en el curso de las inspecciones
realizadas en los distintos sectores de actividad pública y privada.
En el campo de los ficheros de titularidad pública cabe destacar la
inspección de oficio realizada a la Agencia Estatal de Administración
Tributaria, a la que ya se había
inspeccionado en otras ocasiones como consecuencia de denuncias
planteadas por los ciudadanos, y a la Dirección General de Tráfico,
administraciones ambas que disponen de ficheros automatizados de tal
volumen y riqueza de contenido que incluyen datos de carácter
personal, de ámbito nacional, con información concerniente a millones
de españoles.
No obstante, teniendo en cuenta que las actuaciones inspectoras a los
citados organismos finalizaron en diciembre de 1999, cuando la nueva
Ley Orgánica 15/1999, de protección de datos, ya había sido publicada
y prevista su entrada en vigor para el 14 de enero de 2000, como
director de la Agencia decidí aplazar el dictado de las
recomendaciones a fin de que las mismas fueran acordes con la nueva
ley, permitiendo así a dichos organismos una mejor adecuación de los
tratamientos automatizados que realizan a los nuevos principios
establecidos por la normativa vigente en materia de protección de
datos.
Por otra parte, entre las resoluciones dictadas, como director de la
Agencia, en virtud de denuncias de los ciudadanos referentes a
ficheros de titularidad pública, merecen especial mención las
siguientes: la relativa a una cesión de datos realizada, vía fax, por
la Dirección General de Instituciones Penitenciarias a una entidad
privada dedicada a la creación de ficheros de altos cargos,
resultando sancionado el organismo público por infracción del
artículo 11 de la Lortad, por cesión de datos; la que efectuó la
Agencia Estatal de Administración Tributaria por haber facilitado a
terceras personas un certificado sobre la declaración del IRPF de un
contribuyente sin el consentimiento del afectado y sin la
acreditación de su personalidad ante el responsable del fichero, lo
que supuso una infracción del artículo 10 de la ley, por vulneración
del deber de secreto. En el campo de los Cuerpos y Fuerzas de
Seguridad del Estado, se dictó una resolución de archivo en la
inspección realizada a la Jefatura Superior de Policía de Sevilla por
mantener unas fichas de filiación en las que se recogían datos de
raza, color de piel y otras características físicas de los
sospechosos. En este caso, las actuaciones fueron archivadas,
atendiendo a que el tratamiento realizado en las fichas era manual y
estaban, por tanto, fuera del ámbito de la Lortad y que, en todo
caso, la información se recababa en el ámbito de una investigación
concreta y, por tanto, amparada en el artículo 20 de la ley. También
se iniciaron actuaciones inspectoras para verificar si los
ayuntamientos de Arganda del Rey y Alcobendas habían procedido a
cumplimentar unas fichas de filiación de personas que incluían datos
antropomórficos, datos relativos a la vida sexual, origen racial y
salud, todos ellos especialmente protegidos de acuerdo con el
artículo 7 de la Lortad.
En el caso del Ayuntamiento de Arganda del Rey las actuaciones se
archivaron, ya que las fichas de filiación estaban sin rellenar y
además no se encontraban indicios
de su posible automatización, resultando por ello no ser aplicable la
Ley de protección de datos. En el seno del Ayuntamiento de Alcobendas
se inició procedimiento de infracción de administraciones públicas al
comprobarse que la policía local mantenía un fichero automatizado de
personas de interés policial en el que se recogían datos
especialmente protegidos sin contar con el consentimiento de los
afectados y sin cumplir lo señalado en el artículo 20 de la ley
orgánica, es decir, lo relativo a los ficheros policiales y al
tratamiento de datos sensibles sólo en el supuesto de investigaciones
concretas. Hay que resaltar que en este caso se había adoptado
inicialmente una medida cautelar, consistente en que ese Ayuntamiento
cesara de manera inmediata en la utilización ilícita de los datos
personales de carácter antropomórfico, de raza, vida sexual y salud,
que se recogían en el fichero en cuestión. Tras comprobarse en una
inspección posterior que, aun habiéndose ordenado la adopción de esta
medida cautelar los datos en cuestión seguían permaneciendo en el
fichero, como director de la Agencia acordé la inmovilización del
mismo. En la resolución final del procedimiento se acordó elevar a
definitiva la medida cautelar adoptada, así como ordenar la
destrucción de los datos especialmente protegidos que se incluían en
aquel fichero.
Otro tema a considerar es el que afecta a los ficheros de las
comunidades autónomas. Dentro de los procedimientos no informados en
anteriores comparecencias mías, merecen destacarse los siguientes. El
Departamento de Economía y Hacienda del Gobierno navarro facilitó a
determinadas entidades, con las que previamente había suscrito un
convenio de colaboración, un CD-ROM conteniendo datos identificativos
y económicos de los contribuyentes navarros para facilitar la
confección de la declaración del IRPF. El sistema permitía el acceso
a los datos tributarios de los clientes de las entidades financieras
sin el consentimiento previo de los afectados. De ello se dedujo que
el departamento de Economía y Hacienda había infringido lo dispuesto
en el artículo 11 de la Lortad, lo que supone una infracción
tipificada como muy grave por la ley. Bueno es decir que
inmediatamente estas deficiencias fueron corregidas voluntariamente
por el responsable del fichero. El Servicio Canario de la Salud, a
pesar de los requerimientos de la Agencia de Protección de Datos, no
procedió a notificar los ficheros automatizados que contuvieran datos
de carácter personal y cuya titularidad les corresponde. Por ello, el
director de la Agencia resuelve declarar la infracción del artículo
18 de la Lortad, tipificada como leve en esta ley.
El número de procedimientos de infracciones de administraciones
públicas por vulneración de la ley orgánica incoados a integrantes de
la Administración local durante 1999 fue nueve, de ellos seis se
debieron a infracción del artículo 18 de la ley orgánica por no
atender la obligación de inscripción, en otras dos ocasiones por
cesión de datos a terceros y sólo en un caso,
en el caso del Ayuntamiento de Motril, se archivó el procedimiento al
no quedar acreditado los hechos denunciados.
En el campo de la sanidad pública ya avancé al comienzo de mi
exposición que, como continuación del plan de oficio de inspección a
hospitales en 1999, se han inspeccionado los hospitales militar Gómez
Ulla y psiquiátrico penitenciario de Foncalent, de Alicante.
Asimismo, durante este año han realizado dos inspecciones de oficio,
iniciadas en 1998, al Registro Nacional del SIDA y al denominado
proyecto TAIR, terminal autónomo de identificación de recetas,
implantado en centros de salud de atención primaria del Insalud, del
que ya informé en mi anterior comparecencia. Igualmente, de acuerdo
con el compromiso de someter al criterio de la Agencia de Protección
de Datos los sucesivos desarrollos del proyecto TAIR, a lo largo del
presente año el Insalud presentó para su análisis nuevas aplicaciones
del proyecto que, tras su examen por la Agencia, merecieron diversas
observaciones que fueron recogidas por aquel organismo.
De las actuaciones de investigación y comprobación realizadas por la
inspección de datos de esta Agencia en el ámbito sanitario se
obtuvieron una serie de conclusiones que dieron lugar a que a
principios del año 2000 se dictaran por la Agencia las oportunas
recomendaciones de las que se dará información en la memoria
correspondiente a dicho ejercicio. No obstante, sí quiero resaltar a
SS.SS. que la Agencia de Protección de Datos tiene una especial
sensibilidad en el tratamiento de datos especialmente protegidos,
como son los relativos a la salud, y de ahí la preocupación y
seguimiento constante que se hace de los mismos por la Agencia.
Entrando ahora en el área de los ficheros de titularidad privada, las
inspecciones realizadas y consecuentes expedientes incoados han sido
muy diversos y afectan a varios sectores de actividad. Destacaré tan
sólo los más significativos. En el caso de los colegios
profesionales, durante 1999 se han recibido en la Agencia nueve
escritos donde se pone de manifiesto la posible utilización irregular
de los datos de profesionales colegiados y la comunicación o cesión
de datos a colegios, consejos de colegios profesionales y otras
entidades. Agrupando las reclamaciones por sectores, se observa que
la mayor parte se han referido al sector médico. Dos denuncias se
refieren a los colegios de abogados de Madrid y de Vigo, y otra
reclamación concierne a los consejos de colegios profesionales de
médicos y de arquitectos.
Respecto a la tipología de las reclamaciones formuladas, cabe
destacar que la mayor parte de ellas denuncian la cesión de datos de
los colegios profesionales a sus respectivos consejos. Sin embargo,
la interdependencia existente entre ambos tipos de instituciones,
según los diversos estatutos, justifican la relación jurídica
existente entre ellos y, por tanto, la comunicación
de datos. Por el contrario, cuando se han efectuado cesiones a
entidades privadas sin el consentimiento del afectado, se han dictado
las correspondientes resoluciones sancionadoras.
Quiero adelantarles que, dada la doble personalidad, jurídico-pública
y jurídico-privada, que ostentan los colegios profesionales, se les
permite ser titulares de ficheros tanto públicos como privados, con
la consiguiente dificultad en muchos casos de su diferenciación. Por
ello, en el año 2000, la Agencia de Protección de Datos ha suscrito
un protocolo con la Unión Profesional, de la que dependen todos los
consejos superiores de colegios profesionales, al objeto de facilitar
a los colegios, por sus cauces institucionales, el conocimiento
y cumplimiento de la Ley de protección de datos.
Otro sector importante es el de los ficheros de prestación de
servicios de información sobre solvencia patrimonial y crédito. En
este campo, las principales infracciones sancionadas fueron
consecuencia de: falta de notificación a los afectados respecto de
los que se han registrado datos personales en este tipo de ficheros
en los términos establecidos en el artículo 28.1 de la Lortad; la
conculcación del principio de calidad de datos establecido en el
artículo 4 de dicha ley; la vulneración del principio del
consentimiento del afectado en el tratamiento automatizado de sus
datos personales, regulado por el artículo 6 de la misma; la cesión
no legítima de datos entre entidades, conculcando los principios
establecidos en el artículo 11 de la ley. Alo largo de 1998, la
Agencia de Protección de Datos llevó a cabo un plan de inspección, de
oficio sobre este tipo de ficheros. El alcance, criterios de la
inspección, objetivos y resultados de la ejecución del plan de
inspección fueron descritos en la memoria correspondiente a dicho año
y en 1999, como colofón de las actuaciones derivadas del plan de
inspección, se dictaron una serie de recomendaciones dirigidas a las
empresas del sector responsables de ficheros de prestación de
servicios sobre solvencia patrimonial y crédito, como ya adelanté
a esta Comisión en mi anterior comparecencia.
Al igual que en años anteriores, el sector de la publicidad y del
marketing también ha recibido denuncias por parte de los ciudadanos.
El envío postal de publicidad y el marketing son sectores que
tradicionalmente se denuncian ante la Agencia. Las principales
resoluciones sancionadoras han sido por cesión de datos sin
consentimiento y por tratamiento de datos personales sin contar con
el consentimiento del afectado. Es de destacar, en lo que se refiere
a este sector, que la nueva Ley orgánica de protección de datos de
carácter personal mejora la protección de los ciudadanos al exigir
que en cada comunicación que se dirija al interesado se le informe
del origen de los datos y de la entidad responsable del tratamiento,
así como de los derechos que le asisten. Estas exigencias no estaban
en la Lortad, lo que hacía que, muchas veces, el ciudadano tuviera
que recurrir de una empresa a otra, que le remitía a otra
anterior, que a su vez había recibido los datos de otra. Ahora, en
cada comunicación habrá que comunicar el origen de los datos; en
definitiva, dónde se obtuvieron esos datos por primera vez. De esta
forma, el ciudadano podrá ejercitar con mucha más facilidad, si así
lo desea, el derecho de cancelación o rectificación de los mismos.
En el año 1999, la Agencia de Protección de Datos inició un plan de
oficio, con el objeto de analizar los ficheros automatizados y la
información manejada por las entidades del sector de la investigación
privada, por los detectives privados, cuya actividad está regulada en
la Ley 23/1992, de 30 de julio, de Seguridad Privada, y en el Real
Decreto 2364/1994, por el que se aprobó el Reglamento de Seguridad
Privada. De las investigaciones y comprobaciones realizadas sobre los
ficheros inspeccionados no se han detectado irregularidades
significativas. La mayor parte de su actividad afecta a personas
jurídicas, por lo que quedan fuera del ámbito de aplicación de la
Lortad, y en cuanto a los datos de personas físicas, en las
inspecciones realizadas no se han constatado cesiones de datos
inconsentidas, siendo el propio cliente que encarga la investigación
el único destinatario de sus resultados, cumpliendo los detectives
privados con la obligación de guardar el secreto que les impone la
legislación vigente. Por tanto, a tenor de los resultados de la
inspección, que finalizó a finales de año, y al margen de las
obligaciones que a los detectives privados impone su normativa
específica, el Director de la Agencia, a principios del año 2000,
emitió unas recomendaciones que deberán ser observadas por estas
entidades del sector de la investigación privada al objeto de adecuar
sus tratamientos automatizados a los principios normativos de la Ley
de protección de datos.
Para terminar con este apartado relativo a los planes sectoriales,
voy a concretar los aspectos más relevantes de las inspecciones
realizadas en el sector de las telecomunicaciones. La normativa sobre
protección de datos se complementa en este sector por la Directiva
97/66CE, relativa al tratamiento de datos personales y a la
protección de la intimidad en el sector de las telecomunicaciones,
que ha sido incorporada a nuestro ordenamiento jurídico por la Ley
11/1998, General de Telecomunicaciones y el título V del Real Decreto
1736/1998, de 21 de julio.
Las actuaciones de la Agencia durante 1999 en el sector de las
telecomunicaciones se han desarrollado en un doble plano de
actividad: planes sectoriales de inspección de oficio y atención a
las denuncias de los ciudadanos que se han presentado sobre esta
materia. Las más significativas actuaciones de la Agencia en uno y
otro orden de actividad han sido las siguientes. En el ámbito de los
planes sectoriales de inspecciones de oficio realizadas en el sector,
se han inspeccionado los principales operadores de telefonía fija,
como ya cité al comienzo de esta comparecencia. Dentro de
estas inspecciones merecen destacarse tres actuaciones diferentes: la
primera, se refiere a la forma de prestación del consentimiento de
los abonados para que los datos personales puedan ser tratados por
los operadores; la segunda actuación se concreta en el análisis
sectorial del Real Decreto 1736/1998 y el grado con que los
operadores se adecuan a sus prescripciones, y la tercera actuación
afecta a los denominados procedimientos de scoring. Voy a referirme a
ellos brevemente.
En la inspección realizada a uno de los principales operadores se ha
podido constatar un tratamiento masivo de datos que afectaba a dos
colectivos de abonados: el primero, formado por los abonados que no
habían dado su consentimiento para que sus datos personales fueran
tratados por operadores de telefonía o a los que ni siquiera se les
había dado la posibilidad de prestar su consentimiento para dicho
tratamiento y el segundo, integrado por los abonados a los que les
fue solicitado por el operador el consentimiento para tratar sus
datos, pero mediante una fórmula no considerada válida por la Agencia
de Protección de Datos al no cumplir las exigencias de la Lortad y de
la legislación especial. Respecto del primer colectivo, y como
resultado de la mencionada inspección, se constató que el operador
disponía de un fichero automatizado de data warehouse cuyo objetivo
era el tratamiento automatizado de los datos de tráfico y facturación
telefónica con fines comerciales propios. El sistema recogía, grababa
y almacenaba también los datos de detalle de todos los abonados,
manteniendo al día el detalle de varios millones de llamadas diarias
durante varias semanas, así como prácticamente la facturación del
último año, y todo ello referido a la totalidad de sus abonados que
ascienden a varios millones. Igualmente, el data warehouse permitía
obtener información sobre el nombre, apellidos y domicilio, tanto de
los titulares que realizaban la llamada como de los titulares del
teléfono que recibe la llamada. Como saben SS.SS., para realizar la
facturación las compañías telefónicas tienen que mantener durante un
tiempo los datos de aquellos teléfonos a los que llamamos, pero en
ningún caso es necesario para esta función conocer los números de
teléfonos de aquellas personas que nos llaman, pero estos también se
incluían en el tratamiento. La misma situación se producía respecto
de los datos personales de tráfico y facturación telefónica de los
abonados que habían adquirido tal condición con posterioridad al mes
de enero de 1999, fecha en la que el operador remitió un encarte
solicitando el consentimiento de los afectados, por no haberse
requerido su consentimiento para haberlo llevado a cabo. Todo ello ha
supuesto la incoación al citado operador de un procedimiento
sancionador por infracción del artículo 6 de la Ley Orgánica 5/1992,
por tratamiento automatizado de datos de carácter personal sin
consentimiento de los afectados y por incumplimiento de los preceptos
de protección de datos que imponen las disposiciones reglamentarias
de desarrollo.
