Camiño de navegación
Publicacións
DS. Congreso de los Diputados, Comisiones, núm. 154, de 01/12/2004
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2004 VIII Legislatura Núm. 154
CONSTITUCIONAL
PRESIDENCIA DEL EXCMO. SR. D. ALFONSO GUERRA GONZÁLEZ
Sesión núm. 6
celebrada el miércoles, 1 de diciembre de 2004
PRESIDENCIA DEL EXCMO. SR. D. ALFONSO GUERRA GONZÁLEZ
Sesión núm. 6
celebrada el miércoles, 1 de diciembre de 2004
ORDEN DEL DÍA:
Proposiciones no de ley:
Sobre el referéndum de ratificación de la Constitución Europea.
Presentada por los Grupos Parlamentarios Socialista del Congreso, Popular en el Congreso, Catalán (Convergència i Unió), Esquerra Republicana (ERC), Vasco (EAJ-PNV),
Izquierda Verde-Izquierda Unida-Iniciativa per Catalunya Verds, Coalición Canaria y Mixto. (Número de expediente 212/000455.) ... (Página 2)
Comparecencia del señor director de la Agencia de Protección de Datos (Piñar Mañas) para informar sobre:
Las memorias de la Agencia Española de Protección de Datos correspondientes a los años 2002 y 2003. A petición propia. (Número de expediente 212/000119.) ... (Página 6)
La autorización de la transferencia internacional de datos entre «Telefónica de España, SAU», y «Atento Teleservicios España, S.A.
sucursal en Marruecos». A solicitud del Grupo Parlamentario Mixto.
(Número de expediente 212/000349.) ...
(Página 6)
Se abre la sesión a las diez y cinco minutos de la mañana.
El señor PRESIDENTE: Señoras diputadas y señores diputados, vamos a empezar esta sesión de la Comisión Constitucional. Como saben ustedes, hay tres puntos en el orden del día: una proposición no de ley y dos comparecencias, en realidad
una sola comparecencia, porque las vamos a acumular. Hay una comparencia voluntaria, a petición propia del director de la Agencia de Protección de Datos, y después otra solicitada por el Grupo Mixto, pero acumularemos el debate en uno solo.
PROPOSICIONES NO DE LEY.
SOBRE EL REFERÉNDUM DE RATIFICACIÓN DE LA CONSTITUCIÓN EUROPEA.
PRESENTADA POR EL GRUPO PARLAMENTARIO SOCIALISTA DEL CONGRESO, GRUPO PARLAMENTARIO POPULAR EN EL CONGRESO, GRUPO PARLAMENTARIO CATALÁN (CONVERGÈNCIA I UNIÓ), GRUPO ESQUERRA
REPUBLICANA DE CATALUNYA, GRUPO PARLAMENTARIO VASCO (EAJ-PNV), GRUPO PARLAMENTARIO DE IZQUIERDA VERDE-IZQUIERDA UNIDA-INICIATIVA PER CATALUNYA VERDS, GRUPO PARLAMENTARIO DE COALICIÓN CANARIA Y GRUPO PARLAMENTARIO MIXTO. (Número de expedien-
te 161/000455.)
El señor PRESIDENTE: El primer punto del orden del día es una proposición no de ley sobre el referéndum de ratificación de la Constitución europea presentada por los grupos parlamentarios Socialista, Popular, Catalán (Convergència i Unió),
Esquerra Republicana, Vasco (EAJ-PNV), Izquierda Verde-Izquierda Unida-Iniciativa per Catalunya Verds, Coalición Canaria y Mixto, es decir, por todos los grupos. Entiendo que las intervenciones de los grupos serán breves, dado que no hay
controversia.
Comenzamos por la representante del Grupo Mixto, la señora Lasagabaster.
La señora LASAGABASTER OLAZÁBAL: Ciertamente, la presentación de la iniciativa es breve, porque en definitiva lo que pretendemos todos, independientemente de cuál sea la valoración con relación al Tratado que instituye la Constitución
europea, es que se divulgue, se conozca y se informe, en lo que se refiere a esta iniciativa, y sobre todo que los ciudadanos y éste es el objeto concreto de esta iniciativa puedan tener facilidad para expresar su propio voto, qué tipo de
papeletas sí, no, o en blanco pueden utilizar. No ahora, pero sí en un futuro momento, en esta Comisión o en otra, tendremos que hablar del tema, para expresar las distintas opiniones de los grupos parlamentarios en relación con nuestra posición
y valoración de ese tratado. En todo caso, sí coincidimos todos en pedir que se realice por parte de la Administración un mailing que sea suficiente y lógicamente neutral, que diga simplemente las posibilidades de papeletas, para que los ciudadanos
puedan tener facilidad a la hora de expresar su opinión.
Hemos pactado cómo debe ser desde el entendimiento de la voluntad política esa iniciativa, en la medida en que no suponga ningún tipo de expresión de una u otra posición política; además entendemos que lógicamente tiene que ser una para
evitar cualquier gasto innecesario, porque, desde el punto de vista de representación parlamentaria, no debemos realizar ningún gasto más allá del necesario. Sí entendemos que, si queremos que los ciudadanos participen, además de lo que son unas
campañas de información institucional, que rogaría, por favor, que fuera aséptica, en un sentido neutral, y que abarcara las posibilidades diferentes que puedan tener los distintos ciudadanos y ciudadanas, tiene que haber facilidad para participar y
no tienen que tener dificultades para saber exactamente cuál es el tipo de voto que pueden emitir.
Ésta es una iniciativa muy simple, pero que a la vez responde a una expresión democrática e, independientemente de la posición política que cada uno tenemos, puede ser buena para el conjunto de la posición de defensa de la Unión Europea. En
nuestro caso adelantamos que no estamos a favor de ese Tratado, porque falta, no porque sobre, sino porque faltan más cosas que queremos introducir, pero ello no impide que tengamos una posición proeuropeísta, en el sentido de movimiento de
integración europea, de proyecto de integración europea. Y pienso que ha sido bueno que
podamos tener esta iniciativa conjunta por parte de todos.
El señor PRESIDENTE: Por el Grupo de Coalición Canaria tiene la palabra don Luis Mardones.
El señor MARDONES SEVILLA: Con brevedad, porque está todo explicitado en la exposición de motivos de esta proposición que nos convoca hoy aquí.
Habíamos llegado a un acuerdo sobre la necesidad de un soporte institucional que dé la
Administración pública, permitiendo lo que estamos llamando unos buzoneo y otros mailing, el envío a los domicilios de todos los electores posibles, para el referéndum que apruebe este Tratado constitucional de la Unión Eu- ropea, del sobre y las
papeletas, de una manera también neutral. Habíamos consensuado este tema; quiero reconocer aquí, al menos desde el punto de vista mío personal y de mi grupo, la labor de muñidor del señor Jáuregui, del Grupo Socialista, que se prestó amablemente a
ir recogiendo nuestras distintas opiniones en el texto borrador; es una labor meritoria, hecha con una tremenda cordialidad, flexibilidad y apertura. Se ha hecho digamos un consenso muy bueno, de cara sobre todo a la opinión pública española; se
ha conseguido que todas las fuerzas políticas, todas, sin exclusión de ninguna, sea cual sea su posicionamiento, de un sí, un no, una abstención, en la libertad democrática de votar, estemos de acuerdo en la raíz y en el fundamento de lo que tiene
que ser una toma de conciencia y una explicitación de un texto que de por sí es amplio, se le quiera llamar farragoso o no. No pensemos que todos los ciudadanos lo van a leer, lo van a estudiar y a memorizar en todos los sentidos, sino vayamos al
fondo de la cuestión de Europa así o en qué condiciones.
Tendrá, como hemos dicho, nuestro apoyo en el voto afirmativo.
El señor PRESIDENTE: Por Izquierda Unida, el señor Llamazares tiene la palabra.
El señor LLAMAZARES TRIGO: Nosotros consideramos que esta iniciativa era necesaria. Es necesario que haya una capacidad de distribuir un mailing generalizado, con todas las opciones, en el caso del referéndum constitucional en la Unión
Europea, pero nosotros creemos que es necesario aunque no es suficiente. No es suficiente porque queda pendiente una materia tan importante como es la información, la información por parte de las instituciones en el caso de la campaña del
referéndum europeo, información que nosotros hemos visto con cierta perplejidad en algunos casos con respecto a la utilización de determinados programas, que no nos parecen los más recomendables, para divulgar el Tratado constitucional europeo.
Nosotros pensamos que la información debe ser pactada. Al igual que lo ha sido esta iniciativa de mailing generalizado, con todas las opciones, la información institucional, la propaganda institucional, debe ser del mismo modo pactada y
debe ser del mismo modo plural; debe fomentar el voto, pero debe al mismo tiempo respetar los distintos sentidos del voto.
Por otra parte, es evidente que nuestra principal preocupación, la de todos los que estamos hoy aquí, es si esta
convocatoria, que a nosotros nos parece precipitada, nos va a permitir no solamente la información a los ciudadanos, sino también un debate público que estimule la participación de los ciudadanos en relación con el Tratado constitucional europeo.
Ese debate público requiere no solamente la participación de los partidos, requiere la participación de la sociedad, de sus entidades de todo tipo, científicas, culturales, y creemos que no hay tampoco en esa materia ninguna previsión, ni siquiera
la previsión de la financiación de una campaña al uso por los partidos. Ése es un vacío que existe en la legislación sobre referéndum, pero es un vacío que tenemos que cubrir porque si no el principal elemento de preocupación que tenemos todos los
que estamos aquí, que es el nivel de abstención en el próximo referéndum, no solamente va a ser eso, una preocupación, sino que va a ser un problema. Nosotros, por tanto, defendemos esta iniciativa como una iniciativa necesaria, que garantiza el
mailing de las distintas posiciones a todos los ciudadanos, pero nos parece que falta algo fundamental: en primer lugar, garantizar la información, una información objetiva, y, en segundo lugar, garantizar el debate público, debate público que no
tendrá lugar si no hay un mínimo de campaña de los partidos; también tiene que haber un mínimo de campaña de organizaciones cívicas, culturales, que tienen que implicarse en el debate europeo.
Nuestra postura es proeuropea, europeísta. Por cierto, no hay ninguna opción en torno al referéndum que sea una opción euroescéptica o antieuropea, sino que todos estamos a favor de una opción europeísta desde el sí, desde la abstención o
desde el no, pero desde esa posición europeísta y al mismo tiempo crítica con la Constitución europea, vamos a propugnar el no a este Tratado constitucional. Nosotros creemos que hay que garantizar la información y el debate si no queremos
llevarnos la sorpresa de que este referéndum en España no solamente no refuerce el europeísmo de nuestro país, sino que aparezca debilitando el compromiso europeo de España y de los españoles.
El señor PRESIDENTE: Por el Grupo Vasco (EAJ-PNV) tiene la palabra don Aitor Esteban.
El señor ESTEBAN BRAVO: Señor presidente, voy a ser muy parco en palabras, como buen vasco, según dice la frase. La verdad es que no tenemos gran cosa que decir. Es una iniciativa consensuada, creo que bastante ajustada, muy concisa, y
nosotros votaremos a favor.
El señor PRESIDENTE: Señor Esteban, el agradecimiento es doble por la parquedad, que es bien recibida a esta hora.
Por Esquerra Republicana tiene la palabra el señor Tardá.
El señor TARDÁ I COMA: Yo, como amante del pueblo vasco, también seré parco en palabras.
De hecho, se trata de una proposición no de ley consensuada por diversas fuerzas políticas, con lo cual no hace falta hablar mucho más. Hay que tener en cuenta que lo que perseguimos nosotros es una alta participación y también un no al
Tratado. Estamos de acuerdo en que se envíe a los ciudadanos y a las ciudadanas sólo las tres papeletas y los tres sobres, sin ningún tipo de texto. ¿Y esto por qué? Porque confesamos que recelamos de la objetividad; quizás estos recelos puedan
ser un poco infundados, pero por si acaso. Tuvimos la suerte de poder consensuar que sólo se envíen las papeletas y los sobres. Este recelo, tal como también comentaba el compañero Llamazares, se extiende a otros medios, quizás a los medios
públicos. Nosotros vigilaremos que los medios públicos sean absolutamente neutrales. ¿Por qué? Porque entendemos que nos jugamos la credibilidad democrática y una utilización parcial de los medios públicos entraría en contradicción con lo que se
persigue, que es un proceso democrático limpio y que la ciudadanía se exprese con toda libertad. Y aunque las minorías, o algunas minorías, defendamos el no, entendemos que la ciudadanía, al margen de nuestras posiciones, tiene todo el derecho a
recibir de manera nítida los mensajes de las diferentes fuerzas políticas. Dicho esto, es evidente que nosotros apoyamos, como firmantes de la proposición no de ley, esta iniciativa.
El señor PRESIDENTE: Celebraría que cundiera el ejemplo, todavía más el del señor Esteban que el del señor Tardá, en cuanto a la parquedad, entre los que aún tienen que hablar.
El señor Xuclà por parte del Grupo Catalán (Convergència i Unió), tiene la palabra.
El señor XUCLÀ I COSTA: Si voy a ser parco o no, ustedes lo podrán valorar en pocos momentos, porque, aun con una gran empatía con el pueblo vasco, lo mío es ser catalán, que no es ser especialmente barroco, pero sí un poco mediterráneo.
Ésta es una proposición no de ley consensuada por todos los grupos políticos, con lo cual evidentemente expreso la corresponsabilidad y el apoyo positivo. Creo que es muy importante la información ciudadana, que debe haber esta información
ciudadana ante este referéndum que se convoca para febrero. Febrero es un mes frío y en estos momentos el clima político, de cara a la celebración del referéndum, es frío, un poquito demasiado frío. Me parece oportuno en este turno de
intervenciones dejar constancia en el «Diario de Sesiones» de que el Grupo Parlamentario Catalán de Convergència i Unió habría sido partidario de poder emprender las reformas legales que nos había ofrecido el Gobierno, las reformas de leyes
electorales y de leyes de financiación de los partidos políticos, para que los partidos políticos tuvieran una financiación suficiente, digna, para poder expresarse, para poder hacer campaña, porque la democracia se fundamenta básicamente en la
defensa de ideas contrapuestas, en la defensa, cuando sea necesaria, beligerante, fuerte, de las propias posiciones, y ante este referéndum, ante este importante referéndum, el tercer referéndum de la democracia española, habría sido positivo
cancelar este déficit que aún tenemos en nuestro sistema, en nuestra arquitectura constitucional, que es resolver el tema de la financiación de los partidos políticos. Esto no ha podido ser así y seguramente repercutirá de forma no muy positiva en
la calidad del debate del referéndum. Quería dejar constancia de esto y también de este punto de neutralidad con el cual hemos llegado a la redacción de esta proposición no de ley. El Gobierno puede impulsar campañas de información institucional
en precampaña, pero es evidente que después serán los partidos los protagonistas en la recta final de cara al referéndum.
No voy a fijar la posición de mi grupo parlamentario, un grupo con una larga trayectoria europeísta, pero un grupo que también ha planteado ante esta convocatoria del referéndum algunos aspectos de reconocimiento simbólico lingüístico
institucional y perfectamente constitucional de acceso de las comunidades autónomas a la representación española ante la Unión Europea; éste es otro debate y éste es otro ámbito de discusión. En todo caso, celebro esta iniciativa.
El señor PRESIDENTE: Tiene la palabra ahora, en nombre del Grupo Parlamentario Popular, don Jaime Ignacio del Burgo.
El señor DEL BURGO TAJADURA: Yo lamento no tener la honrosa condición de vasco, pero intentaré ser parco en mis palabras, siguiendo la recomendación del presidente.
Simplemente debo decir que nuestro grupo apoya, cómo no podía ser menos, puesto que ha sido cofirmante de la iniciativa, esta proposición no de ley que trata de garantizar que todos los electores reciban las papeletas y sobres electorales
con todas las respuestas legales a la consulta del futuro referéndum de ratificación de la Constitución europea.
