Camiño de navegación
Publicacións
DS. Congreso de los Diputados, Comisiones, núm. 358, de 07/11/2001
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2001 VII Legislatura Núm. 358
CONSTITUCIONAL
PRESIDENCIA DE LA EXCMA. SRA. D.ª MARGARITA MARISCAL DE GANTE
Sesión núm. 11
celebrada el miércoles, 7 de noviembre de 2001
ORDEN DEL DÍA:
Comparecencia del señor director de la Agencia de Protección de Datos
(Fernández López) para informar sobre:
- La memoria de la Agencia de Protección de Datos correspondiente al
año 2000. A petición propia. (Número de expediente 212/000599.) . . .
(Página 11734)
- Las medidas adoptadas por esa Agencia para evitar la reiterada y
escandalosa vulneración de la confidencialidad de datos de carácter
personal de los ciudadanos por parte de las administraciones públicas
y, en especial, por la Agencia Estatal de Administración Tributaria
(AEAT).
A solicitud del Grupo Parlamentario Socialista. (Número de expediente
212/000563.) . . . (Página 11755)
- La circular de la Dirección General de la Policía que prevé la
creación de archivos informáticos especiales sobre inmigrantes. A
solicitud del Grupo Parlamentario Socialista. (Número de expediente
212/000825.) . . . (Página 11761)
Se abre la sesión a las diez y cinco minutos de la mañana.
COMPARECENCIA DEL SEÑOR DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS
(FERNÁNDEZ LÓPEZ) PARA INFORMAR SOBRE:
- LA MEMORIA DE LA AGENCIA DE PROTECCIÓN DE DATOS CORRESPONDIENTE AL
AÑO 2000. A PETICIÓN PROPIA. (Número de expediente 212/000599.)
La señora PRESIDENTA: Se abre la sesión. Vamos a comenzar el orden
del día de la Comisión Constitucional.
Previamente, dados los hechos acaecidos en la mañana de hoy, si les
parece a SS.SS., podría constar en acta el rechazo y la más enérgica
repulsa de los miembros de esta Comisión Constitucional por el
asesinato esta mañana del magistrado de la Audiencia Provincial de
Vizcaya, señor Lidón. ¿Consideran SS.SS. que es adecuado?
(Asentimiento.)
Sin más procedemos al desarrollo del orden del día, que, como SS.SS.
conocen, es la comparecencia del director de la Agencia de Protección
de Datos, para ventilar todos los asuntos pendientes hasta el día de
hoy que hayan sido calificados por la Mesa. El día 31 de octubre se
recibió otra petición del Grupo Parlamentario Socialista para que se
informara sobre la circular de la Dirección General de la Policía que
prevé la creación de archivos informáticos especiales para
inmigrantes. Por tanto, dicha petición queda incorporada al orden del
día de hoy.
Pasamos al primer punto, que es la comparecencia del director de la
Agencia de Protección de Datos, a petición propia, para informar
sobre la memoria de la agencia correspondiente al año 2000.
Tiene la palabra el señor director de la Agencia de Protección de
Datos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Ante todo, quiero unir mi sentir a la repulsa ya manifestada
por la Comisión sobre el acto terrorista acaecido en el día de hoy.
Una vez más, acudo a esta Comisión a fin de facilitar el control
parlamentario sobre la Agencia de Protección de Datos, que considero
una forma adecuada de garantizar su independencia. De ahí que
comparezca a petición propia para explicar la memoria de la Agencia
correspondiente al año 2000. Como en mi comparecencia sobre la
memoria de 1999, en primer lugar me referiré al registro de
protección de datos. Tengo que aclararles, señorías, que nuestra
memoria viene marcada por el propio estatuto de la Agencia en su
configuración, ha sido confeccionada siguiendo el mismo y con
esa misma estructura la voy a exponer en el día de hoy. El índice
creciente de actividad del registro, del cual ya hice mención a SS.
SS., ha sufrido un incremento considerable en la demanda de
inscripciones realizadas por los responsables de los ficheros durante
el año 2000. Al finalizar el ejercicio este aumento se estabilizó,
obteniéndose un incremento final de un 400 por ciento respecto de
1999; ya en 1999 se había obtenido un aumento del 50 por ciento
respecto del año 1998. Durante el pasado año 2000 se tramitaron, a
instancia de responsables de ficheros, 10.512 solicitudes relativas a
inscripción de ficheros, lo que ha supuesto la realización de 25.760
operaciones de inscripción a lo largo del año, de las que 17.230 han
sido expedientes de alta de inscripción, 5.083 de modificación y
3.447 de supresión de inscripciones. No obstante, la gestión de todo
tipo de movimientos referentes a la inscripción de ficheros ha
seguido siendo significativamente fluida, ya que el tiempo medio de
respuesta desde que la notificación tiene entrada hasta que se emite
la correspondiente resolución de inscripción es de diez días. Les
puedo adelantar que durante este año la evolución de solicitudes de
inscripción lleva una tendencia creciente, ya que en los ocho
primeros meses del año 2001 se han recibido 17.842 solicitudes de
inscripción, lo que supone un incremento del 170 por ciento respecto
al año 2000.
Las causas que producen este incremento son debidas, por un lado, a
la entrada en vigor de la nueva ley y a la necesidad de declarar el
nivel de medidas de seguridad. Las fechas de implantación de las
medidas de nivel básico y medio finalizaron respectivamente el 26 de
marzo y el 26 de junio de 2000. Por otra parte, el plazo para
implantar las medidas de seguridad de nivel alto terminaba el 26 de
junio de 2001. No obstante, ante la dificultad de la implantación y
diversas solicitudes de colectivos afectados, dicho plazo se ha
ampliado al 26 de junio de 2002. Esta previsión hace que la agencia
tenga que producir indudablemente un incremento nuevo de solicitudes
de inscripción. También podría haber influido en el aumento de
solicitudes de inscripción la creación de un gran número de nuevas
empresas durante este periodo y la implantación en la sociedad de
nuevas formas de empresa y negocios relacionados con las nuevas
tecnologías en el ámbito de Internet, y la presentación de las mismas
a través de los llamados portales de la red, habiéndose producido un
aumento considerable en la declaración de este tipo de tratamientos
durante el pasado año.
Durante el año 2000 se llevó a término el desarrollo de los programas
informáticos que han posibilitado la notificación de inscripción por
medios telemáticos a través de la red Internet, publicándose la
resolución de 30 de mayo de 2000 -Boletín Oficial del Estado de 27 de
junio- de la Agencia de Protección de Datos por la que se aprueban
los modelos normalizados, en soporte papel magnético y telemático, a
través de los que deberán efectuarse las solicitudes de inscripción.
Uno de los requisitos imprescindibles para garantizar a los
ciudadanos los derechos que la ley les reconoce es lograr el máximo
nivel de respuesta de los responsables en la notificación de la
creación de sus ficheros y tratamientos para su inscripción. Con este
fin se ponía en marcha el proyecto de utilizar la red de Internet,
como ya les adelanté en mi comparecencia del año anterior,
consolidándose dicho proyecto en este año y facilitando al
responsable un programa de ayuda que le permita cumplimentar el
modelo oficial. Como ejemplo de la consolidación de esta forma de
declarar ficheros, les informo de que el aumento de este soporte
respecto al año 2000 en este momento es de un 241 por ciento. Me
gustaría resaltar a SS.SS. que esta Agencia es uno de los primeros
entes de las administraciones que permite realizar trámites
administrativos a través de la red entre el ciudadano y la Agencia.
Otro aspecto importante es la publicación del catálogo de ficheros.
Como ya les informé, la Agencia tiene como una de sus funciones la de
velar por la publicidad de la existencia de los ficheros, a cuyo
efecto se publica periódicamente una relación de aquéllos. La
importancia de esta publicación se pone de manifiesto en que se han
realizado en el último mes de este año aproximadamente 3.000
consultas por Internet al catálogo de ficheros. Además, durante el
año 2000 se ha duplicado el número de consultas por otros medios
sobre ficheros inscritos en el registro.
También debo hacer una referencia especial, como en años anteriores,
a las transferencias internacionales. Seguimos en las mismas pautas
de comportamiento. Los ficheros inscritos en 2000 que contienen en su
declaración transferencias internacionales de datos han sido 272. El
total de ficheros inscritos en el registro general de protección de
datos que declaran transferencias internacionales a 31 de diciembre
de 2000 es de 1.352, de los cuales 51 corresponden a inscripciones de
titularidad pública y 1.031 a titularidad privada. A partir de la
entrada en vigor de la Ley orgánica de Protección de Datos, la mayor
parte de las transferencias se declaran sin solicitar autorización de
la Agencia, amparándose en las excepciones del artículo 34 de la
nueva Ley. Destacan 221 ficheros inscritos amparados en
transferencias internacionales a países con nivel de protección
equiparable, 88 ficheros se amparan en que el afectado ha dado su
consentimiento y 33 ficheros amparados en que es necesario para la
ejecución de un contrato entre el afectado y el responsable del
fichero o para la adopción de medidas precontractuales adoptadas
a petición del afectado. El total de ficheros inscritos durante 2000
con transferencias internacionales no se corresponde con la suma de
estas cifras, toda vez que un fichero puede estar amparado en varios
supuestos. Asimismo, durante el año 2001 se ha producido un
incremento considerable en la solicitud y tramitación de
transferencias internacionales, siendo a fechas actuales de un 75 por
ciento con respecto al año anterior. El movimiento internacional de
datos de carácter
personal ha sido una de las cuestiones que ha suscitado mayores dudas
a los responsables de ficheros y a la sociedad en general.
La actuación de la Agencia de Protección de Datos ha generado una
abundante casuística relacionada con las transferencias
internacionales de datos de carácter personal, que no venía recogida
sistemáticamente en ningún texto. Por todo ello, en uso de las
competencias del director de la Agencia de Protección de Datos para
dictar instrucciones precisas para la adecuación de los tratamientos
a los principios de la presente ley, se dictó la Instrucción 1/2000,
de 1 de diciembre, relativa a las normas por las que se rigen los
movimientos internacionales de datos, publicada en el Boletín Oficial
del Estado de 16 de diciembre del mismo año. La Instrucción 1/2000
tiene por objeto señalar los criterios orientativos seguidos por la
Agencia de Protección de Datos en relación con aquellos tratamientos
que supongan una transferencia internacional de datos, poniendo de
manifiesto el procedimiento que se sigue en cada caso concreto. Sin
detallar todos los supuestos que se contemplan en la instrucción, sí
quiero destacar que en todos los casos se exige el cumplimiento, en
origen, de la Ley orgánica de Protección de Datos, de forma que las
transferencias internacionales tengan las mismas garantías que los
tratamientos de datos en territorio nacional. Desde la entrada en
vigor de la actual Ley de Protección de Datos no ha sido necesario
autorizar aquellas transferencias internacionales amparadas en las
excepciones previstas en el artículo 34, cuando el país destinatario
era de distinto nivel de protección. No obstante, ha sido práctica
habitual del registro general de protección de datos exigir
documentación y garantías que avalasen las circunstancias en las que
se amparaba el declarante y, en particular, las cláusulas por las que
se prestaba el consentimiento. Todo lo anterior justifica que
únicamente se hayan tramitado dos expedientes de autorización de
transferencias internacionales, concretamente el de Mattel España,
con destino a Estados Unidos, y el de Telefónica España, con destino
a Marruecos. En ambos casos, los destinatarios de la transferencia
internacional eran encargados de tratamiento con la finalidad de
prestar un servicio de tratamiento informático por cuenta del
responsable del fichero, que seguía permaneciendo en territorio
español.
Otra función importante es la tramitación e inscripción de códigos
tipo o códigos deontológicos. En un mundo sin fronteras, las
políticas públicas encaminadas a proteger la privacidad personal se
mueven entre dos amplias dinámicas: unos países diseñan políticas
basadas en los estándares más restrictivos, mientras que otros
consideran que un clima menos normativo es más atractivo para la
creación de negocios globales, por lo que se omiten estas
restricciones.
Los instrumentos reguladores de los códigos tipo que se utilizan en
el marco de protección de la intimidad personal se caracterizan en
acuerdos privados,
códigos privados, estándares de privacidad y sellos de
confidencialidad. Los acuerdos privados representan los primeros
ejemplos de esta acción autorreguladora en el mundo de los negocios,
consistiendo en pequeños acuerdos sobre algunos principios de
confidencialidad. Surgieron en los Estados Unidos en los años
ochenta, cuando empresas y asociaciones del sector privado fueron
alentados a adoptar las recomendaciones de la OCDE de 1981. El
desarrollo de un sello o marca específica para la protección de la
privacidad ha prosperado también en Internet. Esta propuesta permite
a los editores de las páginas web desarrollar fórmulas de
confidencialidad sobre la información recogida y las prácticas de uso
de sus páginas. Como resultado, la marca o sello se ha convertido en
la modalidad de protección de la privacidad más utilizada en la red.
En España, la ley establece la posibilidad de adoptar códigos tipo
mediante acuerdos sectoriales, decisiones de empresa o convenios
administrativos, que pueden ser depositados en la Agencia para su
inscripción en el registro.
Dentro del marco expuesto anteriormente, en el que se hace una
revisión del estado de esta materia, los códigos tipo españoles son
códigos privados en los que se incluyen algunos estándares de
confidencialidad, y en el caso del código tipo sobre marca en directo
y comercio electrónico, se adopta un sello de garantía que las
empresas adheridas pueden mostrar en su página web, que trata de
demostrar el compromiso de la entidad con el cumplimiento de la
normativa legal y, además, estándares de confidencialidad suscritos
en el código tipo. Durante el año 2000 se han depositado en el
registro de la Agencia de Protección de Datos dos solicitudes de
inscripción del código tipo: el denominado código ético de protección
de datos personales de las empresas del sector de la gestión de
cobros, presentado por la asociación multisectorial de información
ASEDIE y el código tipo de fichero histórico de seguros del automóvil
presentado por la Unión Española de Entidades Aseguradoras y
Reaseguradoras, UNESPA.
Para la evaluación de un código tipo y autorizar su inscripción éste
debe incluir un elemento de valor añadido para la protección de los
datos personales. El código ético de protección de datos personales
de la empresa del sector de la gestión de cobros fue archivado porque
se limitaba a reproducir las previsiones de la ley sin ningún valor
añadido con respecto a la aplicación de las normas sobre protección
de datos en el sector representado. El código tipo de fichero
histórico de seguros del automóvil presentado por UNESPA se inscribió
en el registro en el mes de julio de 2000, siendo su objeto
establecer la regulación del fichero histórico de seguros del
automóvil, es decir, un código tipo circunscrito a un ramo del seguro
como es el del automóvil. En esta materia ya manifestaron algunas de
SS.SS. su inquietud por la habilitación para la creación de ficheros
comunes por parte de las entidades aseguradoras, habilitada por la
disposición adicional sexta de la
Ley orgánica de Protección de Datos. En efecto, dicha disposición al
modificar el artículo 24.3 de la Ley de Ordenación de Seguros
Privados, habilita a las entidades aseguradoras para el
establecimiento de ficheros comunes con gran amplitud. Esta amplitud
queda condicionada fundamentalmente a que los ficheros respondan
a las finalidades que la ley habilita y a determinados requisitos
formales de comunicación a los afectados de tales cesiones. UNESPA,
como patronal del seguro y responsable del fichero, podía haber
optado por su inscripción directa en el registro general de
protección de datos en los términos que le habilita la ley o por
presentar un código tipo que suponga un valor añadido en la
protección de datos de los afectados. Optó por esta segunda solución
presentando un código al que la Agencia de Protección de Datos
formuló diversas observaciones que fueron solventadas por el
solicitante. ¿Cuáles son los elementos de valor añadido apreciados
por la Agencia de Protección de Datos para inscribir este código? El
primero y más relevante consiste en que los datos incluidos en el
fichero común no pueden ser volcados en la base de datos de cada
entidad aseguradora. No existe, por tanto, un fichero común accesible
a todas las entidades aseguradoras similar al que existe, por
ejemplo, en los conocidos como ficheros morosos para consultar en
cualquier momento los datos de siniestralidad por cualquier tomador
del seguro. A diferencia de ello, la consulta sólo puede realizarse
caso a caso ¿En qué casos concretos puede producirse la consulta?
Únicamente en aquellos supuestos en los que exista una petición de
aseguramiento previo por parte del tomador del seguro. Además, como
respuesta a la consulta nominal, el sistema únicamente facilitará a
la entidad consultante la información que se encuentre en el fichero
relativa a pólizas suscritas, los períodos de cobertura, así como los
siniestros producidos, no apareciendo datos personales o
identificativos del tomador del seguro ni valoraciones personales de
ningún tipo. Esto significa que si no hay una iniciativa del
ciudadano para solicitar un nuevo aseguramiento en el ramo del
automóvil, los datos que consulten en el fichero común no podrán ser
consultados por ninguna entidad aseguradora. Para acreditar que se
cumple este principio esencial en el acceso al fichero común, quedará
reflejada la fecha, hora y entidad que accede al mismo. Igualmente,
cuando la información del fichero común sea utilizada por UNESPA para
la elaboración de informes de técnica aseguradora y con fines
estadísticos, se obtendrá de forma disociada o, lo que es igual,
imposibilitando su relación con ninguna persona particular.
En segundo lugar, la información susceptible de ser incluida no es
todo el historial de siniestros, sino sólo el de los últimos cinco
años, debiendo cancelarse automáticamente la información histórica
superior a dicho plazo. Los datos a incluir en el fichero común se
limitan a los que constan en los registros sometidos a la supervisión
de la Dirección General de Seguros, sin que puedan incluirse
valoraciones de las entidades aseguradoras que no respondan a dicha
información objetiva. Otra ventaja que aporta el código tipo es la
normalización en el deber de comunicación al afectado de todas las
compañías. Las entidades aseguradoras deberán, con carácter previo,
notificar e informar a los afectados de la intención de ceder sus
datos con la finalidad de incorporar a los códigos los datos sobre
siniestralidad. Esta incorporación determina que en el momento de
suscribir los correspondientes contratos de seguro, las compañías
aseguradoras deben cumplir con las exigencias informativas del
artículo 5 de la Ley y, en particular, con el relativo a los
destinatarios de la información entre los que se encuentra UNESPA y
el resto de las compañías vinculadas al cumplimiento del código tipo.
Como adelanto del año 2001, se han solicitado cuatro inscripciones de
código tipo, archivándose dos de ellas por no reunir en la evaluación
de sus normas ningún valor añadido con respecto a la aplicación de
las normas sobre protección de datos en el sector representado,
siguiendo en trámite para su inscripción los presentados por la
asociación nacional de fabricantes y por la agrupación catalana de
establecimientos sanitarios.
La segunda área de actividad de la Agencia es la que afecta a la
secretaría general, responsable de los medios humanos y materiales
necesarios para su funcionamiento, así como del área de atención del
ciudadano. Con relación a la dotación de recursos humanos que haga
factible el funcionamiento de la Agencia, debo poner de relieve que
desde que tomé posesión como director de la misma hasta el año 2001
se ha producido un incremento de medios humanos de 51 a 71 personas.
No obstante, el incremento de actividad de la Agencia aconseja
realizar un análisis estructural para adecuarla a las nuevas
necesidades. A tal efecto he solicitado una evaluación estructural
del funcionamiento de la Agencia por parte del Ministerio de
Administraciones Públicas, cuyo resultado estoy pendiente de recibir
para formular los incrementos que resulten adecuados.
Ya adelanté en mi comparecencia del año pasado y se recoge en la
memoria que hoy presento a SS.SS. que, siguiendo con la política de
divulgar y difundir el conocimiento de la ley y estudiar los temas de
interés y actualidad relacionados con ella de forma monográfica y en
profundidad, se llevó a cabo la organización de unas jornadas sobre
protección de la privacidad en telecomunicaciones e Internet, en
colaboración con la Universidad pública de Navarra, que tuvieron
lugar en Pamplona los días 22 y 23 de junio. Puedo adelantarles que
durante este año, siguiendo por este camino, se han organizado, en
colaboración con el Gobierno de La Rioja, unas nuevas jornadas sobre
protección de datos personales por las administraciones públicas, por
considerar que había que poner énfasis en la necesidad de que las
mismas fueran cada vez más conocedoras y
conscientes de la necesidad de cumplir con la ley. Se convocó la
cuarta edición del premio protección de datos personales, otorgándose
el premio a la monografía: Regulación jurídica de los tratamientos de
datos personales realizados por el sector privado en Internet, del
que es autora la profesora doña María de los Reyes Corripio Gil-
Delgado. Siguiendo las bases del premio, se ha realizado una edición
de 1.000 ejemplares para su entrega y difusión institucional. Se
concedió asimismo el accésit a la obra titulada La transmisión
internacional de datos personales y protección de la privacidad en
Latinoamérica, de la que es autor don Pablo Andrés Palazzi,
investigador argentino. Por primera vez se convocó un premio de
periodismo, Protección de datos personales, que fue otorgado al
periodista don Bonifacio de la Quadra Fernández.
Una de las funciones que la Agencia desarrolla y en la que tiene un
interés primordial es la atención personalizada a todos aquellos
ciudadanos que solicitan información sobre la protección de sus datos
personales. Esta demanda viene canalizada a través del teléfono, del
correo ordinario o electrónico o de forma presencial. A este respecto
puedo informar que durante el año 2000 se han contestado más de
19.000 consultas; de ellas, 14.420 lo fueron por teléfono, 1.878
presenciales y 2.964 por escrito. Estas cifras con respecto al año
anterior implican un aumento del 25 por ciento en atención
telefónica, 63 por ciento en atención presencial y 70 por ciento en
consultas escritas, esto último debido, sin duda, a la posibilidad de
formalizar las consultas a través de la página web, que se ha
convertido en la forma más habitual de hacer consultas, con un
aumento del 160 por ciento en relación con el año anterior. Hay que
señalar que los accesos a la información que ofrece la Agencia en su
página web han pasado de 506.000 en 1999, a más de 1.173.000 en el
año 2000, lo que supone un aumento del 132 por ciento respecto a los
accesos del año anterior. Esta tendencia crece exponencialmente,
puesto que hasta la fecha ya se han producido del orden de 1.500.000
accesos. Por último, la Agencia ha estado presente en una multitud de
cursos y seminarios dirigidos a facilitar el conocimiento de la
normativa de protección de datos. En este punto merecen destacarse
las relaciones con la Oficina de Información al Consumidor y con
usuarios de Internet. El director de la Agencia ha intervenido en
esta tarea con 29 participaciones en conferencias, ponencias y
jornadas.
En el ejercicio de la competencia atribuida a la Agencia de
Protección de Datos por el artículo 37 de la Ley, que le impone
informar con carácter preceptivo de los proyectos de disposiciones
normativas generales que impliquen desarrollo de la ley, durante el
año 2000 se sometieron a informe de la Agencia un total de 21
disposiciones de esta naturaleza. En cuanto a la resolución de
consultas planteadas a la Agencia en el año 2000 por responsables de
fichero y continuando la
tendencia creciente en el desarrollo de esta función informativa,
debe indicarse que, frente a los 370 informes evacuados en 1999, en
el año 2000 se elaboraron 606 informes, lo que constituye un aumento
del 63,78 por ciento. Puede anticiparse que este volumen de informes
emitido en el ejercicio de esta función asesora se ha mantenido
durante el año 2001. De tal volumen de informes evacuados a
instancias de responsables de fichero durante el año 2000, 371 han
respondido a consultas privadas, mientras que 235 han sido las
planteadas por las diversas administraciones públicas.
Finalmente y en cuanto a la materia objeto de consulta, éstas se han
centrado principalmente en las cuestiones relativas a la cesión de
datos, que también primaron en el año 1999. Por otra parte, y como es
lógico, las consultas se han centrado también en las modificaciones
introducidas por la vigente Ley orgánica de Protección de Datos
frente a la Lortad, y así el volumen de consultas relacionadas con el
ámbito de aplicación de la nueva ley se ha incrementado en un 120 por
ciento. Se ha mantenido, por último, el elevado número de consultas
que ya en 1999 se produjo como consecuencia de la aprobación del
reglamento de medidas de seguridad.
Siguiendo un orden similar al de años anteriores, trataré de
sintetizar ahora los aspectos más relevantes de las actuaciones
llevadas a cabo por la inspección de datos durante el ejercicio 2000.
En el ámbito de la función inspectora, se iniciaron 319 actuaciones
de inspección durante el año 2000, habiendo finalizado en dicho
ejercicio 250. A ellas hay que añadir 28 actuaciones de información
previa con el fin de determinar con carácter preliminar si concurren
las circunstancias que justificarían la incoación de un expediente de
inspección posterior. Si se hace un examen comparativo con el
ejercicio anterior, se verá que se ha producido un ligero incremento
de actividad en la actuación inspectora de la Agencia, puesto que en
el año 1999 se iniciaron 292 actuaciones de inspección y se
finalizaron 262. Si bien es cierto que hay una ligera disminución de
actuaciones de inspección finalizadas en el año 2000 respecto al
ejercicio anterior, concretamente 12, ello se debe a que, al haber
más actuaciones iniciadas, lógicamente la carga de trabajo se
proyecta en el futuro, y sobre todo a la complejidad y mayor duración
de los planes sectoriales de oficio que se realizaron en el ejercicio
2000, como tendré luego ocasión de explicar.