Dentro de este procedimiento sancionador y mediante acuerdo del
director de la Agencia de Protección de Datos, se adoptó la medida
cautelar consistente en que por parte del operador se cesase de
manera inmediata en el tratamiento automatizado de estos datos. Dicha
medida cautelar fue cumplida por el operador, que procedió a borrar
todos los datos de carácter personal de data warehouse, borrado que
afectó a la totalidad de sus abonados y que impidió que el sistema se
volviera a cargar con nuevos datos. Este procedimiento terminó con
una resolución de la Agencia, confirmatoria de los hechos imputados,
que sancionó al operador en los términos arriba expuestos con una
multa de 50 millones de pesetas.
Respecto del segundo colectivo mencionado y dentro de la citada
inspección, se investigó el procedimiento utilizado por el operador
para recabar el consentimiento para tratar datos de tráfico
telefónico de sus abonados. Considerando que la carta remitida a los
abonados para recabar el consentimiento no reunía las exigencias
normativas, se hizo necesario que la operadora de telefonía remitiera
una nueva carta. Respecto a este punto debo señalar que la Directiva
97/66 no distingue, en su artículo 6, sobre la forma de prestar el
consentimiento para tratar datos de facturación del abonado. El
legislador español ha admitido expresamente en el artículo 65 del
Reglamento el consentimiento tácito del afectado para que los
operadores puedan tratar sus datos de tráfico y facturación para la
promoción comercial de sus propios servicios de telecomunicaciones.
Aquí no están habilitadas cesiones a terceros ni a ninguna empresa
del grupo. Por ello, la segunda carta recibida por los abonados debe
considerarse que es conforme con las exigencias del artículo 65.3,
antes señalado, porque efectivamente opta por el sistema de la
obtención del consentimiento tácito. En efecto, en ella se requiere
el consentimiento para tratar automatizadamente los datos personales,
se informa de que el consentimiento solicitado, facultativo y no
obligatorio, es para ofrecer servicios de telecomunicaciones de la
empresa Telefónica, no de terceras compañías, así como de la norma
que habilita para obtener el consentimiento tácito, y se incluye la
referencia expresa a la posibilidad de ejercitar los derechos de
acceso, rectificación y cancelación, y el lugar del responsable del
fichero ante el que pueden ejercitarse esos derechos. De otro lado,
el destinatario de la carta puede conocer los datos de tráfico y
facturación objeto de tratamiento, en la medida en que consta en la
factura que se le envía periódicamente por la compañía. De ahí que
aconsejáramos que esta petición de consentimiento se acompañara a la
factura para que el ciudadano, a la vista de la misma, supiera de
verdad qué datos suyos estaba consintiendo que se trataran.
En lo que se refiere al procedimiento a través del cual el operador
solicita el consentimiento, la norma no contiene previsiones
específicas que obliguen a garantizar
la efectividad de la recepción por los destinatarios. Se tratará, en
su caso, de un problema de prueba cuya carga deberá ser soportada por
el operador que afirma contar con el consentimiento del abonado. En
consecuencia, en tanto no se produzca una modificación normativa del
artículo 65.3 del Real Decreto 1736, de 1998, deberá considerarse que
la carta remitida se adecua a las exigencias disponiendo el abonado
de la opción de manifestar su consentimiento contrario de los datos,
así como de revocarlo posteriormente.
Otro de los aspectos analizados durante las inspecciones sectoriales
de oficio y que aún se encontraba en fase de tramitación a finales
del ejercicio ha sido dirigido específicamente a comprobar el grado
de adecuación de estos operadores a las prescripciones del Real
Decreto citado 1736, de 1998, relativas a la prestación de servicios
avanzados de telecomunicaciones, encontrándose determinadas
deficiencias relativas a la seguridad, datos que deben constar en las
guías telefónicas para identificar a un abonado concreto, llamadas
telefónicas con fines de venta directa y servicio de prestación
y limitación de identificador de línea llamante y línea conectada,
entre otros más importantes. Para corregir estas deficiencias, en el
año 2000 se dictaron las oportunas recomendaciones de las que se dará
cuenta en la memoria de dicho ejercicio.
Cabe destacar también las inspecciones sectoriales practicadas en
relación con los denominados procedimientos de scoring. Estos
procedimientos consisten, en esencia, en que un operador facilita a
otra entidad especializada una información sobre solvencia
patrimonial y crédito en relación de sus propios o potenciales
clientes, la cual es posteriormente devuelta por ésta pero ampliada
con una clasificación con información sobre la aptitud crediticia de
cada uno de esos clientes, lo cual sirve al operador para rechazar o
no la solicitud del servicio realizada por el potencial cliente. Esta
operación de scoring puede suponer una cesión inconsentida de datos
personales a efectos de la Ley española de protección de datos, razón
por la que se han abierto dos procedimientos sancionadores a otros
tantos operadores y que han concluido en el año 2000 con una
resolución sancionadora por cesión de datos sin consentimiento.
Pensemos, señorías, que todas estas nuevas técnicas de marketing son
un paso más en la invasión a nuestra intimidad. Si nosotros damos el
consentimiento para recibir una determinada publicidad o para que nos
oferten unos determinados servicios, ello no supone que mediante unos
tratamientos sofisticados puedan conocer nuestros hábitos de consumo,
incluso nuestras capacidades de decisión en diversos ámbitos. A mi
modo de ver, son sistemas peligrosos ante los que tendremos que estar
vigilantes porque son un paso más dentro de nuestra intimidad.
Por último, dentro del sector de las telecomunicaciones me referiré
al alto porcentaje de denuncias relacionadas con el uso de datos
personales de abonados a los
servicios de telecomunicaciones. Las más significativas afectan a las
siguientes materias. Se han recibido denuncias que hacen referencia a
la difusión de datos personales de un importante operador de
telefonía realizada a través del enlace Internet con el nombre de
«páginas blancas on line», que permitía a cualquier usuario conocer
el nombre completo, número de teléfono y domicilio y al que se
adjuntaba un plano a través del cual se puede ubicar el emplazamiento
exacto de la calle donde está el domicilio del abonado. Este servicio
que ofrece el operador, según consideran los denunciantes, vulnera la
legislación de protección de datos al incluir en el tratamiento datos
que no son adecuados ni pertinentes y sí excesivos para la celeridad
legítima de dicho tratamiento, que no es otra que la de facilitar el
número telefónico de un abonado para realizar una comunicación
telefónica, siempre que figure en la guía su nombre y dirección.
Lógicamente, esta información no podrá proporcionarse respecto de
aquellos ciudadanos que ejerciten el derecho de exclusión de su
domicilio en la guía telefónica. Las actuaciones previas relacionadas
con este tipo de denuncia han concluido con resolución de archivo,
por entender la Agencia de Protección de Datos que la mera
posibilidad de poder consultar la localización geográfica del
domicilio de los abonados no supone una ampliación de los datos de
acceso público de dichos abonados, dado que en la consulta
simplemente aparece el plano de situación con el nombre de la calle y
la ubicación del número del inmueble al que corresponde. Los planos
de una localidad no suponen en sí mismos una invasión de la intimidad
de las personas físicas que en ella residen, máxime cuando los
ciudadanos tienen derecho a excluir su domicilio en las guías
telefónicas y en cuyo caso no se facilita ni aquel domicilio ni el
plano donde se ubica. En todo caso, a la hora de dictar esta
resolución se tuvieron en consideración por la Agencia las
recomendaciones del grupo internacional de protección de datos en
materia de telecomunicaciones, en las que se considera como una
violación de la intimidad el acceso a la imagen digitalizada de los
edificios, pero no a un simple plano callejero de guía urbana que no
da mayor tipo de información.
También se han denunciado ante la Agencia aspectos relacionados con
la búsqueda inversa en directorios, esto es, obtener identificación
y/o dirección de una persona a través de su número telefónico, de su
fax o de su correo electrónico. La existencia de este tipo de
servicios representa una amenaza para la privacidad. La finalidad de
un repertorio con búsqueda inversa es diferente de la de un
repertorio tradicional de abonado, y si bien el recurso de los
directores inversos puede servir a intereses legítimos en los casos
especiales de emergencia o de seguridad pública, el proporcionar los
datos de un usuario a partir de su número telefónico sin disponer del
consentimiento del usuario constituye, a nuestro juicio, un
tratamiento desleal de la información. En
virtud de las denuncias recibidas y por estar los operadores que
proporcionan esta información en el extranjero, concretamente en
Bélgica, la Agencia se ha dirigido a la autoridad de control de este
país al amparo de lo establecido en el artículo 28.6 de la Directiva
para que informe sobre si el tratamiento de datos denunciados se
adecua a las previsiones de la ley belga y, en su caso, actúe. Este
sistema, que en principio puede parecer inofensivo, tiene en
definitiva graves consecuencias. Como ustedes saben, señorías, en
nuestro Estado de derecho sólo pueden interceptarse las
comunicaciones por una orden judicial. Si el juez da la orden para
interceptar una comunicación, se intercepta ese número pero no los
números que llaman a él. A través de esa interceptación se conocerán
los números que llaman y se podrá proceder al margen del control
judicial a realizar prácticas que pudieran ser ilegales con esos
números llamantes. De ahí que este tipo de búsquedas inversas que
pueden ser útiles con los debidos controles no pueden nunca ser de
acceso público, a criterio de la Agencia de Protección de Datos. Este
tema, por otra parte, ya lo he puesto en conocimiento de las
autoridades de control de la Unión Europea dentro del grupo del
artículo 29 de la directiva que nos obliga a todas las autoridades de
control a reunirnos periódicamente para tratar temas de armonización,
a fin de que se tome una postura común en un tema tan delicado.
En el ámbito internacional -y con esta última faceta de la Agencia
termino la exposición de la memoria-, destacan las siguientes
actuaciones de la Agencia. En primer lugar, los trabajos llevados a
cabo por el grupo del artículo 29, que ha sido creado como un grupo
de trabajo sobre protección de datos de las personas en lo que
respecta al tratamiento de datos personales. Este grupo es un foro
común de debate de las autoridades de control nacionales que permite
la armonización de la actuación e iniciativas desarrolladas en cada
Estado miembro. Además, el grupo del artículo 29 tiene la obligación
de facilitar a la Comisión, al Parlamento Europeo y al Consejo un
informe anual sobre el estado de protección de las personas físicas
con respecto al tratamiento de sus datos personales en la comunidad y
en terceros países. La Agencia española forma parte de este grupo y
participa activamente en los diversos debates y trabajos
preparatorios de los distintos documentos elaborados por el mismo.
Como fruto de este trabajo en el ejercicio de las competencias
atribuidas por la directiva, el grupo de trabajo ha elaborado durante
1999 más de trece documentos. Los grandes asuntos que han ocupado la
atención del grupo del artículo 29 han sido el análisis de proceso de
trasposición de la Directiva 95/46 a la legislación nacional de los
Estados miembros, la adecuación o no del nivel de protección de datos
en terceros países, las negociaciones entre la Comisión Europea y el
Gobierno de los Estados Unidos de Norteamérica en relación con los
llamados principios de puerto seguro, el estudio de diversos códigos
tipo sectoriales, las propuestas de cláusulas contractuales tipo
confeccionadas por diversas organizaciones al objeto de garantizar
los principios de protección de datos en las transferencias
internacionales a países que no gozan de igual nivel de protección y
la aplicación de los principios de protección de datos en Internet,
aspecto este que abordaré luego al intervenir en una petición de
comparecencia expresa sobre el tema.
Por lo que respecta a la trasposición de la directiva, en cada una de
las reuniones de trabajo se ha efectuado un seguimiento, estando
previsto dirigir en los primeros meses del año 2000 una recomendación
instando a los Estados que aún no han traspuesto la directiva a
cumplir con su obligación. Como resumen de la situación en este
campo, a finales de 1999, los trabajos de trasposición no habían
concluido en Dinamarca, Alemania, Francia, Irlanda, Luxemburgo y
Países Bajos, lo que ha motivado la apertura de un procedimiento de
infracción a estos Estados por parte de la Comisión en el año 2000.
En lo que respecta al análisis de adecuación de terceros países, a lo
largo de 1999 se han aprobado sendos dictámenes favorables a la
consideración de Suiza y Hungría como Estados que conceden un nivel
de protección adecuado. Asimismo, durante 1999 se ha iniciado el
análisis del régimen existente en otros terceros Estados como
Eslovaquia, Eslovenia y Polonia y los territorios extracomunitarios
británicos de las islas de Man, Guernsey y Jersey. No obstante lo
señalado anteriormente, la mayor parte de los esfuerzos realizados
por el grupo durante 1999 se han centrado en el análisis de un nivel
adecuado de protección de datos en los Estados Unidos de
Norteamérica. Frente al estudio de otros Estados en los que el punto
de partida para el análisis de las cuestiones ha sido el estudio de
una legislación de protección de datos aplicables en todo el
territorio del Estado, la protección de la intimidad y de los datos
en Estados Unidos se enmarca en un complejo entramado de regulación
sectorial, tanto a nivel federal como estatal, que se combina con la
autorregulación industrial. En este sentido, el grupo de trabajo ha
considerado que este conjunto de leyes sectoriales, muy segmentadas
y de autorregulación voluntaria, no son suficiente para proporcionar
protección adecuada en todos los casos a los que los datos personales
se transfieren desde la Unión Europea. A fin de superar los problemas
derivados de esta dispersión normativa, el departamento de Comercio
de los Estados Unidos presentó como documento para la discusión entre
las autoridades norteamericanas y la Unión Europea un borrador de
principios de puerto seguro, complementado posteriormente con una
lista de preguntas más frecuentes, FAQ, a fin de garantizar a los
operadores que se adhirieran a los mismos una protección de
adecuación al nivel similar con el que dota la directiva comunitaria,
permitiéndose así la libre transferencia internacional de datos a
dichos operadores. Para ello los operadores
deberían manifestar ante la Oficina federal de Comercio u otra
entidad por ella designada su adhesión a estos principios y su
compromiso de llevarlos a la práctica, adoptando para ello las
medidas adecuadas. Reiteradamente, a lo largo de los dictámenes
emitidos por el grupo de trabajo del artículo 29 se ha puesto de
manifiesto la dificultad en la comprensión de los principios como
consecuencia de la aparición de las FAQ, que en muchos casos
excepcionan el régimen general contenido en aquellos principios;
también la ausencia de un mecanismo ágil y adecuado para satisfacer
los posibles perjuicios causados a los ciudadanos europeos por el
incumplimiento de los principios; la inexistencia de mecanismos que
aseguren en la práctica el cumplimiento de los principios,
garantizando la imposición de sanciones a las entidades adheridas que
los incumplan; la falta de mecanismos previstos para evitar que una
vez producida la transferencia a Estados Unidos los datos sigan
protegidos adecuadamente, siendo posible que los mismos sean cedidos
a otras terceras entidades en cualquier otro lugar del mundo; la
imposibilidad de conocimiento por parte de los nacionales de los
Estados miembros de la Unión Europea y de las propias autoridades de
control de las empresas adheridas al puerto seguro y de las medidas
adoptadas en caso de incumplimiento; la falta de adecuación de
algunos de los principios con los criterios derivados de las
directrices de la OCDE y, aún en mayor medida, de las normas europeas
de protección de datos y la falta de mecanismos de verificación por
parte de las autoridades federales de los Estados Unidos, a fin de
comprobar el cumplimiento de los principios por parte de las empresas
adheridas. Todos estos mecanismos se reemplazan por un sistema de
autoverificación.