No es el momento de hablar de la posición de cada uno respecto al texto constitucional europeo. Es bien conocido que el Grupo Popular, integrado por dos partidos políticos, el Partido Popular y Unión del Pueblo Navarro, en el referéndum
constitucional recomendará el voto afirmativo por una serie de razones que no voy a exponer ahora. Desde el punto de vista personal, tengo que decir que una constitución que se inspira en la herencia cultural, religiosa y humanista de Europa de por
sí es un buen comienzo para merecer el refrendo de
quienes compartimos precisamente muchos de los valores plasmados en la Constitución y que se basan precisamente en esa herencia cultural, humanista y religiosa Europa. Lo que sí queremos es que efectivamente se garantice la neutralidad de
los poderes públicos y vamos a hacer en este momento una recomendación o una reflexión sin más. Estamos hablando del futuro referéndum consultivo para que los ciudadanos se pronuncien sobre el Tratado de la Constitución de la Unión Europea,
teniendo en cuenta que es una constitución que dice basarse precisamente en la voluntad de los ciudadanos y de los Estados. Por lo tanto, es bueno que los ciudadanos de los pueblos, de los Estados que componen Europa, se pronuncien, aunque sea de
forma consultiva, al respecto, y eso nos parece bien.
Existe ya una fecha fijada para la convocatoria del referéndum, pero esta Cámara todavía no tiene la propuesta del Gobierno que permitiría el debate sobre la oportunidad o no de la convocatoria del referéndum, y por lo tanto lo que
recomendamos desde el Grupo Popular, porque entendemos que el cumplimiento de las formas legales es fundamental en una democracia y estamos viendo algunos acontecimientos recientes que nos hacen dudar de que exista esa voluntad clara en todos los
momentos y ocasiones siendo este un momento trascendental, es que bueno que el Gobierno diera cumplimiento estricto a lo que dice la Constitución, a lo que dice la Ley orgánica de convocatoria de referéndum y a lo que dice el Reglamento de la
Cámara sobre el debate correspondiente. Finalmente, sí que me sumo, nuestro grupo se suma a algunas manifestaciones que se han hecho sobre, parece ser, ciertos compromisos ya asumidos sobre la campaña de divulgación del texto constitucional, que no
nos parecen los más apropiados.
Señor presidente, no sé si he sido parco, pero queda claramente expuesta la posición de nuestro grupo.
El señor PRESIDENTE: Muy concreto ha sido, señor Del Burgo. Se lo agradezco.
Por el Grupo Parlamentario Socialista tiene la palabra don Pedro Muñoz González.
El señor MUÑOZ GONZÁLEZ: Intentaré también ser breve, comenzando por agradecer la participación de todos los grupos en torno a esta proposición no de ley que hemos sido capaces de consensuar entre todos precisamente para un tema tan
importante cual es el referéndum de ratificación de la Constitución europea. Quisiera también tranquilizar al Grupo Popular, porque el Gobierno, como no puede ser de otra forma, va a proceder dentro, estrictamente dentro, del cumplimiento de la
legislación, y este referéndum, que se ha convocado en virtud del artículo 92 de nuestra Constitución, se hará de acuerdo con la Ley Orgánica 2/1980, sobre las distintas modalidades de referéndum. No alberguen en esto ningún tipo de duda, porque
además para los miembros de este Gobierno y para el grupo parlamentario al que represento Europa es un concepto, es una aspiración, es algo por lo que siempre hemos luchado y algo a lo que siempre quisimos pertenecer. Siempre pertenecimos, pero,
por mor de una dictadura que nos impedía la integración, desgraciadamente tuvimos que esperar al restablecimiento de la democracia para poder incorporarnos a ese proyecto europeo.
Nosotros entendemos que con esta Constitución, y cada uno tendrá su forma de pensar en relación con la misma, se da un paso adelante en la profundización de la unión política de todos los países que componen la Unión Europa. Para nosotros
es muy importante que haya un debate profundo, que haya una participación amplia de todas las fuerzas políticas, que seamos capaces, en una época del año difícil, de concienciar a los ciudadanos para que participen en este referéndum. La
participación hará que ese referéndum tenga una mayor legitimidad y por tanto es necesario que todos los ciudadanos, como bien recoge la proposición no de ley, puedan participar. La forma de garantizar esto es aquella que se recoge en la
proposición no de ley fundamentalmente: que todos reciban en su domicilio de forma aséptica las papeletas de voto para que luego cada uno elija la que le parezca. Y dentro de esa elección de la papeleta que le parezca, de la participación o no, a
nosotros nos corresponde, como fuerzas políticas que estamos representadas en el Parlamento, que todos tengan esa posibilidad; la elección ya corresponderá a los ciudadanos.
Nuestro grupo, como no puede ser de otra forma, se suma a este consenso.
Además, y lo ha dicho el representante del Grupo de Coalición Canaria, ha tenido mucho que ver en él nuestro portavoz, el señor Jáuregui.
Sumándonos a ese consenso,
repito, no podemos más que dar por reproducidos la mayoría de los argumentos que aquí se han expresado y decir que con esta proposición no de ley todas las fuerzas políticas hacemos un esfuerzo importante de trasladar al Gobierno una necesidad, que
es que todos tengan la posibilidad de disponer de papeletas para poder participar en un referéndum que para todos es importante. En la medida de las posibilidades, todos tenemos que ayudar a que la participación sea alta, luego la expresión de esa
participación corresponderá a cada una de las fuerzas políticas.
El señor PRESIDENTE: Terminadas las intervenciones, procede la votación de la proposición no de ley sobre el referéndum de ratificación de la Constitución europea.
Efectuada la votación, dijo
El señor PRESIDENTE: Se aprueba por unanimidad la proposición no de ley.
COMPARECENCIA DEL SEÑOR DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (PIÑAR MAÑAS), PARA INFORMAR SOBRE:
LAS MEMORIAS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CORRESPONDIENTES A LOS AÑOS 2002 Y 2003. A PETICIÓN PROPIA. (Número de expedien- te 212/000119.)
LA AUTORIZACIÓN DE LA TRANSFERENCIA INTERNACIONAL DE DATOS ENTRE «TELEFÓNICA DE ESPAÑA SAU», Y «ATENTO TELESERVICIOS ESPAÑA S. A. SUCURSAL EN MARRUECOS». A SOLICITUD DEL GRUPO PARLAMENTARIO MIXTO. (Número de expediente 212/000349.)
El señor PRESIDENTE: Señoras diputadas, señores diputados, vamos a continuar con la comparecencia, a petición propia, del señor director de la Agencia de Protección de Datos, don José Luis Piñar, para informar sobre las memorias de la
Agencia Española de Protección de Datos correspondientes a los años 2002 y 2003,y para explicar la autorización de la transferencia internacional de datos sobre «Telefónica de España» y «Atento Teleservicios España sucursal en Marruecos» a petición
del Grupo Mixto.
Damos la bienvenida a don José Luis Piñar. Esta comparecencia se hace con notable retraso, pero no es en absoluto imputable al señor director de la Agencia de Protección de Datos. La disolución de la Cámara, la convocatoria de elecciones,
la constitución de una nueva Cámara, ha retrasado todo ello; el señor director de la Agencia insistentemente ha estado preocupado por el cumplimiento de esta comparecencia y cuando la Comisión ha tenido oportunidad hemos convocado esta sesión.
Concedo la palabra al señor director de la Agencia de Protección de Datos, don José Luis Piñar.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Piñar Mañas): Presidente, señorías, en primer lugar quiero expresar la enorme satisfacción que supone para mí comparecer ante esta Comisión, ante la que, aunque con distinta
composición, ya tuve el honor de comparecer el pasado año como director de la Agencia Española de Protección de Datos con idéntico propósito al que hoy me trae ante SS.SS., y que es la presentación de las memorias del ente que dirijo,
correspondientes en esta ocasión, como antes apuntaba el señor presidente, a los años 2002 y 2003, al objeto de facilitar el control parlamentario de la Agencia, como garantía de su independencia y para una mejor protección del derecho fundamental a
la protección de datos, derecho fundamental que ha quedado claramente configurado por la jurisprudencia del Tribunal Constitucional como un derecho autónomo e independiente del derecho a la intimidad, aspecto este que quiero resaltar a fin de
transmitir la importancia de las funciones de la Agencia, derecho fundamental además que se recoge expresamente en la Carta Europea de Derechos Fundamentales y en el proyecto de Constitución europea, y no sólo en una, sino en dos ocasiones. Es un
único derecho fundamental que tiene dos referencias tanto en uno como en otro texto. Referencia además se hace, y de forma expresa, a la existencia de autoridades de control que deben garantizar el derecho en cada uno de los Estados miembros.
Distintas circunstancias, como antes apuntaba el señor presidente, han impedido que mi comparecencia se haya podido desarrollar anteriormente. Paso de inmediato a exponer lo que es el objeto de esta intervención, que es la presentación de las
memorias de los años 2002 y 2003, haciendo también a continuación alusión al tema de la transferencia internacional de datos por parte de «Telefónica» a «Atento Teleservicios Espa- ña, S. A., sucursal en Marruecos».
Intentaré ser breve. Mi intervención girará en torno a las actividades y funciones de la Agencia, no sin antes, si me permiten, hacer una referencia a la situación de la entidad que dirijo en cuanto a recursos y presupuestos, al objeto de
tener una imagen inicial de la Agencia Española de Protección de Datos.
Una de mis principales preocupaciones desde que accedí a la dirección de la Agencia ha sido la relativa al capítulo de los recursos humanos. Debo decir que esta preocupación, lejos de disiparse, ha ido, si cabe, en aumento, pues considero
que los medios humanos con que cuenta la Agencia Española de Protección de Datos son claramente insuficientes para hacer frente a las múltiples funciones y competencias que está llamada a realizar y que se han ido incrementando en los últimos años
en todas sus áreas de actuación. Voy a dar un simple dato que es significativo en relación con lo que acabo de apuntar: el incremento de registro de entrada y salidas de documentos de 2001 a 2003 fue del 85,42 por ciento.
La situación existente en cuanto al incremento de actividad experimentado en la Agencia me llevó a plantear en 2003 una propuesta de modificación de la relación de puestos de trabajo que, con realismo y objetividad, diera solución a la
escasez de personal con que contaba la Agencia para hacer frente a esa carga de trabajo emergente. Las gestiones realizadas dieron su fruto y en la reunión de la Comisión Interministerial de Retribuciones de 22 de julio de 2003 se aprobó la
creación de 24 nuevos puestos de trabajo, lo que supuso un incremento del 35,29 por cien respecto a la situación anterior. La relación de puestos de trabajo se situó entonces en 92 puestos, todos funcionarios, a los que hay que añadir 3 plazas de
personal laboral. En conclusión, a finales de 2003 la plantilla total ascendió a 95 puestos, lo que, sumando el mío propio y el del abogado del Estado jefe de la asesoría jurídica, arroja un total de 97 puestos, frente a los 73 que existían en el
momento de mi toma de posesión en noviembre del año 2002.
No obstante, tengo que decir que, a pesar de este aumento de la plantilla, y como muestra una vez más del incesante crecimiento del ámbito de la protección de datos, ha sido necesario elaborar una nueva propuesta de modificación de la
relación de puestos de trabajo de la Agencia, que se está tramitando en el presente año con el fin de dotarla de los medios personales necesarios para hacer frente a las nuevas competencias que le han sido atribuidas por la Ley General de
Telecomunicaciones y por la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, a las que luego haré referencia.
Por lo que se refiere, brevemente al, presupuesto de la Agencia, he de indicar en primer lugar que este ascendió a algo más de 4.300.000 euros en 2002 y a algo más de 4.700.000 en el año 2003. Dicho presupuesto se incrementó en el año 2004
hasta alcanzar la cuantía de algo más de 5.300.000 euros, para en el año 2005 fijarse en poco más de 7 millones de euros según el proyecto de presupuestos presentado por el Gobierno a las Cámaras. Este presupuesto sigue siendo insuficiente para
cubrir las necesidades de la Agencia. Debo decir que no admite comparación alguna respecto a los presupuestos mucho más elevados de otras entidades semejantes a la Agencia, de otras entidades independientes, cuyos presupuestos en el año 2002
oscilaba entre los 10 millones de euros y los 183 millones de euros, y que en absoluto es comparable tampoco con el presupuesto de las autoridades de control semejantes a la Agencia Española de Protección de Datos en otros países europeos.
Si hay algo que debo señalar es que, en el análisis de los capítulos de presupuesto de ingresos, puede observarse que la Agencia Española de Protección de Datos, por primera vez desde su creación, no recibió en el año 2003 transferencia
alguna del Estado con la que financiar su presupuesto de gastos. Todo su presupuesto se financió en 2003 con remanente de tesorería. En 2004, solo 200.000 euros procedían de transferencias corrientes, lo que apenas alcanzó el 4 por ciento del
presupuesto total de gastos de la Agencia. El actual marco normativo no prevé en absoluto de forma expresa la financiación de la Agencia con cargo a remanente, lo que equivale a decir con cargo a las sanciones que impone. En efecto, el artículo 35
de la Ley Orgánica de Protección de Datos, en sus apartados 4 y 5, establece que la Agencia contará para el cumplimiento de sus fines con las asignaciones que se establezcan anualmente en los Presupuestos Generales del Estado, a cuyo fin elaborará y
aprobará el correspondiente anteproyecto y lo remitirá al Gobierno para que sea integrado con la debida independencia en los Presupuestos Generales del Estado. En el mismo sentido se manifiesta el artículo 34.1 del Real Decreto 428/1993, de 26 de
marzo, por el que se aprueba el estatuto de la Agencia Española de Protección de Datos.
En este punto me gustaría trasladar a SS.SS. la preocupación que desde que fui nombrado director de la Agencia me produce el hecho de que la financiación de la Agencia se efectúe, incluido el capítulo de personal, con cargo exclusivo a
sanciones, salvo esos 200.000 euros a los que hacía antes referencia en el presupuesto de 2004. Sobre este particular, es preciso señalar que ninguna de las autoridades europeas de control se financia totalmente con cargo a sanciones. Los modelos
aplicados en los países comunitarios responden bien a un sistema de financiación íntegra con cargo al presupuesto del Estado tal es el caso de Alemania, Holanda o Bélgica, o bien a un sistema mixto procedente de dicho presupuesto y de aportaciones
obtenidas por el cobro de tasas tal es el caso del Reino Unido o Irlanda y, en algunos supuestos, del importe del cobro de las sanciones, pero en estos casos tal es el supuesto de Italia o de Portugal, sólo el 50 por ciento del importe recaudado
por este concepto es reingresado a la autoridad de control correspondiente y además hay aportaciones significativas con cargo a los presupuestos correspondientes del Estado.
Sobre el grado de ejecución presupuestaria, quiero informar a SS.SS. de que en la memoria de 2003 se aportan, por primera vez desde la creación de la Agencia, datos relativos al periodo 2002-2003. De este análisis se observa que hasta
ahora nunca se había producido un tan alto grado de ejecución en los capítulos 2, es decir, gastos corrientes, y 6, inversiones reales, en los que se alcanzó respectivamente un 97,4 por ciento y un 99,9 por ciento de realización. La evolución de
obligaciones reconocidas en 2003 se sitúa también a la cabeza del último cuatrienio.
Dentro de la marcha de la gestión económico-financiera de la Agencia, en la actual etapa, iniciada a finales del 2002, como antes les apuntaba, se señaló como prioridad la elaboración de un estudio que pusiera de manifiesto la situación de
la actividad recaudatoria y los criterios que se estaban aplicando para proceder al pago de las sanciones en vía administrativa. Como consecuencia de ello, se pasó de recaudar algo más de 4.200.000 euros en 2002 a casi 5,5 millones en 2003, es
decir, un 28,85 por ciento más. En comparación con el importe de las sanciones impuestas en 2003, por encima de 8.300.000 euros, se recaudó un 65,53 de la cuantía a que las mismas ascendieron, lo que supone un 12,2 por ciento más que el año
anterior.
Tras esta referencia a los aspectos organizativos, funcionales y presupuestarios de la Agencia, que debe girar necesariamente en torno a la frialdad de los datos pero que es sumamente importante para comprender la función de la Agencia, los
medios con que cuenta y el régimen de su presupuesto, paso a exponer sin más dilación las principales actividades realizadas a lo largo de los dos años referidos, 2002 y 2003.