En cuanto a las actuaciones de información previa, las 23 del año
1999 se han transformado en 28 en el año 2000, con un ligero
incremento. Esta proyección pro futuro de la carga de trabajo a que
aludía se denota también en la tendencia que se proyecta sobre el
presente año 2001. Puedo decir a SS.SS. que a 30 de octubre de 2001
los expedientes de inspección iniciados en 2001 ascienden a 337 y los
finalizados a 336, que incluyen los que se iniciaron en el año 2000 y
se han terminado en este año. Además, y siguiendo la pauta general de
años anteriores, se han realizado diversos
planes sectoriales de inspección con la finalidad de comprobar la
adecuación de un sector a la Ley orgánica de Protección de Datos y
formular al final unas recomendaciones que coadyuven al mejor
cumplimiento por todo el sector con las exigencias de la normativa
sobre protección de datos. A tal fin se iniciaron y concluyeron
durante el año 2000 los siguientes planes sectoriales de oficio:
sector del comercio electrónico, proveedores del servicio de
Internet, gestión de tarjetas de grandes superficies comerciales,
operadores de telefonía móvil y consorcio de compensación de seguros,
cuyas conclusiones se exponen en la presente memoria. Asimismo,
durante el primer trimestre del año 2000 se dictaron las pertinentes
recomendaciones correspondientes a las entidades públicas y privadas
que habían sido inspeccionadas durante el año anterior, en concreto
las relativas a la Agencia Estatal de Administración Tributaria,
Dirección General de Tráfico, sector sanitario público y sector de
detectives privados, recomendaciones que constan íntegramente en la
memoria de la que hoy informo a SS.SS.
Por lo que se refiere al ámbito de la función instructora, cabe
destacar que, de las tres clases de procedimiento o expedientes que
se tramitaron durante el año 2000, 146 corresponden a procedimientos
sancionadores iniciados frente a responsables de ficheros privados,
31 a procedimientos incoados frente a responsables de ficheros de
titularidad pública y 193 relativos a procedimientos de tutela de
derechos. La pormenorización cuantitativa de todos estos
procedimientos la pueden encontrar SS.SS. en las páginas
correspondientes de la memoria de la Agencia que hoy someto a su
consideración. Cabe resaltar ahora que, si se hace un examen
comparativo con el ejercicio anterior, se aprecia un ligero
incremento de actividad, puesto que las tres cifras aludidas se
corresponden respectivamente con las de 131, 24 y 167 del año 1999.
Aún más, al igual que hice antes con la actividad de la inspección,
también se aprecia aquí que la función instructora tiende a
incrementar su actividad en cuanto que a la misma fecha de 30 de
octubre de 2001 los procedimientos sancionadores iniciados frente a
responsables de ficheros privados son 125, los procedimientos
iniciados por infracciones de administraciones públicas son 77, si
bien este notabilísimo incremento tiene su justificación, que luego
trataré de explicar, y los procedimientos de tutela de derecho
ascienden a 311. A todo lo anterior deben añadirse 181 resoluciones
de archivo, debidamente motivadas, dictadas durante el año 2000,
siete resoluciones dictadas en virtud de relaciones de colaboración
con la Comisión Nacional para la Informática y las Libertades, al
amparo del Convenio de Schengen, y 113 recursos de reposición
resueltos en virtud de lo dispuesto en la Ley Reguladora de la
Jurisdicción de lo Contencioso-Administrativo. Como puede observarse,
durante el año 2000 se han dictado más resoluciones de archivo que
las correspondientes a
procedimientos sancionadores, lo que pone de manifiesto una mayor
observancia en el cumplimiento de la ley. Del mismo modo, el aumento
de procedimientos de tutelas de derechos resueltos significa una
mayor conciencia de los ciudadanos en cuanto a los derechos que les
asisten en la protección de sus datos personales y a su tutela por la
Agencia.
Entrando ya en el análisis más concreto de la actividad de la Agencia
por sectores, y siguiendo la sistemática de la memoria, voy a
distinguir tres apartados: primero, la actividad realizada por la
Agencia en el área de los planes sectoriales de oficio; segundo, la
actividad más relevante en el ámbito de ficheros de titularidad
pública, si bien en este punto me deberé remitir a lo que luego
expondré al contestar a otra de las peticiones de comparecencia
solicitada por SS.SS.; tercero, actuaciones de la Agencia más
relevantes en el ámbito de los ficheros de titularidad privada.
Como ya avancé en la presentación de la memoria del ejercicio
anterior, en el ámbito de los planes sectoriales de oficio se
dictaron recomendaciones de las inspecciones realizadas en el
ejercicio de 1999 a la Agencia Estatal de la Administración
Tributaria; Dirección General de Tráfico; tres centros del sector
sanitario, en concreto, el hospital psiquiátrico Fontcalent, el
hospital militar Gómez Ulla, y el Centro Nacional de Epidemiología,
así como al sector de los investigadores privados. Todas estas
recomendaciones, dictadas al amparo y en virtud de la potestad que al
director de la Agencia le otorga el artículo 5 del Real Decreto 426/
1993, por el que se aprueba el estatuto de la Agencia de Protección
de Datos, constan íntegras en su literalidad en la presente memoria,
por lo que no voy a cansar a SS.SS. exponiendo ahora
pormenorizadamente su resultado, sin perjuicio de contestar luego a
aquellas preguntas que sobre su contenido o resultado quieran
hacerme.
Siguiendo con los planes sectoriales de inspección, como avancé al
principio de mi intervención, durante el año 2000 se inspeccionó al
sector del comercio electrónico, proveedores de servicios de
Internet, operadores de telefonía móvil, gestión de las tarjetas
utilizadas por las grandes superficies comerciales y al Consorcio de
Compensación de Seguros. Las conclusiones de inspección de todos
estos sectores figuran en la presente memoria, y las recomendaciones
pertinentes se han dictado durante el año 2001, por lo que de ellas
se dará cuenta en la correspondiente memoria de dicho ejercicio. De
todo ello pongo a disposición de la presidencia las copias de las
recomendaciones ya realizadas hasta la fecha.
Como recordarán SS.SS., el año pasado, en la presentación de la
memoria de 1999, informé ampliamente sobre el plan sectorial que la
Agencia de Protección de Datos había realizado a los operadores de
telefonía fija. Pues bien, el año 2000 ha sido el año en que se
planificó y culminó la inspección de los operadores de telefonía
móvil. Esta inspección ha sido de una larga
duración y de una gran profundidad debido a la complejidad de la
misma; piénsese que el número de clientes de móviles ha sobrepasado
ya en nuestro país al número de clientes de telefonía fija. En esta
ocasión, y dado que son sólo tres el número de operadores con
licencia, se decidió inspeccionar a los tres: Telefónica Servicios
Móviles, que comercializa las marcas Moviline y fundamentalmente
Movistar; Airtel Móviles, que comercializa sus servicios bajo la
denominación Airtel; y Retevisión Móviles, que comercializa los suyos
bajo la marca Amena. Como ocurrió con los operadores de telefonía
fija, las inspecciones practicadas a los operadores de móviles
alcanzan tanto a la normativa sobre protección de datos como a la
normativa específica de protección de datos en el sector de las
telecomunicaciones recogidas en el título V del Real Decreto 1736/
1998, por el que se aprueba el reglamento que desarrolla el título
III de la Ley General de Telecomunicaciones.
Quiero aclarar a SS.SS. que la Agencia no ha publicado en la presente
memoria del 2000 mayores precisiones de las conclusiones obtenidas en
la inspección de los operadores de telefonía móvil, toda vez que en
las mismas quedan al descubierto datos relativos al modo de operar de
las compañías y otros aspectos que pudieran comprometer materias
protegidas por el secreto comercial o industrial, por lo que, en
aplicación de lo dispuesto en el artículo 37 D de la Ley de
Procedimiento Administrativo, no ha parecido conveniente hacer
público ningún dato que pudiera perjudicar a las compañías
inspeccionadas en beneficio de las competidoras.
De los otros planes sectoriales de oficio iniciados durante el año
2000 merece destacarse, por su novedad y progresiva implantación en
la sociedad, el relativo al comercio electrónico. En la memoria que
hoy presento ante esta Cámara se exponen con amplitud, que me atrevo
a calificar de inusual, las conclusiones de la inspección practicada
a este sector y que voy a sintetizar a continuación. Ya en el pasado
mes de abril tuve ocasión de comparecer ante el Senado en la Comisión
de la Sociedad de la Información y del Conocimiento, donde presenté
los resultados de esta inspección sectorial que se realizó en los
últimos meses del año 2000. En la actualidad, cuando aún está
pendiente de aprobación parlamentaria la ley que traspondrá a nuestro
derecho interno la Directiva 2000/31 CE, del Parlamento Europeo y del
Consejo, de 8 de junio de 2000, relativa a determinados aspectos
jurídicos de los servicios de la sociedad de la información, en
particular el comercio electrónico en el mercado interior, es
evidente que sigue existiendo una gran diversidad en cuanto a los
niveles de seguridad y procedimientos de compra que debe utilizar el
ciudadano en función de la web a la que acceda, incluyendo la forma
en que se presenta la información, los sistemas de pago aceptados, o
al información
que recibe del vendedor en el momento de realizar su compra.
Durante la inspección sectorial se pudo determinar que en algunas de
las tiendas investigadas no se identifica explícitamente al
responsable del fichero o tratamiento, lo que deja de alguna forma
indefenso al afectado de cara al ejercicio de sus derechos, puesto
que dicha figura jurídica no siempre coincide con la de la entidad o
persona que ha registrado el dominio en Internet. En este sentido,
durante la inspección se verificó que los responsables de 16 de las
web analizadas, -el 36 por ciento- no figuraban entonces inscritos en
el registro general de protección de datos, cuando en la práctica
totalidad de los casos resultaba evidente que recaban datos
personales desde las citadas web. Por otra parte, en Internet resulta
sencillo navegar entre páginas cuya ubicación real no es conocida por
el usuario, de tal forma que con sólo hacer un clic en un icono es
posible dejar de visualizar una página ubicada en territorio español
para pasar a ver otra página almacenada en otro país del mundo. Esta
circunstancia hace que en ocasiones el usuario crea estar facilitando
sus datos personales a una entidad cuando en realidad es otra,
radicada probablemente en otro país, la que los está obteniendo,
siendo muchos los casos en los que esta última no se identifica
claramente en la web.
Por las especiales características del mundo Internet, en ocasiones
resulta complicado para el usuario distinguir claramente la figura
del comerciante, con quien realmente el comprador establece la
relación comercial, de la figura del mero intermediario que pone en
contacto virtual a ambos. En este sentido, el usuario debería ser
consciente de que una vez que ha facilitado sus datos, éstos pueden
pasar por las manos de distintos intervinientes en el proceso. Dado
que no siempre coincide esta figura en una misma entidad jurídica, es
muy importante que el comprador sepa quién de todos éstos es el que
finalmente decidirá sobre el uso y la finalidad de sus datos
personales.
Una de las carencias más notables que se ha observado es la
insuficiente información que se facilita al visitante de la tienda en
el momento de recabar sus datos personales. Es significativo que en
más de la cuarta parte de los casos analizados no se facilite la
información que prevé la Ley orgánica de Protección de Datos en su
artículo 5, ni se pueda deducir claramente ésta de la naturaleza de
los datos personales recabados, ni de las circunstancias en que se
recaban. Muchas de las compañías inspeccionadas han manifestado su
pertenencia a grandes grupos empresariales, cuya actividad se ha
diversificado en muy diferentes ámbitos. Como es habitual en otros
sectores, las compañías que desarrollan su actividad a través de
Internet también han considerado los beneficios de compartir su
cartera de clientes con las demás empresas del grupo, por lo que en
su propia página web incluyen cláusulas informativas con las que
pretenden cubrir el
requisito legal del previo consentimiento del interesado. Las
fórmulas utilizadas suelen consistir en una referencia a la posible
cesión de datos a otras empresas del grupo, en orden a que tales
datos sean utilizados con la finalidad de remitir informaciones
comerciales de su interés. Sin embargo, es precisamente la diversidad
de actividades que pueden coincidir en un mínimo grupo lo que puede
introducir un elemento de inseguridad de cara al ciudadano,
especialmente en los casos en que el grupo está formado por un número
de compañías que puede llegar a varios cientos y con objetos sociales
muy diversos. Es evidente que en estos casos el grupo empresarial
puede llegar a manejar una información muy completa acerca de los
hábitos de las personas con que las compañías participadas han
establecido una relación comercial, circunstancia ésta de la que
quizás no sean del todo conscientes los clientes.
Son también especialmente significativos los casos de compañías
multinacionales que disponen de establecimientos comerciales en
diversos países del mundo, incluido España. Generalmente se trata de
web cuyo diseño se ha adaptado a las singularidades nacionales y cuya
infraestructura común ha favorecido una gestión centralizada, con el
consiguiente ahorro de recursos, tanto humanos como materiales. Este
cómodo modelo de organización tiene, sin embargo, una repercusión
clara en lo relativo a la protección de datos de los clientes, en
función de las garantías que cada país ofrece. Finalmente, en materia
de seguridad de las web analizadas, sólo 24 -el 54 por ciento-
utilizaba un protocolo descifrado para establecer un canal seguro de
comunicación entre el servidor y el usuario en el momento de enviar
sus datos personales, a pesar de los meses transcurridos desde la
entrada en vigor del reglamento de medidas de seguridad. En el
momento de realizarse la inspección, todavía seguían existiendo
entidades que no habían implantado su propia normativa de seguridad.
Por último, aunque ello no agote el número de inspecciones
sectoriales practicadas durante el 2000, como podrán comprobar
fácilmente de la lectura de la memoria, me referiré a la practicada
durante dicho ejercicio en el ámbito de los ficheros de titularidad
pública. Me refiero a la llevada a cabo al Consorcio de Compensación
de Seguros, entidad de derecho público adscrita al Ministerio de
Economía, según dispone el Real Decreto 1.371/2000. De los cinco
ficheros que el consorcio tiene notificados al registro de la Agencia
de Protección de Datos, se seleccionaron tres por su mayor incidencia
en el tratamiento de datos de carácter personal. Los denominados
Expesini que gestionan la información referente a la tramitación de
los expedientes de siniestros, con un volumen actual de un millón de
expedientes; Fiva, que registra la información relativa al
aseguramiento de vehículos, con datos de más de 21 millones de
matrículas y peticiones de información y el denominado Seguride, que
incluye
información de las pólizas de seguros de responsabilidad civil del
automóvil de suscripción obligatoria, con un volumen de 250.000
pólizas. En la inspección práctica del consorcio se detectaron
ciertas deficiencias que en lo esencial afectan a la calidad de
datos, al derecho de información en la recogida de datos, a los
derechos de acceso, rectificación y cancelación, a la creación,
notificación e inscripción registral de los ficheros y al reglamento
de medidas de seguridad. Como consecuencia, se han dictado durante el
año 2001 las pertinentes recomendaciones, que han sido puestas en
conocimiento del consorcio para que se adecue su actuación a las
prescripciones de la Ley de Protección de Datos. Siguiendo el orden
de la memoria, me correspondería ahora destacar las actuaciones más
relevantes de la Agencia en el ámbito de los ficheros de titularidad
pública. Sin embargo, y al objeto de no caer en repeticiones, me
referiré a este apartado al contestar la específica posterior
comparecencia que han solicitado SS.SS. sobre este punto.
Por último, y para terminar con este apartado de la memoria
correspondiente a la inspección de datos, me corresponde ahora aludir
a las actuaciones más relevantes de la Agencia en el ámbito de los
ficheros de titularidad privada. Destacaré tan sólo las más
significativas: El tratamiento de datos de los participantes en el
casting del programa televisivo Gran Hermano. El procedimiento, del
que ya les anuncié su inicio en la anterior comparecencia, terminó
sancionando a la productora del mencionado programa con sendas multas
por infracción del artículo 5, al ser responsable directa del fichero
creado al efecto y haber participado directamente en la recogida de
los datos de diversas fases del proceso de selección, sin haber
informado en los términos de dicho artículo a los afectados. La
segunda imputación y correlativa sanción que se le impuso fue por
tratamiento de datos especialmente protegidos sin el consentimiento
del afectado. En tercer lugar, se sancionó a la citada entidad por la
comisión de la infracción del artículo 11 de la ley, esto es, por
cesión de datos sin el consentimiento de los afectados. Y,
finalmente, se sancionó a la productora por infracción del artículo
9, sobre medidas de seguridad. Durante la tramitación del
procedimiento se adoptaron las correspondientes medidas cautelares
ante la gravedad de las infracciones detectadas. Igualmente, como
consecuencia de este expediente, se iniciaron otros procedimientos
sancionadores al resto de las empresas participantes en el mencionado
concurso.
Otro expediente que tiene una especial singularidad es el llevado a
cabo contra la asociación contra la tortura. Esta organización
distribuía, a través de un servidor web ubicado en España, un fichero
que contenía los nombres y apellidos de funcionarios de los Cuerpos y
Fuerzas de Seguridad del Estado y de prisiones, así como de
responsables políticos que habían sido denunciados por la comisión de
delitos de maltrato, vejación o
tortura, detallándose en cada caso si el acusado había sido
condenado, absuelto o si el proceso estaba todavía en fase de
instrucción. Ello supone una infracción del artículo 6.1, en relación
con el artículo 7.5 de la ley, por tratamiento de datos sin el
consentimiento de los afectados, al prohibir este último artículo
crear ficheros privados que contengan datos relativos a la comisión
de delitos o procesamientos por hechos delictivos. Tales ficheros
sólo pueden ser creados, en su caso, por las administraciones
públicas competentes y sólo en los supuestos previstos en las
respectivas normas reguladoras. Asimismo, se sancionó a la indicada
asociación por infracción del artículo 11, al haberse difundido a
través de su página web en Internet los datos personales de los
citados funcionarios y políticos, sin contar con el previo
consentimiento de los interesados. La imputación hecha a esta
asociación nada tenía que ver con la libertad de expresión de la
misma, ni con su derecho a la información manifestado en el informe
anual que publica dicha asociación, respecto del que la Agencia de
Protección de Datos nada tiene que decir por no ser cuestión de su
competencia. Además, como los datos personales habían sido replicados
en otros servidores situados fuera del territorio español, se informó
a las autoridades extranjeras competentes en materia de protección de
datos de la resolución dictada por la Agencia y de la medida cautelar
adoptada previa audiencia de los interesados, solicitando su auxilio
para que cesasen los tratamientos también en los servidores ubicados
en los respectivos países. La medida cautelar a que me he referido
ordenando la cesación de los tratamientos aludidos fue cumplida por
la asociación, si bien fue recurrida ante la Audiencia Nacional, que
confirmó la legalidad de la medida adoptada por la Agencia de
Protección de Datos. La resolución que dictó la Agencia al final
declaró la responsabilidad de la asociación y ésta fue dictada en el
año 2001. Una cuestión importante, un expediente singular, es la
difusión de datos personales de abonados telefónicos a través de
Internet. En este caso se trató de un fallo en fase de pruebas en el
sistema informático de un importante operador de telefonía que
permitió a cualquier usuario de Internet, fuese o no cliente del
operador, acceder a los datos de tráfico y facturación: nombre,
importe, domiciliación bancaria, correo electrónico, etcétera, de
cualquier abonado de dicho operador. Ello supuso una sanción por
infracción del artículo 9 de la ley en relación con diversos
artículos del reglamento de medidas de seguridad que desarrolla el
mismo y también la adopción en su momento de la correspondiente
medida cautelar para paralizar de inmediato esa transferencia masiva
de datos.
Otro sector que siempre ha suscitado la atención de la Agencia y por
el que SS.SS. se han interesado es el relativo a la prestación sobre
solvencia patrimonial y crédito. Es un sector tradicional de
actividad de la Agencia y es elevado el número de denuncias recibidas
sobre el funcionamiento de estos ficheros comunes que
prestan el servicio aludido. Son los conocidos vulgarmente como
ficheros de morosos. La entrada en vigor de la vigente Ley de
protección de datos y la sentencia del Tribunal Constitucional 292/
2000, de 30 de noviembre, han introducido novedades en el
funcionamiento de estos ficheros que van a suponer forzosamente
cambios en los criterios de actuación de la Agencia de Protección de
Datos en relación con los mismos. Como consecuencia del cambio legal
producido en el artículo 29.4 de la vigente Ley de protección de
datos respecto a lo que disponía el anterior artículo 28.4 de la
LORTAD, durante el año 2000 se han tramitado varias denuncias sobre
el denominado saldo cero, sobre la validez de la restricción temporal
de seis años establecida en el artículo 29.4 de la vigente Ley de los
datos adversos registrados en el fichero de información sobre
solvencia patrimonial y crédito una vez que la deuda ha sido
cancelada, momento en el cual pasaba a figurar en dichos ficheros la
deuda regularizada bajo la denominación saldo cero. Al terminar el
año, dichos procedimientos sancionadores aún no se habían terminado,
por lo que se informará de ello en la próxima memoria. No obstante,
puedo adelantar a SS.SS. que las resoluciones dictadas durante el año
2001 al término de los procedimientos han sido sancionadoras por
infracción del artículo 29.4 en relación con el 4.3 de la ley, toda
vez que la modificación legal introducida en la nueva Ley de
protección de datos ha obligado a la Agencia de Protección de Datos a
cambiar el criterio que venía sustentando respecto al mantenimiento
del saldo cero. Debo significar a SS.SS. que un criterio restrictivo
sobre el mantenimiento de saldo cero ha sido también mantenido por el
Tribunal de Defensa de la Competencia y no por esta Agencia. En
definitiva, lo que se ha venido a decir en las últimas resoluciones
es que una vez que alguien ha pagado su deuda no puede ser mantenido
en un fichero de morosos con la referencia saldo cero. El que pagó la
deuda debe desaparecer del fichero de morosos, como a mi entender
habilita la nueva ley; además refuerza el criterio restrictivo de
que, en la aplicación de un derecho fundamental, tenemos que actuar
conforme a la sentencia antes aludida de nuestro Tribunal
Constitucional.
En lo que respecta a las entidades financieras, merecen destacarse
las actuaciones practicadas acerca de ciertas entidades bancarias
como consecuencia de la aparición en medios de comunicación de una
noticia relativa a que diversa documentación que tenía datos
personales se encontraba en contenedores de basura depositados en la
vía pública de cuatro entidades bancarias. Se iniciaron
procedimientos a tres de las cuatro entidades investigadas por
presunta vulneración del artículo 9, medidas de seguridad, y artículo
10, deber de secreto, y se decretó el archivo de actuaciones en
relación con la cuarta entidad inspeccionada al no haberse encontrado
indicios de vulneración de la Ley de protección de datos, toda vez
que la documentación
aparecida en ella era de la que habitualmente manejan los ciudadanos.
Estos expedientes ya se encuentran finalizados y puedo adelantarles
que se dictaron en el año 2001 las correspondientes resoluciones
sancionadoras a las tres entidades bancarias por infracción de las
medidas de seguridad. Al encontrarse ante un supuesto en el que de un
mismo hecho derivaban dos infracciones, se entendía que una de ellas,
la del deber de secreto, estaba subsumida dentro de las exigencias de
las medidas de seguridad y por ello se sancionó por una de ellas.
Me voy a referir a las actuaciones de la Agencia en el ámbito
internacional, donde cada vez son más crecientes, según les voy a
relatar lo más brevemente posible. En el aspecto internacional, el
hecho más significativo que cabe destacar en el año 2000 es la
proclamación solemne por parte del Parlamento Europeo, el Consejo y
la Comisión de la Carta de Derechos Fundamentales de la Unión
Europea, realizada durante la celebración de la cumbre de jefes de
Estado y de Gobierno en la ciudad de Niza el 7 de diciembre y que ha
supuesto un importante paso en la construcción de la Europa de los
ciudadanos. En el último párrafo de su preámbulo se señala que la
Unión reconoce los derechos, libertades y principios enunciados a
continuación, incluyendo en su artículo 8 el derecho a la protección
de datos de carácter personal como el derecho específico de los
ciudadanos europeos. El citado artículo reconoce el derecho a la
protección de datos con independencia del derecho a la intimidad; su
reconocimiento es incluso más detallado que las previsiones que se
contienen respecto de otros derechos fundamentales. Aparte de este
hecho, la Agencia ha seguido participando activamente en el grupo de
trabajo sobre protección de datos personales en lo que respecta al
tratamiento de datos personales o grupo del artículo 29. El grupo de
trabajo está compuesto por los representantes de las autoridades
nacionales independientes encargadas de la protección de datos y un
representante de la Comisión de las Comunidades. A continuación les
expondré los temas más importantes objeto de atención del grupo
durante el año 2000.