Ante estos hechos, y tras conocer la noticia publicada en diversos
medios de comunicación el 15 de marzo de 2000 en que había aparecido
en los medios de comunicación la existencia de un principio de
acuerdo entre la Comisión y el Gobierno de los Estados Unidos sobre
los principios de puerto seguro sin que se hubiera producido la
posibilidad de que el grupo del artículo 29 realizara un análisis
final de los mismos, en la reunión del 16 de marzo de 2000 se adoptó
por unanimidad un documento de la Agencia española instando al comité
representativo de los gobiernos de los Estados miembros que habían de
dar su conformidad definitiva al texto a que, con carácter previo a
dicha decisión, se sometiera el documento final de puerto seguro en
su integridad para nueva deliberación por el grupo de trabajo del
artículo 29, dado que el mismo tendría una importancia vinculante
sobre las autoridades de control europeas. Además, el documento
recordaba que el Parlamento Europeo en su reunión de 23 de febrero de
2000 había solicitado conocer la opinión del grupo de trabajo con
carácter previo a la discusión y aprobación de su dictamen. Como
consecuencia de lo que se ha venido exponiendo, en el último dictamen
aprobado
en el año 1999 el grupo de trabajo del artículo 29 consideró que los
acuerdos de puerto seguro propuestos, tal como quedaban en la versión
existente y en diciembre de 1999, continuaban siendo insatisfactorios
y se invitaba a la Comisión a que instase a la parte estadounidense
a realizar una mejora de los mismos. En particular, los principios de
puerto seguro no pasan de ser unos códigos de buena conducta
enunciados mediante un conjunto de normas genéricas a las que se
añade un grado aún mayor de indefinición con las FAC o preguntas más
frecuentes, que además son inconcretas y generales. Si a ello unimos
que toda la aplicación del código está basada en mecanismos de
autorregulación del sector privado, que las autoridades
gubernamentales norteamericanas, a través de una gran dispersión de
organismos y competencias, sólo puedan entrar a juzgar sobre la
existencia de infracciones cuando el tipo infractor se puede
encuadrar en lo que según la legislación estadounidense genéricamente
se conocen como prácticas comerciales engañosas o desleales, y para
finalizar no existen cauces claros y adecuados para que los
ciudadanos europeos puedan ejercer sus derechos de acceso,
rectificación, oposición y cancelación con las garantías adecuados;
si se tienen en cuenta todas estas cuestiones, de ahí la crítica y la
oposición que mantenemos a los principios de este acuerdo. Las
negociaciones relativas a los principios de puerto seguro continuaron
a lo largo del año 2000, y a partir del dictamen final del grupo de
trabajo en el que se hace notar que seguía preocupado por diversos
aspectos, y a pesar también de que el dictamen emitido por el
Parlamento Europeo era contrario a estos principios, la realidad,
señorías, es que por una decisión de la Comisión, publicada el 25 de
agosto en el DOCE, se han aprobado los principios de puerto seguro. A
pesar de esta desfavorable situación para la protección de los datos
con destino a Norteamérica, la Agencia de Protección de Datos, dentro
de las competencias que la ley le atribuye, seguirá controlando que
con carácter previo a cualquier transferencia los datos sean tratados
en origen con las garantías que establece la ley española y, por
tanto, con respeto de los principios de cesión, de finalidad,
etcétera.
Otro foro importante donde participa también la Agencia es en el
Consejo de Europa. En el año 1981 se firmó, como saben SS.SS., el
Convenio 108 para la protección de los individuos en relación con el
tratamiento automatizado de datos; convenio ratificado por nuestro
país en 1984. Durante estos años, el Comité Jurídico de Protección de
Datos, el CJPD, no sólo ha creado una serie de recomendaciones sino
que también ha publicado estudios sobre temas específicos en el
ámbito de protección de datos. La Agencia española participa en este
comité colaborando activamente en los diversos debates y trabajos.
Durante 1999 el comité concluyó los trabajos relacionados con las
recomendaciones sobre vida privada en Internet, adoptando
definitivamente
una recomendación, la R/99/5, para protección del individuo en lo que
respecta a la recogida y tratamiento de datos de carácter personal en
las autopistas de la información, que fue aprobada por el Comité de
Ministros en su reunión de 23 de febrero de 1999, de las que les daré
luego cuenta más detallada.
Otro foro en el que estamos presentes es indudablemente Schengen,
donde la Agencia española ha continuado participando como autoridad
de control. En este aspecto podemos decirles, resumiendo mucho, que
se ha inspeccionado la unidad de apoyo técnico, el SIS, donde están
todos los datos policiales que transmiten los distintos policías de
los países miembros de Schengen, y que esta inspección se ha llevado
a cabo fundamentalmente en base a un programa realizado por
ingenieros de la Agencia de Protección de Datos española. También
estamos presentes en Europol, tanto en la autoridad de control común
como en el comité de recursos, en donde se establece la posibilidad
de que los ciudadanos europeos, en el caso de que existan
infracciones por parte de la autoridad común, recurran a un comité de
recursos. Ambos se han constituido y han empezado a funcionar este
año. También es fruto de nuestra atención y de nuestra actividad el
grupo de telecomunicaciones conocido por grupo Berlín, donde se han
producido diversos documentos de importancia sobre este sector. Debo
también hacer mención al grupo de trabajo sobre ficheros policiales
de los comisionados europeos para la protección de datos, en el que
se integrarán los del convenio SIA y los convenios Eurodac, relativo
al almacenamiento de huellas dactilares sobre los solicitantes de
asilo en los Estados miembros de la Unión Europea. Y, finalmente,
debo referirles nuestra participación en la conferencia de primavera
de autoridades europeas de protección de datos, celebrada en Helsinki
del 14 al 16 de abril, donde la Agencia de Protección de Datos
presentó tres ponencias, además de participar en los debates de las
restantes.
Por lo que respecta a la conferencia internacional, en la que se
reúnen no sólo las autoridades de control europeo sino de otros
países ajenos a la Unión que tienen autoridad de control, este año se
celebró en 1999 en Hong Kong. Tengo que decirles que si bien asistió
una delegación de la Agencia española, personalmente no fui porque
pocos meses antes se había producido la anulación por parte del
Partido Comunista chino de las sentencias dictadas por el Tribunal
Supremo de Hong Kong, con lo que a mi modo de ver se quebraba el
principio de un país dos sistemas y se sustituía desgraciadamente por
el de un país un sistema, y no parecía adecuado participar en aquel
foro con un sistema donde se estaban violando los derechos humanos,
porque sin garantía judicial no pueden existir derechos humanos. Esta
actitud mía fue seguida también por algunos comisionados europeos
como el de Luxemburgo y el de Alemania.
He tratado, señorías, de sintetizar las actividades de la Agencia,
pero como ven son bastante amplias, sobre todo si tenemos en cuenta
que se refieren a un año y a aspectos tanto nacionales como
internacionales. No obstante, quedo a su disposición para cualquier
aclaración o cuestión que quieran formularme.
La señora PRESIDENTA: ¿Grupos que desean intervenir, aparte del Grupo
Parlamentario Socialista, que evidentemente al ser el solicitante de
la comparecencia será el primero? (Pausa.)
Por el Grupo Parlamentario Socialista tiene la palabra la señora Del
Campo.
La señora DEL CAMPO CASASÚS: Ante todo quiero, en nombre de mi grupo,
agradecer al señor Fernández López su primera comparecencia de esta
legislatura en esta Comisión para presentar la memoria de la Agencia
de Protección de Datos y agradecerle, asimismo, el carácter
exhaustivo de su exposición.
Ciertamente, esta es una memoria de transición en el sentido de que
corresponde a un año, 1999, sobre el que ya planea la nueva Ley
Orgánica 15/1999, que entró en vigor en enero de 2000. Pero a pesar
de este carácter de transición, sí hay aspectos importantes sobre los
que a mi grupo le gustaría hacer algunas observaciones y, aunque
pueda parecer mentira a los miembros de esta Comisión, todavía nos
queda alguna aclaración que solicitar a lo expuesto por el señor
Fernández López. Trataré de seguir en lo posible el orden que el
director de la Agencia de Protección de Datos ha seguido en su
exposición, aunque no me será tan fácil. Por ello, empezando por el
principio, aunque no sea lo más importante, he de decir que nos ha
preocupado hasta cierto punto el aumento del tiempo medio de
respuesta desde que una notificación tiene entrada en la Agencia
hasta que se emite la resolución de inscripción; en 1998, si no
recuerdo mal, eran tres días y en 1999 son siete. Es cierto que
todavía no es en absoluto preocupante esta cantidad de tiempo y
también lo es que ha habido un gran aumento de solicitudes de
inscripción, de un 50 por 100 más en 1999 y he creído entender que se
han cuadruplicado en el año 2000. Sin embargo, querríamos instar a la
Agencia a extremar la vigilancia para que este aumento de cantidades
no redunde en una disminución de una eficiencia que hasta ahora es
loable pero que poco a poco se va deteriorando.
También nos gustaría plantear alguna cuestión y solicitar alguna
aclaración relativa a la inscripción de ficheros públicos. Figura en
la memoria de 1999 la existencia de reuniones por parte de la Agencia
con una serie de representantes de distintas administraciones
públicas para determinar sobre todo qué sistemas informáticos, con
datos personales, todavía no han sido inscritos. Nos gustaría conocer
el resultado de estas reuniones en el paso siguiente, es decir, en la
consiguiente inscripción de los ficheros por parte de las
administraciones
públicas, porque resulta hasta cierto punto preocupante la ausencia
de inscripción sobre todo por parte de la administración local. Hemos
observado que todavía hay bastantes ayuntamientos, creo que 92 de más
de 4.000 habitantes, que no han formalizado inscripción alguna de sus
ficheros en el registro. Quisiéramos saber si a lo largo del 2000
esta inscripción ha ido aumentando y si han dado resultado aquellas
actividades que se realizaron en 1999.
También tendría curiosidad este grupo por alguna mayor aclaración en
cuanto a las transferencias internacionales de datos de carácter
contractual. En 1998, según figura en la memoria del año pasado, hubo
una sola transferencia de este carácter, precisamente la
transferencia de Readers Digest. Expuso su señoría las condiciones
en que se efectuó esta transferencia, condiciones que ciertamente
fueron muy rigurosas y absolutamente garantistas. Nos gustaría saber
si en las tres transferencias correspondientes al año 1999 se ha
mantenido igual rigor de condiciones e igual nivel de garantías.
Otro aspecto que preocupa a mi grupo y que quisiera comentar de algún
modo es el mal funcionamiento o las disfunciones en la aplicación de
la protección de datos por parte de las administraciones públicas. En
la memoria figuran algunos casos de sanciones a administraciones
públicas. Concretamente ha mencionado su señoría las sanciones al
departamento de Economía y Hacienda del Gobierno navarro por cesión
de datos personales, la sanción al Servicio canario de Salud y,
aunque no ha sido mencionada hoy pero sí ha sido abundantemente
comentada a lo largo del año 1999, la cesión por parte de la
Consejería de Bienestar Social de la Generalitat valenciana de datos
de pensionistas destinados a la convocatoria de la famosa fiesta de
la tercera edad. Aún sin llegar a producirse sanciones, la verdad es
que hay ámbitos de la administración pública en que parece que la
memoria refleja una cierta deficiente seguridad en los datos o al
menos un constante caminar por la línea de la peligrosidad en la
protección de los datos. No sólo la Agencia Tributaria o la Dirección
General de Tráfico, también instituciones del ámbito sanitario, las
inspecciones a que ha hecho referencia S.S. al Hospital Gómez Ulla,
al Psiquiátrico Penitenciario de Alicante y al Centro Nacional de
Epidemiología o los avatares del famoso proyecto de terminal autónomo
de identificación de recetas, tanto desde el ámbito del Insalud como
desde el farmacéutico, revelan una cierta situación fluctuante de la
seguridad que la propia memoria de la Agencia de Protección de Datos
refleja al establecer la necesidad de recomendaciones a todos estos
organismos para una mejor protección de los datos personales. Dado
que estas recomendaciones en la memoria se difieren al año 2000,
quisiéramos tener alguna información sobre si se han llevado ya a
cabo, y otra nueva información. Sabemos que el peligro en que pueda
encontrarse la seguridad de los datos no es sólo un problema de
formación y capacidad
de los funcionarios. Hemos denunciado en otras ocasiones
matices políticos en él y no los vamos a denunciar ahora. Pero la
capacidad y la formación de los funcionarios es un elemento
importante para la protección de los datos personales. Por ello, dado
que el señor Fernández López, el año pasado, anunció su intención de
organizar jornadas de formación de funcionarios de las distintas
administraciones en la Ley de protección de datos, quisiéramos saber
si estas jornadas de formación se han podido llevar a cabo y cuál ha
sido su resultado, todo ello teniendo en cuenta que con la plantilla
de 62 personas, que me parece recordar que usted ha dicho que tiene,
es una tarea difícil de acometer y larga de culminar en el tiempo.
Posiblemente, una necesidad de la Agencia de Protección de Datos que
mi grupo desea resaltar en este momento es la de la ampliación de esa
plantilla y mejorar su situación personal para llevar a cabo su labor
con más eficiencia.
Por otra parte, señorías, no voy a hacer aquí mención de los
problemas de los ficheros privados. Sabemos que hay problemas serios
en los ficheros que se refieren a la capacidad de crédito, problemas
en los ficheros que promueven el marketing y problemas con Internet,
pero como después hay una comparecencia que se centrará en el sector
privado y fundamentalmente en Internet tampoco quiero alargar
demasiado en este trámite la lista de preguntas del Grupo Socialista.
Sí me gustaría hacer alguna referencia a la atención al ciudadano en
sus reclamaciones o en sus solicitudes de información con relación a
los ficheros de la Administración pública. Sabemos que van aumentando
las denuncias de los ciudadanos, además con una frecuencia casi
vertiginosa, con relación al sector privado y también al sector
público. Ahora bien, con estas denuncias de vulneración de la
intimidad por parte de las administraciones públicas, desde mi grupo
creemos, señor Fernández López, que es posible que muchas de ellas se
desvíen o no entren directamente en la Agencia de Protección de Datos
sino en una institución más conocida y, por decirlo así, entre
comillas, más popular, como es la del Defensor del Pueblo.
Quisiéramos saber si existen criterios de comunicación sistemática y
de coordinación con la institución del Defensor del Pueblo para hacer
frente a estas denuncias y ubicarlas con mayor rapidez en su lugar
natural, que es la Agencia de Protección de Datos.
Por último, señorías, yo decía al principio que esta es una memoria
de transición. La Ley Orgánica 15/1999 entró en vigor el pasado 14 de
enero, lleva ocho meses funcionando y parece que esta solicitud de
información y de aclaraciones no sería completa y no estaríamos al
día si no pidiéramos algún avance sobre su funcionamiento. En su
última comparecencia ante esta Comisión decía que la aplicación de la
ley no iba a estar exenta de dificultades y argumentaba una serie de
motivos: la carencia de la exposición de motivos, el haber
introducidolas mayores novedades en un trámite no público y
la falta de jurisprudencia interpretativa consolidable. Nosotros
quisiéramos saber si en la práctica, a día de hoy, se están
produciendo o no esas dificultades y en qué aspectos. Quisiéramos
sobre todo una respuesta a dos cuestiones que nos preocupaban el año
pasado, que nos siguen preocupando éste y que en este momento ya
pueden ser respondidas. Una es hasta qué punto está respetando el
derecho a la intimidad la discutida adicional sexta, la que preveía
la posibilidad de ficheros compartidos por las entidades
aseguradoras, sobre cuya adecuación el señor Fernández López también
manifestaba algunas dudas en su comparecencia del año pasado. También
quisiéramos saber si ese reglamento de medidas de seguridad (que
fuimos el primer país en la Unión Europea en aprobar, yo no sé si con
carácter diligente o con carácter prematuro, puesto que adelantamos
en seis meses a una ley pendiente de aprobarse ese reglamento), en la
práctica se está adelantando a esta ley posterior a él y está
funcionando adecuadamente.