La actividad de la Agencia se desarrolla básicamente a través de la propia dirección, la secretaría general, el registro general de protección de datos, la inspección, las relaciones internacionales y el asesoramiento jurídico. En esta
intervención expondré tan sólo un resumen
breve de las actividades realizadas a lo largo de los años referidos, no sin antes recordar a SS.SS., lo cual considero de suma importancia, las modificaciones producidas en el régimen jurídico de la Agencia por los artículos 79 y 82 de la
Ley 62/2003, de Medidas Fiscales, Administrativas y del Orden Social. El primero de ellos, el artículo 79, modifica la propia denominación de la Agencia mediante la inclusión del calificativo española, de modo que la Agencia de Protección de Datos
pasó a denominarse Agencia Española de Protección de Datos. No se trataba de una modificación caprichosa o baladí, sino que se intentaba evitar la confusión de la Agencia Española de Protección de Datos con otras Agencias, también de protección de
datos, de las comunidades autónomas, que tienen encomendado el ejercicio de las competencias atribuidas sobre base del artículo 41 de la Ley Orgánica de Protección de Datos. El segundo de los artículos citados, el artículo 82, modifica la Ley
Orgánica de Protección de Datos, introduciendo un nuevo apartado, el apartado 2 de su artículo 37, en el que se prevé la publicidad de las resoluciones de la Agencia. Con ello se atiende una de las prioridades que me marqué desde el principio de mi
mandato, tendente a incrementar lo máximo posible la transparencia de la Agencia con respeto absoluto a la legalidad.
Dicho lo anterior, quiero resaltar que, tal y como expuse en mi anterior comparecencia ante esta Comisión, entre las actividades que de forma prioritaria se iban a llevar a cabo desde la Agencia se encontraba la potenciación de las acciones
e iniciativas de concienciación en el derecho a la protección de datos. De esta manera se ha iniciado una nueva etapa de divulgación de este derecho, que entre otras iniciativas ha supuesto una actualización de la propia imagen institucional de la
Agencia, cambiando el logotipo de identificación de la misma, y la elaboración de una nueva página web. La primera, con el fin de hacerla más actual e identificable y transmitir los valores de rigor e independencia que representa; y la segunda,
con el propósito de convertirla en un instrumento clave en la normalización de la cultura de la protección de datos de carácter personal.
Por lo que se refiere a la página web de la Agencia, diré que en un tiempo breve se remozó totalmente la antigua página web, dotándola ahora de una nueva imagen institucional, nuevos contenidos, más información y una sistemática más
intuitiva. Incorpora además nivel de certificación doble A de las recomendaciones de accesibilidad WAI (web accesibility inciative) para personas con discapacidad, de modo que hemos elaborado, creo, una página web que es totalmente accesible a
personas con discapacidad. La difusión que se realiza a través de la página web se ve complementada con las actuaciones que se realizan desde el servicio de atención al ciudadano, a través del cual la Agencia busca asimismo potenciar y acercar lo
más posible a la ciudadanía el derecho fundamental a la protección de datos. En cuanto a las consultas totales atención telefónica, escrita y presencial, en 2002 se produjeron más de 24.000 consultas, lo que supuso un incremento del 21 por ciento
respecto al año anterior, y en 2003 se realizaron casi 32.000, con lo que se demuestra el fuerte incremento producido, que alcanzó casi el 30 por ciento respecto a 2002. Los temas de consulta mayoritarios son los que se refieren a los derechos
recogidos en la Ley orgánica 15/1999 y de entre ellos destaca quizá el que se refiere al derecho de cancelación de datos personales.
Además de la difusión realizada a través de los mencionados instrumentos, hay que destacar la labor que con esta misma finalidad se realiza mediante la celebración de numerosas reuniones, participaciones en diversos foros, cursos impartidos
en distintos sectores empresariales, profesionales, ciudadanos, universitarios y en las administraciones públicas. A este respecto destacaré que sólo en 2003 se han celebrado más de cien reuniones en la Agencia con diferentes sectores, se han
firmado diversos protocolos de colaboración con diferentes entidades públicas y privadas y se ha participado, a través de colaboraciones y conferencias impartidas por diferentes miembros de la Agencia, en todas y cada una de las comunidades
autónomas. Dentro de esta actividad de divulgación querría destacar quizá que en 2003 se publicaron las obras Agencia 2003, cederrón, la Memoria 2002, en soporte papel y cederrón, y el premio Agencia de Protección de Datos 2002, que fue otorgado al
trabajo titulado Transferencia internacional de datos personales.
Por otra parte, desde la dirección se ha seguido impulsando el mantenimiento de las relaciones institucionales en un entorno de absoluta colaboración, entre las que cabe mencionar las mantenidas con el Ministerio de Justicia, con el Congreso
de los Diputados y con el Defensor del Pueblo. Finalmente, quiero referirme asimismo a las relaciones de cooperación mantenidas con las Agencias de Protección de Datos de la Comunidad de Madrid y de Cataluña, creada esta última en el año 2003,
entre las que se han ido perfeccionando las vías de colaboración que han desembocado en la firma, hace tan sólo unas semanas, de un protocolo de colaboración con tales Agencias y también con la recientemente creada Agencia de Protección de Datos del
País Vasco, dirigido a facilitar la comunicación de la información de las inscripciones de los tratamientos de datos personales entre el Registro General de Protección de Datos y los registros de dichas Agencias autonómicas. Me gustaría destacar
además la actividad que ha desplegado la Agencia en cuanto a la organización directa de distintos encuentros y conferencias. Por lo que se refiere al año 2002, debo hacer constar la organización conjunta por parte de la Agencia Española de
Protección de Datos y del Consejo de Europa de la conferencia anual sobre los retos a los que deben enfrentarse las autoridades de control, fundamentalmente dirigida a aquellos países de Europa central y oriental que habían aprobado recientemente
leyes de protección de
datos y estaban estableciendo autoridades de control independientes para velar por su cumplimiento. Esta conferencia, celebrada en Madrid, fue inaugurada por el ministro de Justicia, contó, además de con representantes de España y del
Consejo de Europa, con la participación de delegados de numerosos países y representantes de la Comisión Europea y de la Organización para la Cooperación y el Desarrollo Económico.
En 2003, la Agencia Española de Protección de Datos organizó diversos actos a nivel internacional y nacional. De entre los primeros, quizá destaca por su importancia y repercusión la conferencia europea de primavera de autoridades de
control, que tuvo lugar en Sevilla los días 2 a 4 de abril de 2003 y que fue, en mi opinión, un éxito, contando con la presencia de más de un centenar de autoridades de protección de datos y especialistas europeos en protección de datos de carácter
personal.
También, en el orden internacional, destaca la organización del II Encuentro iberoamericano de protección de datos de carácter personal, que se desarrolló en la ciudad de Antigua, en Guatemala, durante los días 2 a 6 de junio de 2003. El
encuentro, de gran interés, finalizó con la aprobación de una declaración, aprobada por los representantes de los países iberoamericanos asistentes al mismo, que procedió a crear la red iberoamericana de protección de datos. Debo decir que la
declaración final de la XIII cumbre de jefes de Estado y de Gobierno, reunidos en Santa Cruz de la Sierra, jefes de Estado y de Gobierno iberoamericanos, en Bolivia, los días 14 y 15 de noviembre de 2003, hizo, a instancias o a iniciativa de la
Agencia Española de Protección de Datos, una referencia expresa al derecho fundamental a la protección de datos personales y a la red iberoamericana de protección de datos. Es la primera vez en la historia que los jefes de Estado y de Gobierno
toman en consideración la protección de datos personales como un derecho fundamental y asumen el compromiso por parte de todos los jefes de Estado y de Gobierno de potenciar la protección de datos en los países iberoamericanos. Asimismo, los días 6
y 7 de noviembre de 2003 se organizo la ya IV edición del tradicional encuentro de autoridades de protección de datos de España y Portugal, que tuvo lugar en la ciudad cacereña de Jarandilla de la Vera.
En el plano nacional, muy rápidamente, dos fueron los actos institucionales más representativos. El 9 de diciembre se presentó la memoria, la imagen institucional, la página web y la publicación Agencia 2003; y el 23 de julio se procedió a
la presentación del premio Agencia de Protección de Datos 2002. Los resultados de la intensa labor de difusión y concienciación sobre el derecho a la protección de datos a la que me he referido, unida a la ampliación de competencias de la Agencia,
que se ha operado, como antes ya he señalado, a través de la Ley General de Telecomunicaciones y la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, quedan patentes a la vista del incremento experimentado en todas las
áreas de actuación en que interviene la Agencia. Este es el punto al que a continuación me referiré.
Empiezo, si me permiten SS.SS., por las actividades realizadas en el Registro General de Protección de Datos. Su gestión, prevista en el artículo 39 de la ley orgánica, es una de las funciones más importantes de la Agencia. Corresponde al
registro velar por la publicidad de la existencia de los tratamientos y ficheros de datos de carácter personal, a fin de hacer posible el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición, regulados en los
artículos 14 a 17 de la Ley Orgánica de Protección de Datos. Se encarga asimismo de la tramitación de los expedientes relativos a las transferencias internacionales de datos, de la inscripción de las autorizaciones de éstas y de la inscripción de
los llamados códigos 5.
En cuanto a la inscripción de los ficheros, como SS.SS. saben, la Ley Orgánica de Protección de Datos impone la obligación de notificar todos los ficheros o tratamientos de datos de carácter personal. Para facilitar el cumplimiento de esta
obligación, la Agencia dispone de un programa de ayuda que se obtiene de forma gratuita en nuestra página web y que hace posible que la declaración se realice a través de internet mediante un programa sencillo que garantiza segura su seguridad y que
en la actualidad es utilizado en el 73 por ciento de las notificaciones presentadas. La notificación de dichos ficheros mantiene desde hace años una tendencia de crecimiento muy importante, incrementándose, como digo, año tras año, como
consecuencia quizá de la implantación social de la ley. Y si bien todavía el número de tratamientos inscritos no se corresponde con el número de entidades públicas y privadas existentes, debo decir que sí que hay una gran conciencia y un porcentaje
muy elevado de inscripciones en lo que se refiere a los sectores de la banca, seguros, sanidad, grandes superficies, telecomunicaciones, eléctricas, farmacéutico y en general grandes empresas, donde se puede decir que la inscripción de tratamientos
abarca casi el cien por cien de las entidades. En el periodo comprendido entre los años 2000 y 2004, próximo a finalizar, por lo que respecta a la recepción de solicitudes, se ha pasado de una media mensual aproximada de 1.400 inscripciones a
5.200, lo que representa un incremento de más del 250 por cien. Durante el año 2003 se han tramitado más de 107.000 operaciones de inscripción, lo que ha supuesto una media diaria de casi 450 operaciones; a veces se han superado las 1.500
operaciones diarias referidas al Registro de Protección de Datos, y ha permitido alcanzar a finales del 2003 un total de más de 405.000 tratamientos inscritos. Sólo en 2003 se produjeron 77.000 nuevos tratamientos. A este incremento hay que sumar
el que se está produciendo durante 2004, en el que está previsto superar la cifra de 500.000 tratamientos inscritos en el Registro General de Protección de Datos. Respecto a los ficheros de titularidad pública, se ha producido un incremento en los
tratamientos inscritos de más
o menos un 70 por ciento respecto del año anterior, 2002. También hay un incremento considerable durante el año 2003 en lo que a las administraciones locales se refiere, pues durante ese año se inscribieron 2.340 ficheros. Creo que es
importante resaltar la notificación de inscripción de los ficheros y tratamientos de notarios, colegios notariales y Consejo General del Notariado, lo que ha supuesto un incremento en el número de inscripciones de casi 5.700 inscripciones.
El Registro de Protección de Datos se encarga asimismo de tramitar las solicitudes de autorización en relación con las transferencias internacionales de datos personales a países con nivel de protección no adecuado, de acuerdo con lo exigido
por el artículo 33 de la Ley Orgánica de Protección de Datos. Entre los años 2002 y 2003 se han autorizado 10 transferencias internacionales de datos al amparo del citado artículo 33, todas ellas dirigidas a Estados Unidos, salvo una dirigida a
Argentina.
Por otra parte, respecto a los tratamientos inscritos, cabe destacar que al finalizar el año 2003 figuraban un total de casi 3.500 inscripciones en los que ya se han notificado transferencias internacionales, de los que 879 fueron
tramitados durante el año 2003.
Por último, en cuanto se refiere a la gestión realizada desde el registro para la difusión de datos es de destacar la importancia creciente en la tramitación e inscripción de códigos tipo o deontológicos a que se refiere el artículo 32 de la
Ley Orgánica de Protección de Datos, cuya elaboración se alienta desde la Agencia con el fin de facilitar la aplicación de las previsiones recogidas en la ley y sus disposiciones de desarrollo. En función de las particularidades de cada sector y
las consecuencias derivadas de la evolución tecnológica, se presentan códigos tipo a la consideración de la Agencia, y tras la discusión inicial con los promotores del código se procede, en su caso, a la inscripción. En el año 2002 se inscribieron
dos nuevos códigos tipo, el de la Unión Catalana de Hospitales y el de Comercio Electrónico y Publicidad Interactiva, y en 2003, una nueva versión del código tipo de Telefónica de España, con el fin de adecuarlo a las previsiones contenidas en la
modificación de la regulación del sector de las telecomunicaciones. Además, durante 2003 se realizaron los estudios correspondientes y se llevaron a cabo las reuniones necesarias con el fin de inscribir cuatro nuevos códigos tipo, de los que ya ha
sido objeto de inscripción en el presente año el tratamiento de datos de carácter personal para odontólogos y estomatólogos de España; los tres restantes, que siguen en fase de estudio, están promovidos por la Asociación Española de Gestión
Inmobiliaria, la Asociación Empresarial de Agencias de Viaje y la Asociación Catalana de Recursos Asistenciales. Asimismo debo añadir, aunque no se refiere al periodo comprendido en las memorias que ahora estoy presentando, que en 2004 se ha
tramitado e inscrito el código de conducta de protección de datos de la Universidad de Castilla-La Mancha, que es el primer código inscrito en la Agencia de una universidad bajo el régimen de titularidad pública. Ninguna otra universidad tiene
inscrito código tipo y tampoco lo tiene ninguna otra entidad pública.
A continuación me referiré a la inspección, inspección que es potestad que se atribuye a la Agencia de Protección de Datos por el artículo 40 de la Ley Orgánica de Protección de Datos y el artículo 25 del estatuto de la Agencia, exponiendo
un resumen de los aspectos más significativos de las actuaciones llevadas a cabo en esta área durante 2002 y 2003. Durante tales años, las actuaciones de inspección, tanto iniciadas como las culminadas, se han incrementado en un 44 por ciento. Los
procedimientos de infracción iniciados a responsables de ficheros privados han crecido un 18 por ciento, y los culminados un 14 por ciento. Resulta destacable el incremento del 31 por ciento en los procedimientos de tutelas de derecho iniciados, ya
que ponen de manifiesto el mayor conocimiento y exigencia de los ciudadanos en el ejercicio de sus derechos. También ha de señalarse que en 2003 se han planteado reclamaciones por ciudadanos residentes en la práctica totalidad del territorio
nacional, datos que, en mi opinión, manifiestan la confianza de los ciudadanos en la Agencia Española de Protección de Datos.
Dicho esto, procede señalar que la inspección de datos desarrolla dos bloques de actividad diferenciados. Por un lado, las actuaciones de inspección dirigidas a la constatación de hechos relevantes en materia de protección de datos, lo que
da lugar a las llamadas inspecciones sectoriales, y de otro, la tramitación de procedimientos administrativos de derivación de infracciones de responsables privados o públicos y de tutela de derechos de los ciudadanos.
Paso a referirme a las inspecciones sectoriales. Tales inspecciones pueden considerarse como un instrumento de naturaleza preventiva de la Agencia de Protección de Datos. Tienen como objeto analizar cómo se está cumpliendo el conjunto de
previsiones de la Ley Orgánica de Protección de Datos en un sector determinado de actividad. Para ello, se selecciona primero el sector, se selecciona luego una muestra de entidades representativas del mismo y se realizan comprobaciones sobre la
aplicación de la totalidad de los principios de la ley orgánica y sobre el ejercicio de los derechos que la misma reconoce. Tienen, pues, naturaleza de una especie, de una suerte de auditoría preventiva respecto de un sector determinado. Culminada
la inspección, se elabora un documento en el que se recogen los hechos que se han constatado, señalando las deficiencias observadas, y se formulan unas recomendaciones para que el sector se adapte plenamente a las exigencias de la Ley Orgánica de
Protección de Datos. Se trata, en definitiva, de facilitar al máximo el cumplimiento de la Ley Orgánica de Protección de Datos Personales. Para facilitar este cumplimiento, las recomendaciones se ponen en conocimiento de las entidades
inspeccionadas y, según la naturaleza de las inspecciones, se comunican a las organizaciones más representativas del sector, con
objeto de que alcancen el mayor grado de difusión, permitiendo que sean conocidas y cumplidas por todos los que operan en él. Y cuando la naturaleza de las inspecciones lo permite, se incorporan además a la página web de la Agencia.