En primer lugar, como ya indicaba en mi presentación de la memoria
del año 1999 en el apartado correspondiente a la trasposición de la
Directiva 95/46, el grupo de trabajo ha procedido a elaborar una
recomendación a los Estados miembros en la que se insta a aquellos
que no habían cumplido con la trasposición en el plazo establecido al
efecto para que adoptara las medidas necesarias a la mayor brevedad.
A finales de 2000 no habían concluido los trabajos de trasposición de
la directiva en Alemania, Francia, Irlanda y Luxemburgo, aunque en
estos momentos Alemania ya tiene en vigor una nueva ley que traspone
la directiva desde el mes de mayo, por lo cual a fecha de hoy restan
sólo por finalizar las labores de trasposición los otros Estados
miembros que he mencionado. El siguiente apartado digno de
señalarse es la continuación de los trabajos relativos a la
declaración de adecuación de terceros países respecto al tratamiento
de datos personales que se refieren al acuerdo de puerto seguro con
los Estados Unidos a Suiza y a Hungría y de los que ya informé a esta
Comisión. Para finalizar este punto dedicado a las declaraciones de
adecuación a terceros países, simplemente quiero manifestarles que en
el año 2001 el grupo de trabajo emitió un dictamen favorable sobre el
nivel de adecuación de protección ofrecido por la ley canadiense de
información personal y documentos electrónicos, esperándose que antes
de terminar el año se produzca la publicación de la decisión de
adecuación por parte de la Comisión. Asimismo se examinó el nivel de
protección que proporciona la ley australiana del año 2000 sobre
protección de la vida privada en el sector privado, emitiéndose un
dictamen en el que se concluía que sólo pueden considerarse adecuadas
las transferencias de datos a Australia si se introducen en el futuro
determinadas medidas correctoras.
Otro mecanismo existente en la directiva para permitir la
transferencia de datos personales a aquellos países en los que no
existen garantías adecuadas es el de cláusulas contractuales. Debo
recordar que la Agencia de Protección de Datos ha sido pionera con la
utilización de este sistema. Durante el año 2000 se solicitó la
colaboración del grupo de trabajo para la elaboración de un texto de
contrato-modelo, con el fin de preparar una decisión final de la
Comisión sobre la adecuación de transferencias basadas en dicho
modelo contractual. El texto finalmente sometido al parecer del grupo
de trabajo incorporó la mayor parte de las propuestas de la Agencia
de Protección de Datos española, siendo favorablemente acogido por el
grupo de trabajo en su reunión de 21 de noviembre de 2000. Por
último, el 4 de julio de 2001 se publicó la decisión de la Comisión
de 15 de junio de 2001; lo encontrarán en el Diario de las
Comunidades relativo a dicho mes. En la actualidad se trabaja en un
modelo similar aplicable a los encargados de tratamiento, a los
prestadores de servicios informatizados por cuenta de terceros. Tanto
en este caso como en el anterior, la Agencia de Protección de Datos
hizo especial hincapié en que quedase manifiestamente recogido en las
decisiones de la Comisión que en todo caso y con carácter previo a
cualquier operación de transferencia internacional debería cumplirse
todo lo preceptuado en las leyes nacionales de protección de datos
-en el caso español en la ley orgánica- y que de ninguna manera podía
discriminarse a las empresas comunitarias imponiéndoles condiciones
más rigurosas de legitimación de los tratamientos que aquellas
situadas en terceros países. Por lo tanto, la decisión de la Comisión
debería limitar estrictamente su aplicación a la subsanación de las
carencias de protección adecuada en el país de destino, sin que en
ningún caso pudiera sanar la ilegitimidad de una transferencia,
cesión, comunicación o tratamiento por cuenta de terceros, de
acuerdo con la legislación nacional. Otro asunto debatido en el seno
del grupo, esta vez a iniciativa española, fue el relativo a la
existencia de directorios electrónicos de abonados al servicio de
comunicaciones que permitieran la búsqueda inversa o multicriterio. A
iniciativa española se aprobó un dictamen en el que se fijaba la
posición del grupo, exigiéndose el consentimiento inequívoco,
informado y elaborado, para que se pudiera proceder al tratamiento de
sus datos personales en las vías inversas o en los servicios de
búsqueda inversa o multicriterio. Un tema relevante fue la evacuación
de dictámenes respecto del proyecto de modificación de la Directiva
97/66, de protección de datos en el sector de las telecomunicaciones,
propuesta por la Comisión Europea y actualmente en tramitación.
Hay que mencionar de manera destacada la elaboración por parte del
grupo operativo de Internet establecido en el grupo del artículo 29,
con la participación de un representante de la Agencia, de un
documento de trabajo, Privacidad en Internet. Enfoque comunitario
integrado en la protección de datos en línea, aprobado por el
plenario del grupo de trabajo el 21 de noviembre de 2000 y que SS.SS.
pueden consultar en la memoria, ya que se ha considerado por su
importancia la conveniencia de incorporarlo como anexo a la misma.
Este documento de trabajo paso revista, a lo largo de sus más de cien
páginas, a todos los temas relevantes en este momento para la
protección de datos en Internet, finalizando con un capítulo de
conclusiones y otras directrices y recomendaciones encomendadas a
mejorar el nivel de respeto por la intimidad de los usuarios de
internet.
A continuación les resumiré las actividades desarrolladas en el seno
del Consejo de Europa y en concreto en el grupo de expertos de
protección de datos CJPD, en el que participa la Agencia. Durante el
año 2000, concluyó los trabajos relacionados con el articulado de la
recomendación sobre la protección de datos de carácter personal
recogidos y procesados para fines relacionados con el sector
asegurador. Por otra parte, las discusiones a lo largo del año se han
centrado en la elaboración de unas recomendaciones sobre la
protección de datos de carácter personal en relación con las
actividades de vigilancia, manifestándose la preocupación de la
aplicación de dichas técnicas en el establecimiento de sistemas de
vigilancia en los puestos de trabajo o la vigilancia masiva de
lugares públicos; es necesario encontrar un justo término medio entre
la seguridad y la intimidad. También se informaron los proyectos de
convenio de colaboración entre los Estados miembros del Consejo de
Europa en materia criminal y de lucha contra el denominado
cibercrimen, exigiendo tomar en consideración en el mismo los
principios referentes a la protección de datos de carácter personal.
Por último, se propuso la creación de un grupo de estudio en materia
de cooperación policial y judicial, continuando los trabajos ya
iniciados sobre las
tarjetas inteligentes. Asimismo, se prevé efectuar un informe
multidisciplinar relacionado con la utilización de datos genéticos
para fines de investigación criminal en colaboración con otros grupos
de expertos del Consejo de Europa.
Paso a considerar la actividad internacional de la Agencia en el
campo de los asuntos de justicia e interior. La Agencia ha seguido
participando activamente en las autoridades comunes de control de los
convenios de Schengen y de Europol, habiéndose constituido en el año
2001, también con participación de la Agencia española, la autoridad
de control del convenio por el que se crea el sistema de información
aduanero. Por lo que se refiere a la autoridad de control común del
convenio Schengen, los trabajos de la misma se centran en el análisis
de las respuestas dadas por los órganos competentes del convenio al
informe resultante de la auditoría llevada a cabo, con participación
española, por la autoridad común en el año 1999. Pudo constatar que
10 de las recomendaciones que habían sido emitidas en este informe se
habían adoptado en el nuevo sistema así como que al menos cinco de
ellas serían estudiadas para su implantación en el futuro. El resto
de los trabajos se centraron en la evaluación de la idoneidad de la
legislación de los países nórdicos (Islandia, Noruega, Suecia,
Finlandia y Dinamarca) para su admisión como Estados parte del
convenio, hecho que finalmente se produjo en marzo de 2001.
Respecto a la participación de la Agencia en la autoridad común de
control Europol, el hecho más destacado sería la realización de la
primera inspección-auditoría de los sistemas de información de
Europol, que corrió a cargo de un equipo de trabajo en el que
participó un miembro de la Agencia de Protección de Datos española.
Como resultado de la misma, se elaboró un informe provisional de
inspección en el que se hacían constar los resultados de la
auditoría. Se pueden resumir diciendo que Europol cumple de manera
general con los requerimientos sobre protección de datos establecidos
en el convenio. Además, la Agencia sigue participando en el grupo
Berlín, en el que se han seguido analizado aquellos asuntos del
ámbito de las telecomunicaciones y la coincidencia en la protección
de datos personales. En particular, en las dos reuniones celebradas
en el año 2000 se debatieron temas relativos a la publicación de
datos personales contenidos en documentos públicos disponibles en
Internet, al registro de nombres de dominio en Internet, al
establecimiento de perfiles on line en Internet, a la privacidad y la
gestión de los derechos de autor, a los intermediarios de la
información -infomediarios-, a la detección del fraude en las
telecomunicaciones y a determinados aspectos de protección de datos
en el borrador de convenio sobre cibercrimen del Consejo de Europa.
También he de informar a SS.SS. de la celebración en el año 2000 del
primer encuentro ibérico de autoridades de control de protección de
datos que, durante los
días 14 y 15 de noviembre, se reunió en la ciudad de Évora.
Participaron representantes de la Comisión nacional de protección de
datos de Portugal y de la Agencia de Protección de Datos española y
se abordaron los problemas del sector de las telecomunicaciones, del
comercio electrónico, de la solvencia patrimonial y del crédito y
transferencias internacionales que en muchos aspectos nos son
comunes.
En otro orden de cosas hay que mencionar los diversos contactos que
durante el año 2000 he mantenido con personalidades iberoamericanas,
con el objeto de promover la adopción de medidas legislativas en
dichos países que permitan la declaración de adecuación de los
mismos, para que de esta manera se pueda evitar que tengan problemas
en los intercambios comerciales con la Unión Europea. Entre las más
relevantes se pueden citar las reuniones mantenidas con las
autoridades de la República Argentina, Magistratura de Costa Rica,
embajador de Méjico y cámaras de comercio colombianas. Como
continuación de estos contactos, durante el año 2001, respondiendo a
una invitación del ministro de Justicia argentino, visité dicho país
para contribuir con la aportación de nuestra experiencia a la
discusión del reglamento de su ley de habeas data. También visité
Paraguay, respondiendo a una invitación del Instituto de Derecho
Constitucional, ya que en dicho país recientemente se ha aprobado una
ley sectorial sobre protección de datos en las actividades de
información sobre solvencia patrimonial y crédito.
En el capítulo de cooperación con los países del centro y del este de
Europa, merece destacarse la visita de trabajo de la inspectora
general polaca -que es la autoridad de control independiente de aquel
país- con objeto de darle a conocer más directamente nuestro modelo
de protección de datos y nuestra experiencia en la creación del ente
controlador. Fruto de esta actividad fue la ulterior celebración en
Madrid de unas jornadas de trabajo con esta autoridad. Una mención
especialísima -me atrevería a decir- merece la relación con la
República Checa. Al crearse en el año 2000 la oficina checa de
protección de datos personales, se ha puesto en marcha un proyecto de
hermanamiento con la Agencia de Protección de Datos y el organismo
correspondiente checo en el marco de los programas FAR. La Agencia de
Protección de Datos se presentó como candidato a este proyecto,
resultando adjudicatario del mismo. El proyecto liderado por la parte
española, directamente por el director de la Agencia, tiene como
segundo apoyo al consejero pre-adhesión, que ya está trabajando
directamente en la República Checa y cuya estancia allí se prevé que
dure un año. Participará en diversos seminarios y cursos que se
llevarán a cabo con la intervención de expertos españoles. También es
digna de destacarse, dado el protagonismo que durante el año 2000
tuvieron las negociaciones entre la Unión Europea y los Estados
Unidos de América en relación con los acuerdos de puerto seguro, la
visita que realizó
el señor subsecretario de Comercio de los Estados Unidos a la Agencia
de Protección de Datos. Deseaba explicarme personalmente la postura
de su Gobierno en relación con la protección de datos personales y la
seriedad del compromiso del mismo en defensa de la intimidad de los
ciudadanos europeos cuyos datos se transfirieran a los Estados Unidos
amparados en aquellos acuerdos. Asimismo a mediados de este año
visitó la Agencia de Protección de Datos otro representante del
departamento de Comercio, se mostró sumamente interesado en la
aplicación por la Agencia de Protección de Datos de la legislación
marco española y en las transferencias internacionales en curso. Me
hizo una invitación para que pudiera visitar los Estados Unidos.
Para finalizar tengo que informarles de que la Agencia participó
activamente en la Conferencia europea de actividades de control de
protección de datos, celebrada en Estocolmo en el mes de abril. La
Agencia española presentó tres ponencias y participó activamente en
sus debates y una delegación de la Agencia participó también en la
conferencia internacional de autoridades de control, celebrada en
Venecia en el mes de septiembre, en la que tuve el honor de exponer
una ponencia sobre protección de datos personales en el ámbito
policial y judicial.
Como considero que me he extendido en exceso, voy a dar por terminada
esta primera intervención, agradeciendo a SS.SS. la paciencia que han
tenido al escucharme y, por supuesto, poniéndome a disposición de
todos ustedes para cuantas preguntas o comentarios quieran
realizarme.
La señora PRESIDENTA: Muchas gracias, señor Fernández López, por la
exhaustiva información que ha ofrecido a los miembros de la Comisión
sobre la memoria de la Agencia de Protección de Datos del año 2000.
¿Grupos que desean intervenir? (Pausa.)
Por el Grupo Parlamentario Vasco (EAJ-PNV), tiene la palabra el señor
Erkoreka.
El señor ERKOREKA GERVASIO: Más allá de las palabras de condena y
reprobación pronunciadas por la señora presidenta al inicio de esta
sesión, quisiera tener un recuerdo emocionado a la memoria de don
José María Lidón Corbi, asesinado esta mañana en la localidad
vizcaína de Getxo, como todos sabemos. Alguien a quien tuve el honor
de conocer y tratar personalmente, una excelente persona que rebosaba
humanidad por los cuatro costados, un ciudadano sensible y claramente
comprometido con todo tipo de causas sociales, un excelente profesor
de derecho penal, como tuve oportunidad de comprobar en las aulas de
la Universidad de Deusto hace ya más de 20 años; un ortodoxo de la
metodología de trabajo científico, como pude comprobar también en los
cursos de doctorado que impartía hace algo menos de tiempo en la
misma universidad; y un gran compañero en la docencia universitaria.
En fin, su asesinato constituye una terrible pérdida, una
más, provocada por la sinrazón y la locura fascista de ETA.
Después de esta obligada introducción en primer lugar, quisiera dar
la bienvenida, en nombre del Grupo Parlamentario Vasco (EAJ-PNV), al
director de la Agencia de Protección de Datos a esta Comisión. Si no
me equivoco es su tercera comparecencia en esta legislatura, la
segunda ordinaria. La primera tuvo lugar en septiembre del año pasado
para dar cuenta de la memoria de la Agencia del año 1999 y esta se
refiere a la memoria del año 2000. Mi intervención se va a limitar
a formular una serie de reflexiones en voz alta, tejidas al hilo de la
lectura de la memoria y voy a entreverar, entre reflexión y
reflexión, algunas preguntas que me ha suscitado la lectura del
documento. Invito al compareciente a que las responda en la medida en
que esté en condiciones de hacerlo.
Hay una cuestión importante que pone de manifiesto la introducción de
la memoria en todo lo relativo a la evolución y al funcionamiento de
la Agencia de Protección de Datos durante el año 2000 y es el impacto
que la sentencia 292/2000, de 30 de noviembre, ha tenido, tiene o va
a tener en la práctica de cesión de datos instaurada tras la
aprobación de la Ley orgánica de protección de datos. Se nos dice en
la memoria que, de los 306 ficheros de titularidad pública inscritos
durante el año 2000, han declarado ampararse en la existencia de una
norma reguladora que los autoriza un 84 por ciento y han declarado
ampararse en la existencia de competencias en la misma materia un 45
por ciento; son porcentajes importantes.
En la memoria se nos dice que en muchas de las declaraciones hechas a
lo largo del año 2000 en relación con esta materia se detecta un
error. En los archivos de titularidad pública, en el epígrafe en el
que se consigna que la cesión se ampara en que está autorizada por
una ley, de acuerdo con lo dispuesto en el artículo 11, apartado 2,
punto a) de la ley, se consigna la norma de creación del fichero como
norma habilitante de la cesión. Es una interpretación que hoy,
después de la sentencia 292/2000, es insostenible, pero que antes de
dictarse la sentencia era viable, tanto al amparo de la Ley orgánica
de protección de datos como al amparo de la LORTAD. Se nos dice, sin
embargo, que se observa de hecho que en los ficheros en los que se
produce esta situación la cesión o bien se produce a favor de órganos
administrativos con la misma competencia -con lo que existiría el
amparo del artículo 11 al que antes me he referido- o bien existe una
norma habilitante con rango de ley, como puede ser la Ley de la
Función pública estadística o cualquier otra que habilite a la
Administración pública para la cesión de datos. Lo cierto es que a lo
largo del informe se hacen otras referencias a normas con rango de
ley que habilitan a la Administración pública para la práctica de la
cesión de datos a otros entes administrativos. Se habla
de la Ley general tributaria, de la Ley general de la Seguridad
Social, de la Ley del medicamento, de la Ley general de Sanidad y
demás. La memoria concluye literalmente que la sentencia del Tribunal
Constitucional -se refiere a la 292/2000- no va a corregir
situaciones de fondo importantes. Se señala que se informará a los
que hubiesen practicado estas cesiones para que revisen la
inscripción, corrijan los defectos y lleven a cabo las
regularizaciones que procedan; página 80 de la memoria. En principio
este es un planteamiento correcto que suscribimos. Sin embargo, más
adelante, en la página 243, el propio informe da cuenta de supuestos
en los que se producían cesiones de datos sin más habilitación que la
de la propia norma creadora del fichero, sin habilitación legal. Hay
un caso relativo al departamento de salud de la Junta de Andalucía y
otro del Instituto Nacional de la Seguridad Social, que ceden datos a
la Jefatura de Tráfico. Se dice expresamente que se trata de
supuestos creados al amparo de la LORTAD, pero que habrá que ir
corrigiendo. El director ya ha dictado una resolución al respecto, a
la que hace referencia la memoria. Lo cierto es que al amparo de la
LORTAD o al amparo del tiempo de vigencia que ha tenido el artículo
11, párrafo 2, apartado a), de la Ley orgánica de protección de
datos, existen ficheros cuyas normas de creación prevén expresamente
la cesión de datos a otros entes administrativos, al margen de la
habilitación legal y al margen de la existencia del ejercicio de la
misma competencia, que es el requisito legal. Mi pregunta es: ¿Tiene
la Agencia de Protección de Datos algún plan de actuación específico
para este tipo de supuestos? Porque los hay y habrá que ir
corrigiéndolos. La memoria se hace eco de la existencia de este tipo
de casos y apunta la necesidad de corregirlos, pero quería
preguntarle si tienen prevista alguna medida en este sentido.
De cara al futuro de la cesión de datos entre órganos
administrativos, constituye un importante foco de interés para los
estudiosos y para el legislador, por eso no quisiera dejar de hacer
en este momento una reflexión, que es más bien una autorreflexión, es
decir una reflexión dirigida al propio órgano legislativo en este
caso. Con las habilitaciones legales para la cesión de datos entre
organizaciones administrativas ocurre como siempre que se produce una
habilitación legal que puede incidir en la limitación del ejercicio
de un derecho fundamental, que han de ser administradas por el
legislador con suma cautela, con mucha ponderación. El informe alude
a numerosos supuestos de habilitaciones legales, como la Ley del
medicamento, la Ley general de sanidad, la Ley orgánica de la salud
pública, etcétera. Aquí se produce un emplazamiento al legislador, a
las Cortes Generales en este caso, para que pondere muy claramente en
qué tipo de supuestos está justificada una habilitación a la
Administración pública para ceder este tipo de datos sin
consentimiento de los afectados y sin que se produzca el amparo de
las previsiones específicas del artículo 11, al que antes me he
referido. La sentencia 292/2000 dice, en relación con las
habilitaciones legales, que el apoderamiento legal que permite a un
poder público recoger, almacenar, tratar, usar y en su caso ceder
datos personales sólo está justificado si responde a la protección de
otros derechos fundamentales o bienes constitucionalmente protegidos.
Esto es así evidentemente porque el legislador, cuando determina el
alcance y contenido de un derecho fundamental, tiene necesariamente
que respetar su contenido esencial, que no puede ser arbitrariamente
limitado por el legislador. Con esto quiero hacer una reflexión no
tanto dirigida al director de la Agencia de Protección de Datos como
al propio órgano legislativo, a las Cortes Generales en este caso,
para que se pondere muy cuidadosamente a la hora de decidir
incorporar a un texto legislativo una habilitación a la
Administración pública para la cesión de datos en las condiciones
citadas.
Quisiera hacer una breve referencia al apartado de la memoria que
alude al tratamiento de datos personales en Internet. Por la
importancia que ha adquirido el medio y por su gran incidencia en la
privacidad de los datos merece una consideración específica y el
tratamiento que recibe este tema en la memoria es riguroso
y correcto. El grupo al que represento comparte la interpretación que
se hace en la memoria, que es la que postula la Agencia de Protección
de Datos, en relación con el artículo 30 de la Ley orgánica de
protección de datos, que excluye a Internet de las fuentes de datos
accesibles al público. Esto obliga, como se señala literalmente en la
memoria, a que exista un consentimiento inequívoco, específico e
informado del afectado para realizar tratamientos con sus datos
personales publicados en Internet, aunque estos se hayan publicado de
forma que cualquier internauta pueda acceder a los mismos. También
creo que es obligado hacer una referencia aunque sea breve al
apartado de las transferencias internacionales de datos, por su
importancia y por la profundidad con la que este tema es tratado por
la memoria. Es un tema de gran interés jurídico, que exige una
delicada gestión por la Agencia de Protección de Datos. Los artículos
32 y 33 de la ley orgánica reconocen en este punto a la Agencia
-sobre todo el artículo 32- un importante poder discrecional, sobre
todo a la hora de determinar los países que no proporcionan un nivel
de protección equiparable al que presta la Ley orgánica de protección
de datos y en lo que se refiere a la determinación de cuándo
concurren las garantías adecuadas para autorizar la cesión de datos
de carácter internacional a países en los que no se dé esta
protección equiparable a la que se presta en España. Lo cierto es que
este poder discrecional está posteriormente muy limitado, sobre todo
en lo que se refiere al primer punto, como consecuencia de la
Instrucción 1/2000, de 1 de diciembre, que es una instrucción,
a nuestro juicio, razonable y ponderada, que
incorpora las últimas decisiones de la comisión, limitando
notablemente la discrecionalidad de la Agencia a través de unas
pautas regladas muy claras. En relación con la existencia de
garantías adecuadas o no, la Agencia de Protección de Datos dispone
de un poder discrecional para decidir cuándo son suficientes las
garantías ofrecidas por un país hacia el que se produce una
transferencia internacional de datos. Sólo ha habido dos casos, según
se nos dice en la memoria, en los que la solicitud no se amparaba en
los supuestos de justificación previstos en el artículo 34, uno con
los Estados Unidos y otro con Marruecos. El informe señala que las
garantías adecuadas que exige la ley se traducen en una serie de
cláusulas contractuales, que están especificadas en la memoria y que
en principio nos parecen razonables. Es este un tema importante que
tendrá enjundia en los años sucesivos. Probablemente su importancia
se incrementará, puesto que las transferencias internacionales de
datos van a constituir un referente obligado para las agencias de
protección de datos de cara al futuro, no solamente dentro de las
empresas multinacionales sino en el seno de redes transnacionales de
estructuras empresariales o incluso en el seno de organizaciones
públicas que vinculan a entes públicos de distintos países.
Quisiera hacer una breve referencia a los planes sectoriales de
oficio, una excelente iniciativa de la Agencia de Protección de Datos
que permite evaluar el grado de aplicación de la ley e impulsar en su
caso su más rigurosa observación por parte de las instituciones o de
las empresas llamadas a respetar sus preceptos, sin tener para ello
que recurrir necesariamente a las siempre traumáticas medidas
sancionadoras, que evidentemente reconducen la realidad a las
previsiones de la ley pero en términos, como decía, mucho más
traumáticos y mucho más rotundos que lo hacen los planes sectoriales
de oficio. Es una iniciativa que, con las oportunas adaptaciones,
podría ser perfectamente extensible a otros ámbitos de la acción
administrativa, a otros ámbitos regulados por normas de rango legal
en los que el conocimiento sobre el grado de aplicación de la norma
a la realidad es absolutamente inexistente en muchos casos o es muy
limitado en la gran mayoría de ellos. Esto lo puedo decir porque
durante mis intervenciones en esta Comisión, y sobre todo en la
Comisión de Administraciones Públicas, he intentado impulsar con nulo
éxito la implantación de técnicas de evaluación normativa que
permitan a las Cortes Generales conocer directamente cuál es el nivel
y cuál es el modo en que están siendo aplicadas las normas aprobadas
por las propias Cortes Generales, al margen de la información que a
ese respecto pueda proceder del Ejecutivo, que puede estar
efectivamente condicionada o sesgada por los intereses del propio
Poder Ejecutivo. Decía que he intentado impulsar este tipo de
iniciativas con nulo éxito y sin embargo aquí encontramos una
práctica evaluadora
de una norma que yo creo que es elogiable y que sería digna
de extensión a otros ámbitos.