La señora PRESIDENTA: Por el Grupo Parlamentario Vasco tiene la
palabra el señor Erkoreka Gervasio.
El señor ERKOREKA GERVASIO: En primer lugar, yo también quería darle
la bienvenida, en nombre del Grupo Vasco, a esta Comisión
Constitucional; bienvenida que no obedece exclusivamente a razones de
cortesía parlamentaria -elementales, por otra parte-, sino que guarda
relación, de alguna manera, con la importancia que desde el Grupo
Vasco le damos al organismo que usted dirige, la Agencia de
Protección de Datos; un organismo expresamente situado por la Lofage
entre los organismos a los que la ley reconoce una independencia
funcional o una especial autonomía con respecto a la Administración
general del Estado; un organismo cuya ley creadora declara
expresamente que actuará con plena independencia de las
administraciones públicas en el ejercicio de sus funciones; un
organismo, por otro lado, que entronca directamente con un derecho
fundamental recogido en el párrafo cuarto del artículo 18 de la Carta
Magna y que tiene encomendado el control de determinado tipo de actos
de vulneración de derechos fundamentales, básicamente el derecho al
honor, el derecho a la intimidad personal o familiar y, además, este
nuevo y autónomo derecho a la autodeterminación informativa. Creemos
que el cometido de la Agencia es importante de cara al futuro en una
sociedad como la contemporánea o, más precisamente, como la
occidental contemporánea, tan fuertemente mediatizada por la realidad
informática y telemática, en la que quizás el paradigma orwelliano
del Estado omniscente, o quizás habría que precisar más y decir de
las grandes corporaciones omniscentes, ha superado ya completamente
el terreno de la quimera para situarse en el ámbito de los riesgos
reales y efectivos.
He leído con atención la memoria, he escuchado también su
intervención (hay una sustancial identidad
entre la primera y la segunda) y tenía una serie de preguntas, una
serie de sugerencias, algunas de las cuales me las ha pisado la
portavoz del Grupo Socialista, a pesar de lo cual me voy esmerar en
reformularlas de manera que no se aprecie excesiva identidad entre
las que ella ha formulado y las que yo voy a plantear.
Aunque la Agencia actúa en principio con independencia en relación
con la Administración general del Estado, es cometido de esta
Comisión, quizá más precisamente de esta Cámara, controlar a la
Agencia porque se sitúa en la órbita de la Administración general del
Estado, pero controlar al mismo tiempo lo que dice a propósito de los
archivos, de las bases de datos, de la información automatizada que
contenga la Administración general del Estado. Por eso, en mi lectura
de la memoria he puesto especial énfasis en aquello que la Agencia
afirma a propósito de los archivos inspeccionados de la
Administración general del Estado. He observado que en el ámbito
competencial de la Subdirección General de Inspección de Datos, la
memoria da cuenta de actuaciones de oficio desarrolladas en relación
fundamentalmente con dos organismos: la Agencia Estatal de
Administración Tributaria y la Dirección General de Tráfico. Con
respecto a la primera, se aprecian algunas irregularidades como la
conservación de datos que debían ser cancelados, la inexistencia en
los formularios del IRPF de referencia alguna al deber de información
previsto en el artículo 5 de la Lortad y la inexistencia de unas
normas documentadas que contemplen los procedimientos y criterios de
tramitación. En relación con la Agencia Estatal de Administración
Tributaria, la memoria se limita a señalar que a principios del año
2000 dictará las recomendaciones oportunas para que la Agencia adopte
las medidas pertinentes a fin de adecuar las deficiencias observadas
en los tratamientos automatizados a los principios de la normativa
vigente en materia de protección de datos. Como se ha superado ya
este límite temporal que preveía la memoria (desafortunadamente el
tiempo -como decían los clásicos, tempus fugit- transcurre a una
velocidad endiablada) y nos estamos acercando mucho más a las
postrimerías del año 2000 que a sus principios, que era el límite
temporal marcado por la memoria, yo querría saber si han dictado ya
alguna recomendación en relación con esta materia y, en caso
afirmativo, qué se establece en ella. Otro tanto querría en relación
con lo que se dice en la memoria a propósito de la inspección cursada
por la Subdirección General de Inspección de Datos en la Dirección
General de Tráfico. Aquí parece que las irregularidades revestían una
enjundia mayor, eran más y algo más graves. Tampoco se han dictado
recomendaciones y la memoria lo justifica con la próxima entrada en
vigor de la ley actualmente vigente, la Ley Orgánica de protección de
datos de carácter personal, que aconsejaba no dictar recomendaciones
que después no estuvieran de acuerdo con las previsiones contenidas
en la ley próxima a entrar en
vigor. En relación con esto y ya que la nueva ley lleva varios meses
en vigor, quería preguntarle si se ha dictado alguna recomendación
adaptada a las nuevas previsiones y, en caso afirmativo, qué se
establece en ella.
Tengo un par de observaciones de carácter jurídico. Aunque la memoria
hace referencia a un período temporal en que la norma en vigor era la
vieja Lortad y no la Ley Orgánica de protección de datos de carácter
personal, quisiera plantear algunas cuestiones relacionadas con esta
última. La Ley de protección de datos de carácter personal ha sido
objeto ya de algunas críticas en el plano doctrinal por parte de la
doctrina científica. La memoria augura, como bien ha puesto de
manifiesto la portavoz del Grupo Parlamentario Socialista, que su
aplicación no estará exenta de dificultades por una serie de razones
como la falta de exposición de motivos y demás. No es este el lugar
adecuado para abundar en estas críticas, que son fundamentalmente de
carácter técnico pero que tienen una incidencia importante en la
salvaguarda real de los derechos fundamentales que se protegen a
través de la ley. Con todo, quisiera formularle una serie de
preguntas en relación con este tema: ¿Han apreciado algún problema de
aplicación? ¿Han apreciado algún espacio necesitado de protección de
derechos fundamentales que, como consecuencia de los contenidos
concretos de la ley, quede exento o al margen de la protección
efectiva que requiere? ¿Se ha revelado ya alguna laguna o deficiencia
técnica en la aprobación de la ley?
Por otra parte, hablando en términos jurídicos, es inevitable hacer
referencia al problema que planteaba el reglamento de seguridad. La
memoria alude explícitamente al problema que ha constituido para la
Agencia de Protección de Datos el hecho de que durante varios años no
se dictase el reglamento de seguridad que la Lortad requería
inexorablemente para hacer efectivas las sanciones previstas en
relación con las infracciones que supusieran incumplimiento de las
medidas de seguridad. Paradójicamente, después de varios años de
inactividad reglamentaria del Gobierno, se aprueba el reglamento
cuando la nueva ley ya está siendo objeto de tramitación en las
Cortes Generales. Un resultado entre otros es que, a efectos de
sancionar el incumplimiento de las medidas de seguridad, el
reglamento que ha entrado en vigor hace poco más de un año nos remite
a los artículos 43, 44 y 45 de la Lortad ya derogada y, por tanto,
extraída del ordenamiento jurídico. ¿No cree que una falta de
adaptación, siquiera formal, del reglamento podría acarrear algún
problema a la hora de hacer efectivas las sanciones, habida cuenta de
la rigidez y el carácter restrictivo que presiden -y que deben
presidir- el derecho administrativo sancionador?
Una tercera sugerencia en cuanto a la información a los interesados.
Soy jurista, como usted, y sé que en nuestro ordenamiento jurídico la
ignorancia de la ley no excusa de su cumplimiento, una máxima que
aprendemos los estudiantes de derecho en el primer curso;
pero me preocupa una declaración reciente del Consejo Superior de
Cámaras de Comercio en la que se denuncian los perjuicios económicos
que el desconocimiento de la Ley de protección de datos de carácter
personal puede causar a las pequeñas y medianas empresas, cuya labor
en un mercado tan condicionado por el marketing requiere
inevitablemente disponer de información automatizada sobre posibles
clientes o personas a las que pueden ampliar sus ofertas
empresariales. Al expresar esta preocupación no intento anteponer el
interés económico de las empresas privadas ni hacer prevalecer el
derecho a la libertad de empresa, proclamado en el artículo 38 de la
Constitución, sobre los bienes jurídicos que protege el artículo
18.4. No es, por tanto, mi propósito hacer prevalecer los intereses
vinculados al tráfico mercantil sobre derechos fundamentales tan
relevantes en el contexto constitucional como el derecho al honor, el
derecho a la intimidad personal o familiar o el derecho a la
autodeterminación informativa. Me limito a dejar patente una
inquietud ante el riesgo de que un esfuerzo insuficiente de la
Agencia por difundir los contenidos de la ley entre los afectados
pudiera generar graves daños en el tejido empresarial. Me consta que
la Agencia ha llevado a cabo numerosas actividades orientadas a la
difusión de la ley vigente, pero me permito sugerirle que
intensifique en lo posible el esfuerzo desarrollado a fin de que
nadie pueda alegar ignorancia y de que las infracciones que
eventualmente puedan producirse sean todas ellas dolosas.
La señora PRESIDENTA: Por el Grupo Parlamentario Catalán
(Convergència i Unió), tiene la palabra el señor Jané.
El señor JANÉ I GUASCH: En primer lugar, quiero agradecer al director
de la Agencia de Protección de Datos su comparecencia y el contenido
y la extensión de su intervención, que permite a todos los grupos
parlamentarios profundizar en aspectos relevantes de la memoria
presentada.
Para no alargar la sesión de hoy no incidiré en aspectos ya
planteados por otros portavoces que me han precedido en el uso de la
palabra. Quiero manifestar al director de la Agencia que compartimos
la importancia, a la que aludía expresamente, de respetar el derecho
a la intimidad de las personas físicas. Es un derecho fundamental
que, como tal, tiene esa vis expansiva que debe prevalecer siempre
como principio ordenador del ordenamiento jurídico. Hablaba también
el director de la Agencia de las amenazas que las nuevas tecnologías
pueden acarrear ante la invasión de la privacidad de los datos de los
ciudadanos. El portavoz que les habla, profesor de derecho
constitucional y miembro de la Comisión de Economía y de la nueva de
Ciencia y Tecnología, quisiera reflexionar en voz alta sobre algún
dato de la memoria. Considero que deberíamos intentar entre todos
acotar el ámbito de aplicación de algunas sanciones.
En la memoria se dice expresamente que el régimen administrativo
sancionador en materia de protección de datos personales establecido
en la ley española -por tanto responsabilidad de los que estamos hoy
aquí, los que tenemos la responsabilidad de hacer las leyes, y no del
director- es el más alto de la Unión Europea atendiendo al importe de
las sanciones. Por tanto, se reconoce expresamente que tenemos un
régimen sancionador alto, con multas elevadas; un régimen que hemos
querido los parlamentarios que sea así. Las sanciones de este régimen
sancionador alto alcanzan la cifra de 1.571 millones de pesetas,
según reconoce la memoria. Cuando las sanciones son elevadas fracasa
el derecho; cuando existe una sanción -lo decía hace un momento el
portavoz del Grupo Vasco-, o la ley no está bien difundida o no la
hemos regulado de la forma más adecuada. Pues bien, el hecho es que
las sanciones son elevadas y se sanciona mucho, lo cual debe
sugerirnos la reflexión sobre si se sanciona siempre de forma
adecuada. En la memoria presentada se analizan 29 sentencias de las
cuales 10 han sido revocadas por los tribunales; de las 29 sentencias
recurridas en 10 han dado la razón al recurrente. Quiero hacer la
siguiente reflexión: tenemos el régimen sancionador más alto, se
aplican las sanciones, se recurren y en una proporción de uno a tres
se da la razón a la persona que ha sufrido la sanción. Yo quisiera
que se aplicaran escrupulosamente las sanciones, siendo consciente a
la vez de la necesidad de salvaguardar siempre los derechos
fundamentales con esa vis expansiva y de no caer en una situación que
colocara al tejido empresarial español en una posición
comparativamente distinta de la del resto de Estados de la Unión
Europea con los que tiene que competir.
Hay un tema que el director de la Agencia conoce muy bien, que es la
desigualdad jurídica en cuanto a la utilización de datos del censo
electoral. Hay una desigualdad jurídica en España en relación con
otros Estados de la Unión Europea, que se intentó superar con la Ley
del Comercio Minorista, a través de una enmienda presentada por el
Grupo Popular y que tuvo la aceptación de la Cámara; se quería
aclarar una situación para superar determinadas resoluciones de la
Junta Electoral Central. La Agencia de Protección de Datos aludía en
este caso a una disparidad normativa; estaba la Ley Orgánica del
Régimen Electoral General, estaba la Ley del Comercio Minorista, y a
ese artículo en concreto también se declaró el carácter de orgánico.
El propio director de la Agencia de Protección de Datos, usted mismo,
reconoció en esta Cámara que era un tema preocupante porque podía
dejar a las empresas del sector del marketing y de la publicidad en
nuestro país en una situación peor que la de sus homólogos en los
países de la Unión Europea. El 27 de mayo de 1998 usted apuntaba
también a las consecuencias que esto puede tener de
extraterritorialización de algunas empresas. Si aquí somos mucho más
rígidos, la empresa se va a otro país
de la Unión Europea cuya normativa, por lo menos en ese aspecto,
tiene una mayor claridad de resolución; sin embargo, en el caso del
Estado español podía darse esa disconformidad.
Nuestro grupo se manifestó claramente en esta Comisión a favor de la
interpretación que daba la Ley del Comercio Minorista, incluso por el
criterio de que ley posterior deroga o aclara ley anterior cuando se
regula el mismo supuesto. Para nosotros con la Ley de Comercio
Minorista, en este caso y en ese artículo, que tenía la consideración
de ley orgánica, porque así se aprobó en esta Cámara, quedaba
clarificado el tema; sin embargo, como ha habido interpretaciones
diversas, creemos que el nuevo marco normativo lo da la ley que se
aprobó en la pasada legislatura, la Ley 15/1999. Esta ley, cuando
enumera cuáles son las fuentes accesibles al público, cita al censo
promocional. El censo promocional debe regularlo el Instituto
Nacional de Estadística, pero bien es cierto que cuando ya se
especifique en una ley orgánica que una fuente accesible al público
es el censo promocional; deberíamos en estos supuestos concretos no
penalizar a las empresas españolas cuando el marco normativo expresa
una voluntad de que esos datos puedan ser accesibles al público.
Debemos pedirle al INE que lo regule, pero en ese período transitorio
en el cual el INE aún no lo ha regulado, nosotros consideramos que la
Agencia de Protección de Datos debería ser especialmente sensible a
esa realidad, precisamente por lo que usted mismo expresaba hace dos
años ante esta Comisión, por el peligro de extraterritorialización de
muchas empresas, con la consiguiente pérdida de puestos de trabajo.
Todo ello se lo digo desde la óptica de la Comisión Constitucional,
porque lo que debemos hacer es cumplir la ley, hacer cumplir todas
las garantías que la ley orgánica da para la protección de la
privacidad, con esa vis expansiva que debe tener siempre un derecho
fundamental, como es este derecho que regula la ley orgánica, pero
ante un reconocimiento expreso de que la ley española establece las
sanciones más altas; no nos encontremos al final con que los
ciudadanos tengan que revocar, vía jurisdiccional, unas decisiones
que se han podido extralimitar. Le pido que tenga como máxima
responsabilidad cumplir la ley, difundirla, como decía el portavoz
del Grupo Vasco, asentar ante los ciudadanos la necesidad de ser
conscientes de lo que supone la privacidad de los datos personales,
porque esto es importantísimo y lo va a ser en el ámbito de las
nuevas tecnologías. Aquí se abrirá un nuevo debate. Este mismo año
vamos a regular en esta Cámara la nueva ley de comercio electrónico,
que en el ámbito de la protección de datos va a dar lugar a
muchísimas cautelas. Intentemos encontrar ese punto de equilibrio que
creo que entre todos podremos lograr.
La señora PRESIDENTA: Por el Grupo Parlamentario Popular, tiene la
palabra el señor de Juan.