Durante los años 2002 y 2003 culminaron las inspecciones sectoriales sobre la banca a distancia, el fichero de información sobre solvencia patrimonial denominado registro de actividades impagadas, el RAI, y se iniciaron y terminaron las relativas al
tratamiento de datos personales en concursos, juegos y sorteos de televisión, y al proyecto de censos de población y vivienda del Instituto Nacional de Estadística. Asimismo, en 2003 se han iniciado inspecciones de esta naturaleza en cadenas
hoteleras, en la selección de personal en internet, en laboratorios hospitalarios de análisis clínicos, en el Instituto Nacional de Administración Pública y en centros de enseñanza reglada no universitaria, dando respuesta esta última inspección, la
de enseñanza no universitaria, a las inquietudes expuestas por algunos portavoces de grupos parlamentarios en mi anterior comparecencia ante esta Comisión.
Quizá sea conveniente destacar muy brevemente un aspecto de la inspección al Instituto Nacional de Estadística al suscitar cuestiones extrapolables con carácter general a la actuación de las administraciones públicas. En efecto, en la
inspección al proyecto del INE, al que antes me refería, se analizó la actuación del instituto y de las diversas empresas privadas que colaboran con él en la ejecución del proyecto. Este hecho es una manifestación más de la cada vez más frecuente
externalización de servicios por parte de las administraciones públicas en el ejercicio de su actividad. Para llevarlo a cabo ha de cumplirse lógicamente con las exigencias de las normas de contratación de las administraciones públicas, pero además
si se produce la intervención de terceras entidades en la prestación de servicios, y ello supone el acceso a datos de carácter personal de los ciudadanos, resulta inexcusable que se cumplan también las garantías de la Ley Orgánica de Protección de
Datos para proteger ese acceso de terceros a la información de los ciudadanos. Estas garantías consisten básicamente en que la información que se obtenga sólo puede ser utilizada para la finalidad de la prestación de servicios y no para otras; que
una vez cumplida la prestación los datos se devuelvan o se destruyan y que sea adopten las medidas de seguridad necesarias para que la información se mantenga íntegra y no se produzcan accesos no autorizados. He querido llamar la atención sobre
este aspecto, pues no es infrecuente que las administraciones públicas cuando contratan servicios a terceros omitan las garantías que exige la Ley Orgánica de Protección de Datos.
Por lo demás, del resto de las inspecciones iniciadas en 2003 ya se han dictado las recomendaciones correspondientes a las cadenas hoteleras, de enorme importancia, que han sido trasladadas al sector. Este sector ha sido considerado de
interés para la realización de la inspección por el elevado número de tratamientos que se producen en él y por la complejidad de los mismos por la propia naturaleza jurídica de las entidades que prestan servicios de hostelería. Las recomendaciones
han delimitado quién es el responsable de cada tra- tamiento, en qué casos éste se ampara en una relación contractual o exigen un consentimiento adicional y cómo debe informarse al cliente en cada caso. En fin, las conclusiones y recomendaciones de
las demás inspecciones están pendientes de formularse, si bien antes de finalizar el presente año se harán públicas las referidas al INAP (Instituto Nacional de Administración Pública), que debo decir que se trata de una inspección sectorial llevada
a cabo a petición del propio instituto, y las de laboratorios hospitalarios de análisis clínicos, así como el avance de conclusiones de portales de empleo.
Paso a continuación a informar a SS.SS. sobre los aspectos más relevantes relacionados con reclamaciones, que han dado lugar a procedimientos de infracción. Me referiré en primer lugar a las que afectan a responsables de ficheros privados
y posteriormente a las que afectan a responsables de ficheros públicos. Respecto de los primeros, los sectores que han dado lugar a un número mayor de reclamaciones desde el punto de vista cuantitativo han sido los relacionados con entidades
financieras, sobre todo en relación con los ficheros sobre solvencia patrimonial y crédito, conocidos como ficheros de morosidad; publicidad, principalmente en relación con el envío de publicidad no solicitada; y telecomunicaciones.
En el sector
de telecomunicaciones, quizá el asunto más importante y novedoso desde el punto de vista cualitativo ha sido el que se plantea en relación con la preasignación con terceros operadores. También desearía destacar las reclamaciones sobre el
tratamiento de datos de salud que, como SS.SS. conocen, tienen la consideración de datos especialmente protegidos. La primera cuestión que suscita el tratamiento de los datos de salud afecta a su propio concepto, es decir qué datos deben
considerarse como relativos a la salud de las personas. Esta cuestión ha sido objeto de análisis exhaustivo en una resolución de 24 de enero de 2003. La resolución parte de los criterios recogidos en la Carta Magna de la Organización Mundial de la
Salud, en la Memoria explicativa del Convenio 108 del Consejo de Europa y en la Recomendación número 975 adoptada por su Comité de Ministros. Concluye que son datos de salud las informaciones concernientes a la salud pasada, presente y futura,
física o mental, de un individuo, así como las informaciones relativas al abuso del alcohol o al consumo de drogas y las informaciones genéticas. De acuerdo con este criterio, se afirma en tal resolución que los datos de minusvalía tratados en la
gestión del impuesto sobre la renta de las personas físicas son datos de salud. Cabe apreciar, en base a los criterios expuestos que el concepto de salud tiene un carácter amplio y expansivo que ha sido también asumido, además, por el Tribunal de
Justicia de las Comunidades Europeas en su sentencia de 6 de noviembre de 2003. El tratamiento de los datos
de salud se encuentra afectado no sólo por la Ley Orgánica de Protección de Datos, sino también por una amplísima normativa sectorial que obliga a un análisis jurídico interrelacionado. Teniendo en cuenta la información que consta en las
memorias objeto de la presente comparecencia, me referiré a algunos casos recogidos en ellas que afectan a tres apartados: tratamiento de datos de empleados, sector asegurador y la seguridad con que debe tratarse la información sobre salud.
En el tratamiento de datos de la salud de los empleados se han planteado reclamaciones sobre el control del absentismo laboral, y pretende conocer si la baja laboral está o no justificada. La posibilidad de controlar el absentismo laboral
responde a un interés legítimo del empresario, que ha sido expresamente amparado por el Estatuto de los Trabajadores en su artículo 20.4; sin embargo, este interés legítimo debe tener en cuenta los principios esenciales de la normativa de
protección de datos relativos a la salud, como es el de tener que basarse en un consentimiento expreso del empleado. Este criterio ha sido asumido por la Agencia y por la Sala de lo Contencioso Administrativo de la Audiencia Nacional, que han
exigido para dicho tratamiento un consentimiento expreso del afectado. Si éste, si el afectado, no presenta tal consentimiento, podrán deducirse otras consecuencias derivadas del tratamiento sobre las prestaciones que deben percibirse, por ejemplo,
pero no podrán tratarse sus datos de salud a tal efecto, es decir, al efecto de control del absentismo laboral. En este sentido, quiero volver a reiterar la importancia de la información previa que se facilite al trabajador al consentir una
exploración médica, pues si no se le informa claramente de que su finalidad es el control del absentismo laboral el consentimiento no será válido.
En el ámbito del sector asegurador se han planteado numerosos problemas sobre la posibilidad de que las compañías aseguradoras traten datos de salud de las víctimas de un siniestro sin su consentimiento expreso. En 2003 se ha dictado por la
Agencia una muy relevante resolución de 11 de agosto, que aborda esta cuestión, si bien circunscrita (y quiero insistir en ello) al supuesto de seguros de responsabilidad civil de vehículos a motor. En dicha resolución se parte de las obligaciones
legales que imponen a las compañías aseguradoras la regulación sectorial del seguro, y se concluye que: siendo imposible cumplir tales obligaciones sin tratar los datos de salud de la víctima del siniestro, debe entenderse que este tratamiento está
habilitado legalmente sin consentimiento del afectado; no obstante, deberán cumplirse en todo caso el resto de principios de la normativa de protección de datos personales. En cuanto a la seguridad de la información en lo que se refiere a los
datos de salud y la obligación de guardar secreto sobre ella, en los años a que se refieren las memorias se han dictado varias resoluciones, en ellas se pone de manifiesto que existen importantes deficiencias respecto a la seguridad con la que se
tratan este tipo de datos en las instituciones sanitarias, y ello no sólo porque se hayan constatado casos flagrantes en los que dicha información puede aparecer en contenedores de basura, sino también porque sin llegar a tales extremos se aprecia
una deficiente implantación de las medidas de seguridad exigibles. Esta situación es particularmente preocupante por cuanto que en la mayoría de los casos estas irregularidades se están produciendo en instituciones sanitarias de titularidad
pública.
Siguiendo con la información sobre procedimientos de infracción, paso a referirme a aquellos en los que las administraciones públicas son responsables de los ficheros. En relación con estos ficheros, además de la ya señalada que acabo de
indicar sobre seguridad en asistencias sanitarias, pueden destacarse los aspectos que menciono a continuación muy brevemente. En 2003 se han resuelto varias reclamaciones sobre el suministro de información de la vida laboral de ciudadanos a
terceros no habilitados para acceder a ella, información obtenida de entidades vinculadas al sistema de la Seguridad Social. Se han declarado las infracciones pertinentes, pero debo destacar que las medidas de seguridad implantadas por tales
entidades y su colaboración ha sido fundamental para el esclarecimiento de los hechos, y que han procedido a depurar las responsabilidades individuales por los mismos. En otro orden de cosas, se han resuelto reclamaciones sobre usos indebidos del
padrón municipal, fundamentalmente por parte de corporaciones locales. Son supuestos en los que se producen explotaciones del padrón para dirigirse a los ciudadanos con fines ajenos a las competencias propias de dichas corporaciones. Por otra
parte, quiero formular una apreciación sobre la mayor transparencia administrativa que se está produciendo a través de páginas web de las administraciones públicas. Las políticas de transparencia y accesibilidad de los ciudadanos a través de nuevas
tecnologías han de ser por supuesto bienvenidas; sin embargo, exigen que se realice un tratamiento de la información personal que se conforme a las garantías de la Ley Orgánica de Protección de Datos. Por ello, no puede llegarse a los extremos
constatados en la Memoria del año 2003 de publicar a través de una página web información detallada y nominativa sobre infracciones administrativas de los ciudadanos. En fin, debo apuntar que en todos los casos en que se han declarado infracciones
de las administraciones públicas se ha puesto en conocimiento del Defensor del Pueblo, de acuerdo con lo dispuesto en el artículo 46.4 de la Ley Orgánica de Protección de Datos; institución ésta, la del Defensor del Pueblo, que ha requerido
ulteriormente información sobre las medidas adoptadas para evitar el incumplimiento de la ley, información que siempre ha sido facilitada por la Agencia de Protección de Datos.
También se han analizado en procedimientos de infracción los principios de la Ley Orgánica de Protección de Datos. Se han continuado analizando principios tales como el respeto al consentimiento y a cesiones ilícitas en muy diversos
sectores; calidad de los datos,
principalmente en el sector financiero; seguridad, que afecta tanto a responsables públicos como privados; y secreto en entidades financieras y operadores de telecomunicaciones. También se ha resaltado en diversas resoluciones la
importancia que tiene el principio de información regulado en el artículo 5 de la Ley Orgánica de Protección de Datos.
Por otra parte, y en lo que se refiere a los proce- dimientos llamados de tutela de derechos, son procedimientos que no se dirigen a sancionar conductas, sino tan sólo a garantizar a los ciudadanos el ejercicio de sus derechos cuando les es
negado por los responsables de los ficheros. Durante los años 2002 y 2003 han seguido resolviéndose reclamaciones sobre los derechos de acceso, rectificación y cancelación, pero también en el año 2003 se ha producido una novedad sumamente
importante, que es la que se refiere al derecho de oposición; derecho de oposición que se reguló por primera vez en la ley orgánica de 1999, que no estaba recogido en la Lortad de 1992, de modo que las normas de desarrollo reglamentario
preexistentes se referían expresamente y tan solo a los derechos de acceso, rectificación y cancelación. Pues bien, esta circunstancia dio lugar a dudas acerca de la vigencia y régimen del derecho de oposición, dudas que han sido rotundamente
aclaradas a partir de la resolución de 22 de octubre de 2003, en el sentido de reconocer su plena efectividad y los procedimientos y plazos para su ejercicio, propiciando de este modo además una interpretación de nuestro ordenamiento jurídico de
acuerdo con las exigencias del derecho comunitario.
Por otra parte, me referiré a las actividades desarrolladas por el gabinete jurídico de la Agencia. La Agencia debe informar preceptivamente sobre las disposiciones de carácter general y debe atender las consultas planteadas por los
responsables de los ficheros. En cuanto a la primera de las competencias mencionadas, debe recordarse que de conformidad con la Ley Orgánica de Protección de Datos y su estatuto, la Agencia debe informar preceptivamente cuantos proyectos de
disposiciones de carácter general hagan referencia o incidan en la materia propia de la ley orgánica. Durante los años 2002 y 2003 se han sometido al parecer de la Agencia española un total de 80 disposiciones de carácter general, de entre las que
caben destacar los proyectos de Ley General de Telecomunicaciones, Ley de Firma Electrónica, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, Ley de Creación de la Agencia Catalana de Protección de Datos, ley por la que
se regulan los ficheros de datos de carácter personal de titularidad pública y se crea la Agencia Vasca de Protección de Datos. También el anteproyecto de ley orgánica de reforma de la ley orgánica sobre derechos y libertades de extranjeros en
España, anteproyecto de ley general de subvenciones, anteproyecto de ley general tributaria, proyecto de texto refundido de la ley de catastro inmobiliario y otras normas tributarias, proyecto de real decreto para el impuesto de administración
electrónica, etcétera; también el proyecto de real decreto por el que se regula el registro central para la protección de las víctimas de la violencia doméstica, o el proyecto de real decreto por el que se modifica el reglamento de la ley sobre
determinadas medidas de prevención del blanqueo de capitales, o el proyecto de real decreto por el que se regula la tarjeta sanitaria individual. Asimismo, ha sido especialmente significativo el número de disposiciones dirigidas a la creación de
ficheros o a la modificación de disposiciones ya existentes que los regulaban, sobre todo en el ámbito de la Administración General del Estado.
Dentro de las reformas legislativas producidas en este periodo y dictaminadas por la Agencia permítanme hacer una referencia especial a la modificación producida en el régimen jurídico de las telecomunicaciones y el comercio electrónico, por
la incidencia que dicha reforma ha producido en la actividad de la Agencia Española de Protección de Datos. Durante el año 2002 fue adoptada la Directiva 2002/58, relativa a la protección de datos en el sector de las telecomunicaciones
electrónicas, cuyas principales novedades afectan a la neutralidad tecnológica, la ampliación de los derechos de los usuarios y el establecimiento de garantías respecto de nuevos tratamientos de datos, como son los de localización y los servicios de
valor añadido. En relación con tal directiva he de manifestar mi satisfacción, pues al menos en sus aspectos básicos ya se ha incorporado a nuestro sistema legal a través de la Ley 32/2003, la Ley General de Telecomunicaciones, y las modificaciones
introducidas en la Ley 34/2003 de servicios de la sociedad de información y comercio electrónico. En particular, debo destacar el hecho de que dicha trasposición fue posible gracias a la participación de la propia Agencia en el procedimiento y
elaboración de tales normas, esencialmente mediante la emisión de su informe preceptivo.
Sin entrar en el análisis de esta nueva regulación, sí quería hacer referencia brevemente a dos puntos o a algunos puntos muy concretos. Por un lado, tanto la Ley General de Telecomunicaciones como la Ley de servicios de la sociedad de la
información han previsto un régimen de infracciones y sanciones propio y distinto del de la Ley Orgánica de Protección de Datos para garantizar en caso de incumplimiento las garantías establecidas en las mismas. Ambas normas atribuyen la
competencia sancionadora en estas materias a la Agencia Española de Protección de Datos. Debo hacer referencia especial a la modificación producida en el régimen regulador de las comunicaciones comerciales no solicitadas, es decir, lo que
vulgarmente se conoce como spam, atribuyendo a la Agencia Española de Protección de Datos la competencia para conocer de las denuncias presentadas por los ciudadanos o por personas jurídicas en caso de vulneración de la ley.