A través de los planes sectoriales de oficio realizados a lo largo
del año 1999, por ejemplo, sabemos que la Agencia Española de
Administración Tributaria mantiene datos relacionados con más de un
millón de personas que han fallecido y que, en virtud de la Ley
orgánica de protección de datos, debe cancelar, al menos todos
aquellos datos de carácter personal que hayan dejado de ser
necesarios al fin para el que fueron recabados, según se lo ha
recordado la Agencia de Protección de Datos en la oportuna
recomendación expresamente recogida en la memoria. Este tipo de
dinámicas serían interesantísimas en otros ámbitos de la legislación
estatal, donde ahora son prácticamente inexistentes. De los
realizados, por ejemplo, a lo largo del año 2000, reviste singular
interés la inspección desarrollada entre las entidades que participan
en el comercio electrónico, donde se ha comprobado que nada menos que
un 27 por ciento de las webs analizadas no hacen referencia a la
información que exige el artículo 5.1 de la Ley orgánica, y el 36 por
ciento no figuran inscritas en el registro general; y también la que
se ha llevado a cabo para la gestión de tarjetas en grandes
superficies comerciales. Por cierto, la inspección desarrollada en la
Agencia Española de Administración Tributaria ha puesto de manifiesto
-se hace referencia a ella en la página 239 y siguientes- que la Ley
orgánica de protección de datos no incluyó un régimen transitorio
para los procedimientos iniciados al amparo de la LORTAD, lo que
obliga al operador jurídico a maniobrar con la aplicabilidad
supletoria del régimen transitorio previsto en la Ley 30/1992. Un
fallo del legislador que yo creo que puede producir en algunos casos
efectos indeseados y que debe tomarse en consideración de cara al
futuro. Este tipo de información que se obtiene a través de los
planes sectoriales de oficio sería utilísima en otros ámbitos y en
relación con otras leyes a efectos de que las Cortes Generales, que
han aprobado estas normas, conocieran directamente y de propia mano
la evolución que estas normas están experimentando y su grado de
penetración en la realidad social a la que van dirigidas.
Finalmente quisiera hacer dos pequeñas referencias, con dos sendas
preguntas, a dos temas que revisten especial importancia en el ámbito
de la memoria y en el del cometido que tiene asignado la Agencia de
Protección de Datos. La primera tiene que ver con la incidencia de la
Carta de Derechos Fundamentales de la Unión Europea en el derecho a
la protección de datos. Hasta la aprobación de la Carta, en la cumbre
de jefes de Estado y de Gobierno de la Unión, en Niza, el pasado 7 de
diciembre del año 2000, los documentos internacionales como el
Convenio europeo para la protección de los derechos fundamentales y
de las libertades públicas, de Roma, del año 1950, el Convenio del
Consejode Europa o las directivas del Parlamento Europeo
y del Consejo sólo entraban en nuestro ordenamiento jurídico a través
de la cláusula prevista en el artículo 10.2 de la Constitución.
Constituían, sí, un canon de interpretación de las normas
constitucionales relativas a los derechos fundamentales y libertades
públicas, pero no constituían propiamente parámetro de
constitucionalidad, como bien señalaba la sentencia 292/2000. La
sentencia a la que me acabo de referir señalaba que tanto los
tratados y acuerdos internacionales a los que se remite este precepto
constitucional -se refiere al artículo 10.2- como el derecho
comunitario derivado no poseen rango constitucional y por tanto no
constituyen canon de constitucionalidad de las normas con rango de
ley. Desde el Tratado de Niza el panorama es hasta cierto punto
distinto, porque el mismo supone la incorporación al derecho
comunitario originario de este derecho fundamental.
Mi pregunta es la siguiente. Supongo que en la Agencia de Protección
de Datos habrán hecho alguna reflexión en relación con el modo en que
esto va a incidir en la configuración que el derecho a la protección
de datos tiene en nuestro ordenamiento jurídico. Una configuración
sobre todo jurisprudencial, porque lo cierto es que el artículo 18,
apartado cuarto, de la Constitución es poco menos que una
habilitación al legislador; por tanto, repito, la configuración es
fundamentalmente jurisprudencial. Pero hay ya una configuración
bastante clara, sobre todo a partir de las últimas sentencias,
y ahora tenemos otra configuración de ese mismo derecho que procede de
una norma que ya no es derecho comunitario derivado, que es derecho
comunitario originario y que se sobrepone de alguna manera a las
previsiones constitucionales. ¿Ustedes han comparado el alcance y
contenido de una declaración y de la otra, han hecho un esfuerzo de
confrontación y han alcanzado alguna conclusión en relación con el
modo en el que la Carta de Derechos Fundamentales puede incidir en la
configuración que en el derecho interno ya tiene este derecho
fundamental? Una última pregunta, obligada, tiene que ver con el
censo promocional. En la página 76 de la memoria se recuerda que a la
fecha de cierre de la misma no se ha producido el desarrollo
reglamentario del censo promocional. ¿Qué previsiones tienen a este
respecto?
La señora PRESIDENTA: Por el Grupo Parlamentario Catalán
(Convergència i Unió), tiene la palabra el señor Silva.
El señor SILVA SÁNCHEZ: Mis primeras palabras deben ser para
adherirme a la condena que ha formulado el portavoz del Grupo
Parlamentario Vasco en relación con el asesinato de esta mañana. Hago
mías, desde luego, todas sus formulaciones, salvo las personales en
la medida en que ha tenido el honor de conocer al magistrado Lidón.
No puedo decir lo mismo pero, en cualquier caso, las expresiones de
condena y de rechazo
las comparte mi grupo al cien por cien. En segundo lugar, pido
disculpas al director de la Agencia de Protección de Datos porque los
vocales titulares de Convergència i Unió de esta Comisión, por razón
de la tramitación presupuestaria que está concurriendo estos días y
de la finalización de los trabajos de la Comisión de Gescartera, no
están presentes y por lo tanto debo hacer una sustitución limitada,
entre comillas.
El director de la Agencia de Protección de Datos sabe que el Grupo
Parlamentario Catalán, en sus últimas comparecencias, tiene intereses
fundamentales. Uno, que viene muy de lejos y que ya ha sido puesto
aquí de manifiesto por el portavoz del Grupo Parlamentario Vasco,
está en relación con el desarrollo reglamentario del censo
promocional. Los anexos de la memoria que hoy nos presenta contienen
la intervención que tuvo en septiembre del año pasado, en la que
ponía de manifiesto los contactos con el Instituto Nacional de
Estadística y querríamos saber en qué situación se encuentra este
tema en estos momentos. De la misma manera, quiero reiterar los
planteamientos que en aquella comparecencia le hacía mi compañero y
diputado, Jordi Jané, en el sentido de que en tanto se contase con
ese desarrollo reglamentario, a efectos de evitar deslocalización de
empresas o juego del principio de extraterritorialidad, considerando
cómo se regula esta materia en otros países de nuestro entorno, había
que tener un comportamiento dentro del marco de la ley pero
comprensivo por parte de la Agencia de Protección de Datos. Vinculado
con este tema del censo promocional y en la medida en que la memoria
hace referencia también a la publicidad y al marketing directo, la
memoria incide en la apertura de procedimientos sancionadores
iniciados durante el año 2000, por ejemplo, relativos, habla de 24, a
actividades relacionadas con el envío postal de publicidad, le quería
preguntar si se están produciendo denuncias, si se están produciendo
actuaciones, no respecto al envío postal de publicidad al que aquí se
hace referencia sino al envío de publicidad vía fax, que muchas veces
es más molesto para el ciudadano. Quizá con la publicidad vía postal
no tiene más esfuerzo que abrir la puerta del buzón, pero cuando se
manda vía fax el ciudadano pone papel y pone tóner y por tanto, desde
ese punto de vista, la agresión, por así decirlo es mayor.
Hay otro aspecto al que ya ha hecho bastante referencia el señor
compareciente, el director de la Agencia de Protección de Datos, en
su intervención, la seguridad en Internet. En estos días se están
desarrollando los trabajos todavía en fase de anteproyecto de la ley
de servicios de la sociedad de la información y de comercio
electrónico. Todos somos conscientes de que este sector tendrá un
mayor o menor desarrollo muy en función también de la percepción que
tengan los ciudadanos, los consumidores y los contratantes de la
seguridad de la transmisión de los datos personales, elnombre, el
número de la tarjeta de crédito, etcétera, por
esta vía, y por tanto manifestamos una cierta preocupación respecto
de lo que ha comentado el señor director de la Agencia de Protección
de Datos, que al parecer el grado de cumplimiento del reglamento de
medidas de seguridad en Internet no deja de ser todavía limitado. En
cualquier caso, quería preguntarle si la Agencia de Protección de
Datos está participando en la elaboración de ese anteproyecto, si se
le ha requerido algún tipo de informe o sugerencias. Ha citado muy de
pasada un tercer aspecto, la utilización de los datos genéticos con
fines de investigación criminal. La utilización de este tipo de datos
para la investigación de algunos delitos parece que es algo esencial,
sobre todo en algunos tipos concretos de delito y me gustaría que nos
ampliara la información. Sé que existe algún anteproyecto que ha sido
publicado en el Ministerio de Justicia y me gustaría saber el estado
de la cuestión y, desde su punto de vista, cuál es la opinión de la
Agencia de Protección de Datos respecto de la elaboración de ficheros
con datos de ADN de condenados por delitos sexuales o la posible
aplicación a otro tipo de delitos.
Finalmente, ha hecho referencia el señor director a la resolución
sobre el saldo cero. Hoy algún diario económico, concretamente La
Gaceta, hace referencia a esta resolución y pone de manifiesto la
opinión contraria que existe, por un lado, en la resolución de la
Agencia de Protección de Datos y, por otro, del director de la
Central de Riesgos del Banco de España o de algunas otras entidades.
El tiempo acabará de precisar el tema. Yo quiero formularle una única
pregunta: ¿Hay alguna posibilidad de una solución intermedia, aunque
fuese a través de una reforma legislativa? Porque oyéndole a usted y
leyendo la noticia que publica el diario he intuido que posiblemente
la solución de la agencia haya sido esa porque, no quiero decir in
dubio pro reo o por presunción de inocencia, aplicando la ley, ante
decir un sí o un no, era más favorable a los derechos del
administrado un no, pero quizá pueda haber alguna solución un poco
más intermedia que sea más equilibrada, desde el punto de vista de
satisfacción de los intereses que se encuentran en juego.
Esto es lo que desearía que nos pudiese aclarar. Agradezco su
comparecencia y pido disculpas por anticipado por si en el momento en
que responda nuestra intervención no puedo estar presente en la sala.
La señora PRESIDENTA: Por el Grupo Parlamentario Socialista, tiene la
palabra la señora del Campo.
La señora DEL CAMPO CASASÚS: Quiero que las primeras palabras del
Grupo Socialista sean también para condenar el ruin asesinato de esta
mañana. A continuación, quiero dar la bienvenida al señor director de
la Agencia de Protección de Datos y agradecerle la exhaustiva
presentación de la memoria del año 2000 que sin duda ha sido un año
complicado para la Agencia. Se han unido en él muchas circunstancias,
la entrada
en vigor de la nueva Ley de Protección de Datos, la sentencia 292
del Tribunal Constitucional con la nulidad parcial de los artículos
21 y 24 y también una cierta marejada pública en cuanto a múltiples
denuncias de infracción de las normas de protección de datos en
amplios sectores, en historias clínicas, datos bancarios, datos
tributarios, datos en poder de empresas de telecomunicación, marejada
que desde luego es hasta cierto punto preocupante, aunque tiene
también su vertiente positiva, en opinión de este grupo, la vertiente
de que los ciudadanos van teniendo conciencia de su derecho a la
protección de datos de carácter personal. Ahora bien, todas estas
circunstancias habrán supuesto problemas para la Agencia de
Protección de Datos, el aumento de denuncias, el aumento de
inscripciones de ficheros, la subida de procedimientos sancionadores
y de inspección, el gran número de recursos de reposición que la
Agencia ha debido resolver como consecuencia de la entrada en vigor
de la Ley 4/1999. Todo ello nos hace temer que la carga de trabajo se
haya multiplicado y que realmente el incremento de personal
contemplado en la relación de puestos de trabajo del año 2000 sea
absolutamente insuficiente para afrontarla. Por ello creemos que sin
duda es necesaria la reorganización y la nueva dotación de personal
que señalaba al principio de su intervención.
Entre los comentarios y las preguntas que quisiéramos hacer, antes de
pasar a algunos aspectos concretos, hay dos cuestiones de carácter
general sobre las que ya hemos hablado en esta Comisión, pero que nos
siguen preocupando. Alguna de ellas ha sido mencionada por mis
compañeros que me han precedido en el uso de la palabra. Trataré de
ser muy breve, pero no puedo dejar de hacer alguna alusión. La
primera de ellas es la repercusión en el trabajo de la Agencia de la
sentencia que acabamos de mencionar del Tribunal Constitucional, que
declara la nulidad de parte de los artículos 21 y 24 de la Ley y que
configura como derecho fundamental autónomo el derecho a la
protección de datos. Sabemos que el señor Fernández ya dio una
valoración inicial sobre el alcance de esta sentencia en su
comparecencia de fines del año pasado ante la Comisión, pero creemos
que ahora tendrá nuevos elementos de juicio y no sé si en esta
comparecencia, puesto que ha seccionado el tema de administraciones
públicas para tratarlo en la próxima, nos podrá informar sobre el
alcance definitivo de la sentencia y sobre las medidas de advertencia
y vigilancia que ha adoptado la Agencia para constatar que no haya
comunicación indebida de datos entre administraciones públicas y que
estas garanticen en toda su plenitud los derechos de información,
acceso, rectificación y cancelación, así como la confidencialidad de
los datos que obran en su poder, porque hay noticias del año 2000 que
nos hacen ver que en ocasiones esta confidencialidad ha sido
clamorosamente vulnerada.
Nos preocupa también la incidencia que puede tener en el buen
desarrollo del trabajo de la Agencia la falta de desarrollo
reglamentario de la Ley de protección de datos. Quienes me han
precedido ya han hablado de la falta de desarrollo del censo
promocional. Nosotros quisiéramos preguntar al señor Fernández sus
previsiones en cuanto a la posible fecha de desarrollo reglamentario
de este aspecto por parte del Instituto Nacional de Estadística
previsiones que, según nuestras noticias y las declaraciones del
vicepresidente segundo del Gobierno en este Congreso de los
Diputados, son a largo plazo, porque, en respuesta a una pregunta
parlamentaria, el señor Rato contestó claramente que 2001 no era año
para desarrollar el censo promocional. Quisiéramos saber qué
especiales dificultades ha encontrado la Agencia en su funcionamiento
ante la falta de este censo promocional. Sabemos que en concreto el
sector de marketing directo es el que más ha sufrido las
consecuencias de esta falta de desarrollo y que muchas veces ha
habido sanciones por obtener datos de fuentes no accesibles al
público en ausencia de este censo.
También nos preocupa de una forma muy especial la falta de desarrollo
del derecho de oposición. Hace un año decía el director de la Agencia
en una comparecencia ante esta Comisión que era urgente establecer el
reglamento de desarrollo de la ley. Si bien hasta la sentencia del
Tribunal Constitucional de 30 de noviembre la Agencia había podido
bandearse, la situación no podía seguir adelante así. Hace casi un
año de aquella sentencia y seguimos sin desarrollo reglamentario del
derecho de oposición. No sabemos si la Agencia puede seguir
bandeándose o si ya ese bandeo es imposible. De hecho, se están
produciendo situaciones curiosas y se han producido a lo largo de
todo el año 2000, ha habido 306 ficheros creados por las
administraciones públicas que exigen la implantación de medidas
conducentes a hacer efectivas las garantías, obligaciones y derechos
recogidos en la ley y establecen los órganos ante los que se pueden
ejercitar los derechos de acceso, cancelación y rectificación, pero
ni siquiera mencionan de cara al futuro el derecho de oposición. Son
dos aspectos que nos preocupan y sobre los que quisiéramos alguna
explicación adicional, especialmente sobre qué garantías cree la
Agencia que puede dar al derecho de oposición en esta situación de
falta de desarrollo reglamentario.
Junto a estas dos cuestiones de carácter más general, también hay
algunas más específicas que nos preocupan, y dejaré de lado las
referidas a datos tributarios y policiales, puesto que hay dos
comparecencias específicas que se refieren a estos aspectos, pero sí
quisiéramos alguna ampliación sobre la información que nos ha dado
relativa a las empresas de telecomunicación. Ha señalado el director
de la Agencia que en las inspecciones a operadores de telefonía móvil
no se han hecho públicas más conclusiones porque podrían quedar al
descubierto materias protegidas por el secreto
comercial. Pese a ello, nosotros quisiéramos, si es posible, alguna
ampliación sobre las iniciativas que ha llevado a cabo la Agencia en
2000 para evitar las prácticas que vulneran el derecho de protección
de datos en este sector, como la fuga o el tratamiento masivo de
datos, por ejemplo.
También quisiéramos alguna ampliación sobre las inspecciones
realizadas a entidades financieras. Ha hablado S.S. de algún episodio
clamoroso que se ha reflejado con claridad en los medios de
comunicación de pérdida y aparición de datos en la calle y de las
resoluciones sancionadoras que han tenido lugar como consecuencia.
Sin embargo, también manifestaba hace aproximadamente un año su
preocupación, fuera de estos casos extremos, por la cantidad de datos
personales de los ciudadanos que estas entidades manejan y sus
posibilidades de cesión de estos datos, y nos hablaba de una reunión
celebrada con la Asociación Española de Banca Privada para llegar a
conclusiones que evitaran el uso sin consentimiento de estos
procedimientos que conculcan los derechos fundamentales. Quisiéramos
saber si estas reuniones han dado algún resultado práctico, si a su
juicio han desaparecido o al menos han disminuido estas prácticas en
la banca.
Quisiéramos tocar, aunque en este sector incidiremos en la próxima
comparecencia, algunas cuestiones relativas a datos sanitarios. En el
año 2000, como consecuencia del plan sectorial de inspección de 1999,
la Agencia elaboró diversas recomendaciones para el sector sanitario.
Querríamos saber hasta qué punto han servido estas recomendaciones,
en su opinión, para eliminar prácticas como la cesión ilegal y no
consentida de datos o el empleo sin consentimiento por parte de las
empresas de estos datos con fines distintos a aquellos para los que
fueron recogidos, por ejemplo el fin de controlar el absentismo
laboral, que fue precisamente objeto de condena en la sentencia 202/
1999, del Tribunal Constitucional.
Por último, quisiéramos alguna ampliación en cuanto a las actuaciones
en el ámbito internacional de la Agencia, pues tenemos alguna
preocupación que en el año 2000 era compartida por S.S. y nos
gustaría saber si lo sigue siendo, y se refiere a los principios de
puerto seguro. En el año 2000 manifestaba usted sus dudas y sus
reticencias sobre la validez de estos principios de puerto seguro que
la Comisión Europea, en su decisión de 26 de julio de 2000, consideró
que configuraban un nivel de protección suficiente para las
transferencias de datos a Estados Unidos. Nosotros queremos saber si
su preocupación se mantiene o si cree que con las disposiciones de la
norma cuarta de la instrucción 1/2000 se configura ya una garantía
suficiente para el derecho fundamental de protección de datos en
estos casos.
La señora PRESIDENTA: Por el Grupo Parlamentario Popular, tiene la
palabra la señora Matador.
La señora MATADOR DE MATOS: Yo también me sumo a la condena por el
atentado de ayer, confiamos en que las Fuerzas y Cuerpos de Seguridad
del Estado puedan detener a los autores de este asesinato y que la
sociedad española acabe de una vez por todas con estos actos de
terrorismo.
Entrando en materia, en nombre del Grupo Parlamentario Popular quiero
agradecer sinceramente la presencia del director de la Agencia de
Protección de Datos para exponer la memoria del año 2000, exposición
que, si ha sido extensa, hemos de felicitar por su precisión y
rigurosidad, sobre todo si tenemos en cuenta la trascendencia de un
derecho fundamental como es el de la protección de datos de carácter
personal, tras la sentencia del Tribunal Constitucional ya mencionada
aquí anteriormente 2/92, de 2000, que viene a configurarlo como un
derecho autónomo sin ningún tipo de dudas.
Como se señala al inicio de la memoria, el Grupo Popular es
consciente del gran esfuerzo que ha tenido que realizar esta Agencia
en el período que hoy nos ocupa con la entrada en vigor de la nueva
Ley orgánica de protección de datos en el mes de enero de 2000 y con
la sentencia a la que antes me he referido. Hemos de resaltar la
importante labor de difusión que se ha realizado por parte de la
Agencia, como no podía ser de otra manera, para dar a conocer la
normativa aplicable y su mejor comprensión en la línea que siempre ha
defendido este grupo parlamentario, que es la atención al ciudadano,
que debe estar perfectamente informado con relación a los derechos
que le asisten respecto al carácter privado de sus datos personales,
sobre todo en aquellos sectores, como ya ha apuntado aquí el director
de la Agencia de Protección de Datos, del comercio electrónico, donde
están aún más desprotegidos. Si no he entendido mal, según las
consultas que se han hecho un 27 por ciento no cumplen con los
requisitos que exige la ley y el 36 por ciento no están inscritos. A
partir de la exposición del director y de la memoria, que todos hemos
analizado detenidamente en términos generales, podemos hacer una
valoración positiva de las actividades de la Agencia de Protección de
Datos, felicitándonos otra vez por ese afán cada vez más garantista
de la intimidad de las personas y por la cada vez mayor
sensibilización de la sociedad.
En la memoria -ya lo ha señalado usted- se constata el interés
creciente de los ciudadanos en el alcance de este derecho fundamental
con las 20.000 consultas formuladas a la propia Agencia y los más de
un millón de accesos a través de Internet. También se ha producido un
incremento considerable en la inscripción de ficheros con respecto al
período anterior, que si no he entendido mal ha sido de un 400 por
ciento y que en el año 2000, en los ocho primeros meses, ya ha
aumentado también un 170 por ciento respecto al anterior, aumentando
de este modo todas las operaciones de inscripción
que han pasado diversos asientos en los registros.
Vemos también cómo se han incrementado las actuaciones de inspección
y cuando ha sido necesario también se ha hecho uso del ejercicio de
la potestad sancionadora con los consiguientes expedientes, que en
gran parte han finalizado en el año 2000 y de los que todavía quedan
algunos por resolver debido a que ha aumentado también el volumen de
actuación de la Agencia de Protección de Datos.
A todas estas actuaciones hay que añadir -se ha dicho también- las
resoluciones que se han dictado con motivo de los 113 recursos de
reposición, lo cual volvemos a decir que ha supuesto una mayor carga
de trabajo para la Agencia, y aquí ya ha puesto de manifiesto el
director de la Agencia de Protección de Datos que hace falta
incrementar esos recursos humanos.
En cuanto a los planes sectoriales, se ha continuado con esos planes
sectoriales de oficio antes de recurrir a la vía sancionadora, planes
que dan lugar a recomendaciones que pretenden lograr una mayor
adecuación de los distintos sectores a lo preceptuado en la Ley de
protección de datos. Si bien se nos ha expuesto aquí que en general
se ha observado un grado adecuado de cumplimiento de la ley, aunque
se ha dejado para la posterior comparecencia entrar en la materia,
por lo que se nos ha dicho se observan algunas deficiencias en
ciertos sectores inspeccionados tanto de ámbito público como privado,
y no dudamos que por parte de la Agencia se va a seguir actuando.
Merece también especial atención la importantísima y cada vez mayor
actividad de la Agencia en el exterior, no sólo por su participación
en los distintos foros internacionales, sino también porque nuestra
legislación de protección de datos y la propia Agencia han servido,
están sirviendo y sin duda servirán de punto de referencia para
muchos países.
Para concluir y no extenderme más en este punto, el grupo
parlamentario está a su disposición en ese compromiso total de
colaborar en la mejora de la tutela del derecho a la protección de
datos de carácter personal, a que la sensibilización de la sociedad
sea cada vez mayor, y le animamos a que siga con esa encomiable labor
informativa y de formación que corresponde a la Agencia de Protección
de Datos y que nos consta que se viene desarrollando cada vez con más
intensidad.
La señora PRESIDENTA: Tiene la palabra el señor director de la
Agencia de Protección de Datos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Quiero ante todo agradecer a SS.SS. con carácter general la
lectura y, en definitiva, el estudio profundo que han hecho de la
memoria. La previsión legal de que la memoria deba publicarse por la
Agencia y el esfuerzoque llevamos a cabo veo que no cae en saco roto,
porque
precisamente SS.SS. la estudian y a través de ella ven los problemas
que se derivan para la protección de datos. Gracias a todos por su
dedicación a esta materia.