El señor DE JUAN I CASADEVALL: Señor director de la Agencia de
Protección de Datos, en nombre del Grupo Popular le damos la más
sincera bienvenida a la Comisión Constitucional de esta Cámara en
esta su primera comparecencia durante esta legislatura; una
comparecencia que se dirime en el seno de la Comisión Constitucional
del Congreso sin duda por la trascendencia que tiene en términos de
protección de derechos fundamentales y en términos de protección del
derecho a la intimidad, sancionado y garantizado en el artículo 18 de
la Constitución el tratamiento automatizado de datos de carácter
personal.
La vocación del precepto constitucional del artículo 18 de nuestra
norma fundamental es muy clara, se trata de garantizar un ámbito, una
esfera de privacidad inmune a intromisiones ilegítimas, intromisiones
que en el seno de la llamada sociedad de la información pueden
proceder, y de una forma muy cualificada, de la manipulación de esos
datos de carácter personal que pueden producirse en distintas esferas
de la realidad social; de ahí la necesidad de esa regulación de lo
que se ha dado en llamar el derecho a la autodeterminación
informativa, lo que también se ha dado en llamar el habeas data o
derecho a la libertad informática, en definitiva, a disponer de los
datos de carácter personal que figuran en programas informáticos. Esa
y no otra es, entendemos, la razón de ser de la legislación tuitiva
del tratamiento automatizado de datos de carácter personal en
relación a la privacidad, y esa y no otra es la razón de ser de la
Agencia de Protección de Datos.
Señor director, el Grupo Popular quiere manifestar en ese sentido su
satisfacción, tanto por el nivel de madurez social que lentamente se
va abriendo en nuestra sociedad en materia tan sensible como ésta en
relación a la tutela del derecho a la intimidad personal, como
también por el grado de cumplimiento de la ley y por la encomiable e
insustituible labor que está desempeñando la Agencia de Protección de
Datos en ese sentido. Probablemente la memoria de 1999 que hoy
analizamos, y que brillantemente ha expuesto el señor director de la
Agencia, es una buena muestra de ello. Las palabras del director
general y la propia memoria reflejan un panorama satisfactorio, en
términos generales, en el cumplimiento de la ley y en el índice de
sensibilización social.
La memoria constata, y lo ha dicho el director de la Agencia, un
incremento notable en inscripción de ficheros de titularidad privada
en el Registro General de la propia Agencia, concretamente, si no me
equivoco, estamos hablando de un incremento del 43 por 100; han
aumentado también todas las operaciones registrales relativas a
ficheros de titularidad privada, y han causado diversos asientos en
el registro. Todo ello lo ha expuesto el señor Fernández a lo largo
de esta densa comparecencia y no voy a reproducir aquí sus palabras.
En cualquier caso, sí que quiero subrayar que ese incremento de
actividad del Registro General de la Agencia
de Protección de Datos es sintomático de esa sensibilización social
que es tan necesaria en orden a la garantía del derecho a la
intimidad y a la aplicación de la ley. Y una reflexión similar
probablemente podríamos hacer en relación al ejercicio de la función
fiscalizadora por parte de la Agencia de Protección de Datos, que se
ha traducido en la incoación de expedientes de investigación y, en su
caso, cuando ha sido necesario, en el ejercicio de la potestad
sancionadora, incluso ex officio a través de los llamados planes
sectoriales de oficio, que dan lugar a la emanación de esas
recomendaciones que pretenden una mayor adecuación de los distintos
segmentos de la realidad social al cumplimiento de la ley.
En el plano de la sensibilización social, la Agencia ha realizado una
nada desdeñable labor de formación y de información. El señor
Fernández ha hecho referencia a ello a lo largo de su exposición; me
estoy refiriendo a las jornadas organizadas, a las campañas
publicitarias o, sin ir más lejos, a la labor desempeñada por la
llamada área de atención al ciudadano, con la resolución de consultas
telefónicas, escritas o incluso con la propia visita de la página web
de la Agencia de Protección de Datos. Es decir, una actuación
preventiva, informativa; en definitiva, de difusión de la ley, que
tiene su amparo en el artículo 36 de la Ley Orgánica 5/1992, que
contribuye decisivamente en esa labor de información y en el
cumplimiento de ese mandato legal de suministrar información al
ciudadano en orden a sus derechos en materia del tratamiento
automatizado de datos de carácter personal. Ésta es una vía, señor
Fernández, en la cual se tiene que profundizar en el futuro, con la
perspectiva de la aplicación de la nueva Ley 15/1999 y, sin perjuicio
del ejercicio de la potestad sancionadora cuando proceda, creemos
positivo, necesario y razonable incrementar la función informativa de
la nueva ley en relación a los distintos sectores económicos
y sociales, función informativa que corresponde a la Agencia de
Protección de Datos en aras a facilitar en el mayor grado el
cumplimiento voluntario de la ley. Por tanto, señorías, señor
Fernández, la conclusión del Grupo Popular es que la sociedad
española es cada vez más permeable a la aplicación de esa ley y que
hay un nivel positivo de sensibilización social en ese sentido.
El balance de la gestión de la Agencia de Protección de Datos en este
ejercicio de 1999 en términos de aplicación de la ley y difusión de
sus prescripciones normativas, a nuestro juicio, arroja un saldo
positivo, como ha expuesto a lo largo de su comparecencia el señor
Fernández; un saldo positivo, tanto en lo que es la actuación
respecto a ficheros de titularidad privada como de titularidad
pública. Yo subrayaría de modo particular las actuaciones en relación
a la Agencia Estatal de Administración Tributaria, que, por su propia
naturaleza, por su objeto, por las funciones que tiene legalmente
encomendadas maneja un gran número de información sensible y, por lo
que se desprende de la memoria, parece
que no hay incumplimientos en ese sentido, sino, en términos
generales, una situación bastante razonable en cuanto a la protección
de derechos fundamentales. No hay que olvidar que a la mejora de la
situación probablemente hayan contribuido también las mejoras
normativas introducidas en la Ley General Tributaria a raíz de la Ley
15/1999, de Protección de Datos.
En definitiva, y con ello concluyo, mi grupo valora positivamente
esta memoria del año 1999 y, una vez más, quiere ofrecer al director
y a la Agencia de Protección de Datos su colaboración en el plano
político y legislativo, en la mejora de esa tutela al derecho a la
intimidad personal y familiar, de ese llamado derecho de
autodeterminación informativa.
La señora PRESIDENTA: Para contestar a las diversas cuestiones
planteadas, tiene la palabra el director de la Agencia de Protección
de Datos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Voy a tratar de responder, con mucho gusto, a las cuestiones
planteadas, pero si me dejo algo en el tintero, les ruego que
insistan, dado el importante número de preguntas, cosa que me
satisface, ya que demuestra el interés de SS.SS. por las funciones
que desarrolla la Agencia.
En primer lugar, me referiré a las cuestiones planteadas por la
señora Del Campo. Evidentemente, yo soy el primero en desear que los
tiempos se acorten, pero, sinceramente, ¿cree usted que habiéndose
aumentado un 50 por 100 -esto referido al año 1999, hablamos de un
400 por 100 en el año 2000- pasar de 3 a 7 días es mucho? Porque no
se puede olvidar, como también he puesto de manifiesto, que no son
inscripciones de ficheros sencillos, sino que son ficheros que hay
que analizar, como ocurre en los casos en que señalan transferencias
internacionales, y ello, indudablemente, conlleva una mayor
dedicación antes de aprobar la inscripción de ese fichero, aunque
ésta sea meramente declarativa; de entrada, la Agencia debe velar,
debe actuar de oficio para que no se escape nada, sobre todo en las
transferencias internacionales; debe velar por si pudiera resultar
peligroso para los intereses de los ciudadanos simplemente el que
algún fichero exista. Yo, por supuesto, tomo nota y trataremos de ser
lo más rápidos posible en nuestras respuestas, pero creo que estamos
en una situación óptima, sobre todo si se compara con cualquier otro
organismo.
También se ha referido la señora Del Campo a los ficheros de
titularidad pública, sobre todo a los ficheros relativos a los
ayuntamientos, y manifiesta que aún hay pocos inscritos. Nosotros,
dentro de los medios que tenemos, estamos haciendo un constante
recordatorio a los titulares de los ficheros, pero, además, en el
pasado ejercicio, a través del consejo consultivo -al director le
asiste un consejo consultivo donde están representados los distintos
estamentos sociales, entre ellos la
Federación Española de Municipios y Provincias- le hice notar al
representante de dicha Federación de Municipios y Provincias esta
carencia y quedó en posibilitar por este cauce un mejor conocimiento
y cumplimiento de la ley. La realidad es que aún no he recibido
ninguna ayuda al respecto. No obstante, como también he expuesto, la
Agencia trata de estar presente en todos los foros, no sólo en los
que organiza ella, sino en los que organizan otros, tanto
universidades como asociaciones de consumidores, como
administraciones públicas, etcétera. Personalmente, he estado en 30
en un año, además de todo el trabajo, y le puedo asegurar que es
bastante difícil ir a más. Por otro lado, aunque en la Agencia hay
funcionarios con conocimientos muy superiores a los míos, cuando la
gente llama quiere al director y el buscar sustituciones siempre
resulta difícil, ya que, si se delega en alguien, se creen peor
tratados. No obstante, ya he dicho que éste es uno de los medios que
utilizamos para difundir la ley y para ayudar a su cumplimiento y,
además, en todo el territorio nacional, porque yo soy consciente de
que mi presencia debe ser constante no sólo en Madrid y Barcelona,
que tal vez son las ciudades que más actos organizan a este respecto,
sino en el resto del territorio nacional y, por supuesto, que debo
visitar todas las comunidades autónomas. Entre estas jornadas, ha
habido algunas referidas a administraciones públicas, pero ocurre que
no hemos podido hacer una serie que se puedan ir repitiendo por todas
las comunidades. Dentro del volumen de la Agencia, tanto
presupuestario como de personal, trabajamos al límite, hacemos todo
lo que podemos, pero, como todo, resulta mejorable.
En cuanto a los ficheros autonómicos, a los planes sectoriales, se ha
referido a que echaba de menos las recomendaciones. Las
recomendaciones están aquí y están a su disposición, como se dice en
la memoria. Todas están publicadas y enviadas a los responsables. Si
le parece bien a S.S., haré llegar a la presidenta de la Mesa una
copia de todas y cada una de las recomendaciones, pero si tiene
interés por alguna en especial, con mucho gusto se la podré aclarar
en este mismo acto.
En cuanto a las transferencias internacionales, efectivamente hemos
sido el primer país de la Unión Europea que ha hecho uso de la
posibilidad que da la directiva de la solución contractual, pero con
auténticas garantías para posibilitar la transmisión de datos a
terceros países que no tienen igual nivel de protección que los
europeos. El Readers Digest fue el primero que se inscribió y se
comunicó a la Unión Europea y el que está sirviendo de modelo para el
subgrupo de trabajo que se está ocupando de establecer unas cláusulas
contractuales que sean acordes para todo. Ya le adelanto que el nivel
de protección que nosotros estamos otorgando se va a rebajar a nivel
comunitario porque, no nos podemos engañar, no sólo en el régimen
sancionador sino, de modo general, el carácter tuitivo de nuestra ley
es muy superior al de la mayoría de los países de la
Unión Europea. No obstante, seguimos insistiendo en la necesidad y
validez de esas cláusulas.
Por supuesto, en las transferencias que hemos realizado este año se
han aplicado exactamente las mismas cláusulas y con el mismo rigor.
Por otro lado, y bueno es decirlo, no hemos encontrado inconveniente
alguno por parte de los responsables de los ficheros a la hora de
rechazarlas, porque, si SS.SS. las analizan, todas son absolutamente
lógicas dentro de un ámbito de protección de la intimidad, si
verdaderamente se quiere proteger; ahora bien, si no se quiere
proteger es evidente que todas o la mayoría sobran.
También ha hecho referencia S.S. a los comentarios que he realizado
sobre las infracciones en las administraciones públicas, y echaba en
falta el expediente de la Consellería de Seguridad Social de la
Generalitat Valenciana. Como ya he hecho constar en mi informe, sólo
me he referido a aquellos expedientes que no he tratado en anteriores
comparecencias, y precisamente en mi anterior comparecencia ese tema
se debatió por SS.SS., y además se debatió en aspectos ajenos
absolutamente a la protección de datos. No obstante, no tengo
inconveniente en volver a referirme al mismo. La denuncia fue muy
tardía y cuando la Agencia atendió la denuncia y realizó la
inspección no había posibilidad alguna de obtener ninguna prueba de
infracción; exclusivamente se obtuvo ésta por la propia declaración
del viceconsejero, que reconoció que habían sido tomados datos ajenos
a los que figuraban en la propia Consellería, y de ahí que se pudiera
llegar a sancionar.
En cuanto a la situación fluctuante que S.S. observa en los planes
sectoriales, creo que responde a un objetivo por mí trazado desde el
momento en que tomé posesión del cargo de director de la Agencia -con
independencia de atender puntualmente las denuncias de los ciudadanos
y realizar como consecuencia de ello las inspecciones pertinentes-,
el de realizar planes sectoriales en aquellos sectores donde más
volumen de datos existiera o a los que más afectara el número de
denuncias o a los que pudiéramos considerar como sectores emergentes,
como es el caso de las telecomunicaciones, que necesitaban de un
reglaje y adecuación. Ése es el criterio que hemos seguido en estos
planes sectoriales que, como le decía, en cualquier caso han
terminado con las adecuadas sugerencias para que puedan adaptarse
mejor a la ley. Por supuesto en los casos en que hemos detectado
alguna infracción grave, como ha sucedido en materia de
telecomunicaciones -y antes me referí a ello-, con independencia de
que se produzca este tipo de recomendaciones para el buen hacer
futuro, se ha abierto el correspondiente procedimiento sancionador, y
no sólo eso sino que se han adoptado medidas cautelares para que un
tratamiento masivo, que afecta a millones de datos de millones de
ciudadanos, cesara de forma inmediata.
Evidentemente, comparto su sensibilidad respecto a que hemos
aumentado la plantilla. Cuando yo me hice
cargo de la Agencia había 49 funcionarios y ahora somos 62, pero la
nueva ley y las nuevas exigencias de la ley están ya demostrando la
necesidad de este aumento, y así lo tenemos previsto para el próximo
ejercicio; hemos pedido el aumento correspondiente en la partida
presupuestaria para atender este incremento de plantilla, que yo
juzgo en estos momentos necesario, y que en los diversos niveles debe
circunscribirse al menos a 30 nuevos funcionarios. Porque, señorías,
no sólo tenemos que pensar en el hoy inmediato, que ya vemos el
crecimiento que se está produciendo, sino en el hoy próximo, porque
se nos viene encima el control de todos los ficheros no sólo
informatizados sino también los no informatizados. Hay obligación de
inscribirlos a partir de 2007, pero ya los pueden inscribir los
responsables de los mismos, y en algunos casos ya lo están haciendo,
con independencia de que, como saben, la nueva ley habilita a los
ciudadanos, aunque estos ficheros no estén bajo la tutela total de la
ley, a ejercer sus derechos de acceso, rectificación y cancelación
también respecto de los ficheros no informatizados. Esta es una
realidad que ha de traducirse en un mayor volumen no sólo de
inscripciones en el registro sino también de denuncias y de planes
sectoriales que tengamos que establecer.
En esta línea vamos, y antes les referí cómo ante la problemática que
se deriva de los colegios profesionales -que, por un lado, actúan con
competencias de administración pública y en otros aspectos tienen
ficheros de titularidad privada, y hay dificultad en saber cuándo son
unos, cuándo otros y hasta donde está la obligación- suscribimos este
protocolo con la unión profesional, para que, a través de sus cauces,
de los consejos generales de colegios y después de los distintos
colegios, puedan llevar al conocimiento y mejor comprensión de la
ley. Pero es que ya en el año 2000 hemos hecho lo propio con el
Consejo General de Colegios Notariales, porque, por supuesto, los
notarios también están obligados al conocimiento y cumplimiento de la
ley, y lo hemos hecho también con el Consejo Superior de Cámaras de
Comercio. A través de estas organizaciones empresariales habrá
posibilidad de hacer llegar mejor a los empresarios el conocimiento
y las necesidades de cumplimiento de la ley.