Por otra parte, desde el gabinete jurídico se han respondido, se han elaborado casi 959 informes durante
los años 2002 y 2003, referidos a un número importantísimo de temas relacionados con la protección de datos. No haré referencia detallada a tales temas, pues están desarrollados en las memorias de la Agencia a las que ahora me estoy
refiriendo. Por otra parte, quería trasladar a SS.SS.
el hecho de que durante 2002 y 2003 se han dictado un total de 185 sentencias por las salas de los Tribunales Superiores de Justicia y la Audiencia Nacional, conociendo recursos interpuestos en
primera o única instancia contra resoluciones dictadas por la Agencia de Protección de Datos, y 16 sentencias del Tribunal Supremo resolviendo recursos de casación o casación para unificación de doctrina. Durante los años 2002 y 2003 un 77 por
ciento de las sentencias desestimaron el recurso interpuesto contra resoluciones de la Agencia, es decir, dieron la razón a la resolución de la Agencia Española de Protección de Datos. En particular, resulta especialmente relevante el hecho de que
de las sentencias dictadas por la Sala de la Audiencia Nacional durante el año 2003 únicamente un 8 por ciento han estimado el recurso interpuesto, solo cuatro sentencias, siendo además dos de dichas sentencias estimatorias de sendos recursos contra
resoluciones de archivo de actuaciones dictadas por la Agencia. En consecuencia, los criterios de la Agencia son considerados en la inmensa mayoría de los casos como ajustados a derecho por parte de quienes tienen la misión de enjuiciarlos.
Me refiero a continuación a la labor que la Agencia desarrolla en el ámbito de las relaciones internacionales. En lo que se refiere a Europa hay que comenzar poniendo de manifiesto el trabajo desarrollado por la Agencia en su participación,
o a través de su participación en las instituciones de la Unión Europea. La Directiva 95/46 del Parlamento y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre
circulación de estos datos, creó, como SS.SS. saben, en su artículo 29 un grupo de trabajo, conocido por ello como grupo de trabajo del artículo 29, integrado por las autoridades de control de protección de datos de los Estados miembros, además de
por el supervisor eu- ropeo de protección de datos y la Comisión Europea, que ejerce las funciones de secretaría. Actualmente tengo el honor de desempeñar la vicepresidencia de tal grupo de trabajo de autoridades de control, que es sin duda el
grupo más reconocido a nivel internacional en materia de derecho a la protección de datos, trascendiendo sin duda el ámbito europeo. Durante los años de referencia de la Agencia se dictaron numerosos informes, documentos de trabajo, se elaboraron
documentos de trabajo por el grupo de trabajo del artículo 29 que están recogidos en la Memoria.
Uno de los temas al que más tiempo dedicó el grupo de trabajo fue sin duda la transferencia de datos de pasajeros a los de Estados Unidos de América. El grupo de trabajo del artículo 29 se pronunció en diversas ocasiones sobre los distintos
borradores de los compromisos en los que las autoridades americanas expresaban las normas por las que se iba a regir la recogida y el tratamiento de estos datos personales, expresando en general la necesidad de unas mayores garantías para poder
considerar que existía un nivel de protección adecuado. La Agencia Española de Protección de Datos tuvo un papel muy activo en este tema, sobre el que yo mismo tuve ocasión de participar en una sesión pública en el Parlamento Europeo celebrada el
25 de marzo en Bruselas, y que contó con la participación de representantes de la Comisión Europea, del Consejo, del Parlamento Europeo, las compañías aéreas y organizaciones no gubernamentales europeas y estadounidenses de defensa de los derechos
de los consumidores y usuarios; no obstante, a pesar de las críticas del grupo de trabajo del artículo 29 y la oposición del Parlamento Europeo, que recogió en sus dictámenes los argumentos del grupo de trabajo, la Comisión Europea y el Consejo de
la Unión Europea decidieron que las garantías suministradas por las autoridades americanas eran adecuadas, adoptando decisiones tanto de la Comisión como del Consejo en el año 2004.
Otro aspecto importante del ámbito europeo ha sido la publicación del primer informe de la Comisión Europea sobre la trasposición de la Directiva 95/46 en los Estados miembros, en el que se constatan una serie de problemas que la Comisión ha
detectado en cuanto a la trasposición de dicha directiva en los distintos Estados. Además de las reuniones plenarias, la Agencia participa activamente en prácticamente todos los subgrupos que se crean en el seno del grupo de trabajo del artículo 29
para preparar temas específicos. En concreto, me gustaría resaltar que muy recientemente la Agencia ha sido ponente de uno de los documentos más importantes de los aprobados por el grupo, el llamado documento estratégico, ya que se trata de un
documento de reflexión sobre el papel del grupo y su estrategia futura para promover la protección de datos en la Unión Europea y en el resto del mundo, incluyendo una política de comunicación más efectiva, que haga llegar sus actividades y
opiniones a los ciudadanos y responsables de tratamientos.
En el campo de la cooperación policial y judicial el aspecto más notable quizá sea durante el año 2003 la puesta en marcha efectiva de Eurojust y la constitución de su Autoridad Común de Control, de la que forma parte el director de la
Agencia Española de Protección de Datos. Hay que señalar asimismo que las autoridades de control común establecidas en los convenios de Schengen, Europol y Sistema de Información Aduanero han continuado con el ejercicio de sus competencias a lo
largo de los años 2002 y 2003. También destaca la creación de un grupo de coordinación de autoridades competentes en materia de lucha contra el spam, de la que forma parte la Agencia Española de Protección de Datos, y en este aspecto, lucha contra
el spam, la Agencia está colaborando muy activamente con la Federal Trade Commission (la Comisión Federal del Comercio
de Estados Unidos) competente en aquel país de la lucha contra el spam.
Impulsados por este espíritu de colaboración el pasado 11 de octubre 19 Agencias de 15 países diferentes, entre las que se encontraba la Agencia Española de Protección
de Datos, hemos suscrito un plan de acción conjunta, el llamado London Action Plan, en cuya redacción ha participado activamente la Agencia, con medidas muy prácticas y directas para luchar contra el spam y sobre todo para formar y prevenir a los
ciudadanos ante la violación que respecto a sus derechos pueden sufrir como consecuencia de la recepción de correos electrónicos no deseados.
Con anterioridad me he referido a conferencias que en el ámbito internacional se han celebrado, organizadas además por la Agencia de Protección de Datos; merece la pena quizá señalar también la conferencia internacional, la Conferencia
Mundial de Protección de Datos celebrada en Sidney (Australia), en la que participó también activamente la Agencia Española de Protección de Datos. Es digna de mención la reunión que la red de encargados de protección de datos europeos celebró en
el año 2003 en Madrid, que tuvo lugar sobre todo por el interés que tal red de protección de datos tenía por conocer la misión y la labor que está desarrollando la Agencia de Protección de Datos española.
Especial referencia merece la labor con Iberoamérica. Desde mi toma de posesión como director de la Agencia hice notar mi interés, mi intención y mi compromiso de promover la cultura y la protección de datos personales en todos aquellos
países especialmente unidos a nosotros, como son los de la región iberoamericana. Creo que puede considerarse que los resultados han sido satisfactorios. Se ha constituido la Red iberoamericana de protección de datos, como antes apuntaba, cuya
secretaría permanente se encuentra en la Agencia Española de Protección de Datos, y cuya presidencia tengo el honor de ostentar. Mediante esta red se crea un foro permanente, cuyo objetivo es potenciar las iniciativas de intercambio, de
experiencias entre los países iberoamericanos, estableciendo canales, siempre abiertos de diálogo y colaboración en materia de protección de datos. Debo también destacar la actividad desplegada por la Agencia en Iberoamérica, en línea con el
compromiso adquirido en la promoción de la cultura de protección de datos personales en aquellos países, y que se ha traducido en el mantenimiento de reuniones y visitas de trabajo con ministros, con parlamentarios, con defensores del pueblo, con
otros funcionarios y representantes de la universidad, así como de los ciudadanos, y participación en distintas conferencias, a veces en varias ocasiones, en países como Argentina, Chile, Colombia, Costa Rica, El Salvador, Guatemala, México,
Nicaragua, Paraguay, Uruguay y Venezuela. Además de la Red iberoamericana y las relaciones internacionales a las que me he referido con carácter general es importante señalar las importantes relaciones bilaterales que la Agencia mantiene con
autoridades de control de otros países como Portugal, como la Dirección Nacional de Protección de Datos del Reino Unido, la Federal Trade Commission de Estados Unidos que antes les comentaba, con las autoridades de control de Polonia, Bulgaria,
Eslovaquia, Hungría, Lituania, Argentina, y especialmente con la Oficina checa de Protección de Datos Personales.
Permítanme, para ir concluyendo, dedicar unos instantes al esfuerzo que desde la Agencia Española de Protección de Datos estamos realizando para cumplir el mandato de aplicación del derecho comunitario. La Agencia, en su labor de
supervisión del cumplimiento de la legislación española en esta materia, siempre ha interpretado la normativa española de forma armonizada con la legislación comunitaria, y ha llevado a cabo acciones para poner en práctica las recomendaciones hechas
por la Comisión Europea en su primer informe sobre la aplicación de la directiva sobre protección de datos publicado el 15 de mayo de 2003. Entre las más importantes podemos destacar las iniciativas de la Agencia para incrementar la transparencia
de sus actuaciones. En este sentido, como antes comenté, cabe destacar la modificación que se ha producido en la Ley Orgánica de Protección de Datos, que habilita a ésta, a la Agencia de Protección de Datos, para la publicación de sus resoluciones.
Independientemente de esta iniciativa, y con carácter previo, la Agencia ya llevó a cabo, como también antes he apuntado, una importante remodelación de su página web en la que se ofrece una amplia información sobre los informes, recomendaciones y
autorizaciones emitidos por la Agencia. También se han incluido en la doctrina presente algunas resoluciones de especial significado, y en un futuro muy cercano, como he comentado, una vez que se hayan completado los trámites necesarios, se
publicará una instrucción del director de la Agencia sobre anonimización de resoluciones, que permitirá completar todos los pasos legales que permitan la publicación de las resoluciones dictadas por la Agencia Española de Protección de Datos.
También en aras de esta transparencia, y para contribuir a una mejor práctica en el campo de las medidas de seguridad, la Agencia va a hacer público en las próximas semanas un modelo de documento de seguridad que podrá ser utilizado a efectos de lo
previsto en el Reglamento de Medidas de Seguridad en el año 1999.
Antes hice referencia ya a la regulación del derecho de oposición y a que tal derecho no ha sido especificado en el reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Como antes apuntaba, la Agencia ha dictado diversas
resoluciones reconociendo tal derecho, interpretando además el derecho comunitario en esta materia. Muy importante, por otro lado, considero una reciente resolución de 8 de octubre de 2004, dictada en un procedimiento sancionador, y un informe
jurídico de 11 de noviembre de 2004, en el sentido de que el responsable de un tratamiento de datos personales está exento del deber de informar a los afectados, de acuerdo al artículo 5.5 de la Ley Orgánica 15/1999,
cuando no habiéndose recabado los datos del interesado se obtienen en virtud de una cesión expresamente establecida por una ley. Este criterio se basa directamente en la aplicación de las previsiones contenidas en el artículo 11.2 de la
directiva de protección de datos, conforme a las cuales deben interpretarse las dudas planteadas por el artículo 5.5 de la Ley Orgánica de Protección de Datos.
Por otro lado, y en relación con el carácter vinculante de las decisiones de adecuación de la Comisión Europea sobre terceros países, independientemente de que la Ley Orgánica de Protección de Datos no asigne expresamente este carácter a las
mismas cuando establece en su artículo 33.2 que se tendrán en cuenta los informes de la Comisión, la Agencia siempre les ha reconocido dicho carácter por aplicación del principio de primacía del derecho comunitario, y ha dejado de requerir la
autorización previa tras la entrada en vigor de todas ellas.
Asimismo debo señalar que en relación con las medidas de seguridad aplicables a los tratamientos no automatizados recientemente se han dictado diversas resoluciones, en las que se indica que los tratamientos no automatizados puestos en
marcha a partir de la entrada en vigor de la Ley Orgánica de Protección de Datos deben aplicar las medidas de seguridad previstas en el reglamento de 1999, acercándonos, de este modo también a lo previsto por el derecho comunitario.
Concluyo ya, señorías, tan solo señalando que es compromiso del director de la Agencia de Protección de Datos seguir potenciando la normalización de la cultura de la protección de datos personales, seguir desplegando una intensísima labor de
difusión de este derecho con el fin de concienciar a los ciudadanos y a los sectores públicos y privados de los derechos y deberes existentes en esta materia. La Agencia continuará y reforzará el camino iniciado a través de actividades de difusión,
mediante participación en actos, firma de protocolos de colaboración y potenciación de los códigos tipo. Por otra parte, una de las prioridades de la Agencia es también la de acometer de una vez por todas el desarrollo reglamentario de la Ley
Orgánica de la Protección de Datos.
Aunque todavía se encuentran vigentes los Reales Decretos 428/1993, 1332/1994 y 994/1999, en todo aquello que no se oponga a la Ley Orgánica de Protección de Datos resulta absolutamente necesario acometer el
desarrollo reglamentario, en el que ya se está trabajando, con el propósito de contar con un borrador con anterioridad a la finalización incluso del presente año y su posible aprobación durante el año 2005; reglamento que incluiría también un nuevo
estatuto de la Agencia, dadas las nuevas y muy importantes competencias que ha asumido la Agencia como consecuencia (ya lo he reiterado en más de una ocasión) de la Ley General de Telecomunicaciones y de la Ley de Servicios de la Sociedad de la
Información y del Correo Electrónico.
También querría apuntar a SS.SS. que en estos momentos se encuentran ya elaborados dos borradores de instrucción, uno, el relativo a la publicación de las resoluciones de la Agencia, que antes comentaba; y otro, el relativo a las medidas
de seguridad que habrán de ser adoptadas en relación con los ficheros no automatizados de datos de carácter personal. Sigue siendo prioritario para la Agencia incrementar sus medios personales y materiales al objeto de potenciar y garantizar el
derecho fundamental a la protección de datos personales; incrementar las inspecciones sectoriales como modo idóneo de facilitar el cumplimiento de la legislación sobre protección de datos; potenciar los códigos tipo y potenciar la cooperación
entre la Agencia Española de Protección de Datos y las Agencias autonómicas de protección de datos. En este sentido, quisiera destacar la importancia de la firma del convenio de colaboración al que antes me refería con las Agencias de Madrid,
Cataluña y País Vasco en materia de registro; y también creo oportuno intensificar la presencia internacional de la Agencia no sólo en el ámbito iberoamericano, sino también en el europeo, en las relaciones con Estados Unidos y también en las
relaciones con los países de la Europa central, sobre todo con los países que próximamente se incorporarán a la Unión Europea.
En conclusión, señorías, creo que la actividad que la Agencia Española de Protección de Datos ha desarrollado a lo largo de los años 2002 y 2003, y su prolongación y potenciación a lo largo del presente año, ponen de manifiesto el enorme
esfuerzo realizado por extender el conocimiento sobre el derecho fundamental a la protección de datos y velar por el estricto cumplimiento de la legislación aplicable en la materia, pero también los importantes logros obtenidos en este campo en
continuo crecimiento, campo que sin duda debe ser mejor conocido por los ciudadanos y por los responsables de los tratamientos, campo que merece una atención por parte de quienes deben aprobar el reglamento de desarrollo de la ley, al objeto de, en
definitiva, normalizar la cultura de la protección de datos personales y de este modo poder implantar plenamente el derecho fundamental a la protección de datos personales.