Siguiendo el orden de intervenciones, en primer lugar responderé al
señor Erkoreka, que no está presente en estos momentos. La primera
parte de sus preguntas referida a administraciones públicas, toda vez
que luego voy a tener una intervención concreta sobre esta materia,
la voy a dejar para entonces para no duplicar cuestiones que luego se
van a concretar más ampliamente, para no cansar innecesariamente a
sus señorías. Indudablemente la Agencia sí tiene planes para atajar
los problemas que puedan producirse en caso de incumplimiento de las
administraciones públicas y para evitarlos, como luego expondré.
Efectivamente comparto su opinión respecto de que Internet no es una
fuente accesible al público. La fuente accesible al público es una de
las ventajas de la nueva ley, es la que tasa la ley, por tanto, no
hay ninguna otra. Internet, por el contrario, se debe someter a toda
la normativa de protección de datos, y cuando digo toda no me estoy
refiriendo sólo a la Ley orgánica de protección de datos, sino a
aquella regulación específica que sobre esta materia se establece en
el caso concreto de las telecomunicaciones y también en una directiva
comunitaria. Las autoridades de control reunidas en base al artículo
29 hemos declarado en innumerables documentos que al llamado mundo de
Internet también le alcanzan en su totalidad las previsiones de
protección de datos que propician ambas directivas.
En cuanto a las transferencias internacionales, nosotros hemos
dictado la instrucción 1/2000 con la intención de adecuar el sistema,
sobre todo recopilar la regulación que las diversas situaciones
propician para la protección de datos en el supuesto de
transferencias, y con ello facilitar a los que deben de cumplir la
ley qué es lo que deben de hacer. De sobra sé que a estas alturas una
instrucción dictada por un órgano administrativo carece de rango
normativo, pero la otra habilidad que puede proporcionar, que es
establecer el criterio de la Agencia y los pasos que hay que dar en
cada una de las transferencias, creo que resulta útil, y sobre todo,
a petición de diversos grupos empresariales, la hemos producido para
aclarar las cosas, aunque incluso haya quien ya nos la haya impugnado
en vía contenciosoadministrativa.
Los planes sectoriales tratan de ser una medida adecuada para conocer
cómo un sector está cumpliendo la ley, qué problemas tiene en el
cumplimiento de la misma, en su caso, ayudarles a cumplirla y,
finalmente, recomendar a todo el sector, que estará sometido a los
mismos problemas, el mejor cumplimiento de la ley. Con eso cumplimos
mejor con la necesidad de difundir su conocimiento. La función de la
Agencia, muchas veces lo he dicho, es residual en el caso de la
potestad sancionadora. Mucho más importante es que los obligados
a cumplir la ley la cumplan y que los ciudadanos puedan ver
satisfechos sus derechos.
La Carta de Derechos Fundamentales de la Unión Europea evidentemente
tiene una trascendencia grande no por todos compartida. Recuerdo que
en la conferencia internacional que celebramos últimamente, cuando se
aprobó una declaración común de todos los grupos, ésta se refería
sólo al derecho a la privacidad. Tuve que intervenir y tuve un debate
con mis colegas para que aquello se corrigiera y se dijera que
fundamentalmente se estaba defendiendo el derecho a la protección de
datos, que es un derecho de todos los ciudadanos de la Unión Europea,
y así constó en el documento final.
Finalmente el señor Erkoreka ha hecho mención al desarrollo del censo
promocional. Ya he manifestado mi opinión en esta Cámara en varias
ocasiones. Creo que el desarrollo del censo promocional es bueno, y
lo es en un doble aspecto: por un lado, porque vamos a posibilitar
que empresas que ejercen lícito comercio lo puedan ejercitar dentro
de la licitud sin interferir en el derecho de los ciudadanos; y, por
otro, para que los ciudadanos que quieran recibir la publicidad la
puedan recibir. Además la fórmula en que está concebido por el
legislador va a posibilitar que anualmente los ciudadanos puedan
darse de baja o de alta en el llamado censo promocional, con
independencia de que puedan ejercer sus derechos de acceso,
rectificación y cancelación en cualquier momento. Creo que el censo
promocional es bueno, y fíjese hasta dónde alcanza mi preocupación
por él que incluso en el día de ayer -para otro motivo que luego les
expondré- tuve una reunión con la presidenta del INE y otra vez más
le manifesté mi preocupación por que se desarrolle. Yo espero que
para el año que viene esto se lleve a cabo, ya que, según una
comparecencia que pude leer del vicepresidente segundo del Gobierno,
el problema presupuestario se circunscribía este año con el nuevo
censo de población y la actualización del padrón, lo que suponía un
importe económico muy grande. Yo espero que para el año que viene el
censo promocional se desarrolle, yo creo que es bueno para todos y
desde luego seguiré pidiendo que se lleve a cabo este desarrollo.
El señor Silva también ha manifestado el interés de su grupo por el
censo promocional. Me remito a lo que he dicho sobre el mismo al
referirme a la anterior contestación.
Otro tema que se ha suscitado es si se producen denuncias por el
envío de publicidad vía fax. A este respecto tengo que decir que sí,
pero precisamente en el sector de las comunicaciones es posible que
los que no quieran recibir este tipo de comunicaciones puedan
realizar una indicación en su contrato para que no se produzca. El
tema es más alarmante en el comercio electrónico, porque como se
produce a través de Internet y con la globalización de todos
conocida, el correo electrónico no deseado de publicidad se recibe de
cualquier partedel mundo. La última versión que conozco del proyecto
de ley de comercio electrónico señala expresamente que la publicidad
masiva no deseada no se podrá realizar más que con el consentimiento
expreso de los ciudadanos. Con lo cual se evitará que sobre todo los
internautas sufran este tipo de publicidad, que no sólo les crea una
molestia, sino un perjuicio económico porque la transmisión se
realiza a cargo del que la recibe.
Respecto a los datos genéticos, necesitan una regulación. En el seno
del Ministerio de Justicia ya se constituyó una comisión, en la que
también participaba la Agencia de Protección de Datos, para llevar a
cabo un borrador de una ley sobre la materia. Esta comisión está
interrumpida en estos momentos, pero ya tenía bastante avanzados
algunos trabajos. No obstante, tengo que decir que se ha producido
otra norma por la que se regulan los vestigios genéticos para
situaciones de crimen y desaparecidos. En este caso no existe
problema desde la protección de datos porque los datos que se recogen
son anonimizados, es decir, cualquier vestigio que pueda quedar en el
lugar del crimen para compararlo luego con un posible acusado. Para
realizar la prueba al posible acusado tiene que llevarse a cabo por
orden del juez, con lo cual no hay ningún problema. Respecto a las
personas desaparecidas, los datos que se guardan son de cadáveres que
aparecen sin identificar para compararlos con el ADN de las personas
que han denunciado la desaparición de un familiar. En este caso,
vuelvo a repetir, desde el punto de vista de la protección de datos
no hay ningún problema porque se trata de datos anonimizados.
El señor Silva se ha referido al tema de saldo cero y si había
soluciones intermedias. La imposibilidad de mantener en fichero el
saldo cero se deriva de la aplicación de la legislación vigente,
artículo 29 de la ley. Antes de llegar a un aparente cambio de
criterio, que no es tal cambio cuando estamos aplicando leyes
distintas, he tratado de informarme de la trascendencia que pudiera
tener en el sector financiero. No olvidemos que los ficheros de
morosos son también un elemento importante para mantener un sector
financiero saneado y para que las empresas, sobre todo las pequeñas y
medianas, accediendo a estos ficheros, puedan vigilar que otorgan
crédito a quien lo merece y no a personas insolventes que les podrían
llevar a situaciones irreversibles en el caso de que impagaran. He
escuchado a todos y nadie me ha dado ninguna razón por la que fuera
necesario mantener el saldo cero. Estamos hablando del saldo en
ficheros comunes, no en los ficheros que cada banco o cada empresa,
por la relación contractual que mantenga con su cliente, puede tener.
Nos estamos refiriendo a ficheros comunes que tienen una gran
trascendencia para el ciudadano, porque si se consultan, como puede
hacerse, por terceros, el ciudadano que figure en él puede verse
privado del acceso al crédito con carácter general, porque todos van
a responder ante una misma situación de forma igual. De ahí que los
ficheros de morosos deban contener sólo
aquellas personas que están incursas en mora, pero no aquellas que ya
han pagado, sobre todo por un plazo de seis años. Como decía antes,
el Tribunal de Defensa de la Competencia, que tiene que otorgar una
autorización singular a estas empresas porque son ficheros comunes,
ya estableció como condición para la autorización el que no pudieran
mantener saldo cero más de tres meses. Lo de tres meses lo dijo el
tribunal para posibilitar el que pudieran ser borrados. A mí tampoco
me importaría que pudieran mantenerse por tres meses, por uno o por
quince días hasta que se puedan producir estas operaciones de
borrado. Lo que pasa es que hasta que la ley no me dé otra pauta,
tengo que decir que es de forma inmediata. Teniendo en cuenta el
cambio que supone la no existencia de mala fe por parte de los que lo
mantenían, y haciendo uso de la facultad que me otorga el nuevo
artículo 45.5 de la ley, en la primera infracción que se ha detectado
respecto de una misma entidad se la ha sancionado con el mínimo de
100.000 pesetas. Lo más importante ha sido motivar, a través de una
larga resolución, las razones que nos han llevado a considerar que el
saldo cero ya no es posible en un registro de morosos. Hay quien
opina que el saldo cero supone que alguien ha pagado. Eso sería
verdad si los que pagamos estuviéramos también incursos en ese
fichero. Pero si sólo van a estarlo aquellos que fueron morosos y han
pagado, se establece una situación vejatoria para los mismos por más
tiempo del necesario porque ya pagaron, con unas consecuencias como
puede ser el verse privados de créditos. Estamos hablando de pequeños
créditos, de crédito al consumo, con la trascendencia social que ello
tiene. Por todo ello, y sobre todo apoyándonos en la nueva legalidad,
en estos momentos la Agencia está considerando que mantener el saldo
cero respecto de quien ha pagado ya una deuda no resulta posible.
La señora Del Campo también me ha formulado diversas cuestiones.
Efectivamente, hay bastantes denuncias sobre temas diversos. Le diré
que los temas son más complejos. Quitando los supuestos en que aún
puede incurrir alguien por incumplir la ley por desconocimiento, ya
hay tramas para tratar de burlar la ley. En los expedientes están
implicados más de uno, porque de lo que se trata en algunos supuestos
es de burlar la ley. No olvidemos que unos datos que estén bien
seleccionados son de un valor económico indudable para el que los
tiene.
Evidentemente, este aumento de trabajo, como muy bien ha expuesto S.
S., lleva a la necesidad de un incremento de personal que en cierto
modo se ha producido, pero que ante los nuevos acontecimientos ha
determinado que el director de la Agencia considere que hay que
reestructurarla, para lo cual he pedido los informes a que antes me
referí al Ministerio de Administraciones Públicas. Han estado una
subdirectora y otros dos funcionarios en la Agencia durante una
semana pasando por los distintos departamentos y comprobando la
necesidad de la demanda por nosotros producida, y espero recibir ese
informe en breve para poder hacer una petición no ya de cinco o seis
funcionarios, estamos hablando posiblemente de 30 ó 40.
En cuanto a las consecuencias de la sentencia 292 del Tribunal
Constitucional y las medidas de vigilancia que ha establecido la
Agencia, si me lo permite S.S. lo dejo para la siguiente
intervención, donde expondré ampliamente las medidas que se han
tomado. Falta, evidentemente, el reglamento de la ley y estoy de
acuerdo en que es momento de que éste se produzca. Había un tiempo
para esperar el rodaje de la ley, se ha publicado la sentencia del
Constitucional donde también se establecen unos parámetros
importantes en la aplicación de la misma y ahora sí es necesario
reglamentarlo. Así se lo he hecho saber al ministerio y hace poco he
recibido un borrador de un proyecto para que informara; borrador de
proyecto que en definitiva parece más bien que incorpora o desarrolla
algunas cosas pero deja otras muchas sin hacer, con lo cual en estos
momentos estamos tratando de dar respuesta con nuestro informe a
aquellas cosas que consideramos que no van a estar bien reguladas y a
la necesidad de regular otras.
El desarrollo del censo promocional, ya lo he dicho antes, creo que
es una necesidad y además es útil. Es una necesidad porque evitará
que empresas que de alguna forma no legal se han hecho con parte o
con la totalidad del censo electoral o del padrón dejen de realizar
estas prácticas, que además son sancionables y que conculcan más
abiertamente el derecho de los ciudadanos, con lo fácil que es en
cambio que a través del censo promocional se reciban las
comunicaciones comerciales por aquellos ciudadanos que lo deseen y
puedan rechazarlas aquellos que nos las quieran. El derecho de
oposición yo no diría que no está regulado, está regulado
parcialmente, necesitaría un complemento y por supuesto sería un buen
momento el desarrollo del reglamento para poder llevarlo a cabo. En
cuanto a la información que usted desea sobre las empresas de las
telecomunicaciones y qué hemos hecho, independientemente de alguna
recomendación que en casos concretos se produce a cada una de las
empresas, hemos abierto procedimientos sancionadores porque eran
bastante graves y numerosas las infracciones. Concretamente en dos
aspectos, en algún caso se estaban haciendo perfiles económicos para
la valoración del cliente sin información y sin consentimiento del
mismo, y en otro, que es más grave, se estaban recogiendo los datos y
traspasándolos a empresas del grupo o incluso ni siquiera se daba la
información de que se iba a hacer ningún tipo de cesiones. Esto ha
llevado a la necesidad de abrir los correspondientes procedimientos
por infracción.
Por lo que respecta a los datos sanitarios, las recomendaciones que
hemos producido como consecuencia de nuestras inspecciones de oficio
en general creo que se han cumplido y en algunos otros casos no hemos
tenido ocasión de comprobarlo. En cualquier caso, los responsables
nos han manifestado que habían dado cumplimiento a las mismas y no
hemos recibido ninguna denuncia al respecto de los ciudadanos.
También preocupa a S.S. el posible empleo de los datos sanitarios
para el control del absentismo laboral. Evidentemente, dicho así esto
no debe producirse. Lo que sí puede producirse es, tal como habilita
el Estatuto de los Trabajadores, que el empresario pueda llevar a
cabo el control sobre el absentismo laboral por medios lícitos; lo
que él no podrá tener luego son esos datos médicos, tendrá que ser el
propio servicio médico de la empresa o servicios contratados fuera de
la misma los que realicen ese control y en cualquier caso no podrán
transmitir los datos clínicos al empresario. Esto, por supuesto, se
está controlando y en algún caso se ha abierto el correspondiente
procedimiento.
Es cierto que yo manifesté aquí que los principios de puerto seguro
me resultaban preocupantes. Preocupantes porque en definitiva iban a
habilitar la transmisión de datos a un país como los Estados Unidos
de Norteamérica que no tiene una legislación de protección de datos a
nivel de todo el Estado, sólo tiene una sectorial, y sobre todo en
base a unos principios -buenos principios- a los que se pudieran
adherir algunas empresas. Ahora, señoría, le puedo decir que hay
garantías porque en definitiva la decisión de la comisión donde se
considera el puerto seguro nivel adecuado de protección va a
posibilitar que se transmitan después de haberse aplicado el derecho
interno, es decir que no irá ningún dato a Estados Unidos si no hay
consentimiento de los afectados o el cumplimiento de una relación
contractual. Los datos más bien irán para realizar tratamiento y ahí
nos tenemos que ocupar más bien de que estén acreditadas unas
auténticas medidas de seguridad. De todas formas, la realidad es que
el puerto seguro ha fracasado porque aún nos siguen pidiendo las
empresas la autorización singular que puede otorgar el director.
Porque ha funcionado, es un sistema que ha funcionado con cláusulas
rigurosas, como usted ha podido comprobar, pero los que quieren
cumplir no tienen problema en que les controlen o en que se le exijan
unas medidas de seguridad adecuadas porque esas medidas de seguridad
adecuadas también les van a proteger de que sus datos pueden ser
captados por terceros. Esta preocupación, que un momento antes de
producirse la decisión de la comisión era grande por mi parte, ahora
ha disminuido y como le digo se sigue aplicando el sistema de
transferencia a través de autorizaciones singulares con las cláusulas
rigurosas que hemos aplicado desde el principio; es más, también a
nivel del grupo del artículo 29 se estudiaron unas cláusulas
contractuales que fueran uniformes para todos los países miembros de
la Unión Europea en la transmisión de datos a terceros países. Al 90
por ciento se han adoptado las cláusulas que ya estaba aplicando la
Agencia de Protección de Datos, lo que supone que
todos los países de la Unión Europea que transmitan a terceros
deberán aplicar al menos estas cláusulas. Creo que en este momento la
situación en este aspecto no es grave, sino todo lo contrario, que
existe un control adecuado.
Finalmente, a la señora Matador debo agradecerle sus palabras y toda
vez que no ha hecho ninguna pregunta en concreto, me pongo otra vez a
su disposición.
La señora PRESIDENTA: ¿Algún grupo desea una nueva intervención?
(Pausa.)
- LAS MEDIDAS ADOPTADAS POR ESA AGENCIA PARA EVITAR LA REITERADA Y
ESCANDALOSA VULNERACIÓN DE LA CONFIDENCIALIDAD DE DATOS DE CARÁCTER
PERSONAL DE LOS CIUDADANOS POR PARTE DE LAS ADMINISTRACIONES PÚBLICAS
Y, EN ESPECIAL, POR LA AGENCIA ESTATAL DE ADMINISTRACIÓN TRIBUTARIA
(AEAT). A SOLICITUD DEL GRUPO PARLAMENTARIO SOCIALISTA. (Número de
expediente 212/000563.)
La señora PRESIDENTA: Pasamos al segundo punto del orden del día, que
es la comparecencia del director de la Agencia de Protección de
Datos, a petición del Grupo Parlamentario Socialista, para que
informe sobre las medidas adoptadas por esa Agencia para evitar la
reiterada y escandalosa vulneración de la confidencialidad de datos
de carácter personal de los ciudadanos por parte de las
administraciones públicas y, en especial, por la Agencia Estatal de
Administración Tributaria.
Tiene la palabra la portavoz del Grupo Parlamentario Socialista para
la exposición de su petición de comparecencia.
La señor DEL CAMPO CASASÚS: Señor director de la Agencia de
Protección de Datos, el Grupo Socialista presenta esta solicitud de
comparecencia como consecuencia de una grave preocupación producida
por hechos relativos no sólo al año 2000, de cuya memoria acaba de
informar, sino también al año 2001.
En efecto, la sentencia del Tribunal Constitucional del pasado 30 de
noviembre, de la que tanto hemos hablado a lo largo de la
comparecencia anterior, exige un mayor nivel de protección de datos a
las administraciones públicas, al declarar inconstitucional parte de
los artículos 21 y 24, que eran precisamente el portillo por el que
la ley proporcionaba a las administraciones públicas formas de escape
y mayor capacidad para incidir sobre los datos personales de los
ciudadanos. Ahora bien, el problema que nos planteamos no es sólo
derivado de esta mayor exigencia, sino de que el nivel de protección
de datos personales por parte de las administraciones públicas en
muchos casos no alcanzaba ni siquiera las exigencias legales previas
a la sentencia.
A lo largo del año 2000, y también de 2001, ha habido noticias
recogidas por distintos medios de prensa, muy en especial por la
revista Interviú, en las que se hablaba con toda claridad y clase de
documentos fotográficos de datos de ministerios que aparecían en la
basura sobre Seguridad Social, de Asuntos Exteriores,
correspondientes al Ministerio de Defensa, incluso nóminas en
distintos países, creo que en 41, de la Agencia Española de
Cooperación Internacional. Todo eso fue localizado en los
contenedores en la calle, sin que, al parecer, existiera por parte de
la Administración ningún procedimiento de destrucción o de protección
expresa de esos datos. También se han producido distintos casos, a
nuestro entender graves, de vulneración de la confidencialidad de
datos sanitarios. De muchos de ellos, relativos a historias clínicas,
se ha hablado en la prensa. Otros han dado lugar incluso a polémicas
en la prensa provincial que se han mantenido durante bastante tiempo,
como fue el requerimiento por parte del Insalud de los datos del
consultorio segoviano de Fuentemilanos de forma coactiva y contra la
voluntad de los médicos y de los pacientes, con unos fines que al
menos es dudoso que quepan en el artículo 7.6 de la Ley de protección
de datos.
Por otra parte, y en el ámbito sanitario, hay otra cuestión muy
reciente que preocupa especialmente a mi grupo. Es el saber hasta qué
punto el acuerdo firmado por el Ministerio de Sanidad y
Farmaindustria para la elaboración y ejecución de un plan integral de
medidas de control del gasto farmacéutico y uso racional del
medicamento respeta el derecho fundamental a la protección de datos
personales, muy especialmente -y se lo leo, señor Fernández, porque
al ser un acuerdo muy reciente quizás no esté en la mente de todos-
en la cláusula 3.3, en la que se dice: A efectos de poder llevar
a cabo por parte de Farmaindustria la distribución entre los
laboratorios de las aportaciones al fondo y de la dotación a que se
refieren los párrafos 2.2 y 2.3, el Ministerio de Sanidad y Consumo
facilitará mensualmente a dicha asociación la información en soporte
informático de la facturación mensual por recetas de la Seguridad
Social, detallada por laboratorio y especialidades farmacéuticas por
comunidades autónomas, especificando las genéricas, así como las
transferencias de especialidades entre laboratorios que pudieran
producirse. Esta cesión de recetas de la Seguridad Social, que
evidentemente contiene los datos personales del paciente, en estas
condiciones que señala este acuerdo nos preocupa muchísimo como
posible fuente de vulneración del derecho a la protección de datos
personales, por ello quisiéramos oír cuál es en este punto la postura
de la Agencia de Protección de Datos, si es que ya ha adoptado
alguna.
Son cuestiones, como ve, referidas a vulneraciones de la protección
de datos por distintas administraciones públicas. Sin embargo, he
dejado para el final la que más nos preocupa, quizás porque es la más
generalizada
y la que ha sido más duradera en el tiempo. Es la referida a la
Agencia Tributaria. El plan de inspección de la Agencia que preside,
en 1999 señalaba ya algunas preocupaciones relativas al
funcionamiento de la Agencia Tributaria. Entre ellas la vulneración
sistemática del principio de cancelación de datos, que eran
conservados sine die contra lo que dispone el artículo 4 de la ley.
También el incumplimiento del deber de información previsto en el
artículo 5, incumplimiento que se hace más grave todavía después de
la declaración de inconstitucionalidad del 24.1. Señalaba también su
informe el insuficiente nivel de protección de datos especialmente
protegidos que se pueden obtener de las declaraciones tributarias,
como son datos relativos a religión, a salud o a afiliación sindical.
Nosotros coincidimos en esta apreciación que hacía la Agencia
Tributaria, pero nos parece que es una apreciación sumamente
bondadosa, porque habla de insuficiente nivel de protección y los
hechos más bien apuntan a un elevado nivel de desprotección y a un
olímpico desdén por los derechos de los ciudadanos. No podemos
calificar de otra manera que listados de contribuyentes o documentos
relativos a ciudadanos concretos, con datos sobre su situación
familiar, económica, sus creencias religiosas o su deuda tributaria
hayan aparecido en la basura. Me dirá que esto ha pasado también en
otros ministerios con datos que les correspondían. Efectivamente,
pero en otros ministerios estas apariciones han sido puntuales, en un
momento determinado. En cambio, en la Agencia Tributaria, según
denuncia recogida por los medios de comunicación -la misma revista a
que me refería antes-, han aparecido datos en estas condiciones en
octubre del año 2000 y seguían haciéndolo, y de forma documentada
-creo recordar que en las dependencias de la agencia en Carabanchel-,
en junio de 2001, es decir, la conducta vulneradora del derecho de
protección de datos se ha mantenido a lo largo de nueve o diez meses.
Nosotros sabemos que la Agencia ha elaborado una recomendación para
que se subsanen estos aspectos, pero la verdad es que seguimos
preocupados y por eso solicitamos hoy esta comparecencia, a fin de
que nos explique los términos de esta recomendación y el resultado
que ha tenido la misma.
La señora PRESIDENTA: Para responder a la petición de comparecencia,
tiene la palabra el señor director de la Agencia de Protección de
Datos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Como ya informé en la comparecencia sobre la memoria del año
1999, uno de los aspectos reseñables de la misma fue el incremento de
denuncias de ciudadanos respecto del tratamiento de datos por las
administraciones públicas. Esta circunstancia dio lugar a que SS.SS.
insistieran en la necesidad de desarrollar una actividad informativa
de carácter preventivo que permitiera a los
responsables de los ficheros, y en particular a los de titularidad
pública, obtener un mejor conocimiento de la Ley de protección de
datos para facilitar su cumplimiento.