También se ha referido S.S. a la atención al ciudadano. La atención
al ciudadano, por supuesto que es un tema prioritario para la
Agencia. Fijénse, señorías, tal vez todos tenemos la opinión de que a
lo mejor la ley es bastante desconocida. El año 1999 en una encuesta
del CIS se incluyó alguna pregunta sobre el conocimiento de la
legislación de protección de datos y de la Agencia, y aunque la cifra
aún es pequeña para mí resultó satisfactorio que el 28 por 100 de los
ciudadanos conocieran su existencia y estuvieran además contentos con
su actuación. Indudablemente el aumento de las consultas que nos
formulan -más de 15.000- y los accesos a nuestra página web de
Internet que superan
los 500.000 como antes referí están demostrando un mayor conocimiento
de esta legislación.
También me decía que la Agencia se conoce poco y que muchas de las
denuncias pueden ir al Defensor del Pueblo cuando no es el órgano
indicado para tramitar estas cuestiones. La realidad es que la
relación que la Agencia, y personalmente su director, mantiene con el
Defensor del Pueblo es cordial y fluida, tanto con el anterior como
con el que estuvo en funciones, y con el actual. A todos ellos he
visitado, con todos ellos he cambiado diversas opiniones y aspectos
para mejor coordinarlo, y como SS.SS. saben en el supuesto de que
haya infracción de administraciones públicas por imperativo legal
debo de dar cuenta al Defensor del Pueblo de que éstas se han
producido. Nuestra relación es afortunadamente muy fluida y, por
supuesto, desde ambas instituciones tratamos de dar el mejor servicio
posible al ciudadano. Le puedo garantizar que ninguna denuncia porque
vaya el Defensor del Pueblo, si es que hay equivocación por parte del
ciudadano, se va a quedar sin conocer por parte de la Agencia si es
que resulta ser competente para ello.
En cuanto a la nueva ley orgánica y sus dificultades, como todo lo
nuevo tiene dificultades e indudablemente, como también ya me referí
en la anterior comparecencia, una parte que no se tramita en fase
pública hace que desconozcamos cómo se han ido gestando algunos
artículos que resultan de especial dificultad, pero hay uno que a mí
más me preocupa, y es concretamente la disposición adicional primera.
Me preocupa porque, señorías -no sé en qué momento, porque el texto
no era así- se introduce un «o no» que nos complica la vida. Fijénse
que la disposición adicional primera respecto a los ficheros
preexistentes dice: Los ficheros y tratamientos automatizados
inscritos o no en el registro de protección de datos deberán
adecuarse a la presente ley orgánica dentro del plazo de tres años a
contar desde su entrada en vigor. Si esto se lee así, parece que el
legislador está dando una vacatio legis de tres años cuando a mi modo
de ver nunca estuvo en la intención del legislador producir esto,
porque si leemos lo mismo y quitamos la expresión «o no» dice: Los
ficheros y tratamientos automatizados inscritos en el registro de
protección de datos deberán adecuarse a la presente ley en el plazo
de tres años a contar desde la entrada en vigor; es decir deberán
adecuarse en aquello que haya diferencias entre la ley antigua y la
ley nueva, pero no habrá una vacación de tres años. Este tema,
verdaderamente me preocupa y me tiene con las manos atadas porque
puede resultar que haya verdaderamente una vacación de tres años y a
lo mejor estemos actuando para nada. Eso ha determinado que me dirija
al Consejo de Estado como órgano consultivo supremo de la nación
solicitando su dictamen sobre esta materia, porque aunque la Agencia
tiene su interpretación clara y evidentemente no puede ser la que en
principio literalmente pudiera derivarse, no sé al final quién será
encargado
en última instancia de interpretar la ley y si podrá decir algo,
con lo cual esto ha determinado, señora del Campo, que tampoco
hayamos dictado instrucciones que tenemos en algunos casos preparadas
para facilitar el cumplimiento y el conocimiento de la ley. Por otro
lado, una actividad que me ha tenido seriamente ocupado y preocupado
(no sé si no la he explicado bien y por eso a lo mejor no le han dado
ustedes la misma importancia que le doy yo) ha sido toda la gestación
del tema de puerto seguro para la transferencia libre de datos a los
Estados Unidos de América. Éste es un tema, a mi modo de ver,
verdaderamente grave. Ha habido unas presiones absolutas por parte
del Gobierno americano para que los datos circularan libremente a los
Estados Unidos (donde no hay protección de ningún tipo porque sólo
hay leyes sectoriales y confusas) como si se tratara de la Unión
Europea donde hay una ley de protección de datos y donde hay una
autoridad de control y sólo en base a unos buenos principios que ni
el Gobierno se decide a controlar.
Nosotros junto con Italia y Portugal (a principios también estaba
Francia y luego se descolgó) éramos el núcleo duro en el grupo del
artículo 29 contra esta situación, y en el mes de marzo me visitó el
viceministro de Comercio de los Estados Unidos para conocer mi
opinión al respecto y sobre todo para querer hacerme ver que si
íbamos por este camino imposibilitaríamos que el comercio electrónico
fuera una realidad en la Unión Europea. Ante esta actitud yo le dije
que no estábamos hablando de comercio electrónico, que el comercio
electrónico en primer lugar se da normalmente entre empresas en
aproximadamente el 90 por 100, con lo cual ahí no había ninguna
intimidad que proteger y en el caso del 10 por 100 restante de los
ciudadanos cada uno tendría la opción de ceder o no ceder sus datos.
Él me venía a hablar de cosa distinta del comercio de datos, porque
los datos, señorías, sobre todo cuando se tienen en un volumen y
depurados son importantes para que las empresas extranjeras puedan
ofertar directamente productos a ciudadanos españoles. De aquí que a
mí la libre circulación en estas circunstancias no me pareciera
acorde, toda vez que al sistema contractual, que se podría incluso
suavizar pero en los términos en que lo había propuesto la Agencia de
Protección de Datos, por las grandes empresas americanas no se había
puesto ningún inconveniente. No sé ese interés. El puerto seguro si
quieren verlo ya publicado en el DOCE demuestra la negación absoluta
del derecho del ciudadano español porque entre los principios que son
etéreos, que no dicen nada, que no se comprometen a nada, y luego las
FAQ, que lo único que hacen es complicarlo, tenemos un volumen de más
de 100 páginas. Con eso se pretende proteger los derechos de los
ciudadanos. ¿Qué se pretende además? Que el ciudadano no pueda
ejercitar sus derechos desde el territorio español, sino que tenga
además que acceder a EstadosUnidos para poder ejercitar sus derechos
con el
coste económico que ello supone. Como comprenderán, señorías, es una
situación verdaderamente preocupante y donde yo me he centrado
precisamente para sacar una instrucción antes de que entre en vigor
el puerto seguro para que en uso de la legalidad y toda vez que las
autoridades tenemos el control sobre los datos, antes de salir del
territorio español exijamos el cumplimiento de todos y cada uno de
los principios de protección de datos. Será la única forma que en
estos momentos tengamos para impedir que los datos, una vez fuera de
nuestras fronteras, circulen con absoluta impunidad. Esto me
parecería muy poco serio porque, señorías, si no se remedia
tendríamos que pedir la derogación de la directiva comunitaria y de
la ley española, porque me parece absurdo que vayamos a tratar con
más rigor a las empresas españolas o comunitarias y que en cambio
Estados Unidos se convierta en el mercado de los datos personales.
Estoy últimamente tratando de centrar la redacción de una instrucción
que sin olvidar otras, pero por los motivos que le he explicado, no
se han producido las que en principio debieran haberse llevado a
cabo.
En cuanto al reglamento de las medidas de seguridad ha resultado muy
adecuado porque fíjese que desarrolla un principio de la ley que es
la exigencia de medidas de seguridad que también está vigente en los
mismos términos en la nueva ley, con lo cual es totalmente
trasladable y vigente con la nueva ley de protección de datos.
Indudablemente el reglamento ha determinado que las empresas tengan
que hacer un esfuerzo más, pero no un esfuerzo tanto económico,
porque cuando estamos hablando de medidas de seguridad aquí parece
que todo es técnico y que todo lo técnico en informática es caro y
fundamentalmente en muchos casos son medidas organizativas; es decir
que al ordenador no tenga acceso nada más que quien puede tener
acceso, que se controle que los ordenadores quedan apagados, que al
ordenador se accede por unos determinados empleados para unas cosas y
por otros para otras, etcétera. Indudablemente los datos sensibles o
especialmente protegidos como los de salud tendrán además que ir
encriptados para evitar que pueda existir fuga de los mismos sobre
datos que van más íntimamente dentro del propio derecho del
ciudadano. Creo que en general he contestado a sus cuestiones; en
cualquier caso quedo a su disposición.
Paso seguidamente a responder al señor Erkoreka en cuanto a las
instrucciones que hemos dictado. Creo que podemos dar por reproducido
lo que he dicho a la señora Del Campo porque estamos pendientes un
poco de que se dilucide el tema de la aplicación de la entrada en
vigor sin ningún tipo de vacatio legis de la ley para poder
estructurar todo esto.
En los planes sectoriales, como ya he dicho, se han dictado las
correspondientes recomendaciones que por supuesto pondré a
disposición de la Mesa para que se las hagan llegar a usted. En todos
y cada uno se han
dictado las recomendaciones y en cuanto a los problemas de aplicación
en la ley, indudablemente los hemos encontrado principalmente con la
adicional primera a que antes he hecho mención. Por lo que se refiere
al reglamento de medidas de seguridad tengo que insistir en que se
adecua perfectamente a las exigencias de la nueva ley, y tampoco ha
habido problemas para su implantación toda vez que ha ido de forma
gradual. Evidentemente nos ha incrementado el trabajo en cuanto
a número de consultas, puesto que no todos establecían una
interpretación muy acorde con el mismo; pero también a través de la
página web en Internet últimamente hemos hecho públicas las consultas
más frecuentes para que también accediendo a ellas se pueda conocer
el parecer de la Agencia y se les pueda ayudar en esta materia.
En cuanto al problema que ha sugerido de pequeñas y medianas empresas
por la poca actividad informativa de la Agencia, la verdad es que
tratamos de dar la máxima difusión a la ley y además últimamente los
medios de comunicación se han hecho eco de las actuaciones de la
Agencia, y tanto en la prensa de ámbito nacional como local todos los
días hay alguna noticia de la Agencia de Protección de Datos, con
independencia de que también otros medios de comunicación social se
hayan hecho eco de las cuestiones que los ciudadanos suscitan a la
Agencia. En todo caso, cualquier sugerencia de SS.SS. para poder
incrementar nuestra presencia de cara a los ciudadanos será bien
recibida. Cualquier cosa que usted desee, por supuesto estoy a su
disposición para aclararla o ampliarla.
Respecto a las palabras del señor Jané, tenemos como usted dice un
régimen sancionador que es el más alto de Europa. La dificultad
cuando se tiene un régimen sancionador alto es pasar al bajo, porque
si bien para algunas empresas sobre todo pequeñas y medianas empresas
puede resultar muy oneroso satisfacer una multa de la Agencia,
algunas grandes empresas llegarían a solicitar que les cobráramos
varias sanciones y les dejáramos en paz porque aquello les resulta
excesivamente barato. Es difícil establecer el límite. De ahí que yo
ya hiciera una sugerencia en esta Comisión que fue recogida por el
Grupo Parlamentario Popular y por el Grupo Parlamentario Vasco (PNV)
y se incluyera una previsión en el artículo 45.5 de la nueva ley que
posibilita al director de la Agencia para que atendiendo
circunstancias especiales de menor culpabilidad o apreciación de una
menor intencionabilidad, se pudiera reducir la sanción en un grado;
es decir una falta muy grave sancionarse como grave, y una falta
grave sancionarse como leve. Creo que es una previsión acertada, para
estos temas que usted ha suscitado nos va a ser útil, y por supuesto
ya estoy aplicándola en aquellos casos que concurren las
circunstancias que rigurosamente en este aspecto ha establecido el
legislador.
En cuanto a las sentencias que parece ser no revocan muchas, lo
primero que hay que decir es que esas son
las primeras sentencias, con lo cual son las primeras resoluciones de
la Agencia, y tanto las primeras de unos como de otros tampoco se
puede pedir que sean muy afinadas. Por supuesto, lo mejor será el día
en que de 100 resoluciones todas sean confirmadas. También hay que
tener en cuenta otra cuestión que por el distinto ámbito competencial
jurisdiccional se observa, y puede usted ver en la memoria que una
misma conducta que se ha sancionado de una misma forma por la
Agencia, por una sala del Tribunal Superior de Justicia se considera
que no existe infracción, y por otra en cambio se considera que sí
existe, con lo cual esto también tendrá un mejor remedio toda vez que
ahora tendremos una unificación de doctrina al conocer de los
recursos contra las resoluciones del director de la Agencia la
Audiencia Nacional. Por lo menos tendremos un criterio más
unificador. En este sentido, yo creo que sí se ha notado en las
últimas sentencias. Por supuesto, soy consciente y me preocupa si las
resoluciones se confirman o no. Le advierto que en alguna ocasión en
la que no había cuantía suficiente para recurrir al Tribunal Supremo
estuve tentado de solicitar que se recurriera en interés de ley, lo
que ocurre es que como iba a pasar inmediatamente la competencia a la
sala de la Audiencia Nacional vi que era un esfuerzo tal vez
desproporcionado y extemporáneo en ese momento y por eso no lo hice.
Desde luego, si se mantuvieran estas discrepancias con el tribunal
que ahora puede unificar la doctrina, indudablemente habría que
hacerlo.
Comparto su interés y preocupación por la disfunción entre la Ley de
régimen general electoral y la Ley del comercio minorista que parecía
posibilitar al menos que los empresarios dedicados al marketing
obtuvieran los datos de los ciudadanos del censo electoral. Esto no
ha podido ser así. Sé que no todos están de acuerdo conmigo, pero
sinceramente creo que el censo promocional es una buena solución; es
una buena solución porque el censo promocional va a posibilitar que
estén en él aquellos ciudadanos que lo deseen, aquellos que no lo
deseen puedan no estar, y sólo a los que estén se les envíe
publicidad, existiendo además la posibilidad de poder estar un año y
darse de baja al año siguiente y no recibir esa publicidad.
Efectivamente, como usted ha dicho, corresponde al INE el desarrollo
del mismo. Como SS.SS. saben ha cambiado también la presidencia del
INE, pero ya en el mes de julio me puse al habla con la nueva
presidenta y le hice ver la necesidad de que esto se ponga en marcha,
poniéndome a su disposición para que la Agencia pueda colaborar en
que el censo promocional se establezca dentro de la legalidad de
protección de la intimidad. Por otro lado, también mantengo reuniones
con el colectivo del marketing, que me preguntan sobre el tema y les
he aconsejado que se dirijan al INE, con independencia de que por
supuesto nos tienen a su disposición para mejorar en lo que sea
posible esta puesta en marcha.
En cuanto a la sensibilidad y a no sancionar lo que resulta
sancionable, yo creo que va a ser difícil porque la ley, como usted
sabe, está para cumplirla. Lo único que sí se podrá tener en cuenta
es la previsión del artículo 45.5 dependiendo de las circunstancias,
porque tampoco nos podemos olvidar que existen algunas empresas que
han sido reiterativas en la comisión de este tipo de infracciones y
pese a ser sancionadas han continuado sin borrar datos del censo
electoral cuando ya por resoluciones que habían sido confirmadas por
los tribunales sabían que no podían hacerlo. De todas formas, como S.
S. conoce, soy sensible al problema y trataremos de que cuanto antes
se regularice el censo promocional y que ello se produzca dentro del
marco normativo adecuado para que se posibiliten ambos derechos, el
de la intimidad de los ciudadanos y el ejercicio de un libre y lícito
comercio por los empresarios, que es nuestro deseo.