Si el presidente, señoras y señores, me lo permite, me referiría brevemente al tema relacionado con la transferencia internacional de Telefónica a Marruecos. En efecto, la Agencia Española de Protección de Datos ha autorizado en el
expediente número TI/24/2004 una transferencia internacional de Telefónica a Marruecos. Dicha transferencia internacional se ha autorizado cumpliendo rigurosamente lo establecido en los artículos 33 y 34 de la Ley Orgánica de Protección de Datos y
lo establecido asimismo en la directiva comunitaria sobre protección de datos y en las decisiones de la Comisión 2001/497 ó 2002/16 de las Comunidades Europeas, de 15 de junio de 2001 y 27 de diciembre de 2001 respectivamente. En el artículo 33 de
la Ley Orgánica de Protección de Datos se establece que para
realizar transferencias internacionales de datos a países con nivel de protección no adecuado (tal es el caso de Marruecos) será necesario solicitar una autorización para la transferencia que el director de la Agencia sólo podrá otorgar si
se obtienen las garantías adecuadas. En este caso el contrato es el medio que permite al responsable del fichero, es decir, Telefónica España, ofrecer garantías adecuadas al transmitir los datos al territorio de un Estado no miembro de la Unión
Europea respecto del que no se haya declarado la existencia de un nivel adecuado de protección o que no pertenezca al espacio económico europeo. El artículo 34 de la ley establece los supuestos que excepcionarían de la autorización de
transferencias internacionales. Si la transferencia no se fundamenta en alguno de los supuestos a los que se refiere dicho artículo 34, será necesario recabar la autorización del director de la Agencia, en cumplimiento de lo que establece el citado
artículo 33, y dicha autorización será otorgada en caso, como antes apuntaba, de que el responsable del fichero aporte un contrato, celebrado o a celebrar, entre el transmitente y el destinatario, en el que consten las garantías necesarias en los
términos previstos en las decisiones a las que antes me he referido. A su vez, el artículo 25 de la Directiva 95/46 establece un régimen que ha sido trasladado a nuestro ordenamiento por el artículo 33.1 de la Ley Orgánica de Protección de Datos,
que establece que no podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidas para someterlos a dicho tratamiento con destino a países que no proporcionen un
nivel de protección equiparable al que presta la presente ley salvo que además de haberse observado lo dispuesto en la ley se obtenga autorización previa del director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen
garantías adecuadas.
Dado que Marruecos no es un país con nivel adecuado de protección, se sometió al director de la Agencia de Protección de Datos la autorización para transferencias internacionales de Telefónica a Atento Teleservicios de España, sucursal en
Marruecos. Debo decir que todos y cada uno de los requisitos exigidos por la ley, por la directiva y por las decisiones a las que antes me refería han sido cumplidos en la autorización a la que estoy refiriéndome. En las cláusulas contractuales
que se recogen en la solicitud de autorización internacional se recogían todas las garantías que permitían considerar la autorización que se sometió a consideración de la Agencia Española de Protección de Datos; de modo que se puede concluir que
dicha autorización cumple con todas las previsiones del artículo 33 de la Ley Orgánica de la Protección de Datos, de la Directiva 95/46 y además es conforme con la Instrucción 1/2000, de 1 de diciembre, de la propia Agencia Española de Protección de
Datos relativa a las normas por las que se rigen los movimientos internacionales de datos, así como con la decisión 2002/16 que antes les comentaba. Las leyes que se aplican al encargado de tratamiento son las leyes españolas, de acuerdo con las
cláusulas estipuladas en la autorización de transferencia internacional. Tanto Telefónica España como Atento Teleservicios España S. A., sucursal en Marruecos, responderán frente a los interesados, a la Agencia Española de Protección de Datos y a
los órganos jurisdiccionales españoles por los eventuales incumplimientos del contrato en que pudieran incurrir los receptores cuando los mismos sean constitutivos de infracción de lo dispuesto en la Ley Orgánica 15/1999 o produzcan un perjuicio a
los afectados. Las cláusulas del contrato se rigen además por lo dispuesto en la legislación española. En particular, la cláusula 11 del citado contrato establece que las partes acuerdan que una vez finalizada la prestación de los servicios de
tratamiento de los datos personales Atento deberá, a discreción de Telefónica de España, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia a Telefónica de España.
En conclusión, señorías, considero que la autorización que ha concedido la Agencia Española de Protección de Datos en la transferencia internacional a que me estoy refiriendo garantiza el tratamiento realizado de los datos personales y
cumplía en consecuencia con las garantías suficientes para proceder a su autorización.
Por mi parte, nada más.
El señor PRESIDENTE: Muchas gracias por su informe sobre las memorias de la Agencia Española de Protección de Datos correspondientes a los años 2002 y 2003 y por la aclaración que hace en cuanto al tema que ha suscitado la comparecencia por
parte del Grupo Parlamentario Mixto.
Corresponde ahora la intervención de los grupos parlamentarios que así quieran hacerlo. Comenzaremos precisamente por el grupo que había solicitado la comparecencia para el asunto de la transferencia internacional a Marruecos. Así que por
parte del Grupo Parlamentario Mixto tiene la palabra la señora Fernández Dávila, del Bloque Nacionalista Galego.
La señora FERNÁNDEZ DÁVILA: En primer lugar, agradezco la comparecencia del señor director, señor Piñar, y sobre todo toda la información que nos acaba de ofrecer al respecto de toda la actividad de la Agencia, e incluso de todo el
funcionamiento interno de la propia organización. Hay datos a los que desde luego estuvimos muy atentos y nos parecen interesantes, sobre todo lo que usted decía de la necesidad de avanzar en la cultura de la protección de datos y concretamente
cuando después usted hacía referencia a algunos aspectos que normalmente suelen ser más vulnerables, como el tema de la salud, los temas de las entidades financieras y el tema de Telefónica. Usted daba algunos datos que a nosotros nos gustaría, si
fuera posible, que nos ampliara. Concretamente acerca de la
salud, si todas esas inspecciones que tienen hechas están relacionadas con denuncias directas de personas que consideran vulnerada su intimidad, o es simplemente porque la Agencia hace de oficio las inspecciones correspondientes para un
control de este tipo de instituciones, como en este caso sería lo de la salud.
En el tema de las entidades financieras exactamente igual. Sabemos que en muchos de los datos a veces no es posible que la Agencia pueda intervenir, dado que son cosas ilegales por parte de aquellas personas que los cometen y la Agencia
funciona una vez que se descubren los hechos; pero existe también desde la Agencia alguna actuación de oficio en este sentido, de tal manera que también en las entidades financieras se pueda controlar la posible utilización indebida de los datos
personales de aquellas personas que efectivamente constan en sus archivos. Digo esto porque efectivamente en muchas ocasiones conocemos a nivel personal y en otras a través de los medios de comunicación determinados episodios que nos preocupan a
todos, porque efectivamente parece que en estos momentos donde, dada la cultura de la información por la que tenemos los datos en distintas entidades e instituciones, la vulnerabilidad de los mismos nos parece preocupante. Por lo tanto, agradecemos
las informaciones que nos acaba de aportar. Cuando usted habla de las infracciones, incluso de aquellas que fueron corroboradas por los tribunales, o aquellas que no, nos gustaría saber si éstas fueron motivo de actuaciones por denuncias personales
o por las propias actuaciones de la Agencia, es un dato que nos gustaría conocer.
Centrándonos en la última parte de su exposición, y nos centramos ahí porque era la causa que provocaba nuestra petición de comparecencia, efectivamente usted nos explica todas las razones y toda la base jurídica en la que usted, como
director de la Agencia, se fundamentó para otorgar y autorizar este traslado de información, o cuando menos la contratación de Telefónica S. A., Telefónica España, con esta empresa de servicios Atento Teleservicios España S. A. para su instalación
en Marruecos. Usted nos hace referencia a una serie de puntos, de acuerdo a las leyes y normas actualmente en vigor. Nosotros no es que pongamos en duda todo lo que usted nos acaba de decir, ni mucho menos el rigor con el que usted acaba de
expresar que elaboró su informe y dictaminó su decisión, sino que tenemos algunos datos que nos preocupan, y en todo caso, si es posible, usted nos los aclara. Nosotros tenemos datos, con toda la posibilidad de estar equivocados, de que
efectivamente en primer lugar la propia empresa Atento Teleservicios España, que tiene la sucursal en Marruecos, no existe a nivel de información en lo que es el propio Estado, ya que en la página web de la propia empresa, o en la empresa Atento
España aparecen sucursales como Sevilla, A Coruña, Madrid, Barcelona, Cáceres, Bilbao, Valencia, pero no aparece absolutamente nada de Marruecos, cuestión que nos sorprende, porque no nos parece normal si efectivamente responde esa sucursal a lo que
es la empresa Atento España.
En segundo lugar, el contenido del fichero de datos personales (vuelvo a decir que con toda la posibilidad de estar nosotros equivocados en la información que tenemos) objeto de transferencia, es decir, la ficha del
cliente es más amplio que el registrado con ese nombre en la propia Agencia de Protección de Datos. Según consta en el fundamento de derecho segundo, párrafo quinto, de la autorización dictada por el director de esta Agencia, los datos personales
objeto de cesión son los siguientes: datos de carácter identificativo, datos de características personales, datos de circunstancias sociales, datos de detalles de empleo, datos de información comercial, datos económico-financieros y datos de
transacciones. La amplitud de los datos objeto de esa transferencia internacional infringe, entendemos nosotros, de forma flagrante, lo dispuesto en el artículo 4.1 de la Ley Orgánica de Protección de Datos, ya que los datos de carácter personal
solo (y esto es lo que dice el artículo que mencionamos), sólo podrán recoger para su tratamiento, así como someterlos a dicho tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas
explícitas y legítimas para las que se hayan obtenido. En la medida en que la amplitud y carácter íntimo de los datos objeto de cesión exceden desde nuestro punto de vista con mucho de lo adecuado y pertinente respecto del servicio para que se
ceden, la atención personalizada al cliente, en particular si de lo que se trata es de prestar el servicio de atención personal, o el servicio que se conoce por el servicio 1004 a los clientes de Telefónica, nos hacemos la pregunta de cómo se
justifica que también sean objeto de transferencia los datos de ya ex clientes, así como de clientes potenciales de dicha compañía.
En tercer lugar, por los datos que tenemos, consideramos que existe algún nivel de irregularidad, porque se trata de una transferencia internacional de datos que viola abiertamente (usted hizo referencia en su intervención a este tipo de
casuísticas) lo dispuesto en los artículos 33, artículo que usted mencionó como el que se utilizó para tomar la decisión, de la Ley Orgánica de la Protección de Datos, que regula este tipo de cesiones. La cuestión que nos suscita la duda y por la
que entendemos que pueda existir algún tipo de irregularidad es que Marruecos es un país no seguro, y es no seguro porque no ofrece un nivel de protección de los datos personales equiparable al establecido por la legislación española o por cualquier
legislación de la Unión Europea. De hecho no existe en el ordenamiento marroquí ninguna previsión normativa relativa a la protección de datos de carácter personal. Por lo tanto, la regla general establecida en el artículo 33 de la Ley Orgánica de
Protección de Datos es que con destino a estos países no seguros no podrán realizarse transferencias temporales o definitivas de datos de carácter personal.
El artículo 34 prevé una serie de excepciones a esta prohibición general, la establecida en el apartado de ejecución
de un contrato celebrado en interés de afectado por el titular de fichero y un tercero, condicionada siempre a que los afectados, es decir, las personas cuyos datos personales son objeto de cesión, presenten su consentimiento inequívoco a
dicha transferencia en los términos previstos en el artículo 6 de la referida ley, previa información expresa, precisa e inequívoca a todos los efectos por tal cesión, y como prevé el artículo 5 de la mencionada ley y recuerda la instrucción de la
Agencia de Protección de Datos 1/2000, de 1 de diciembre, relativa a las normas por las que se rigen los movimientos internacionales de datos («Boletín Oficial del Estado», número 62 del 12 de marzo de 2001). Pues bien, un poco aportando estos
datos, entendemos que no consta, y a tal extremo se refiere la autorización, que Telefónica de España S. A. haya recabado de sus abonados tal consentimiento ni que les haya informado previamente del alcance y efectos de la cesión. Esta falta de
consentimiento libre e inequívoco informando a los afectados no puede ampararse en que la empresa Atento S. A. sea propiedad de Telefónica, pues como acertadamente ha recordado la sentencia de 16 de octubre de 2000 del Tribunal Superior de Justicia
de Madrid si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede al mismo tiempo pretender justificar el conocimiento
por parte de la matriz de datos que le consten a la filial.
Tendríamos o tenemos otros datos que aportar, pero pensamos que los que acabamos de comentar pueden ser suficientes para que usted nos aclare algunos de los puntos que, cuando menos, nosotros tenemos oscuros. De alguna manera los planteamos
a través de preguntas, que no las voy a hacer aquí, porque están hechas por escrito y de las que esperamos la respuesta en su momento, pero deseamos cuando menos que en estos aspectos a los que hacemos referencia nos pueda usted aclarar nuestras
dudas, independientemente de la preocupación. Estamos hablando con el director de la Agencia de Protección de Datos, y lo que nos preocupa es todo aquello que se refiere a ese control y al respeto de los datos de las personas que puedan estar en
los ficheros de Telefónica y en este momento de Atento. No se trata de la cuestión laboral, que también nos preocupa, que puede suscitar inicialmente a lo mejor la preocupación de trabajadores de Telefónica. Tenemos el dato muy preocupante, aunque
esto no sea competencia de la Agencia, de que solamente en una ciudad como A Coruña se pueden perder 600 puestos de trabajo precisamente por esto que nosotros definimos como deslocalización de Telefónica, al desviar un servicio que podía ser
perfectamente dado desde territorio del Estado español y sin ser trasladado a otro Estado como Marruecos, no porque sea Marruecos, sino simplemente porque el servicio se podía dar desde nuestro Estado.
El señor PRESIDENTE: Como del grupo de Coalición Canaria no hay representante, ni de Izquierda Unida tampoco y del PNV tampoco, por Esquerra Republicana tiene la palabra el señor Tardá.
El señor TARDÁ I COMA: Agradecemos al director de la Agencia Española de Protección de Datos su comparecencia. Voy a plantearle unas cuestiones, y no le escondo que más allá de nuestro posicionamiento político también tengo el interés de
aprender de usted; vaya por delante lo que le digo.
Los registros autonómicos de protección de datos han significado una cuestión en algunas ocasiones de una cierta, si se me permite (entre comillas), vulneración de las competencias de la Agencia Catalana de Protección de Datos. De hecho, un
informe de la asesoría jurídica de la Agencia Española obligaba al registro en la española aun existiendo un registro autonómico, y se consideraba que la única inscripción válida era la del registro central. De esto usted ya es conocedor, y ha
perjudicado a la Agencia Catalana de Protección de Datos, especialmente durante este último año. De hecho, algunas administraciones catalanas, a pesar de existir una ley del Parlamento de Cataluña que les obligaba a registrarse en la Agencia
Catalana, lo han hecho en la española; de hecho, por ejemplo, la misma Diputación de Barcelona, pero también otros ayuntamientos se han visto obligados a ello. Al parecer, y digo al parecer, todo esto se ha reconducido mediante (y deseo saber si
es cierto lo que digo yo) la firma de un convenio para la integración de los registros autonómicos con el registro central de la Agencia Española de Protección de Datos.
Debo decirle, para ser franco y seguir con la marca de Esquerra Republicana de hablar claro, que hay ciertas quejas, porque se llamó a firmar a Madrid y este convenio no se conocía previamente. Debo decirlo porque así se nos llevó, y
compañeros de Esquerra Republicana, compañeros de la Administración catalana, estaban quejosos, porque se les presentó a la firma en una reunión en Madrid en la que previamente no se había conocido no la filosofía del convenio (no digo esto) sino su
contenido de manera clara. Eso me permitiría preguntarle por el alcance de este convenio y si realmente este convenio significa un punto cero, es decir, otras formas de trabajar más coordinadas por parte de las administraciones, que es a lo que
debemos aspirar en una Administración moderna. Digo esto porque usted mismo ha hecho referencia antes a las relaciones internacionales con Iberoamérica, también a nivel europeo, pero por ejemplo no nos consta que previamente hubiera habido interés
(quizás recíproco) de coordinación entre la Agencia española y la catalana, e ignoro si lo mismo ocurre u ocurrió con otras Agencias de carácter autonómico. Digo esto, por ejemplo, porque en la Comisión libertades informáticas, que como se sabe es
una organización sin ánimo de lucro en la que participan sindicatos (Comisiones Obreras y UGT), a la Agencia Catalana de Protección de Datos se la ha excluido; y si no es cierto me gustaría saberlo, porque podría ser que no fuera así. Me gustaría
que nos contestara
a qué obedece lo que le planteo, es decir, si tiene previsto impulsar convenios profundos con las Agencias autonómicas, para que realmente pudiéramos hablar de un antes y un después, si es que dialécticamente podemos hablar en estos
términos; es decir, si se reconoce que al fin y al cabo estamos hablando de mecanismos e instituciones realmente muy, muy, muy contemporáneos, es decir que las disfunciones se entienden, máxime en nuestro Estado, pero también por su misma
especificidad. Deseo que quede claro que mi interés no es recriminarle por nada, sino que tengo un espíritu absolutamente constructivo aunque parezca que no es así.