Asumiendo esa inquietud, dividiré la presente comparecencia en dos
bloques. En el primero haré referencia a las actuaciones
desarrolladas por la Agencia con dicho carácter preventivo y en el
segundo les informaré sobre los expedientes llevados a cabo por
infracción de las normas de protección de datos con respecto a las
administraciones públicas.
Las actividades informativas de la Agencia han comprendido un amplio
abanico de actuaciones. En primer lugar, las actuaciones dirigidas a
promover el conocimiento de la ley en el seno de las administraciones
públicas. Con el fin de que las administraciones públicas sean cada
vez más conocedoras de la Ley orgánica 15/1999 y para que ello
redunde en una mayor concienciación y mejor cumplimiento de la misma,
se llevó a cabo en La Rioja, concretamente en la ciudad de Logroño,
los días 5 y 6 de julio del pasado año, unas jornadas sobre
protección de datos personales especialmente dirigidas a las
administraciones públicas. A las mismas asistió una amplísima
representación de la Administración central, de la Administración
autonómica, concretamente de La Rioja, de Aragón y de Navarra, y de
la Administración local. La temática que se desarrolló fue muy amplia
al abordarse los principales problemas tanto de la Administración
general del Estado como de las administraciones autonómicas y
locales. Asimismo, se consideraron no sólo los aspectos generales de
la protección de datos personales, sino también cuestiones
específicas como las relativas a los ficheros policiales, los
ficheros de las administraciones tributarias o la compatibilidad
entre los ficheros de solvencia patrimonial de titularidad pública,
los del Banco de España y los privados. También se analizaron
cuestiones relativas a la revisión en vía jurisdiccional de las
resoluciones de la Agencia de Protección de Datos y las funciones de
esta Agencia y de las agencias de las comunidades autónomas. Con el
fin de fomentar una amplia participación, con puntos de vista
diferentes, entre los ponentes no se limitaron a estar los
representantes de la Agencia de Protección de Datos, sino que se
incluyó a funcionarios de dichas administraciones, catedráticos,
magistrados y a representantes de la Agencia de Protección de Datos
de la Comunidad Autónoma de Madrid, que es la única existente en este
momento. El Gobierno de La Rioja y la Agencia de Protección de Datos
editarán en breve plazo una publicación con las ponencias de las
jornadas para su difusión institucional. En la misma línea
informativa, el director de la Agencia ha participado en el año 2001
en once foros celebrados en seis comunidades autónomas, abordando
cuestiones directamente relacionadas con actuaciones administrativas.
El segundo tipo de actuaciones, también de carácter preventivo, está
constituido por las comunicaciones realizadas por el director de la
Agencia a las distintas administraciones públicas, poniéndoles de
manifiesto problemas concretos para el mejor cumplimiento de la ley.
Así, como ya informé a esta Comisión, la amplia reestructuración de
los departamentos ministeriales realizada por el Gobierno en el año
2000 dio lugar a que la inscripción de ficheros de la Administración
general del Estado no estuviera actualizada respecto a las nuevas
denominaciones de los órganos responsables de los ficheros. Por ello,
en el mes de octubre de dicho año, como director de la Agencia,
requerí a los responsables con competencia en esta materia para que
procedieran a revisar su inscripción y comunicasen los cambios
pertinentes, a efectos de su actualización en el registro de
protección de datos.
En lo que respecta a las corporaciones locales, coincidiendo con las
inquietudes manifestadas por varias de SS.SS. respecto a la
inscripción de los ficheros, tengo que decir que, entre noviembre y
diciembre del año 2000, he realizado un requerimiento a 92
ayuntamientos con población superior a 4.000 habitantes que no
constaban inscritos en el fichero, apercibiéndoles de que si no se
producía respuesta al requerimiento se procedería a dar traslado de
este hecho al órgano encargado de la función inspectora y
sancionadora. Transcurrido un plazo prudencial, en junio del año 2001
se procedió a notificar a la inspección la relación de 64
ayuntamientos -cuatro correspondientes a la Comunidad de Madrid, que
tiene ya funciones en esta materia- que no habían procedido a
responder al requerimiento, para que iniciara el correspondiente
expediente sancionador.
En el año 2000 se produjo una importante novedad en materia de
protección de datos como fue la publicación de la sentencia 292/2000,
a la que tantas veces se ha hecho referencia. Baste reiterar que
dicha sentencia declaraba inconstitucionales y nulas determinadas
limitaciones a los derechos de los ciudadanos en relación con las
administraciones públicas y exigía una habilitación con rango de ley
formal para las cesiones de datos entre administraciones públicas
cuando se realice para el ejercicio de competencias distintas.
En junio del año 2001, con el fin de comunicar a las administraciones
públicas las exigencias derivadas de la sentencia del Tribunal
Constitucional, se informó a todos los responsables que habían
declarado cesiones amparándose en una norma con rango inferior a la
ley para que procedieran a revisar la inscripción de los ficheros de
los que eran responsables. Este requerimiento se realizó a cada
departamento ministerial, a todas las comunidades autónomas, a través
de sus consejerías de Presidencia, y, al menos, a todos los
ayuntamientos de las capitales de provincia. Está previsto que la
Agencia de Protección de Datos realice un requerimiento antes de
finales de año advirtiéndoles de las
consecuencias de no adecuar las declaraciones de ficheros a la nueva
situación normativa.
Las actuaciones informativas dirigidas a difundir y aclarar dudas
sobre las implicaciones de la sentencia del Tribunal Constitucional
también se han desarrollado en el ámbito consultivo. Como era
previsible, la incidencia de la sentencia ha tenido su reflejo tanto
en el incremento del número de informes preceptivos relativos
a disposiciones de carácter general, como en el de consultas planteadas
a la Agencia de Protección de Datos por las administraciones públicas
en relación con la cesión, durante el año 2001, de datos de carácter
personal y de ficheros de carácter público.
En la medida en que la inscripción de ficheros en el registro general
de protección de datos puede ser indicador de un mayor conocimiento y
cumplimiento de la ley, las anteriores actuaciones parecen ir dando
su fruto. En efecto, durante el año 2001 se ha tramitado la
inscripción de 88 ficheros de la Administración central, 647 de las
comunidades autónomas y 357 de la Administración local y otros
organismos públicos, lo que supone un total de 1.092 inscripciones de
ficheros de titularidad pública, con un aumento del 24 por ciento
respecto a la inscripción de ficheros de titularidad pública del año
anterior. Por último, y dentro de este tipo de iniciativas, voy a
dirigir una comunicación específica a las administraciones públicas
recordándoles con la antelación suficiente la necesidad de adoptar
las medidas técnicas adecuadas para garantizar el alto nivel de
medidas de seguridad exigible a partir del día 26 de junio de 2002.
Otro de los ámbitos relevantes en los que se está produciendo la
colaboración de la Agencia de Protección de Datos con la
Administración pública es el que se lleva a cabo para la ejecución
por parte de ésta de proyectos de su competencia. En este sentido,
quiero destacar tres actuaciones realizadas por la Agencia en el año
2001. La primera se refiere a la realización del censo de población y
viviendas por el Instituto Nacional de Estadística y del padrón
municipal. La formación del censo de población y viviendas comprende
un conjunto de actuaciones con gran transcendencia desde el punto de
vista de la protección de datos personales, dado que implica la
recogida masiva de información de la totalidad de las personas que
tengan fijada su residencia habitual en España. Se trata además de un
proyecto de gran complejidad, si se atiende al número de empresas y
agentes que bajo la dirección del INE intervienen en el mismo. Por
ello, la Agencia de Protección de Datos ha decidido realizar una
inspección de oficio sobre este proyecto. Esta inspección tiene como
característica destacada la de realizarse de forma simultánea a la
ejecución del proyecto de la formación de los censos de población y
vivienda y no una vez terminada ésta. De este modo se acentúa su
orientación preventiva, posibilitando que las deficiencias que se
aprecien puedan ser corregidas por el INE durante la ejecución
del proyecto. En este ámbito, la Agencia de Protección de Datos
informó los cuestionarios censales del INE antes de su distribución
y, como digo, ya se ha llevado a cabo una primera parte del proyecto,
en cuanto que ya han sido grabados los datos para producir los
cuestionarios y los cuadernos de recorrido que tienen que llevar los
agentes censales.
En segundo lugar, la Agencia de Protección de Datos, a petición del
Ministerio de Administraciones Públicas, ha participado en la
ejecución del proyecto denominado de desarrollo y publicación
electrónica de los criterios generales de seguridad, normalización y
conservación de las aplicaciones y requisitos técnicos para la
prestación de los servicios técnicos y administrativos de seguridad
de las comunicaciones, con las finalidades, entre otras, de regular
la utilización de las técnicas electrónicas, informáticas y
telemáticas por la Administración general del Estado y de regular la
prestación de servicios de seguridad en las comunicaciones de las
administraciones públicas, a través de técnicas y medios
electrónicos, informáticos y telemáticos. Finalmente, la Agencia de
Protección de Datos ha sido requerida para colaborar en los trabajos
técnicos y jurídicos relacionados con un proyecto de DNI electrónico.
La última categoría de las actuaciones que he denominado como
preventivas la constituyen las recomendaciones formuladas a las
administraciones públicas, como resultado de las inspecciones de
oficio realizadas. Como ya se avanzaba en la memoria de 1999, a
finales de dicho ejercicio se terminaron las inspecciones sectoriales
de oficio realizadas a la Agencia Estatal de Administración
Tributaria, a la Dirección General de Tráfico y al sector sanitario
público, en concreto al hospital militar Gómez Ulla, al Centro de
epidemiología y al hospital psiquiátrico de Foncalent. Dichas
inspecciones dieron lugar a que se dictaran en el primer trimestre
del año 2000 las pertinentes recomendaciones, que constan integradas
en la memoria que hoy se ha presentado ante SS.SS. No obstante, y
sobre todo teniendo en cuenta el interés de la señora Del Campo, voy
a referirme concretamente a las recomendaciones hechas a la Agencia
Estatal de Administración Tributaria y al resultado que estas
recomendaciones hayan podido tener.
Durante los meses de junio a diciembre de 1999 se realizó una
inspección de oficio a la Agencia Estatal de Administración
Tributaria, por ser sus ficheros unos de los más importantes dentro
de los de titularidad pública, tanto por su naturaleza y
características como por el amplio colectivo de personas a las que
afectan. Los ficheros seleccionados para su investigación fueron los
relativos a la gestión del IRPF, por ser los más numerosos y los que
mayormente pueden incidir en el tratamiento de datos personales. Se
observó en el funcionamiento de estos ficheros un adecuado grado de
cumplimiento de las prescripciones de la legislación sobre protección
de datos, si bien se encontraron ligeras
deficiencias en su operativa, que una vez subsanadas supondrían
una mejora indudable en el acatamiento de la ley. Por esta razón se
dictaron las pertinentes recomendaciones.
La primera de estas recomendaciones tiene por objeto mejorar el
derecho de información a los afectados en la recogida de sus datos
personales. En este sentido, la Agencia Estatal de Administración
Tributaria deberá tener en cuenta que, tanto si procede a la recogida
de datos personales directamente de los interesados como si lo hace a
través de impresos o cuestionarios, el responsable de la recogida
deberá informar en todo caso de las circunstancias señaladas por el
artículo 5 de la Ley orgánica de protección de datos, a cuyo efecto
los modelos impresos o los cuestionarios que se aprueben por dicha
agencia deberán incluir las correspondientes cláusulas informativas.
La segunda recomendación pretende mejorar por parte de la Agencia
Tributaria el ejercicio de los derechos de acceso, rectificación y
cancelación, facilitando a los interesados tal ejercicio, de
conformidad con lo dispuesto en los artículos 15 y 16 de la Ley
orgánica de protección de datos, pues si bien puede denegar tales
derechos cuando se den las circunstancias previstas en el artículo
23.2 de la misma, lo indefinido de la expresión «obligaciones
tributarias» obliga, a nuestro juicio, a la Agencia Estatal de
Administración Tributaria a motivar suficientemente cada denegación
concreta, para no dejar al ciudadano que pretende ejercer su derecho
en forma en una situación indefensa.
La tercera recomendación afecta al régimen de consentimiento de los
interesados en el tratamiento de sus datos personales. Cuando los
datos se recojan para el ejercicio de la función propia de la Agencia
Tributaria y en el ámbito de sus competencias no será preciso el
consentimiento del afectado. No obstante, ciertos datos, como los
relativos a la asignación tributaria, deducciones por incapacidad y
enfermedad y cuotas satisfechas a sindicatos, pueden revelar datos
especialmente protegidos sobre religión, salud y afiliación sindical.
Pues bien, en estos casos, para facilitar el cumplimiento de las
funciones encomendadas al retenedor, evitando el incumplimiento de la
Ley orgánica de protección de datos, el modelo de comunicación
aprobado al efecto por la Agencia Estatal de Administración
Tributaria deberá incluir un apartado que permita la prestación del
consentimiento expreso de los afectados para el tratamiento de sus
datos de salud, como son los relativos a la declaración de
minusvalías de terceros y las supuestas pensiones compensatorias
y anualidades por alimentos.
La cuarta recomendación afecta al régimen de cesión de datos. A este
respecto las cesiones y comunicaciones de datos que realiza la
Agencia Estatal de Administración Tributaria están amparados por el
artículo 113.1 de la Ley General Tributaria. Tan sólo el acceso on
linede algunos juzgados a las bases de datos de la agencia
no queda suficientemente justificado, por lo que en estos casos la
cesión debería ajustarse a lo previsto en el apartado h) del
precitado artículo 113.1.
La quinta recomendación pide que se inscriban como ficheros
específicos los denominados arrendamientos y subvenciones, de los que
es responsable la Agencia Estatal de Administración Tributaria.
La sexta recomendación pide la cancelación de todos aquellos datos
personales que hayan dejado de ser necesarios para el fin para el que
fueron recabados, sin perjuicio de lo dispuesto en el artículo 4.5 in
fine y 16.5, de la Ley orgánica de protección de datos.
La última recomendación tiene por objeto adecuar los ficheros de la
Agencia Estatal de Administración Tributaria a las prescripciones del
reglamento de medidas de seguridad. A tal fin se recomienda que en
los ficheros de la Agencia Tributaria se adopten las medidas
calificadas como de nivel medio, cuando contengan datos sobre la
comisión de infracciones administrativas o penales o relativos a la
Hacienda pública, y las calificadas como de nivel alto, cuando
contengan datos de los denominados sensibles o especialmente
protegidos. Asimismo se fijan plazos sobre la implantación de las
medidas. Al día de hoy, señorías, se han cumplido las anteriores
recomendaciones, incluida la inscripción de los ficheros y la
modificación del modelo de retención de IRPF, en el que consta una
cláusula informativa con los requisitos exigidos por el artículo 5 de
la Ley de protección de datos. Eso no es óbice para que, según
informaré a continuación, la Agencia Estatal de Administración
Tributaria haya sido sancionada en casos puntuales y concretos.
Aquí tengo todas las recomendaciones que se han hecho a los demás
entes públicos pero, dada la hora en que nos encontramos, no quiero
cansar a sus señorías. En cualquier caso, podré volver sobre las
mismas y las tienen en la memoria. Por supuesto, las recomendaciones
se hicieron a la Dirección General de Tráfico, al hospital militar
Gómez Ulla, al psiquiátrico de Fontcalent, al registro nacional del
SIDA, etcétera.
Ahora me referiré a la segunda parte en que dividía mi intervención,
es decir, a los expedientes por infracción que se han abierto en el
año 2001, puesto que los del año 2000 los tienen ustedes en la
memoria, y además sus preguntas se refieren a actuaciones que se han
llevado a cabo en este año. Como les anticipé en mi anterior
explicación de la memoria de 2000, las actuaciones de inspección de
datos en el ámbito de los ficheros de titularidad pública habían
aumentado en dicho año frente al ejercicio anterior, pues de 24
procedimientos por infracción incoados a las administraciones
públicas en el año 1999 se había pasado a 31 procedimientos en el año
2000. Tendencia a aumentar que en principio parece haber continuado
en el presente año 2001 por cuanto que, a 30 de octubre, los
procedimientos de esta clase incoados a las administraciones públicas
ascienden a 77; sin embargo, también les quiero
adelantar que el notable incremento de este año debe ser matizado.
Se debe, en parte, a que de los 77 procedimientos a que me refiero,
60 corresponden a la falta de notificación e inscripción en el
registro de los ficheros correspondientes a los ayuntamientos a los
que antes he hecho referencia. Ello acredita que sólo 17 expedientes
se corresponden con la actividad usual de otros años, es decir, en
ese aspecto podemos ver que la tendencia ha sido decreciente.
La solicitud de comparecencia formulada por el Grupo Parlamentario
Socialista contiene una mención especial al problema de vulneración
de la confidencialidad de datos de carácter personal de los
ciudadanos por parte de las administraciones públicas y, en especial,
por la Agencia Estatal de Administración Tributaria. En consecuencia,
me referiré en primer lugar a los expedientes directamente
relacionados con la solicitud planteada por el Grupo Socialista. Esta
solicitud plantea, en definitiva, la cuestión de la posible
infracción de dos principios de la Ley de protección de datos, como
son el de seguridad y el de secreto, de lo que les voy a informar a
continuación agrupando las actuaciones llevadas a cabo respecto de
cada uno de ellos.
Por lo que respecta a las medidas de seguridad, han concluido
expedientes de infracción que afectan al Centro de atención e
información de la Seguridad Social número 12 de Madrid y a una
administración de la Agencia Estatal de Administración Tributaria,
concretamente a la de Arganda del Rey, que es a la que se refieren
aquellos papeles aparecidos en contenedores y a los que S.S. ha hecho
referencia en su intervención. La Agencia de Protección de Datos tuvo
acceso a tal documentación para analizar si podía proceder de la
Administración tributaria. Se realizó una inspección para comprobar
si dichos documentos son copia de información almacenada
automatizadamente por la Administración, por las personas que prestan
allí su servicio, o si podían proceder de papeles en manos de los
ciudadanos, es decir, se pretendió contrastar que los documentos
tenían carácter interno no accesible al público y que procedían de
tratamientos informatizados, porque en el supuesto de que no
procedieran de tratamientos informatizados, como saben SS.SS., hasta
el año 2007 esta Agencia no tendría competencias para sancionar.
Asimismo, se comprobó que existen instrucciones para la destrucción
de documentos desechados que debían ser depositados en cajas
disponibles al efecto, las cuales debían ser retiradas y destruido su
contenido por una empresa contratada al efecto.
La Agencia de Protección de Datos apreció la existencia de una
infracción de la Ley y del reglamento de medidas de seguridad. En
términos similares a los expuestos, se ha declarado la comisión de
una infracción del artículo 10 de la Ley orgánica de protección de
datos y del reglamento de seguridad por parte del Centro de atención
e información de la Seguridad Socialnúmero 12 de Madrid. Por el
contrario, al haberse constatado
que el abandono de documentos sin destruir podía haber sido realizado
por los propios afectados, se han archivado las actuaciones
realizadas respecto del Ministerio de Defensa y del Ministerio de
Asuntos Exteriores. Los problemas relativos a la confidencialidad de
los datos por parte de las administraciones públicas afectan también,
como es obvio, al principio de secreto previsto en la ley. En este
ámbito, durante el año 2001 se encuentran en tramitación, sin haber
concluido en este momento, ocho expedientes de infracción. Su
resultado, por tanto, no puede prejuzgarse.
Voy a señalarles a continuación las conductas a que se refieren,
agrupándolas conforme a una tipología homogénea. El primer grupo está
integrado por aquellos supuestos en los que la Administración pública
ha facilitado a terceros datos correspondientes a otra persona
distinta de la que los ha solicitado, sin haber acreditado que
actuaba como representante de esta última, sin haber comprobado la
representación o sin conservar los documentos acreditativos de la
misma. Bajo este supuesto se encuentran diversos expedientes en
tramitación, aún no finalizada, que afectan a las administraciones
números 1 y 28 de la Tesorería General de la Seguridad Social de
Badajoz y Alcobendas, a la agencia comarcal del Instituto Nacional de
la Seguridad Social de Ponferrada, a la administración de la Agencia
Estatal de Administración Tributaria de Alcobendas y a la delegación
especial de la Agencia Tributaria de Navarra.
El segundo bloque de expedientes se refiere a aquellos casos en que
se han producido accesos a los datos personales de los ciudadanos por
parte de funcionarios de la Administración pública, sin que exista
relación entre las funciones encomendadas al funcionario que accede y
la información que ha recabado. En este bloque de expedientes, que
tampoco han concluido, se incluyen los expedientes iniciados contra
la subdirección provincial de recaudación ejecutiva de Tarragona, la
dirección provincial de Sevilla y el Centro nacional de tomas de
datos de recaudación de la dirección provincial de Madrid, todos
ellos dependientes de la Tesorería General de la Seguridad Social. En
estos casos se trata de supuestos en los que se han facilitado datos,
sin requerimiento judicial, para ser aportados en procedimientos
judiciales relativos a pensiones compensatorias de divorcio o de
separación. En el primero de los casos citados, la Administración
afectada ha comunicado a la Agencia la iniciación de actuaciones para
depurar las responsabilidades pertinentes de los funcionarios
presuntamente responsables. Asimismo, debe reseñarse que, en una
denuncia presentada por los motivos antes indicados contra la
Tesorería de la Seguridad Social de Badajoz, se han archivado las
actuaciones al haberse comprobado una diligencia suficiente por parte
de la Administración denunciada en la identificación del solicitante
de la información, sin perjuicio
de lo que resulte de la causa penal incoada por falsificación de
firma.
El tercer bloque de expedientes hace referencia a la creación de una
página web en el Ayuntamiento de Ferrol, para la remisión de
información personalizada por parte de los usuarios de la misma. En
este caso, aunque en el diseño del servicio de transmisión de datos
por parte de los usuarios no se contemplaba la posibilidad de que
pudieran acceder a la información de otros usuarios ni al contenido
de sus comunicaciones, a consecuencia de errores informáticos, la
información quedó a disposición del público. Permítanme que este
expediente me sirva de muestra respecto de un problema que puede
plantearse en el tratamiento de datos personales por parte de las
administraciones públicas. Progresivamente se está procediendo por
parte de aquellas a una actividad elogiable, como es la de facilitar
tanto el acceso a los ciudadanos de los datos personales que obran en
su poder como a la realización de trámites administrativos on line,
aprovechando las funcionalidades de las nuevas tecnologías. La
Agencia de Protección de Datos es, como no podía ser de otra manera,
absolutamente favorable a esta nueva tendencia en que la propia
Agencia está interesada y que ha puesto en práctica, como antes les
señalé. Sin embargo, es necesario advertir que la oferta de estos
servicios a los ciudadanos debe realizarse con rigurosa observancia
de la Ley de protección de datos, pues una cosa es facilitar su
relación con las administraciones públicas y, otra, que tales ofertas
no supongan atentados contra su derecho a la protección de datos
personales. A este respecto quiero poner de manifiesto que se están
produciendo casos, y no exclusivos de las administraciones públicas
sino también de importantes operadores privados, en los que la oferta
de estas facilidades carecen de los mecanismos adecuados para
garantizar la protección de sus datos personales, bien por no
establecerse exigencias técnicas suficientes para la autenticación de
los usuarios, bien por crearse bases de datos unificadas que vulneran
el principio de finalidad exigido por la Ley de protección de datos.
Finalmente, con relación al deber de secreto hay un expediente
puntual y en cierto modo atípico que afecta al centro de salud Casco
Antiguo de Cartagena. En este caso, la infracción del deber de
secreto que se imputa estriba en el hecho de que listados
informáticos e impresos en soporte papel con información personal
sobre cita a consulta de usuarios del Sistema Nacional de Salud que
contienen información sobre la salud de los citados, se utilizan en
su reverso para realizar nuevas citaciones a los pacientes. Sin
perjuicio del estimable propósito de reducir costes por parte del
centro de salud reutilizando las impresiones de papel de citas
anteriores, tales prácticas deberán ser respetuosas con la normativa
de protección de datos, por lo que se declaró la infracción de la Ley
orgánica de protección de datos por dicha Administración.