Finalmente, quiero agradecer las palabras del señor De Juan,
compartiendo su opinión de que estamos dispuestos, dentro de nuestras
posibilidades, a incrementar la función informativa de la Agencia;
pero no podemos olvidar que son 62 funcionarios, que son 24 horas al
día y 365 días al año. Tenemos los expedientes, tenemos el trabajo
internacional y por supuesto es una preocupación pero hacemos lo que
podemos; incrementaremos más nuestros esfuerzos, si ello resulta
posible, para que se dé a conocer una ley nueva. Ésa ha sido mi
función fundamental en todas estas jornadas, seminarios y cursos a
los que he asistido durante el pasado año. Antes de que la ley
entrara en vigor procedía darla a conocer y sobre todo dará a conocer
principales novedades que la misma incluía.
La señora PRESIDENTA: ¿Algún grupo y muy brevemente dado lo avanzado
de la hora, quiere realizar alguna puntualización a la intervención
segunda? (Pausa.)
- PROTECCIÓN DE LA INTIMIDAD PERSONAL Y FAMILIAR EN RELACIÓN CON
INTERNET. A SOLICITUD DEL GRUPO PARLAMENTARIO SOCIALISTA. (Número de
expediente 212/000080)
La señora PRESIDENTA: Pasamos a la comparecencia relativa a la
información del director de la Agencia de Protección de Datos sobre
la protección de la intimidad personal y familiar en relación con
Internet.
El señor Fernández López tiene la palabra. (El señor López Garrido
pide la palabra.)
Señor López Garrido.
El señor LÓPEZ GARRIDO: No sé si estoy en lo cierto, pero tengo la
sensación de que cuando se trata de una comparecencia pedida por un
grupo, si no ha sido pedida simultáneamente por el compareciente
tiene la palabra en primer lugar el grupo que pide la comparecencia.
La señora PRESIDENTA: La praxis a que yo he asistido en distintas
comisiones es que el compareciente tiene la palabra, pero si quiere
hacer uso de ella en primer lugar el Grupo Parlamentario Socialista,
y por tanto el señor López Garrido, por parte de la Mesa no existe
inconveniente.
El señor LÓPEZ GARRIDO: Muchas gracias, señora presidenta, y entre
otras cosas para hacer conocer al compareciente el sentido de la
petición de comparecencia, que no conoce en su integridad.
Ante todo me sumo a la bienvenida a esta Comisióndel señor Fernández
López, director de la Agencia de Protección de Datos, agradeciéndole
su presencia, como han hecho los portavoces de otros grupos y de
nuestro propio grupo parlamentario.
El sentido de la petición de comparecencia en relación con Internet y
en lo que afecta a los derechos fundamentales y a las funciones de la
Agencia de Protección de Datos tiene un punto de partida y es que en
estos momentos Internet tiene casi 250 millones de usuarios; usuarios
que utilizan Internet para informarse, para divertirse, para
comunicarse o para desarrollar actividades económicas. Lo cierto es
que esto crece a un ritmo enorme, un 15 por 100 anual de crecimiento
del uso de Internet. Además, tiene sentido porque ha habido sucesivos
hechos -haré alusión a algunos de ellos- en nuestro país y fuera de
nuestro país que ponen de manifiesto la importancia de Internet en
relación con la problemática general de la protección de datos
personales y tiene sentido que nosotros, en esta comparecencia del
director de la Agencia de Protección de Datos, queramos dedicar una
específica atención a Internet. Cuando se hicieron las primeras leyes
de protección de datos en relación con la informática no existía el
fenómeno de Internet y en estos momentos por supuesto Internet ha
revolucionado ese mundo, aparte de haber revolucionado incluso la
vida diaria. Nuestro objetivo con esta comparecencia era solicitar su
opinión, su información y su explicación sobre medidas que se pueden
adoptar en relación con Internet, específicamente sobre lo que
consideramos dos aspectos esenciales que nos interesan especialmente
en esta Comisión como es el tema de los derechos fundamentales y el
tema de la seguridad en Internet.
Son conocidos algunos hechos que a veces tienen incluso el aspecto de
anécdota, pero que es la punta del iceberg. En Estados Unidos que es
donde estas cosas se conocen primero, ha habido múltiples ataques de
lo que ya se ha denominado, con una terminología inevitablemente
anglosajona, los hackers, que han realizado acciones realmente
sorprendentes y muy dañinas en ocasiones. Han entrado en la web de
importantes instituciones y por supuesto en la web de Bush y de Al
Gore, los candidatos a la Presidencia de los Estados Unidos en estos
momentos, intentando poner en ridículo las medidas de seguridad de
estas web. Es conocido que, en España, los hackers entraron en la web
de La Moncloa y que, durante un cierto tiempo, concitaron la atención
por las cosas que hacían en esa web. También es conocido que, hace
poco, los hackers entraron en la web del Real Madrid logrando poner
al lado del escudo del Real Madrid el escudo del Barcelona, al grito
de: Somos más vulnerables en la red que la defensa del equipo. Esta
frase de que era más vulnerable el Real Madrid en la red que la
defensa del equipo, que lo era mucho en ese momento, pone de
manifiesto el sentido de fondo de la inseguridad de la red.
Aparte de estos datos, que hasta pueden ser anecdótico- lúdicos, no
se puede ocultar que la falta de seguridad y los ataques de los
hackers producen unas pérdidas anuales de 1.600 millones de dólares,
que van en aumento, y que ha habido violaciones de sistemas
informáticos enteros, robos de tarjetas de crédito para múltiples
usos, robos de información, bloqueos de empresas importantísimas de
la red vinculadas a Internet, empresas vinculadas a la llamada nueva
economía, e incluso se ha llegado a hablar de ciberterrorismo. El
presidente Clinton convocó una reunión deprisa y corriendo para
tratar este asunto. Es conocido que el grupo de delitos informáticos
de la Guardia Civil considera que la posibilidad de un ataque de
ciberterroristas en nuestro país no es muy lejana y habla de que las
nuevas tecnologías posibilitan la comunicación entre grupos
terroristas. Incluso, el jefe de seguridad informática del Cesid
manifestó que los equipos de nuestro país son, en su mayoría, muy
vulnerables; vulnerables para todo y vulnerables también para el
derecho a la intimidad y otros derechos fundamentales.
En relación con la intimidad concretamente, recientemente se conoció
la filtración a la red -antes, estas cosas se filtraban a los
periódicos; ahora, se ponen inmediatamente en al red, que es la forma
de hacer más daño si se quiere hacer- de los datos personales de
1.700 concursantes de un muy conocido concurso, Gran Hermano, que se
situaron en la red por el robo de esos datos personales por un
hacker, según la empresa productora. Lo cierto es que la afectación a
la intimidad es absolutamente posible, más aún en la era de Internet.
El año pasado salió un artículo en la Minneapolis Star Tribune, una
revista estadounidense. Escogieron una persona al azar y los
redactores de esa revista, a partir de las informaciones que surgían
de grupos de discusión, los famosos chats donde participaba esa
persona, lograron conseguir la dirección y el número de teléfono de
esa persona, el lugar de nacimiento, el lugar donde había estudiado,
su profesión, lugar actual de trabajo, interés por el teatro amateur,
su cerveza preferida, los restaurantes y destinos de vacaciones
favoritos, incluso su opinión sobre temas tales como Bill
Gates o el Estado de Indiana, al que consideraba socialmente
represivo. Es decir, se podía saber prácticamente todo a través de la
entrada en la red porque Internet, como es sabido, genera muchos
datos personales. Usted ha hecho una cita ahora mismo en contestación
a preguntas de alguno de los portavoces que ha intervenido antes.
Este medio es muy interactivo, no es como la televisión, es un medio
que deja muchas trazas personales. También como el comercio
electrónico, en auge, utiliza mucho los datos personales, requiere
datos personales a veces innecesariamente. Hay empresas en la red
que, para cualquier cosa, te piden el dato personal, cuando es
absolutamente innecesario, para luego comerciar con él. Incluso, es
conocido un invento informático, las famosas coockies, que no se sabe
cómo traducir al castellano; es una palabra que no ha podido traducir
ni el Consejo de Europa pues utiliza la expresión coockies en su
recomendación al respecto. Es una fórmula para, en todo momento,
poder atraer, conocer, los datos personales de una persona, dónde ha
estado antes, qué webs ha visitado, etcétera.
Todo esto pone de manifiesto que, con Internet, está cambiando
absolutamente la dimensión de la protección, del objeto a proteger o
de quién defenderse. En estos momentos, probablemente porque en la
nueva economía tiene un gran protagonismo la empresa privada, las
empresas privadas tienen un papel muy creciente en el manejo de los
datos personales. Hace años, nos preocupaba más lo que hacía el
sector público, pero ahora lo importante sobre todo es lo que hacen
las grandes empresas privadas, que intervienen enormemente en
actividades en Internet, lo cual afecta a la seguridad o a la
intimidad. Y ello con una gran contradicción porque, por un lado,
esas empresas privadas necesitan unos datos personales determinados
para los pagos electrónicos, aunque intentan darles seguridad, pero
al mismo tiempo todo eso provoca que se meta en la red una enorme
cantidad de datos personales y que las empresas cada vez manejen más
datos personales. Esos datos personales se convierten, como usted ha
dicho hace un momento, en un apetitoso bocado de comercialización. Es
una retroalimentación porque los datos personales se convierten
probablemente en uno de los más potentes comercios, lo que da más
rédito a las empresas en la red, que a su vez los revenden para
múltiples objetivos, comerciales o no comerciales.
Junto a este creciente papel de las empresas privadas en el campo de
Internet, que afecta a la seguridad y a la intimidad, no hay un
paralelo sistema jurídico de responsabilidad de esas empresas. La
responsabilidad que tienen esas empresas sobre la filtración posible
de esos datos no ha crecido a la misma velocidad que el papel fáctico
de esas empresas en el manejo de datos personales. Incluso, se
discute sobre quién es el responsable de una filtración de datos
personales o de delitos informáticos, como pornografía infantil. ¿Es
el responsable el que lo envía, el que lo pone en la web, que a veces
no se sabe quién es? ¿Es responsable el servidor o el proveedor de
servicios que no investiga adecuadamente las cosas que está
permitiendo que aparezcan en la red? ¿Se le puede exigir a un
proveedor que investigue todo aquello que pasa por sus instalaciones
informáticas?
A nosotros nos preocupa sobre todo la reacción de los poderes
públicos, la reacción política, ante esta situación. Nos preocupa
porque, aunque hay un cierto consenso en que lo ilegal fuera de la
red tiene que ser ilegal también en la red y en principios básicos
como la libertad de circulación o la libertad de expresión y la
intimidad, lo cierto es que la evolución de la reacción política ante
este fenómeno ha sido lógica teniendo en cuenta los avances
tecnológicos, pero también preocupante porque de un control a priori,
que por ejemplo en España era el centro del mecanismo de las primeras
leyes de protección de datos, se ha ido pasando cada vez más a un
control a posteriori, es decir, a una posición mucho más flexible
desde el punto de vista de la política. Lo ponen de manifiesto
modificaciones que ya hemos visto en la propia Directiva europea 45/
96 ó el hecho de que, en la memoria que usted nos ha presentado esta
mañana, aparezcan resoluciones del Consejo de Europa, por ejemplo la
Resolución 99/5, o del grupo de trabajo del artículo 29 -en la
memoria están dos o tres de ellas, un documento de trabajo y dos
recomendaciones, la 1/99 y la 3/99-, pero todas son recomendaciones,
lo cual no parece una casualidad. Es decir, ya no son normas
coactivas, vinculantes, son recomendaciones, por tanto no vinculantes
y muchísimo más flexibles; se recomienda ser justos y benéficos a las
personas que están en Internet, a los proveedores, son meras
recomendaciones. Es decir, da la sensación de impotencia de los
poderes públicos para poder regular esta cuestión mediante normas
coactivas con las carácterísticas de una intervención pública
adecuada. Parece que se va imponiendo un poco la filosofía americana
de decir que para combatir esto no hay posibilidad ninguna de
establecer normas. Hay que ir simplemente a códigos de conducta,
códigos deontológicos, la contractualidad privada y otras técnicas,
pero desde luego siempre en un sentido muy light, en un sentido muy
flexible, que abandona lo anterior.
Todo esto es para explicarle por qué hemos pedido que usted nos
informe sobre esta cuestión. Sobre todo, con este preámbulo
querríamos que nos contestase a tres cosas. Primero, nos gustaría
saber cuáles son las acciones que piensa desarrollar al respecto la
Agencia de Protección de Datos. Desearía que profundizase algo más en
una instrucción que, al parecer, están preparando al respecto. Es
decir, ante la problemática de Internet y los efectos en los temas de
la seguridad y de la intimidad y en otros derechos fundamentales,
querríamos saber qué es lo que piensa hacer la Agencia de Protección
de Datos, cuál es su política futura al respecto
y cuáles son las medidas que considera que debe adoptar.
En segundo lugar, nos gustaría saber su opinión sobre la reacción
política que ha habido hasta ahora a este respecto, esencialmente
sobre la defensa de los derechos fundamentales, la seguridad, las
actividades delictivas a través de Internet y los efectos -que
también me parece muy importante- que puede tener esto en la
actividad de la Hacienda pública que, por una parte, necesita cierta
transparencia y, por otra parte, también estamos frente una
contradicción ante determinados derechos de intimidad. ¿Usted
considera que lo que se ha hecho hasta ahora, que la regulación que
hay, que las iniciativas en el campo internacional y nacional son
suficientes o habría que ir mucho más allá?
En tercer lugar, y ya de forma mucho más concreta, también nos
gustaría saber qué se puede hacer en relación con las normas de
seguridad exigibles a las empresas que trabajan en Internet, y si la
violación de esas normas de seguridad, con esos efectos tan dañinos,
debería llevar aparejado algún tipo de sanción más fuerte que la mera
multa. Porque aquí se ha hablado antes por el portavoz del Grupo de
Convergència i Unió de que puede haber multas excesivas, pero la
verdad es que en la práctica esas multas para algunas empresas son de
risa, es decir, es una mera cuestión de cuenta de resultados. Ganan
mucho más con las infracciones que con las multas que les pueden
imponer, que yo creo que ya está -como se dice en la jerga financiera
bolsística- descontado por los mercados. Quizá una sanción mucho más
adecuada podría ser la de prohibir a esas empresas trabajar en
Internet. Si esas empresas violan las normas de seguridad o violan
los derechos fundamentales, aprovechando las facilidades que para
ello les da Internet, no se les deberían permitir ejercer su
actividad comercial en Internet, ya sea de venta o de compra,
etcétera.
En definitiva, con esta petición de comparecencia lo que queríamos
saber era la opinión de la Agencia de Protección de Datos sobre esas
dos asignaturas pendientes que tiene Internet, que son la seguridad y
la intimidad.
La señora PRESIDENTA: Tiene la palabra el director de la Agencia de
Protección de Datos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Tengo que comenzar por decir que comparto las inquietudes del
señor López Garrido, ya que no en vano se ha dicho muchas veces que
tratar de regular Internet es como poner barreras al campo porque
estamos en un mundo globalizado. Comienzo por contestar su última
pregunta sobre si tenemos que prohibir el trabajar en Internet a una
empresa que viole el derecho a la intimidad. Bueno, ¿y de qué sirve?
Se va a un país donde no hay control y se puede acceder igual. En el
mundo globalizado
en el que vivimos es difícil, por un lado, regular Internet
y, por otro, es una herramienta útil, está ahí, es algo ya
imprescindible, está ya en la propia cultura del siglo que comenzará
el año que viene. También tenemos que analizar cuáles son los deseos
o cuáles son los comportamientos de los ciudadanos al respecto.