Este año ustedes han centrado las inspecciones en centros educativos.
Nosotros tenemos noticia de que en Cataluña se han limitado a un solo centro educativo privado. No entendemos cómo se pueden sacar conclusiones a partir de una sola
inspección en un centro educativo, además privado.
No entendemos esta metodología. Que no la entendamos no significa que no sea correcta, pero nos ha sorprendido que en toda Cataluña se haga una inspección en un solo centro de enseñanza, no
solamente por la singularidad sino además por su carácter privado, lo cual como patrón metodológico nos parece que no tiene demasiado sentido si no se completa con una muestra más generalizada.
Otra cosa más, aunque no es nuestra voluntad atosigarle. Debo confesarle que nosotros entendemos que su cargo no tendría que ser nombrado por el Gobierno, y esto responde a una recomendación europea. Puede parecer retórico pero mi
obligación es preguntarle. ¿No cree que una institución como la Agencia Española de Protección de Datos debería estar presidida por una persona nombrada no por el Gobierno sino por el Parlamento? Máxime teniendo en cuenta que estamos hablando de
una institución que hoy día tiene casi la categoría que el Sindic de Greuges en Cataluña, el Defensor del Pueblo en España, pero que atañe a derechos tan fundamentales como los que tiene por objetivo su institución. En definitiva, ¿cómo cree usted
que deben superarse todos los déficit de relación entre la Agencia Española de Protección de Datos y la Agencia Catalana de Protección de Datos? ¿Cuáles son los mecanismos, cuáles deben ser las voluntades, los caminos que llevarían a actuar de una
manera absolutamente funcional? Premisa sine qua non es trabajar con sinergias y a partir de múltiples complicidades.
Respecto a la tutela de los derechos de los ciudadanos, nosotros entendemos que no debería darse la imagen (no sé si realmente se da pero, para no engañarnos, a veces en la prensa o en algunos medios se ha hablado de esto) de que la Agencia
está más preocupada por la burocracia y los procedimientos sancionadores que por la tutela de los derechos de los ciudadanos. En ese sentido, ¿qué planteamientos hay respecto a los datos personales en el desarrollo de la Administración electrónica?
Por ejemplo, desconocemos qué posición mantiene respecto al documento nacional digital, qué posición mantiene respecto al banco de datos genéticos y biométricos, es decir, todo aquello que forma parte del gran debate en estos momentos, porque no
olvidemos que a pesar de la función primera que usted ha manifestado, la protección de los datos y el derecho fundamental de la ciudadanía a no verse violentada en algo tan fundamental como es la privacidad, sí que es cierto que esto forma parte del
gran debate de la adecuación de las nuevas sociedades a las nuevas tecnologías, etcétera.
Ya ve que nuestras preguntas forman parte de nuestras ignorancias y tienen la voluntad de reconocer las disfunciones y de qué manera un trabajo conjunto de todas las administraciones puede llevar no solamente a ser más eficaces, sino a que
los ciudadanos tengan la percepción de que están protegidos por la Administración y que éstas no compiten entre sí en detrimento de ellos mismos. Yo creo que usted ya habrá entendido que nuestra voluntad era absolutamente constructiva. Espero, si
no en esta ocasión en el momento que usted crea oportuno, que pueda aclararnos todo lo que le planteamos y que invita a una reflexión de carácter político ya sé que no es el momento de hacerla que responde a otras iniciativas de los grupos
parlamentarios, y en concreto del nuestro.
El señor PRESIDENTE: En nombre del Grupo Parlamentario Catalán (Convergència i Unió) tiene la palabra don José María Guinart Solá.
El señor GUINART SOLÁ: En nombre del Grupo Parlamentario Catalán (Convergència i Unió), quiero agradecer al señor Piñar su comparecencia ante esta Comisión y felicitarle por la aportación de información y la marabunta de datos que en
cascada, en avalancha, nos ha ido facilitando y que lógicamente no es fácil de digerir, de asimilar, en tan corto periodo de tiempo. También están las memorias que nos permitirán conocer mejor la evolución, los objetivos, las realidades y las
actuaciones de la Agencia.
Quiero felicitarle también por cómo dirigie la misma y la evolución que la Agencia ha sufrido, o ha gozado, desde que usted ha asumido la dirección, además de una forma trascendente en tanto en cuanto ha trascendido los
cambios políticos que recientemente hemos experimentado.
Entendemos que el derecho individual a los datos, a la información y a la intimidad en algunos casos es necesario que sean respetados, de forma que no estén sujetos al vaivén político que
puede darse en cada momento y que, como decía, trascienda la dirección de la Agencia, en este caso de los objetivos que se pretenden, a los cambios políticos, lo cual es sin duda positivo y dice mucho también a favor de las personas que le han
mantenido en este cargo por su calidad técnica como responsable, como directivo, y no usar la Agencia y los datos tan sensibles con una imtencionalidad política. En nuestro grupo estamos convencidos de que la protección de los datos individuales y
colectivos, en algunos casos, de entidades son un indicador, un baremo,
un termómetro de la calidad democrática de una sociedad, de su grado de respeto a los derechos individuales, y estamos orgullosos de que de un tiempo a esta parte también nuestro Estado y nuestras autonomías se hayan esforzado no sólo en
disponer de una legislación, de una normativa al respecto, sino de que la hayan desarrollado a través de una Agencia como modelo de gestión, como instrumento para perseguir los objetivos que la normativa, en este caso esta ley orgánica, pretende.
Sería deseable usted lo comentaba al final de su intervención culminar el desarrollo legislativo con los aspectos reglamentarios porque sin duda facilitaría y daría seguridad jurídica a su implementación.
Destacamos de su intervención la impronta que usted le ha dado en esa voluntad de seguir creciendo y mejorando los servicios, en esta demanda permanente de mayores medios materiales y personales que en parte se han conseguido. Usted
comentaba que en 2002 y 2003 ha aumentado la plantilla en un 30 por ciento y también el presupuesto, y vemos que se ha producido un salto cualitativo en el presupuesto de 2005 pero que usted todavía valora como insuficiente de cara al futuro en
cuanto a medios para poder ejercer con eficacia y eficiencia su cometido. Valoramos su actitud de no conformismo ante lo que tiene y que intente seguir creciendo. Éste es un organismo joven todavía, que se ha desarrollado en progresión geométrica
y que tiene un reto de futuro muy ambicioso, más cuando los datos están muy en relación con las nuevas tecnologías, éstas avanzan a un ritmo vertiginoso y las bases de datos tienen cada vez nuevos resortes, nuevos mecanismos para ser difundidas o
manipuladas, en el buen sentido de la palabra, con lo cual el reto de su Agencia es cada vez mayor y lógicamente requiere una mayor o dotación de medios materiales y personales.
Quiero destacar también la existencia de la Agencia Catalana de Protección de Datos, que si no tengo mal entendido dirige el señor Xavier Hernández, ex consejero de la Generalitat, y que también en este caso se da una circunstancia parecida
a la del Gobierno central en el sentido de que el cambio político no ha significado el cambio del responsable de la Agencia, lo cual entiendo que es un signo también de madurez democrática de una sociedad que en según qué temas trascienden, como
decía, los cambios políticos y las confianzas personales se mantienen.
Permítame que respecto a la actuación que usted denomina de inspección preventiva o sectorial le pregunte cuáles son los objetivos, las actividades previstas en relación con un sector determinado que usted en parte ha comentado y que es el
de la Administración pública local, los ayuntamientos, por deformación personal y por la constancia que yo mismo tengo de la cantidad de datos que se manejan desde los ayuntamientos o las administraciones locales, y también por una percepción
personal de inseguridad de los ediles, de los alcaldes, que no llegamos a conocer en profundidad cuáles son nuestras obligaciones en este aspecto y que al mismo tiempo somos responsables de unos datos que si no hay un preciso control pueden no
usarse correctamente, por lo que como personas públicas podemos incurrir en responsabilidades legales y también, por descontado, políticas en muchas ocasiones. Me gustaría conocer usted lo ha dicho en parte si tienen alguna previsión a corto o
medio plazo de hacer esas inspecciones preventivas en el sector de la Administración pública local y luego, lógicamente, hacer tareas de difusión y sobre todo de recomendación una vez detectado el diagnóstico de la problemática en este ámbito.
Me gustaría que hiciera algún comentario adicional sobre la externalización del uso de los datos, porque tengo la intuición de que puede traspasarse información en sucesivas externalizaciones del sector público al privado y del privado a
diferentes empresas. Seguir el hilo de por dónde pasan los datos no deja de ser complicado, y seguramente habría que hilar fino para evitar que haya escapes de información ilegal, por decirlo así, y controlar esta sucesiva cadena de
externalizaciones o de paso de empresa a empresa o de Administración a empresa.
Me llama la atención la financiación de la Agencia y compruebo que en el año 2003 desconozco los datos de 2004 porque no están en la memoria o no la tenemos el capítulo de sanciones y multas ha ido creciendo de forma ostensible en los
últimos años, lo cual entiendo que no deja de ser un sistema perverso para la Agencia en cuanto a su financiación, ya que de cara a la subsistencia de los servicios de la Agencia con más medios personales y humanos debería aplicar cuantas más
sanciones posibles, lo cual no deja de ser contradictorio con la pedagogía que debería ejercer la Agencia de cara a las instituciones que deberían aplicarla. Es decir, la Agencia debería explicar poco, hacer pocas prevenciones de las
administraciones o instituciones, porque de esta forma recaudaría más, y ahí hay un sistema perverso de financiación. Me gustaría saber cuál es su percepción de cara al futuro para que esto no recaiga de forma tan identificada en las sanciones y
multas, sino que la Agencia tienda a finanarciarse a través de otros mecanismos, probablemente de los Presupuestos Generales del Estado.
Me uno a la reflexión del señor Tardá en cuanto a que el nombramiento o la asignación de responsabilidad de la Agencia no dependa exclusivamente del Gobierno, sino que hubiera algún mecanismo mixto con el que se pudiera garantizar esa cierta
independencia de la persona o de las personas que la dirijan.
Termino mi intervención que entiendo que juntamente con las de mis compañeros acabará de completar una información que hasta ahora francamente no teníamos de la Agencia y que sin duda es interesante, y nos ofrecemos como grupo a seguir
colaborando como hasta ahora hemos hecho.
El señor PRESIDENTE: Tiene la palabra, en nombre del Grupo Parlamentario Popular, doña Carmen Matador de Matos.
La señora MATADOR DE MATOS: Voy a ser breve. En primer lugar, quiero dar la bienvenida a don José Luis Piñar a esta Comisión, agradecerle la capacidad de síntesis al explicarnos las memorias de los años 2002 y 2003 y, como bien ha dicho el
presidente, no imputables ni a su persona ni tampoco a esta Comisión. Quiero agradecerle también la información que se nos ha dado aquí de primera mano acerca de esa labor tan seria y tan rigurosa que siempre venimos insistiendo y que nos consta
que por parte de la Agencia se está haciendo. Lo vimos en la exposición de la memoria en el año 2001, pero es que además me consta porque hasta hace bien poco como vocal formaba parte del consejo consultivo de la Agencia, del que ahora forma parte
la representante del Grupo Socialista, la señora Malaret, a la que deseo que su labor sea fructífera.
En relación con la memoria del 2002 se han puesto de manifiesto toda una serie de actuaciones que han ido en aumento año tras año, y sobre todo a raíz de la Ley de 1999 y de la famosa Sentencia 292/2000, en la que se consagra la protección
de datos como derecho fundamental e independiente.
Hemos podido ver que estas actuaciones se han ido mejorando y fiel reflejo de ello es la memoria del año 2003. También ha sido muy bueno para la identificación de la Agencia y como elemento
modernizador de la misma la nueva imagen con los colores institucionales y el logotipo, por lo que ya le felicitamos en su momento.
Los datos que aparecen recogidos en ambas memorias son bastante significativos. El incremento de la actividad del registro, las solicitudes y las consultas de los ciudadanos son un fiel reflejo de esa cultura, que poco a poco va calando en
la ciudadanía, de la protección de sus datos personales, íntimos o no. Hay que felicitar a la Agencia porque ha sido una de sus priorides difundir y normalizar esa cultura de la protección de datos, que si bien cada día es mayor, también nos queda
mucho por recorrer todavía en una sociedad moderna y avanzada como la nuestra. Hay que seguir reforzando esos servicios de atención al ciudadano y a las empresas, y así lo entiende este grupo parlamentario.
Quiero también resaltar la eficacia de
la página web, así como de los cursos impartidos por la Agencia, este verano, de los que puedo dar fe, porque en la Universidad de El Escorial me quedé asombrada tanto por el contenido que se vertió sobre este tema tan desconocido para la ciudadanía
como por la asistencia de público interesado en este derecho fundamental a la protección de datos. Ha dicho el señor director que es un derecho que aparece recogido como pieza clave del derecho comunitario en ese proyecto de futura Constitución
europea. En la nueva Constitución europea se abunda en ese reconocimiento como derecho fundamental, coincidiendo con la Sentencia 292/2000, aunque sometido al límite que debe ceder en algunas ocasiones frente a otros derechos. El Grupo
Parlamentario Popular quiere incidir en que por ahí debe de ir encaminada la elaboración del reglamento que quedó pendiente en la pasada legislatura, pero en la que en cierta medida nos pusimos de acuerdo prácticamente la totalidad de los grupos
parlamentarios a través de iniciativas presentadas tanto en el Pleno como en la Comisión. Nos consta que la Agencia comienza a trabajar en el año 2003 sobre esta cuestión. El Grupo Parlamentario Popular considera que la ley actual, en su artículo
6, consagra el principio de la necesidad de contar con el consentimiento del afectado para el tratamiento de sus datos personales, pudiendo en cualquier momento revocarlo. Dentro de la Unión Europea la ley española es una de las más garantistas y
traspuesto la Directiva 95/46 de forma restrictiva. Como dije en su momento en nombre del Grupo Parlamentario Popular, teniendo siempre en cuenta la jurisprudencia del Tribunal Constitucional, debemos ser muy prudentes a la hora de cumplir con el
régimen de armonización establecido por la Unión Europea y la normativa vigente estatal. Hay que aplicar la ley, hay que elaborar ese reglamento cuanto antes y acabar con esas prácticas abusivas que por parte de algunos sectores sociales se están
llevando a cabo, como es solicitar el consentimiento del interesado de forma negativa dando valor positivo al silencio.
En otro orden de cosas, ya se ha hablado aquí de la financiación de la Agencia. Creo que en ello todos los grupos parlamentarios estamos de acuerdo y no vamos a ponernos a disentir aquí si con el Gobierno del Partido Popular o con el
Gobierno del Partido Socialista se da más o menos dinero en los presupuestos a la Agencia de Protección de Datos.
Todos los años se ha aumentado algo, pero ese presupuesto que ha ido en aumento es mínimo, como ha quedado aquí expuesto por parte del
director de la Agencia de Protección de Datos. Nos congratula saber que se crearán esas 24 plazas a que antes se ha referido usted aquí porque creemos, y así quedó también patente por parte de los grupos que son necesarias para llevar adelante y
desempeñar esa ingente labor cada vez mayor con la aprobación y aplicación de nuevas normas. Por todo ello creo que deberíamos ponernos todos de acuerdo y exigir a los gobiernos de cada momento yo siempre lo hice estando el Gobierno del Partido
Popular en distintas comparecencias, al igual que los portavoces del Grupo Socialista dar un presupuesto homologado al resto de las Agencias en los distintos países de la Unión Europea.