Para concluir y no dejarme en el tintero ninguno de los
procedimientos que pudieran haberse iniciado en este año 2000 contra
administraciones públicas, pero ya con un carácter más general por lo
disperso de las infracciones, les informaré del abierto al centro de
informática de la Gestión tributaria, económico-financiera y contable
de la Xunta de Galicia por infracción del artículo 11, al ceder los
datos a las entidades bancarias Caixa Galicia y Banco Popular en una
cinta magnética para que éstas imprimieran la nómina de los
trabajadores de la Xunta de Galicia. También está la resolución
dictada por infracción del artículo 15, derecho a acceso, que se
denegó por la Universidad de Zaragoza no facilitando a uno de los
interesados información completa sobre las cesiones hechas a empresas
de sus datos personales. Por otra parte, hay un procedimiento abierto
contra la entidad pública empresarial Correos y Telégrafos que fue
archivado por no encontrarse infracción a la ley. También se archivó
el incoado al departamento de Medio Ambiente de la Generalitat de
Cataluña por no detectarse infracción de la Ley de protección de
datos. Y, en fase de tramitación, hay un acuerdo de inicio en estos
momentos contra el Ayuntamiento de Osuna por infracción del artículo
6.1 de la Ley de protección de datos, tratamiento de datos
inconsentidos con relación a la disposición adicional tercera de la
misma, tipificada como grave. En este fichero manual del Ayuntamiento
de Osuna constan datos del afectado por antecedentes policiales de
fecha 12 de noviembre de 1975, por haber sido procesado por escándalo
público homosexual y remitidos a un juzgado de instrucción cuando la
citada disposición adicional tercera de la Ley de protección de datos
dispone que los expedientes instruidos al amparo de las derogadas
leyes de vagos y maleantes y peligrosidad y rehabilitación social, no
podrán ser consultados sin que medie consentimiento expreso de los
afectados o hayan transcurrido 50 años. El procedimiento, como digo,
está abierto y tendrá que seguir sus trámites. También recientemente,
hay un acuerdo de inicio de procedimiento por infracción del artículo
4.2 por calidad de datos, contra el alcalde de Sabadell al remitir
una comunicación a los vecinos del municipio nacidos en Lorca, para
informarles de una visita realizada a este ayuntamiento, utilizando
para ello datos del padrón y seleccionando a los vecinos de Sabadell
que habían nacido en Lorca. Estos son todos los procedimientos
incoados en el año 2001 contra las administraciones públicas. Las
actuaciones de la Agencia son puntuales y, al mismo tiempo, son
preventivas, como les he informado al principio. Somos conscientes de
que todas las administraciones públicas, incluso los pequeños
ayuntamientos, están sometidas a las previsiones de la Ley de
protección de datos y la Agencia está vigilante para que se cumpla.
La señora PRESIDENTA: ¿Grupos que desean intervenir? (Pausa.)
Por el Grupo Parlamentario Socialista, tiene la palabra la señora del
Campo.
La señora DEL CAMPO CASASÚS: Únicamente quiero darle las gracias al
señor Fernández López por su respuesta. Comprendo que parte del
contenido de mi solicitud de información de hoy era muy reciente y
que quizá no estuviera en sus manos hablarnos de él, pero podemos
hablar de este tema con mayor amplitud en otra ocasión. De todas
formas, esperamos que esta actitud preventiva y represora por parte
de la Agencia de Protección de Datos repercuta en algún avance en
esta protección por parte de las administraciones públicas. En el
futuro lo veremos.
La señora PRESIDENTA: Señor Fernández López, tiene la palabra.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): Tomo la palabra por un minuto sólo porque observo que no he
dado respuesta a una concreta referencia de S.S. a un acuerdo del
Ministerio de Sanidad con Farmaindustria. Tengo que decir que
desconozco este acuerdo, aunque el mismo me parece más referido a la
facturación de los laboratorios sin que vayan inclusos datos
personales de los ciudadanos. No obstante, tomo buena nota de ello y
se llevará a cabo la investigación correspondiente.
- LA CIRCULAR DE LA DIRECCIÓN GENERAL DE LA POLICÍA QUE PREVÉ LA
CREACIÓN DE ARCHIVOS INFORMÁTICOS ESPECIALES SOBRE INMIGRANTES.
A SOLICITUD DEL GRUPO PARLAMENTARIO SOCIALISTA. (Número de expediente
212/000825.)
La señora PRESIDENTA: Pasamos al tercer punto del orden del día,
solicitud de comparecencia del director de la Agencia de Protección
de Datos sobre la circular de la Dirección General de la Policía que
prevé la creación de archivos informáticos especiales sobre
inmigrantes. Para defensa de la petición de comparecencia, tiene la
palabra el representante del Grupo Socialista, señor López Garrido.
El señor LÓPEZ GARRIDO: Doy las gracias, una vez más, al señor
director de la Agencia de Protección de Datos por su presencia en
esta Comisión. Esta petición de comparecencia es muy concreta y
nosotros le rogaríamos que también su respuesta a la misma fuese
concreta porque se trata de saber cuál es la valoración que hace la
Agencia de Protección de Datos y las medidas que piensa adoptar con
relación a una decisión del Ministerio del Interior que nos parece
altamente peligrosa
y que se refiere a un llamado dispositivo especial contra la
delincuencia perpetrada por nacionales colombianos y ecuatorianos, lo
que se llama la operación Ludeco, y que ha causado una alarma
importante en sectores políticos y sociales, una vez que se ha sabido
su existencia. Lo más brevemente posible, quisiera remontarme al 19
de septiembre de este año, cuando se puso en marcha lo que podíamos
decir que es el antecedente de esta operación Ludeco, la llamada
operación Café, que es una decisión del Ministerio del Interior, de
la Dirección General de la Policía, de la Jefatura Superior de
Madrid, concretada a Madrid y que se plantea -se dice en esta
circular del Ministerio del Interior- como consecuencia del aumento
de actividades delictivas detectadas en la región policial madrileña.
Efectivamente, ha habido en los últimos tiempos un aumento
considerable de la actividad delictiva detectada en la región
policial madrileña, lo que incluso ha dado lugar a algunas
iniciativas parlamentarias o preguntas que fueron respondidas por el
ministro del Interior en esta Cámara. Ante ello lo que hace el
Ministerio del Interior es considerar que de esto tienen la culpa
fundamentalmente personas de origen sudamericano, colombiano y
ecuatoriano, es decir, que hay una concreción de ese aumento de la
criminalidad en personas de origen sudamericano fundamentalmente.
En esa circular de la llamada operación Café se dice que la Policía
tiene que hacer identificaciones selectivas y control en lugares de
ocio y esparcimiento de personas de ese origen, que tienen que
dirigirse a lo que llaman ollas, restaurantes, pubs, lugares de
salsa, etcétera, lugares donde no parece que en principio tengan que
producirse esos delitos. También tienen que investigar vehículos
utilizados por personas de ese origen, domicilios habituales o no
habituales, relaciones entre ellos Esa es la pretensión de la
llamada operación Café. Con los datos facilitados por las comisarías
locales y de distrito -y aquí viene lo que tiene más que ver con su,
cometido- la Inspección Regional de Servicios de la Jefatura Superior
de Policía de Madrid debe crear, a través del llamado GATI -es un
fichero que usted conoce muy bien-, un banco de datos donde irían
siendo volcados todos los datos que se hayan podido recabar de este
tipo de identificaciones y controles sobre esas personas, datos que
irían encaminados a una utilización policial por cualquier unidad
operativa de la jefatura superior. Añade esa circular que tendrán por
objeto conseguir un control más específico de estos individuos, es
decir, un control de los individuos de origen sudamericano y
específicamente de colombianos y ecuatorianos, porque se supone que
ahí puede haber -de hecho sí que lo hay, en una proporción
determinada- personas que hayan cometido delitos, como las hay en
otros colectivos.
Esta operación Café es el modelo en el que se inspira la operación
Ludeco, que se extiende al conjunto de España y mantiene vigente la
operación Café o esos
criterios para Madrid, porque específicamente la operación Ludeco
dice que en cuanto a Madrid, hay una problemática especial y, por
tanto, ahí continúa adelante la llamada operación Café. La operación
Ludeco concreta algo más cuando dice: incremento de actuaciones
delictivas perpetradas por grupos criminales o individuos procedentes
de Colombia y Ecuador. La operación Café se centraba en el aumento de
criminalidad en general en Madrid, ésta lo concreta y se refiere a la
criminalidad perpetrada por individuos procedentes de Colombia o
Ecuador, y trata de prevenir o combatir eficazmente esa criminalidad.
La primera medida que adopta es la de la inteligencia criminal -así
llamada en esta circular-, que se basa en el archivo GATI, a donde
irían todos los datos que se recabasen por la Policía en el ejercicio
de esta operación Ludeco. Dice la circular que dentro del sistema
GATI se crea un registro indicador unívoco para el tratamiento a
nivel nacional de los datos derivados de esta operación, todo tipo de
datos derivados de la operación Ludeco. Y añade: Bajo este indicador
se integrarán cuantos datos y actuaciones de investigación sirvan
para prevenir amenazas o peligros -no dice más, dice amenazas
o peligros en términos abstractos- para la seguridad pública o reprimir
infracciones penales, siempre que sean protagonizadas o cometidas por
los grupos o individuos en cuestión, que se supone que son individuos
provenientes de Colombia y de Ecuador, y de más sitios en el caso de
Madrid, porque sigue vigente este aspecto mucho más genérico de
origen sudamericano que ya vimos que tenía lo de Madrid. ¿Qué
elementos tiene esa información? Dice a continuación:
investigaciones, todo tipo de informaciones obtenidas, hechos
denunciados, fotografías de reseña o de vigilancia conseguidas por
medio de cámaras de seguridad de establecimientos -por tanto, muy
indiscriminado-, siempre que estén relacionados con el objeto de la
operación; como se ve, es un objeto bastante abstracto y amplio.
Continúa diciendo: reseñas de las huellas de los diez dedos de cada
una de las personas objeto de esa investigación. Esto se refiere a
determinadas actuaciones que esa circular enumera en el ámbito de
extranjería. Cita: solicitudes de permisos de residencia por arraigo;
situación administrativa de los extranjeros en España; denegación por
los servicios competentes de permisos de residencia por tener
antecedentes por la comisión de hechos delictivos, aunque no se tenga
causa pendiente; comprobación de identidades y antecedentes de todas
esas personas; reseña de extranjeros conducidos a dependencias
policiales para identificación; relación con los fiscales de
extranjería a efectos de internamientos, salidas y expulsiones Todo
eso se supone que se va a volcar en ese registro llamado indicador
unívoco del fichero GATI. Hasta aquí una descripción resumida de lo
que dicen -yo no me invento nada, estoy leyendo- las circulares del
Ministerio del Interior, tanto de Madrid como del conjunto de España,
en la llamada operación Ludeco.
La valoración política de la mayoría de los grupos que no son el que
sostiene al Gobierno es negativa y podemos ver en la prensa
declaraciones del Grupo Socialista, de Convergència i Unió, del
Partido Nacionalista Vasco, de Izquierda Unida y de diversas
organizaciones no gubernamentales, alarmadas que tachaban de xenófoba
esa orden policial de la operación Ludeco. Además de esa valoración
política del carácter xenófobo que tiene esa circular, nuestro
interés se centra en que puede haber una vulneración de la
Constitución o de la Ley de Protección de datos respecto del derecho
a la Protección de los Datos. Eso es lo que nos interesa sobre todo
de su presencia aquí.
Nosotros creemos que esta circular invade la intimidad personal y los
derechos de los extranjeros -va dirigida evidentemente a ellos-, que
están protegidos en la Constitución española, artículo 18, y en la
Ley de Protección de Datos. El citado artículo 18 de la Constitución
española habla del derecho a la intimidad, que no está restringido a
los extranjeros respecto de los españoles, que se debe poseer en
igualdad de condiciones, y el muy importante artículo 22 de la Ley de
Protección de Datos, habla de los ficheros que tiene la Policía, las
Fuerzas y Cuerpos de Seguridad del Estado. Ese artículo dice que las
Fuerzas y Cuerpos de Seguridad del Estado pueden tener ficheros sin
consentimiento de los interesados, datos personales, sólo cuando
estemos ante investigaciones concretas o cuando haya un peligro real
para la seguridad, no una amenaza abstracta o posible.
Las circulares no precisan un peligro real para la seguridad, hablan
de una prevención, y dicen que hay que volcar en ese indicador
unívoco todo tipo de cosas que poco tienen que ver con la seguridad,
como, por ejemplo, las solicitudes de arraigo de extranjeros;
prácticamente casi todo lo que tiene que ver con la tramitación de
extranjería tendría que volcarse en ese fichero, porque habla de
todo: solicitudes de residencia, por arraigo, internamientos,
expulsiones, etcétera, temas que no tienen que ver con delitos y que
son tramitaciones administrativas. Multitud de datos personales sobre
extranjeros, en el ámbito español colombianos y ecuatorianos, en el
caso de Madrid incluso personas de origen sudamericano.
Aparece como algo no proporcionado. La Ley de Protección de Datos
dice que puede haber ficheros informatizados sobre datos personales
pero con un fin determinado y un sentido proporcionado. No parece que
el referirse a todo tipo de personas, tengan o no relación directa o
indirecta con delitos, sea algo proporcionado a la finalidad. Se
supone que es para evitar delitos concretos que se han cometido en
los últimos meses por personas de origen colombiano o ecuatoriano.
Además, incluye fotos, vídeos, cámaras de seguridad que están en los
establecimientos, filmaciones de
todo tipo de personas, no solamente colombianos o ecuatorianos sino
de todas las nacionalidades, también españoles.
Hay que tener en cuenta que los efectos que tiene introducir estos
datos en esos ficheros de la Policía son muy importantes y
limitativos del derecho a la intimidad porque, como usted sabe, el
artículo 23 de la Ley de Protección de Datos -el siguiente al 22, al
que nos hemos referido anteriormente- dice que si la Policía
considera que puede haber una amenaza, un peligro, algo que tiene que
ver con la seguridad, puede negar el acceso, la modificación o la
cancelación de esos datos. A todo aquel que tenga sus datos en esos
archivos de la Policía, si quiere un día ir a cancelarlos, a
modificarlos porque considera que son falsos, o saber si existen, la
Policía se los puede negar; no puede hacerlo otra Administración,
pero sí la Policía si considera que afecta a la seguridad. Para
cuestiones que tengan que ver con delitos concretos se puede
entender, pero no hay quien lo entienda para aquéllas que nada tienen
que ver con delitos. ¿Qué tiene que ver con delitos, con la
prevención de la seguridad los extranjeros que piden una residencia
por arraigo? ¿O, como dice la circular en el ámbito de la
extranjería: situación administrativa de los extranjeros en España,
de todos; comprobación de identidades y antecedentes; reseña de
extranjeros conducidos a dependencias policiales para identificación,
no significa que estén involucrados en delitos sino simplemente para
identificación; internamientos; salidas; expulsiones, que no
necesariamente tienen que ver con delitos, por situaciones
administrativas que requieren una expulsión? Sin relación con la
seguridad, van a entrar en esos archivos datos personales de
muchísima gente, de millones de personas, para prevenir en el futuro
la comisión de delitos por personas de nacionalidad colombiana,
ecuatoriana, o de origen sudamericano en general.
La discriminación que aquí surge por nacionalidad es enorme. ¿Por qué
con colombianos y ecuatorianos, o sudamericanos en el caso de Madrid,
y no, por ejemplo, con los rumanos? Es sabido que existen algunos
grupos de rumanos que también han causado cierta alarma por la
comisión de determinados delitos. Después del 11 de septiembre, ¿por
qué no con árabes, o con gente de origen musulmán? Ahí sí que hay un
peligro abstracto que aparece en todos los medios de comunicación de
que personas de ese origen pudieran cometer delitos de terrorismo.
¿Por qué no los vascos, hoy que estamos condenando y lamentando un
asesinato más de ETA? En el País Vasco se cometen delitos de
terrorismo más habitualmente. ¿Por qué no meter también a los vascos
en ese archivo? ¿O por qué no los gitanos? Algunos grupos de gitanos
tienen relación con las drogas, y eso también es un delito. ¿O, por
ejemplo, los madrileños?
La señora PRESIDENTA: Señor López Garrido, quien comparece es el
director de la Agencia de Protección de Datos, no es ningún cargo
policial.
El señor LÓPEZ GARRIDO: Quiero saber qué opina y qué medidas va a
tomar la Agencia de Protección de Datos, porque estoy hablando de
ficheros informatizados a donde van esos datos, no específicamente de
la circular. Pregunto por qué no se mete en esos ficheros a otras
personas. ¿Por qué colombianos, ecuatorianos o sudamericanos y no
otras personas? Hay un cierto pequeño estado de excepción por
nacionalidades concretas que se podría tener en cuenta a la vista de
esta circular. Cuando venga -si es que viene, ha dicho que no vendrá
mientras se exija visado- García Marquez o Botero, que son
colombianos, ¿habría que meter también sus datos en ese archivo
porque son colombianos? Hay una discriminación importante porque el
meter esos datos en un archivo de la Policía no se hace respecto de
otras nacionalidades ni de españoles. En última instancia, es una
criminalización de la extranjería a partir de esa circular y de esos
ficheros en donde quiere volcarse todo, da la impresión de que es una
cierta continuidad por la vía de la informática, de los ficheros y de
la intimidad, de lo que ya se ha limitado profundamente en cuanto a
derechos fundamentales en la Ley de extranjería reciente. Los delitos
no se identifican con los extranjeros, ni se deben identificar, como
todo el mundo está de acuerdo. Esto establece una sospecha universal
y nos tememos que es una primera reacción equivocada, errónea, a lo
que en algún otro país europeo y en Estados Unidos estamos viendo
como consecuencia de los atentados del 11 de septiembre.
En resumen, señor director de la Agencia de Protección de Datos,
querríamos saber qué medidas piensa adoptar la Agencia de Protección
de Datos no sólo respecto de la ejecución de ese operativo, sino de
su existencia, de la circular, el caso Ludeco o la operación Café, y
qué se va a hacer respecto de algo que nos parece xenófobo, que
anuncia medidas desproporcionadas y discriminatorias contra la
intimidad de los extranjeros en relación con la seguridad, y que
criminaliza a la extranjería estableciendo una sospecha universal,
que no creo que tenga nada que ver con la Constitución española, ni
con la interpretación que hace el Tribunal Constitucional, ni con el
Convenio Europeo de los Derechos Humanos, ni con la Carta de Derechos
Fundamentales de la Unión Europea que usted acaba de mencionar en su
comparecencia.
La señora PRESIDENTA: Señor Fernández López.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS: (Fernández
López): Señor López Garrido, yo le voy a contestar exclusivamente
desde mi función de director de la Agencia de Protección de Datos y
de la aplicación de esta ley y no voy a
entrar en valoraciones políticas que no me competen, como tampoco en
otro tipo de valoraciones por una posible infracción legal, que
tampoco en este momento me competen. Sí le quiero decir que igual que
existe esta operación, todos hemos conocido operaciones contra la
mafia rusa y no todos los rusos son mafiosos, o contra la mafia china
y no todos los chinos son mafiosos, o contra el narcotráfico gallego
sin que ello suponga que todos los gallegos sean narcotraficantes.
Entrando en el análisis de la circular de la Policía, hay que señalar
que cuando se habla de ficheros de las Fuerzas y Cuerpos de Seguridad
o policiales lo primero a tener presente es que, conforme a lo
dispuesto en el artículo 22 c) de la Ley de Protección de Datos, el
régimen de protección que establece no les resulta de aplicación
a los ficheros establecidos para la investigación del terrorismo y de
formas graves de delincuencia organizada. No obstante, dice el mismo
precepto, en estos supuestos el responsable del fichero comunicará
previamente la existencia del mismo, sus características generales y
su finalidad a la Agencia de Protección de Datos. Ello quiere decir
que los ficheros sobre terrorismo u otras formas graves de
delincuencia organizada quedan al margen del sistema general de
protección de datos. Para esta clase de ficheros públicos rige, pues,
un régimen de inaplicación plena de la Ley de Protección de Datos, a
diferencia de otros ficheros policiales que, aun contando con un
régimen especial o de excepción, sí están sometidos a la Ley de
Protección de Datos.
La aplicación plena de la Ley de Protección de Datos sobre los
ficheros aludidos se manifiesta incluso en el régimen de inscripción
en el registro general de protección de datos, artículo 20, en cuanto
que los mismos no requieren de tal inscripción bastando una mera
comunicación previa de su existencia, características generales
y finalidad por parte del responsable del fichero a la Agencia de
Protección de Datos. Por otra parte, el resto de los ficheros
policiales está sometido al régimen general de la Ley de Protección
de Datos, con excepción de los previstos en el artículo 2.3, c), en
lo siguiente: Los procedentes de imágenes y sonidos obtenidos
mediante la utilización de videocámaras por las Fuerzas y Cuerpos de
Seguridad del Estado, de conformidad con la legislación en la
materia. A diferencia de los anteriores, para estos ficheros sí rige
la Ley de Protección de Datos, aunque en primer término están
sometidos al régimen especial o disposición específica que lo regula,
esto es, la Ley orgánica 4/1997, de 4 de agosto, conocida como la Ley
orgánica de Videovigilancia, aplicándose sólo la Ley de Protección de
Datos con carácter supletorio. La citada Ley orgánica 4/1997 y el
reglamento que la desarrolla, aprobado por Real Decreto 596/1999, de
16 de abril, regulan los derechos de los ciudadanos en el ámbito de
la protección de datos en perfecta sintonía con la LORTAD, hoy Ley
orgánica de Protección de Datos, en cuanto que regulan los derechos
de acceso y cancelación, así como el derecho de información previa,
la custodia de las grabaciones y el tratamiento de las imágenes y
sonidos captados por estos medios técnicos, de conformidad con la
legislación sobre protección de datos, sometiéndolos al principio de
proporcionalidad en su doble vertiente de idoneidad, que determina
que sólo podrán emplearse las videocámaras cuando resulte adecuado en
una situación concreta y para el mantenimiento de la seguridad
ciudadana, e intervención mínima que exige la ponderación en cada
caso entre la finalidad pretendida y la posible afectación al
derecho, al honor, a la propia imagen y a la intimidad de las
personas. A la formulación del principio de proporcionalidad añade la
ley la concurrencia de un riesgo razonable para la seguridad
ciudadana o de un peligro concreto.
La circular a que hace referencia la solicitud de comparecencia es un
documento de la Dirección General de la Policía, que crea un
dispositivo especial contra la delincuencia perpetrada por
nacionales, colombianos y ecuatorianos, conocido como operación
Ludeco. El documento ha sido analizado por la Agencia de Protección
de Datos, con objeto de evaluar su adecuación a la ley. Esta
evaluación debe llevarse a cabo desde una doble perspectiva. La que
podríamos llamar estática, cuyo objeto sería el análisis del
dispositivo que se diseña en el documento en relación con la Ley de
Protección de Datos, y una segunda de carácter dinámico, que tiene
como finalidad realizar comprobaciones sobre la ejecución o puesta en
práctica del dispositivo y su adecuación a la misma normativa legal.
En cuanto a la primera de las perspectivas, el documento aborda
cuestiones que afectan a la normativa de protección de datos
personales en materias como la recogida y tratamiento de la
información, las finalidades a las que se destinará, las cesiones de
datos entre distintas unidades policiales y el movimiento
internacional de datos.
Sentado lo anterior, de las cinco medidas operativas contenidas en la
circular por la que se interesa S.S., hay dos que, de cuya simple
lectura, parecen incidir directamente en el ámbito material y formal
de la protección de datos. Me refiero a las que figuran bajo la
rúbrica: 1. La inteligencia criminal, y 2. La cooperación,
intercambio internacional de datos. Para el resto de las medidas de
la circular, que también suponen tratamiento de datos, sirven las
mismas observaciones que se van hacer respecto de la primera. La
primera de dichas medidas trata de coordinar y canalizar información
policial que contiene datos de carácter personal, ya sean nombres,
fotografías o vídeos, integrando toda esta información en una base de
datos, GATI, con la finalidad de prevenir amenazas o peligros para la
seguridad pública o reprimir infracciones penales que sean cometidas
por grupos o personas de nacionalidad colombiana o ecuatoriana. El
tratamiento de dicha información conlleva un tratamiento de datos
personales y la creación de un fichero, circunstancias ambas
que la propia circular somete a las previsiones de la Ley orgánica de
Protección de Datos. Lo primero que ha de tenerse presente es que no
se trata de un fichero policial que contenga datos recogidos para
fines administrativos, en cuyo caso estaría sometido plenamente al
régimen general de la Ley de Protección de Datos (consentimiento,
finalidad, información, etcétera), conforme al artículo 22.1 de la
Ley, sino que es un fichero creado por las Fuerzas y Cuerpos de
Seguridad para fines policiales, lo que conlleva un régimen de
excepcionalidad o mayor flexibilidad en la captura de datos y su
posterior tratamiento. Dicha excepcionalidad supone que la recogida y
tratamiento de los datos de referencia pueda realizarse sin el
consentimiento de las personas afectadas. Ahora bien, tal régimen de
excepción está limitado a aquellos supuestos y categorías de datos
que resulten necesarios para la prevención de un peligro real para la
seguridad pública o para la represión de infracciones penales,
debiendo estar almacenado en ficheros específicos establecidos al
respecto como postula el artículo 22.2 de la Ley de Protección de
Datos. ¿Cuándo resulta necesaria la recogida y tratamiento de datos
para la prevención de un peligro real para la seguridad pública? Es,
naturalmente, un concepto jurídico indeterminado cuya apreciación
corresponderá al órgano policial y fundamentalmente al judicial que
ha de controlar aquél como competente en la materia. En esta materia
sería competencia de la Agencia el examen del posible desvío de
finalidad que pudiera producirse en algún caso si los datos así
obtenidos se utilizasen para fines distintos de los policiales. Por
ello, debo alertar aquí de que la captura de datos personales con
base en la citada circular, no justificaría el uso de la información
así obtenida para otros fines administrativos distintos de los fines
policiales. Por otra parte, también conviene recordar que, si bien la
recogida y tratamiento de que estamos hablando afectara a los
denominados datos sensibles o especialmente protegidos, esto es los
del artículo 7.2 y 7.3 de la Ley de Protección de Datos, el régimen
de excepción al consentimiento de la persona afectada sólo jugará
cuando dicha recogida y tratamiento sean absolutamente necesarios -es
el término de la ley- para los fines de una investigación concreta
(artículo 22.3.) En estos casos la absoluta necesidad de la recogida
y tratamiento de estos datos sensibles deberá hacerse constar
expresamente en la motivación que acompañe a cada investigación
concreta. Asimismo, los datos personales recogidos con fines
policiales se cancelarán cuando no sean necesarios para las
averiguaciones que motivaron su almacenamiento, conforme a lo
dispuesto en el artículo 22.4 de la Ley, cancelación que, sin
embargo, no procederá en función del peligro que pudiera derivarse
para la seguridad pública (artículo 22.1).