Fíjese que en una encuesta reciente sobre internautas europeos se
llega a la conclusión de que los más preocupados por su intimidad son
los internautas holandeses y los menos preocupados de todos son los
internautas españoles. Esta es una realidad que está ahí y me hace
reflexionar que si vamos a una regulación muy rigurosa podríamos
estar en contracorriente de lo que nos piden nuestros propios
ciudadanos. En cualquier caso, lo que sí que hay que permitir es que
aquel ciudadano que desee guardar su intimidad, también lo pueda
hacer en el llamado mundo de Internet. No tiene por qué ser distinto
el mundo de Internet del conocido mundo convencional. De ahí que ya
las autoridades de control de la Unión Europea, reunidas, como usted
bien ha dicho, por imperativo del artículo 29, hayamos declarado que
tanto la Directiva 95/46 como la 97/66, es decir, la de protección de
la intimidad en materia de las telecomunicaciones, son absolutamente
aplicables también a los supuestos de Internet. Lo que ocurre es que
hay dificultades en la aplicación. Para ello, a mi modo de ver, lo
primero que hay que hacer es informar, es decir que el ciudadano que
accede a Internet sepa cuál es el medio que está manejando y cuáles
son las posibilidades que ese medio le da y cuáles son las
posibilidades que fuera del medio tiene para aplicar al mismo. De ahí
que la Agencia de Protección de Datos ya en el año 1997 editara unas
recomendaciones para usuarios de Internet que, en definitiva, les
advierte de los peligros. Porque como usted ha señalado, a través de
unas cookies se está en un chat o en un foro de opinión, con unas
cookies que muchas veces son invisibles, pueden captar nuestros datos
y esos datos no saben dónde van, etcétera. Ni qué decir tiene que si
encima lo que estamos haciendo es una transacción comercial y damos
nuestro número de tarjeta de crédito o de cuenta corriente sin que
esos datos vayan cifrados o encriptados, verdaderamente estaremos
ante una situación prácticamente suicida contra nuestra economía,
porque el descalabro que podrá producirnos puede ser tremendo. Por
tanto, lo primero que hay que hacer es informar.
La Agencia ha estado presente en todos estos foros, como en el del
artículo 29, que el año pasado, como usted bien ha dicho, produjo una
recomendación y dos dictámenes que, en definitiva, vienen a recoger
lo que ya decía la Agencia de Protección de Datos en el año 1997, y
que para no cansarles no les voy a leer, aparte de que lo tienen en
la memoria; igualmente, en el Consejo de Europa hay una importante
recomendación. Pero como usted ha podido comprobar, estos sonmás bien
buenos consejos, hay poco práctico, poco que
sea obligatorio. Tampoco podemos olvidar que incluso en los foros
europeos no todos comparten con nosotros el mismo interés por la
protección de la intimidad. El grupo anglosajón y los que le siguen,
como holandeses, etcétera, son mucho más abiertos a que Internet hay
que usarlo y que si no ocurre una grave infracción de los datos, pues
que no pasa nada o casi nada. Personalmente, no estoy de acuerdo.
Creo que cada uno debe tener el derecho, dentro de su libertad, a
usar o no sus datos personales según su propia apetencia.
En este aspecto la Agencia, aparte, vuelvo a repetir, de las
recomendaciones, ha tocado otros puntos para proteger a los
ciudadanos y unos de ellos ha sido la promoción de códigos éticos
para Internet. Nosotros hemos sido el primer país de la Unión Europea
que hemos inscrito un código ético para la Asociación Española de
Comercio Electrónico. En la confección de este código -al que se ha
adherido una cantidad importante de empresas de diversos sectores
como el bancario, los medios de comunicación audiovisual y escrita,
correos, establecimientos comerciales, edición y distribución de
libros, informática, telecomunicaciones, marketing, consultoría,
incluso asesoría jurídica y empresarial- no sólo ha participado la
propia Asociación Española de Comercio Electrónico, sino también las
tres principales asociaciones de consumidores españolas y la
asociación de autocontrol de la publicidad, estando, además, ellas
presentes en un comité regulador que se establece. De lo que se trata
es de que el derecho a que se informe a los afectados de que sus
datos han sido recabados o capturados por los anunciantes debe
encontrar su primera manifestación en la obligación que se impone de
informar de ello en su página web mediante un aviso de que se está
produciendo este tratamiento de datos. El consumidor en tal supuesto
podrá oponerse total o parcialmente incluso al tratamiento de sus
datos, exceptuando los casos en los que resulte necesario tener unos
datos para la perfección de una relación contractual. El consumidor
podrá, de igual forma, seleccionar o excluir finalidades para las que
consiente que sean destinados sus datos. En el caso de terceros,
además deberá informárseles sobre la identidad de los cesionarios y
sobre la finalidad perseguida con la cesión. Asimismo, este derecho
de oposición se podrá realizar on line, es decir, en el momento en
que se está realizando la comunicación. En las relaciones con
terceros contratantes, las empresas involucradas en la cesión de
datos para realizar ofertas por e-mail deberán garantizar el
cumplimiento de los principios de este código ético.
También incluso se ocupa el código de la relación en el tratamiento
de datos de menores ante la dificultad de conocer cuándo un menor
facilita sus datos o si verdaderamente los está realizando el titular
o titulares de la patria potestad. Por eso, en el código se avisa a
éstos de la obligación que tienen de controlar a sus hijos, y con
independencia de ello se comprometen las empresas en
los temas dirigidos a los menores a que la publicidad sea adecuada
con la Ley orgánica de protección al menor, donde ya, como SS.SS.
saben, se les da a los menores una cierta posibilidad de decisión,
pero con unos límites sobre todo en aspectos que no sean
perjudiciales para su desarrollo integral. Y se concede
preventivamente a los padres que puedan ejercitar los derechos de
acceso, cancelación o rectificación de forma que, en el supuesto de
que conecten los hijos, no se les envíe ningún tipo de publicidad ni
se retengan sus datos. Es una de las fórmulas, en definitiva, para
que a través de una marca que va a identificar a todas estas empresas
que se comprometen al código ético, quienes comercien en Internet
puedan saber qué empresas o qué grupos de empresas están dispuestas a
mantener su intimidad sin violación de ningún tipo. Pero es indudable
que desgraciadamente se producen violaciones en Internet y les voy a
resumir algunas a SS.SS. porque creo que pueden ser significativas de
lo que ocurre y de los medios que tenemos para defendernos.
En un supuesto de publicidad no deseada a través de la dirección de
un correo electrónico, el usuario de Internet recibe mensajes
publicitarios -los hechos vienen a ser estos- en su dirección de
correo electrónico remitidos de otras direcciones de correo
electrónico de una empresa dedicada a esta actividad.
El usuario solicitó información sobre la procedencia de su dirección
de correo electrónico y pidió la baja en la lista de distribución,
ejercitando su derecho de acceso y de cancelación. Inmediatamente
volvió a recibir mensajes publicitarios a su dirección de correo
electrónico. Asimismo, recibió un mensaje amenazante personalizado
con destino a la misma dirección de correo electrónico. Aquí la
cuestión relevante consiste en determinar si la dirección de correo
electrónico del usuario puede ser o no considerada como un dato
personal.
La Agencia, teniendo en cuenta (porque el correo electrónico puede
estar explicitando el nombre y apellidos de una persona vinculado
sólo a una enumeración, con lo cual queda identificada, o puede tener
un nombre figurado, en cuyo caso no quedaría identificada) este
supuesto, toda vez que se posibilitó vincular el correo electrónico a
una persona, en concreto al enviar la nueva publicidad y la carta
insultante, consideró que era un dato personal, que se había violado
la ley, y se impuso la correspondiente sanción.
Otro tema de gran importancia es la obtención de datos a través de la
página web de terceros países y la cesión posterior a filiales
españolas. Aquí los usuarios de Internet residentes en España acceden
a la página web de una importantísima empresa líder en el sector de
software, ubicada en los Estados Unidos de Norteamérica, país que,
como saben, no tiene nivel de protección equivalente. Los usuarios
consultan la información contenida en la página web de la empresa
norteamericana interesándose por nuevos productos y
servicios que ofrece. Para ello registran sus datos personales, que
se incorporan a la base de datos de dicha empresa. No obstante, y
dicho lo anterior, hay que tener en cuenta que la empresa americana
mantiene una política propia de protección de la privacidad que sólo
puede ser conocida por el usuario si accede a otras páginas web, a
las que hablan de privacidad, pero no a donde está consultando. Al no
ser obligatorio este acceso a las páginas web de publicidad, si se
accede a las otras directamente, la empresa americana entiende que se
ha dado el consentimiento tácito. Una vez incorporados los datos a
los sistemas informáticos de la empresa, ésta permite a las filiales
residentes en otros países, entre ellos España, que accedan a las
bases de datos, transfieran telemáticamente e incorporen a sus
propios ficheros informáticos, ubicados en este caso en España, los
datos que han sido recabados y tratados en Estados Unidos. En
resumen, se obtienen datos a través de Internet en ficheros ubicados
en un país sin nivel de protección adecuado y posteriormente son
enviados a España.
La Agencia de Protección de Datos inició un procedimiento sancionador
que ha concluido con una resolución en la que señala la insistencia
de infracción y se impone una multa de diez millones y una peseta a
la filial española. Toda vez que el derecho territorial aplicable en
la recogida de datos fuera el americano, puesto que se recaban en los
Estados Unidos, al venir los datos aquí y ser tratados, en ese
momento entra en aplicación la legislación española y esos datos, que
han sido recabados sin consentimiento del ciudadano evidentemente,
conforme a nuestra ley, no pueden ser tratados, por lo que, aplicando
la misma, impusimos la sanción.
Los casos son múltiples. Recientemente hemos tenido otro importante
de una asociación privada que presenta un informe anual en un
servidor de otra asociación y que incluye ficheros identificativos de
300 personas aproximadamente, miembros de Cuerpos y Fuerzas de
Seguridad del Estado, de funcionarios de prisiones y de políticos,
que en algunos casos han sido denunciados por delitos de tortura, en
otros casos condenados por sentencia firme o no y, en otros,
absueltos, y mantiene ese fichero. Después de las correspondientes
diligencias de inspección, la Agencia inició un procedimiento
sancionador a la asociación responsable del fichero por entender que
se estaban tratando datos sensibles y sin el consentimiento de los
ciudadanos, y que además se estaban cediendo de una forma masiva,
como supone Internet, a todos.
De ahí que se adoptaran medidas cautelares, que fueron atendidas, y
al final se dictara una resolución. Se cuestionaba si la Agencia
estaba interfiriendo el derecho a la libre información y libre
expresión de la citada asociación. Esto no era así, porque la agencia
en ningún caso cuestionó ni entró a valorar el informe de dicha
asociación. Lo único que se sancionaba es que se
mantuviera un fichero con datos sobre infracciones penales cuando el
artículo 7.5 de la ley vigente establece que sólo las
administraciones públicas, no cualquier Administración pública sino
aquellas que están en el ejercicio de sus respectivas competencias,
pueden mantener ficheros con datos sobre infracciones penales o
administrativas. Eso es lo que se cuestionó y eso es lo que se
sancionó. Aquí se nos ha planteado, señorías, un grave problema,
porque el fichero ha sido copiado por otros servidores que se
encuentran fuera del territorio nacional. Concretamente, en el
supuesto de Bélgica, de Suiza, de Suecia y de Nueva Zelanda me he
dirigido -todos tienen autoridad de control- a las autoridades de
control y he solicitado cooperación para que se proceda de igual
forma al borrado de estos ficheros. Estoy pendiente de las
resoluciones. Sí puedo decirles que tanto el comisionado italiano
como el sueco y el neozelandés, que me visitó el pasado mes de junio
para recabar más datos, estaban interesados en realizar alguna
función en este aspecto. Aún está sin terminar. Pero este es el
problema que tenemos en Internet. Podemos sancionar en un sitio, pero
los datos aparecen en otro, sin que podamos acreditar si esos datos
han sido cedidos -porque entonces se podría seguir sancionando- o han
sido cogidos por el otro y de qué forma. Ese es uno de los graves
problemas que tiene Internet. De todas formas, nosotros seguimos en
este aspecto, con las autoridades de control, insistiendo y esperamos
ver qué resolución dan.
Por lo que respecta al tema que se ha referido usted de Gran Hermano,
como consecuencia, al parecer, de un hacker que pudo acceder a uno de
los ficheros, estos se publicaron en Internet. La Agencia intervino
inmediatamente, pero lo que se descubrió -y se lo voy a contar muy
sintéticamente, porque el procedimiento no está terminado- es que
había recogida de datos sin informar a los ciudadanos, que además
esos datos de una empresa se cedían a otras, que esas otras
enriquecían los datos y los enriquecían pasando test psicológicos,
incluso se aportaba información sobre enfermedades psíquicas de
algunos de los concursantes. En definitiva, por una cadena de seis o
siete, todos tenían su fichero y todos tenían esos datos, sin el
conocimiento, sin el consentimiento de los ciudadanos, ni tan
siquiera para su tratamiento ni para cesión. De ahí que la Agencia
haya abierto el correspondiente procedimiento sancionador. Es un tema
similar al de una asociación, al que antes me referí y que les sonará
porque este verano tuvo un gran eco en los medios de comunicación,
una asociación médica de defensa de pacientes, que pretende aperturar
una página web con sentencias en las que se recojan las condenas a
los médicos por mala praxis. Indudablemente, por los motivos que les
he señalado antes, nuestra ley es terminante. Una asociación privada
no podrá establecer este tipo de ficheros. A la asociación se le ha
emitido un dictamen escrito, también a su petición. Hasta ahora no
han hecho
esta publicidad, pero se les ha advertido de la ilegalidad, porque se
plantea luego la posibilidad de que esas sentencias se publicaran, en
vez de con nombre y apellidos, con las iniciales. Y eso depende,
porque la ley protege en los supuestos de que la persona se haya
identificado o sea identificable. Si la sentencia dice, el médico don
A. S., jefe de traumatología del Gregorio Marañón, no hace falta que
diga el nombre para poder identificar a la persona. En ese supuesto
está claro que no pueden mantenerse estos ficheros porque en un
Estado de derecho, donde hasta el mayor delincuente puede, pasado el
tiempo y cumplida su condena, borrar sus antecedentes del registro de
penados y rebeldes para poder reinsertarse socialmente, si
permitiéramos este tipo de ficheros, estaríamos creando un problema
de ilegalidad y de inseguridad tremendo. Los ficheros y las condenas
sólo pueden establecerse por los jueces y no podemos los particulares
establecer ficheros que los contengan. De ahí que, como SS.SS.
conocen, las colecciones legislativas contengan las sentencias
anónimas, para que todos podamos utilizarlas pero sin que se viole la
intimidad de los ciudadanos.
Nada más, muchas gracias.
La señora PRESIDENTA: Muchas gracias, señor director de la Agencia de
Protección de Datos. ¿Señor López Garrido? (Pausa.) ¿Algún grupo
desea intervenir? (Pausa.)
Por el Grupo Parlamentario Popular, el señor De Juan tiene la
palabra.
El señor DE JUAN I CASADEVALL: Señora presidenta, dado lo avanzado de
la hora, intervengo muy sucintamente para agradecer, en nombre del
Grupo Parlamentario Popular, las aclaraciones del señor director de
la Agencia de Protección de Datos y también para dejar patente la
preocupación de nuestro grupo por la
protección de la intimidad en el ámbito de Internet, por las propias
características que tiene la red en términos de infraestructura
basada en datos personales, en términos de instrumentos técnicos que
le sirven de soporte y que evolucionan, de extensión del comercio
electrónico, de difusión de información o de la propia dimensión
global que tiene la red.
Entendemos que hay una dificultad intrínseca, consustancial,
inherente a lo que es Internet en la protección de la intimidad, pero
consideramos positivas y esclarecedoras las aclaraciones vertidas por
el señor director de la agencia y en ese sentido consideramos que es
necesario continuar avanzando en la protección del derecho a la
intimidad en el ámbito de Internet, para lo cual yo reitero la
colaboración de nuestro grupo en este tema.
La señora PRESIDENTA: ¿El señor director de la Agencia de Protección
de Datos quiere realizar alguna intervención?
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Nada más deseo agradecer a SS.SS. sobre todo la paciencia que
han tenido en una sesión tan larga. Para mí ha sido de gran utilidad
y por supuesto las sugerencias que SS.SS. me puedan hacer serán de
gran utilidad, porque en definitiva están transmitiendo el sentir de
los ciudadanos, cuyo derecho a la intimidad me corresponde
especialmente proteger.
La señora PRESIDENTA: Con el agradecimiento de la Comisión al
director de la Agencia de Protección de Datos por la comparecencia
efectuada esta mañana, sin más, se levanta la sesión.
Era la una y cuarenta minutos de la tarde.