La segunda de las medidas contenidas en la circular que, como decía
al principio de mi intervención, afecta al ámbito de la protección de
datos, se refiere a la
cooperación e intercambio de información internacional que se lleva a
cabo a través de ciertos mecanismos y organismos como los servicios
nacionales de Interpol y Europol, la oficina Sirene y los organismos
policiales de Colombia y Ecuador. Desde el punto de vista de la
protección de datos, dichas medidas suponen una transferencia o
movimiento internacional de datos, también sujeto a las previsiones
de la Ley de Protección de Datos y, en particular, a lo previsto en
su artículo 33. El libre flujo de datos personales, como decía el
preámbulo de la derogada LORTAD, es una auténtica necesidad de la
vida actual, de la que las transferencias bancarias o el auxilio
judicial internacional pueden ser simples botones de muestra. Sin
embargo, es también necesaria la protección de los derechos del
individuo, entre ellos el derecho fundamental a la protección de
datos que proclama nuestra sentencia del Tribunal Constitucional 292/
2000. De ahí que la Ley orgánica de protección de datos haya
establecido un régimen general de autorización previa del director de
la Agencia para el flujo de datos a un tercer país no miembro de la
Unión Europea que no cuente con un nivel de protección equiparable al
de nuestra ley. Esta autorización sólo procederá si se obtienen
garantías suficientes y adecuadas a criterio de la Agencia y además
se observa lo dispuesto en la ley orgánica. Ahora bien, en los casos
que nos ocupan de la reiterada circular de la Dirección General de la
Policía, los intercambios de información previstos con la Oficina
Sirene y los servicios de Interpol y Europol son, desde el punto de
vista de la Ley de protección de datos, movimientos o transferencias
internacionales de datos personales exceptuados del régimen general
de autorización del director de la Agencia al ser aplicables los
tratados o convenios internacionales, por ejemplo el de Europol o el
de Schengen, de los que España es parte, todo ello de conformidad con
lo previsto en el artículo 34. a) de la propia Ley de protección de
datos.
En el caso particular de intercambio de información de datos
personales, hechos por conducto de Interpol, la excepción a la
autorización previa del director de la Agencia viene recogida
expresamente en el artículo 4 del Real Decreto 1332/1994, de 20 de
junio, por el que se desarrollan determinados aspectos de la LORTAD
al referirse a las transmisiones de datos registrados en ficheros
creados por las Fuerzas y Cuerpos de Seguridad del Estado en función
de una investigación concreta hecha por conducto de Interpol u otras
vías previstas en convenios en los que España sea parte cuando las
necesidades de investigación en curso exijan la transmisión
a servicios policiales de otros Estados. En consecuencia, los
intercambios de información a nivel internacional previstos en la
circular que se lleven a cabo con los organismos policiales de
Colombia y Ecuador están también exceptuados de la citada
autorización previa del director de la Agencia, por el juego del
transcrito artículo 4 del Real Decreto 1332/1994 y
el artículo 34.h) de la Ley orgánica de protección de datos, que
exime de la citada autorización previa cuando la transferencia sea
necesaria para salvaguarda de un interés público.
Por último, una precisión obvia es que el manto protector de la Ley
de protección de datos no sólo abarca a las personas físicas
nacionales sino también a las extranjeras, por lo que los ciudadanos
colombianos y ecuatorianos a los que afecta la circular de la
Dirección General de la Policía gozan de la misma protección que los
españoles a efectos de la citada Ley orgánica.
Por lo demás, he de señalar que el fichero GATI se creó por orden del
Ministerio de Justicia e Interior de 26 de junio de 1994, del que es
responsable la Dirección General de la Policía. Su finalidad es la
prevención e investigación de infracciones penales, la coordinación
de las investigaciones en curso, la transmisión de informaciones y
fotografías para uso estrictamente policial y entre los distintos
departamentos policiales, la selección de álbumes fotográficos para
reconocimientos, el estudio de bancos de delincuentes y el apoyo a la
investigación. Los usos previstos son los de investigación policial
sobre personas o colectivos objeto de investigaciones o detenidos. De
la circular de la Dirección General de la Policía se desprende por
tanto que no nos encontramos con la creación de un nuevo fichero para
el cumplimiento de los objetivos de la operación Ludeco, sino ante el
uso específico de un fichero creado por una disposición de carácter
general e inscrito en el registro general de protección de datos
conforme a las previsiones de la ley orgánica. Dentro de estos usos
específicos, la circular prevé la creación de un registro indicador
unívoco cuya finalidad es precisamente la de acotar los tratamientos
de información del GATI al fenómeno delictivo que se pretende
perseguir. No obstante, como señalé al principio, existe un segundo
aspecto de la materia objeto de esta comparecencia como es el
relativo al modo en que se ejecute el dispositivo de la operación
Ludeco. En este ámbito, señoría, la Agencia de Protección de Datos va
a hacer un seguimiento puntual de dicho plan policial porque los
conceptos que, como bien ha señalado, en muchos casos son
indeterminados habrán de concretarse en actuaciones prácticas que son
las que únicamente preocupan en este caso al director de la Agencia.
La señora PRESIDENTA: ¿Algún grupo desea intervenir? (Pausa.) Por el
Grupo Parlamentario Vasco (PNV), señor Erkoreka.
El señor ERKOREKA GERVASIO: Señora presidenta, va a ser una
intervención breve porque dado lo adelantado de la hora no parece
oportuno explayarse excesivamente en este tema o en cualquier otro,
pese a la importancia que efectivamente reviste.
Señor director de la Agencia de Protección de Datos, si en algún caso
se justifica o tiene sentido el especial
estatus de que goza la Agencia de Protección de Datos como
administración independiente, un tipo de administración que la LOFAGE
define como aquel tipo de entes que gozan de independencia funcional
o con cierta autonomía respecto de la Administración del Estado,
insisto, si en algún caso ese especial estatus de la Agencia de
Protección de Datos tiene sentido y se justifica es en relación con
los datos que están en manos de las administraciones públicas o, por
decirlo más genéricamente, del sector público porque es éste el que
por su capacidad, por su dimensión es el principal potencial
vulnerador de los derechos fundamentales a la protección de datos.
Esta vulneración también es posible hoy en día por parte de las
grandes corporaciones empresariales, pero el riesgo se produce sobre
todo en relación con la gran concentración de información que en este
momento puede producirse en manos de las administraciones públicas.
En el caso que ha planteado la solicitud de comparecencia por parte
del Grupo Parlamentario Socialista, nos encontramos ante una
limitación legal cuya aplicación es cuestionable desde el punto de
vista de la legitimidad constitucional; y digo que es cuestionable
sencillamente porque como han puesto de manifiesto tanto el portavoz
del Grupo Parlamentario Socialista como usted mismo, concurren en la
configuración de la limitación legal al ejercicio de este derecho una
serie de conceptos jurídicos indeterminados que es necesario aplicar.
Pero usted, que es jurista, conocerá la teoría de la única solución
justa en los conceptos jurídicos indeterminados. Los conceptos
jurídicos indeterminados tienen efectivamente una zona de seguridad
positiva y otra zona de seguridad negativa, pero una zona de penumbra
intermedia que el operador jurídico tiene que limitar de manera que
la solución es siempre única y justa. De manera que la existencia o
no de peligro real para la seguridad pública no es una cosa que puede
libérrimamente apreciar quien aplique la ley sino que es algo que se
da o no se da. Por tanto, lo único que desde el grupo parlamentario
que represento le podemos sugerir o proponer es que ejerza de verdad,
que ponga especial énfasis en este caso en el estatus de que goza la
Agencia de Protección de Datos como administración independiente para
poner especial tiento y asegurar de verdad que en este caso no se
produzcan vulneraciones de derechos fundamentales, ni desde la
perspectiva estática -usted ha hecho un análisis bastante asumible-
ni desde la perspectiva dinámica, que es donde mayor riesgo se
produce para el derecho fundamental a la protección de datos, en este
caso de los sudamericanos en Madrid y de los colombianos y
ecuatorianos en el conjunto del Estado. Le invitamos a que en este
caso ejerza una vez más de administración independiente. Nada más.
La señora PRESIDENTA: Por el Grupo Parlamentario Popular, señora
Matador.
La señora MATADOR DE MATOS: Yo también voy a ser breve, no antes sin
hacer una serie de aclaraciones y precisiones respecto a lo que se ha
dicho en esta Comisión. No voy a entrar en la base de datos GATI, que
ya ha quedado perfectamente explicada por el director de la Agencia
de Protección de Datos, ni en la cooperación ni en el intercambio a
nivel internacional, que también se ha expuesto aquí, pero sí quiero
decirle al señor López Garrido que no se puede acusar de la forma en
que usted lo ha hecho en esta Comisión a las Fuerzas de Seguridad del
Estado, en este caso a la Dirección General de la Policía, de estar
criminalizando a los extranjeros. Aquí no estamos debatiendo ahora si
nos gusta o no la Ley de extranjería, ya hemos tenido tiempo de
hacerlo, y usted tendrá muchísimo más tiempo de hacerlo a lo largo de
esta legislatura. No se pueden hacer esas acusaciones diciendo que se
está criminalizando a los extranjeros. En ningún momento. Hay que
precisar y aclarar algunas de las cosas que usted ha dicho aquí
respecto a la operación Ludeco, igual que con ocasión de algunos
comentarios que han aparecido en algún medio de comunicación social.
Este dispositivo tiene como objetivo descubrir y erradicar grupos
organizados e individuos delincuentes que aprovechando los flujos
migratorios de ciudadanos ecuatorianos y colombianos a España están
llevando a cabo actividades delictivas que atentan gravemente contra
la seguridad ciudadana. Esos grupos organizados están aquí y esas
actuaciones delictivas se están llevando a cabo y la Dirección
General de la Policía es conocedora de ellas. En este dispositivo
aparece un epígrafe donde se establecen las medidas operativas. En el
apartado de tratamiento y análisis se dice claramente que serán con
pleno cumplimiento de la Ley orgánica 15/1999 de Protección de Datos
de carácter personal, así como la resolución de la Dirección General
de la Policía de fecha 30 de junio de 1995 y demás normas
concordantes, lo que supone el pleno cumplimiento de la legalidad
vigente. Y redundo, asimismo, que este no es un nuevo fichero, sino
que es el uso de un fichero que ya se ha creado y que está sometido a
la Agencia de Protección de Datos.
En lo referente a las actuaciones en el ámbito de extranjería, cuando
se habla de la propuesta de denegación por los servicios competentes
de los permisos de residencia por tener antecedentes, la actuación
está fundamentada en el artículo 51.2 del Real Decreto 864/2001, que
desarrolla la Ley orgánica 4/2000 de derechos y libertades de los
extranjeros en España, donde se establece como causa de la no
concesión del permiso de residencia la existencia de razones legales,
de seguridad pública sanitaria o de naturaleza análoga, a la vez que
hace una remisión implícita al artículo 26, donde se establecen las
causas de prohibición de entrada en España. Asimismo, donde se hace
reseña de los extranjeros conducidos a dependencias policiales para
identificación, esta reseña tiene su fundamento en el
artículo 20 de la Ley orgánica 1/1992, en conexión con el artículo 11
de la misma, donde se establece la posibilidad de identificación
tanto para españoles como para extranjeros cuando no se haya podido
realizar en los lugares donde se encuentre y esta medida tenga como
finalidad impedir la comisión de un delito-falta, al objeto de
sancionar una infracción. Esta medida, por tanto, se aplicará
respecto a los extranjeros cuando carezcan de documento alguno de
identidad o presenten documentos con indicios fundados de estar
manipulados o se prueben totalmente falsos. En cuanto al servicio
automático de identificación dactilar de la huella plasmada en el
talón o foto de los extranjeros sospechosos de actividades
delictivas, será de aplicación solamente cuando existan fundados
indicios de participación en actividades delictivas, criterio este
que puede ser aplicado respecto a todos los ciudadanos nacionales
o extranjeros.
Por tanto, no vengamos aquí a hacer un debate que no corresponde a
esta Comisión, salvo en aquellos supuestos que ha explicado aquí el
director de la Agencia de Protección de Datos y no vengamos a decir
que esta operación y la Dirección General de la Policía están
criminalizando la extranjería porque no es así. Yo creo que están
haciendo una labor encomiable en este terreno y desde el Grupo
Popular les felicitamos.
La señora PRESIDENTA: Antes de conceder definitivamente la palabra al
señor director de la Agencia de Protección de Datos, tiene la palabra
el señor López Garrido, por el Grupo Parlamentario Socialista.
El señor LÓPEZ GARRIDO: Ya que la señora Matador ha hecho algunas
puntualizaciones, polemizando con mi intervención, y antes de
dirigirme explícitamente al señor Fernández López, quisiera decir lo
siguiente: Primero, cuando con la finalidad encomiable, y que además
es obligación de las Fuerzas y Cuerpos de Seguridad, de perseguir los
delitos se introducen en un archivo policial datos sobre centenares
de miles de personas que no tienen nada que ver con delitos y que
tienen una característica fundamental, y es que son extranjeros, se
criminaliza a los extranjeros. Así de sencillo. Por tanto, no es una
acusación infundada en el sentido de que cuando el Ministerio del
Interior, que no los policías, que no los Cuerpos de Seguridad, o el
ministro del Interior, que es el responsable en última instancia de
esta circular, hace eso, está lanzando un mensaje xenófobo, un
mensaje criminalizador al conjunto de la extranjería. Todo eso se
mete en un archivo informático, supuestamente por razones de
prevención de delitos y de crímenes importantes; se meten datos de
todo tipo de gente. En la circular de Ludeco, señora Matador, usted
puede ver cuál es el ámbito de actuación de los datos que van a
volcarse ahí. Yo no me lo invento, lo dice esa circular, que habla de
permisos de residencia por arraigo. ¿Qué tiene que ver eso con delitos?
Situación administrativa de extranjeros en España. ¿Qué tiene
que ver eso con delitos y con la seguridad pública? Nada que ver.
Identidades. Usted dice que se pueden identificar. Se pueden
identificar, por supuesto, se pueden hacer muchas cosas y se puede
expulsar porque se ha caducado el permiso. Todo eso se puede hacer.
¿Eso qué tiene que ver con los delitos o con la seguridad pública? No
tiene nada que ver. Es un tema administrativo que no tiene por qué
conectarse con crímenes cometidos por determinados individuos en los
últimos tiempos en Madrid o en España; no tiene nada que ver. Ese es
el asunto. Esa es la contradicción, por mucho que diga que con pleno
cumplimiento de la Ley de protección de datos. ¡Faltaría más que no
dijese eso, porque es una ley! Pero por mucho que lo diga, es una
contradicción decir eso y a continuación decir lo que dice la
circular, porque no tiene mucho que ver con lo que dice la Ley de
protección de datos.
En cuanto al señor Fernández López, quisiera señalar de entrada que
cuando usted dice que se persiguió a la mafia rusa o a la mafia
china, me parece muy bien, pero cuando se hizo o se hace eso con
otras mafias que hay que perseguir -a todas las mafias hay que
perseguir-, no se está diciendo al mismo tiempo: y todos los rusos y
todos los chinos metidos en un fichero. Eso no se dijo y este es el
asunto. Para combatir determinados delitos cometidos por gente que
tiene una nacionalidad, automáticamente se va a meter en un fichero
policial a esas finalidades y además se va a lanzar, en cooperación
internacional, como usted ha señalado, esos datos de gente que no
tiene que ver con los delitos; son extranjeros que están aquí y que
están en situaciones administrativas que exceden absolutamente las
finalidades. Eso es lo desproporcionado del asunto. No puede ser que
porque uno tenga una finalidad muy encomiable valga todo. No. Hay que
tener una proporcionalidad con la finalidad de ese objetivo. Si la
finalidad es la persecución de determinados delitos de personas que
tienen una nacionalidad y que al mismo tiempo son rubios o de un
equipo de fútbol y no por eso se les hace esa distinción, hay que
tomar medios proporcionados. No tiene sentido que con ese motivo se
vuelquen archivos policiales y se pueda lanzar a otros países
a personas bajo sospecha que son simplemente personas que han venido
aquí a trabajar y que están en una determinada situación
administrativa. Esa es la enorme desproporción del asunto o personas
que están en un club de salsa bailando o en un restaurante. Eso es lo
que dice la Operación café. Eso es algo tan enorme, de una proporción
tan superdimensionada que ese es el elemento de fondo.
Por tanto, el asunto del concepto jurídico indeterminado al que se ha
referido con la precisión que le caracteriza el señor Erkoreka no es
una justificación para poder avalar una circular así. Los conceptos
jurídicosindeterminados, como el caso del peligro real, como
sabe, son conceptos jurídicos indeterminados pero determinables. Por
eso la discrecionalidad administrativa no es arbitrariedad. Como lo
explicaba muy sabiamente un letrado de esta casa, catedrático de
derecho administrativo, que se llama Fernando Sainz Moreno, que tiene
un libro dedicado al concepto jurídico indeterminado, el concepto
jurídico indeterminado es efectivamente indeterminado desde el
momento en que lo dice la ley pero determinable. Y determinable
también por usted, por la Agencia de Protección de Datos, porque en
definitiva usted interpreta también cuando hace su función la Ley de
protección de datos. Está claro que por muy indeterminado que sea el
peligro real para la seguridad, no puede llevar aparejado que todos
los datos de los extranjeros de esa nacionalidad se metan y se
vuelquen en un fichero. Por sentido común y a todas luces es
totalmente desproporcionado.
Para terminar, y alegrándome de antemano por lo que respecta a la
ejecución de esta circular y la disposición y determinación que ha
mostrado la Agencia de Protección de Datos para realizar un
seguimiento muy estricto de la ejecución de esa circular que encierra
gravísimos peligros, tengo que manifestar que nos parece
satisfactoria la actitud que usted va a tener al respecto. Sin duda
que en una comparecencia próxima en este Parlamento tendrá ocasión de
explicar ese seguimiento que va a hacer sobre la circular. Respecto a
esa misma circular -no solamente a su ejecución sino a la propia
circular- quisiera saber su opinión, valoración y actitud en cuanto a
dos cosas muy concretas. En primer lugar, ¿a usted le parece que
tiene sentido que para el objetivo de una persecución de unos delitos
concretos todos los datos de los extranjeros que hayan pedido
residencia por arraigo, de todas las personas que hayan pasado
identificación en las comisarías -aunque no tengan nada que ver con
ningún delito-, de todas las personas extranjeras que estén en
determinadas situaciones administrativas se vuelquen en unos ficheros
informatizados de la Policía que tienen esas enormes limitaciones de
acceso, de cancelación y modificación, y que además eso se pueda
exportar -por así decirlo- a través de una cooperación internacional?
¿Tiene sentido? ¿Tiene proporción?
En segundo lugar, ¿tiene sentido que se haga precisamente con
personas de un determinado origen sudamericano, colombiano o
ecuatoriano, porque ha habido determinados delitos y no se haga con
otras personas que pertenecen a grupos, en los que también se han
producido muchos delitos, como por ejemplo los drogadictos, ya que
las cárceles españolas están plagadas de drogadictos, habría que
hacerlo también con drogadictos o con analfabetos? ¿Tiene sentido esa
discriminación y desproporción? Estas son cuestiones muy concretas
que están en esa circular y que ya no depende sólo de la ejecución de
la circular, ya que la raíz del mal está en la propia circular, en la
redacción de esa circular, no solamente en su ejecución. Sobre esto
quisiera
saber estrictamente su opinión al respecto y qué actitud piensa
que debe adoptar la Agencia que usted dirige.
La señora PRESIDENTA: Tiene la palabra el director de la Agencia de
Protección de Datos.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Fernández
López): La verdad es que todos los que tenemos una cierta edad
siempre tenemos prevención a cualquier actuación policial.
Afortunadamente las situaciones actuales han cambiado con respecto a
lo que ocurría en tiempos pretéritos. La Agencia de Protección de
Datos ya ha realizado inspección a la Policía Nacional, a la Guardia
Civil, e incluso a la Ertzaintza y a otras policías locales. También
estamos cumplimentando peticiones de la autoridad de control de datos
de Francia respecto a la inclusión de determinados ciudadanos por
parte de España en los ficheros de Schengen. Por suerte, hasta ahora,
le puedo decir que las inspecciones que se hicieron, tanto a la
Policía, a la Guardia Civil, como a la Ertzaintza, en cuanto al
tratamiento de los datos de los ciudadanos, fueron absolutamente
favorables, no podría decir nunca escrupuloso, pero estaba dentro de
la legalidad. Todas las peticiones de cooperación que nos han hecho
los franceses, en ningún caso, por parte española -incluso ningún
ciudadano extranjero- estaba en la central de Schengen sin que
tuviera que estar o que hubiera una orden judicial o de expulsión del
territorio español.
Entrando en el tema concreto de la circular, yo la interpreto de
distinta forma que usted, considero que hay que hacer una serie de
investigaciones sobre una serie de cosas que depende de la función
policial y no me corresponde determinar que es lo que hay que
investigar o si en este momento hay que investigar a ciudadanos
colombianos y no a otros de otra nacionalidad o por tipos de delitos;
esto son políticas policiales que los jueces estamos acostumbrados a
conocer, porque siempre que un juez está de guardia es raro el mes
que no le vienen -antes venían más que ahora- con una petición masiva
de intervenciones telefónicas o de ordenes de entrada en domicilio.
Lo que pasa es que el juez exige que se motive esa decisión policial
y, posteriormente, se accede a darla o no. Tengo que aclarar que
todos estos datos que usted dice no se van a volcar en los ficheros.
Por otro lado, hay otra cosa que quería puntualizar, ya que antes
dijo que los ciudadanos de estos países encima no tienen siquiera la
posibilidad de ejercitar su derecho de acceso a rectificación o
cancelación. Esto no es exactamente cierto, porque lo que ocurre es
que no pueden ejercitarlo directamente o que en el caso de que se les
deniegue, según la ley, pueden acudir al director de la Agencia para
que éste compruebe si hay motivo para esa denegación o no, y en su
caso restablecerle en su derecho.
Por no alargarme, no he entrado en otras habilitaciones legales -que
la señora Matador ha expuesto muy bien- respecto de la viabilidad de
la circular, porque no se refiere al caso concreto de la protección
de datos. Este tipo de actuaciones me suscitan, al menos, inquietud
en la ejecución, pero en los términos en los que está establecido, al
menos, en la letra, no tengo esas inquietudes. Antes decía que me
puede proporcionar una cierta inquietud en su ejecución, para lo que
-como anuncié y con esto contesto al señor Erkoreka- vamos a hacer un
seguimiento de lo que vaya a ocurrir, porque una cosa es lo que diga
una norma, por mucho rango normativo que pueda tener, y otra cosa es
lo que se lleve a cabo. Espero que esta actuación policial se lleve
dentro del marco estricto de la legalidad.
Por otro lado, le quiero decir otra cosa. Dentro de la directiva
comunitaria, la fundamental que rige en materia de protección de
datos, la Directiva 46/1995, están exceptuados de la protección de la
misma los ficheros
policiales, con lo que la mayor parte de los países de la Unión
Europea nos encontramos con que en las legislaciones de protección de
datos que trasponen la directiva no hay ninguna previsión respecto a
las actuaciones policiales. Una vez más nuestra ley, verdaderamente,
es ejemplar en reglar las actuaciones policiales en cuanto a la
intromisión de datos en ficheros policiales.
Nada más. Muchas gracias.
La señora PRESIDENTA: Muchas gracias, señor Fernández López. Quiero
agradecerle en nombre de todos los miembros de la Comisión el
esfuerzo físico que ha tenido que realizar y asegurarle que, como
siempre, quedan satisfechas todas las preocupaciones de los miembros
de la Comisión respecto a la Agencia de Protección de Datos.
Se levanta la sesión.
Eran las dos y treinta minutos de la tarde.