Estamos de acuerdo con lo que se ha dicho aquí sobre los códigos tipo y que se aliente su elaboración por los distintos sectores lo valoramos muy positivamente desde el grupo parlamentario, lo cual otra vez es muestra de ese reconocimiento
del papel que por parte de la Agencia se está haciendo tanto hacia los ciudadanos como a las distintas organizaciones privadas existentes. Igualmente valoramos de forma altamente positiva los planes sectoriales de inspección que año tras año van
dando su fruto en esa participación activa de la Agencia de Protección de Datos, intensificando la labor pedagógica preventiva de dar a conocer la normativa
vigente en relación con ese derecho fundamental que es la protección de datos. Es una prueba más de lo que se dice, y no es real, de que la Agencia se financia con sus propias sanciones, y eso es lo que estamos oyendo en la calle por el
desconocimiento que hay. Algunos colectivos dicen que la Agencia se tiene que financiar con el presupuesto que tiene y con sus propias sanciones. Ha quedado claro aquí cuál es la financiación de la Agencia, y también esa creencia errónea que hay
en la sociedad y con la que tenemos que acabar, porque yo creo que la Agencia de Protección de Datos, en estos años por lo menos y espero que en los sucesivos, ha cumplido más una función preventiva y de información que sancionadora.
Como ha quedado todo muy bien explicado por parte del director de la Agencia, en una exposición larga, completa y rigurosa en todos los aspectos, yo no tengo nada más que decir. Solamente añadir en relación con lo que se ha dicho aquí por
parte de otros grupos parlamentarios, independientemente de dónde provenga su nombramiento, si del Gobierno o del Parlamento, cuando usted compareció por primera vez el 15 de febrero del año 2002 para la presentación de la memoria del año 2001, como
he dicho en mi primera intervención, prácticamente, todos los portavoces de los grupos parlamentarios coincidieron en lo acertado de su nombramiento tanto por su formación académica como por su trayectoria profesional, lo cual ha quedado demostrado.
a lo largo de estos años.
El señor PRESIDENTE: En nombre del Grupo Parlamentario Socialista tiene la palabra doña Elisenda Malaret.
La señora MALARET GARCÍA: En nombre del Grupo Parlamentario Socialista quiero, dar la bienvenida al director de la Agencia Española de Protección de Datos, una bienvenida calurosa, especialmente porque ésta es la primera sesión de trabajo
en la nueva legislatura. Compartimos con el director de la Agencia la significación que tiene para su tarea, para su trabajo, para la función institucional de la Agencia, la sustantividad del derecho a la protección de datos. Ya en su primera
intervención en la anterior legislatura, y hoy ha vuelto a retomarlo, enfatizó esta idea central, esta idea como guía del trabajo de la Agencia, y es precisamente en torno a algunas cuestiones que se plantean sobre las tareas que desarrolla la
Agencia en las que quería ahora entrar.
Me gustaría suscitar algunas cuestiones sobre las que quizá no he visto suficientemente reflejada la posición de la Agencia en la memoria. Son cuestiones que, en cambio, él conoce bien porque están tanto en la agenda de trabajo del grupo
creado a partir del artículo 29 como en la agenda de trabajo que trasluce con el informe de la Comisión Europea sobre la aplicación de la directiva. Son cuestiones que se suscitan y en relación a las cuales me gustaría conocer la posición de la
Agencia. Quisiera ya avanzar que la lectura de la memoria muchas veces no nos permite conocer la posición de la Agencia en torno a cuestiones fundamentales, en torno a conflictos relevantes para la sociedad. Yo quisiera incluso saber cuáles son
los nuevos criterios que dice han conducido a realizar la memoria. Se nos dice que hay nuevos criterios pero no se explicitan, y confieso que no los he podido inducir de la lectura de la misma. Paso a señalar las cuestiones en relación con las
cuales me gustaría conocer la posición de la Agencia y que creo que deben señalar también el trabajo a seguir en el próximo año. En primer lugar, la inscripción de ficheros. Es bien conocido que se ha producido un aumento significativo y
relevante, un aumento creciente en estos últimos años de la inscripción de ficheros. Yo creo que todos nos debemos felicitar por esta situación, que es muy positiva, es muy saludable y muestra muy bien la vitalidad de la sociedad española y el
valor que se otorga por parte de los agentes sociales a la protección de datos. Vemos que efectivamente ésta es una cuestión crucial, y lo es en la sociedad del conocimiento que todos queremos contribuir a alumbrar. Creo que la cuestión de la
inscripción de ficheros debe ser objeto de reflexión en la línea que se apunta precisamente en el informe de la Comisión, y es en relación con la actuación de manera selectiva. La directiva contempla la posibilidad de que existan excepciones a la
obligación de inscribir, de notificar, en los casos en que el riesgo sea reducido, simplificando, o cuando el responsable designe un encargado de la protección de datos. Ésta es una cuestión que, es verdad que no está tratada en la legislación
española, pero como ha señalado el director de la Agencia, y me parece uno de los grandes activos de su tarea, la interpretación que se ha hecho del derecho español ha sido siempre de acuerdo con el derecho comunitario, lo cual nos permite
generalmente evitar luego conflictos en el Tribunal de Justicia de las Comunidades Europeas. Me gustaría conocer la posición de la Agencia sobre esta cuestión y si cree que es suficiente un cambio en la política de la Agencia, en las instrucciones
de la Agencia, o es necesario un cambio en la política legislativa.
En segundo lugar, en la memoria se nos señala que es uno de los objetivos de la Agencia y uno de los objetivos de las autoridades europeas incentivar, potenciar la autorregulación. Leyendo la memoria tengo la impresión de que los resultados
han sido muy escasos, muy parcos, e incluso no he logrado ver que haya efectivamente un nuevo código tipo en el 2003. Por ejemplo, tengo la impresión de que ha habido modificaciones en el código tipo de Telefónica, que es lo más relevante, lo más
significativo. Es verdad que es un operador clave para la protección de datos en un entorno de uso creciente de los nuevos sistemas de comunicación, pero aparte de este cambio sustancial en relación con el código tipo de Telefónica me parece que no
hay más, por la que quisiera conocer cuál es la política o qué cambios va a haber en la política de la Agencia
para apostar decididamente por los códigos tipo que refuerzan las garantías de los ciudadanos.
La tercera cuestión que ya ha sido suscitada por algunos portavoces se refiere a las relaciones con las Agencias autonómicas. Es verdad que son recientes (yo no sé si ha entrado a funcionar realmente la vasca y la catalana lleva poco
tiempo), pero la impresión que existe es que el comportamiento de la Agencia estatal no ha sido del todo coherente con el mandato del artículo 41, si no me falla la memoria, de la Ley Orgánica de Protección de Datos, que señala claramente la
competencia de las Agencias autonómicas en relación con los ficheros de las corporaciones locales.
Parece que se ha jugado un poco con ello por lo menos en los momentos iniciales, pero esperemos que cuando todas funcionen no haya, como se ha
señalado, competencia entre ellas. No soy de las adeptas a la competencia entre instituciones sino a la cooperación institucional, y por lo tanto es una cuestión que me suscita y creo que debe suscitar algún comentario.
Creo que debemos apostar y
es una reflexión de futuro, por una interpretación y una concepción de la noción de ficheros de titularidad pública que no sea propietarista, por decirlo de alguna manera, sino coherente con la interpretación funcional y objetiva que se da a estos
conceptos, cuando además son fundamentales para la interpretación del alcance del derecho comunitario.
La cuarta cuestión que creo que requiere alguna reflexión mayor de la que encontramos en la memoria es la Administración electrónica. Sabemos bien y lo conoce el director de la Agencia porque algo aparece en relación con la presentación de
los trabajos del grupo del artículo 29 que el tema crucial, el tema central en la Administración electrónica es precisamente la interconexión de las bases de datos. Pues bien, me gustaría saber cuál es el posicionamiento de la Agencia, cómo está
trabajando apoyando a las administraciones, estableciendo los límites y las garantías que permitan tutelar el derecho, pero incentivando la Administración electrónica.
La quinta cuestión se refiere a los planes sectoriales de inspección.
Seguramente hay una cierta confusión en torno a su función y cometidos.
Creo que sería bueno cambiarles el nombre y apostar por la misma denominación que ha utilizado el
director de la Agencia para evitar estas confusiones a las que sea alude incluso en el texto de la memoria. Se ha hablado de auditorías preventivas. Yo creo que esto sería bueno para incentivar esta cultura de la protección de datos, esta
autorregulación.
La noción de inspección en nuestra tradición institucional va ligada a una actividad coercitiva posterior y generalmente es ahí donde se han suscitado algunos de los problemas .
Me gustaría conocer, porque sólo aparece la posición del grupo de trabajo del artículo 29, la posición del director de la Agencia en relación con un tema que además está ahora en el Tribunal de Justicia de las Comunidades Europeas, y es el
acuerdo entre la Comisión y el Consejo y las autoridades americanas autorizando la transferencia de datos de las compañías aéreas. Me gustaría conocer la posición española en relación con este conflicto.
He encontrado a faltar la posición de la Agencia en torno a una cuestión que este último año ha generado una gran controversia social, una gran alarma social, como es la posibilidad contemplada sin cautelas y sin límites en la ley relativa a
los derechos de los inmigrantes de la cesión de datos del padrón municipal a los Cuerpos y Fuerzas de Seguridad. Es una cuestión que no aparece en la memoria y que ha generado bastante controversia.
Quiero señalar que me ha causado un poco de sorpresa algunos tonos y formas que he encontrado en la memoria. Leo tres frases para que se entienda claramente. Me sorprende que se pueda señalar en la memoria de un organismo institucional, en
la memoria de una institución pública, que la Agencia ha desarrollado en los últimos años una ejemplar labor no siempre justamente valorada y suficientemente conocida; también que se nos diga que hay que llamar la atención acerca de la naturaleza
de las inspecciones al objeto de aclarar posibles malentendidos y salir al paso de ciertas interpretaciones no siempre certeras y no siempre leales. Hay un tono, yo diría militante, que es adecua poco a lo que tiene que ser el tono de una memoria
institucional. Lo mismo ocurre en la página 20 que dice: desde determinados ámbitos se han lanzado mensajes con contenido gravemente equivocado y/o desconcertado para los destinatarios. Se habla de caldo de cultivo inmejorable para quienes
pretenden sacar provecho de... Me parece que hay que corregir la pluma un poco en estas frases, porque si queremos hacer pedagogía y la memoria lo es por eso pido que consten mucho más las posiciones de la Agencia que no se remita a las
instrucciones concretas de la página web, sino tiene que estar en la memoria. Pues bien, creo que hay que corregir un poco la pluma porque se ha ido un poco aquí con este tono militante que no es propio, ya digo, de una institución pública.
Finalmente, me gustaría conocer algunas líneas de trabajo futuras. Hemos hablado de que los recursos de la Agencia son escasos, que hay que aumentarlos, pero siempre serán escasos para una tarea fundamental como es el derecho a la
protección de datos personales. Por ello, como los recursos son escasos, quería saber cuáles son las prioridades.
El señor PRESIDENTE: El señor director, don José Luis Piñar, tiene la palabra para contestar a las intervenciones de los grupos parlamentarios.
El señor DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS (Piñar Mañas): Ante todo, quiero agradecer muy de veras las intervenciones de todos los representantes de los grupos parlamentarios que demuestran el interés y la sensibilización hacia
la protección de datos personales y hacia la labor de la
Agencia. Quiero en particular agradecer las referencias generosas que se han hecho hacia la gestión que estoy llevando a cabo en la Agencia desde que asumí la dirección de la misma en noviembre del año 2002. Creo que con tales
intervenciones se demuestra la sensibilización de la Cámara hacia la necesidad de normalizar la cultura de la protección de datos personales.
Se han planteado distintas consideraciones y algunas coinciden en su contenido. Voy a intentar dar respuesta a las preguntas a las consideraciones y las observaciones que se me han formulado. Si me permiten SS.SS., dado que es un tema
homogéneo único el de la transferencia internacional a Telefónica y lo ha planteado en primer lugar la representante del Grupo Mixto, la señora Fernández, contestaré a las preocupaciones que se han planteado en torno a esa transferencia
internacional. Son varias las cuestiones que S.S. ha planteado e intentaré dar cabal respuesta a todas ellas. Debo ante todo, muy sinceramente, mostrar mi agradecimiento por la preocupación de S.S.
acerca de la protección de datos y del grupo
que represento. Las cuestiones que ha planteado en su pregunta escrita y ahora en esta comparecencia demuestran la sensibilidad en materia de protección de datos, que es algo que como director de la Agencia debo valorar. No obstante, debo insistir
en que la transferencia autorizada ha cumplido con todas las previsiones de la Ley Orgánica de Protección de Datos, de la Directiva y de la Decisión 2002/16 de la Comisión de las Comunidades Europeas.
Un punto concreto que señalaba se refería a la existencia misma de «Atento Teleservicios España, sucursal en Marruecos», a la que no se hace referencia en la página web. Desde la Agencia hemos podido constatar la existencia real, efectiva,
de la sucursal Marruecos, pese a que no se haga referencia en la página. No obstante, incluso hemos hecho una consulta recientemente en la página web y sí que hemos apreciado que se hacía referencia a esta sucursal. En cuanto al fichero «Ficha de
Clientes» figura inscrito en el Registro General de Protección de Datos con una estructura de datos que es la misma que se cita en el fundamento de derecho punto 2 de la Resolución de autorización de transferencia internacional a la que S.S. hacía
referencia con anterioridad. En consecuencia, entendemos que no se estaría violando el principio de calidad de los datos regulado en el artículo 4.1 de la Ley Orgánica de Protección de Datos, que es sin duda uno de los principios esenciales del
derecho fundamental a la protección de datos y que forma parte de su contenido esencial. La atención personalizada a la que se refiere y el contenido del fichero «Ficha de Clientes» tiene una estructura, reitero, que es la misma que se cita en la
resolución a la que S.S. se ha referido. En efecto, no hay supuesto de consentimiento y es por eso mismo por lo que nos encontramos ante la necesidad de contar con una autorización del director de la Agencia Española de Protección de Datos, y es
por eso por lo que desde la Agencia hemos exigido que se nos garanticen en todo caso las suficientes cautelas en materia de protección de datos. La ley aplicable es la española, la Ley Orgánica de Protección de Datos, no la ley de Marruecos, la
como usted bien dice inexistente ley de Marruecos. En la cláusula 11 del contrato se dice expresamente que se aplicará la ley de España, la Ley Orgánica de Protección de Datos. En ningún momento del contrato que se ha presentado a la Agencia
Española de Protección de Datos se hace referencia alguna a la aplicación de la ley de Marruecos porque, como antes señalaba y usted muy bien apuntaba, no existe. En consecuencia, entendíamos desde la Agencia y yo personalmente pues en definitiva
como director he sido quien ha firmado esa autorización que se cumplían todos y cada uno de los requisitos que exigía y exige la Ley Orgánica de Protección de Datos, la directiva y la decisión a las que antes me refería. Comprenderá S.S. que en
la deslocalización y los problemas que puedan plantearse en relación con los trabajadores no puedo ni debo entrar porque no son competencia de la Agencia, pero sí quería reiterar que en mi opinión y en opinión de la Agencia la transferencia de
Telefónica a «Atento Teleservicios España, sucursal en Marruecos» cumple con las exigencias de la ley española y de la normativa comunitaria.
Dicho esto, entraré en las cuestiones que se han suscitado en relación con mi comparecencia y la presentación de las memorias 2002 y 2003, sin perjuicio de que también se han hecho algunas consideraciones (no me refiero ya a las aportaciones
de SS.SS. sino con carácter general), que desborden el ámbito de la memoria que he tenido el honor de presentar antes SS.SS. Continuando con las consideraciones que ha planteado la diputada señora Fernández debo indicar que, en lo que se refiere a
acciones de inspección y procedimientos de infracción, la Agencia siempre actúa de oficio, como en cualquier procedimiento sancionador, si bien en relación con el dato que usted solicitaba, más del 90 por ciento de los expedientes y de los
procedimientos de infracción que se inician son consecuencia de denuncias presentadas por los ciudadanos. Bien es verdad que también iniciamos expedientes por conocimiento directo de posibles conductas irregulares, contrarias en principio a la
legislación de protección de datos, que en no pocas ocasiones derivan de informaciones de las que tenemos conocimiento a través de los medios de comunicación.
Es política de la Agencia, y además así deriva de la propia ley, que en el momento en que
tenemos conocimiento por denuncia o por cualquier otra vía de alguna irregularidad o posible irregularidad en el ámbito de aplicación de la Ley Orgánica de Protección de Datos la Agencia actúa, inicia inspecciones, unas diligencias preliminares que
tienen como objetivo constatar si realmente los hechos de los que hemos tenido conocimiento son o no constitutivos o posiblemente constitutivos de infracción, y cuando constatamos que así es se inicia un procedimiento sancionador. Debo decir
también que en no pocas ocasiones de las denuncias o del conocimiento de los hechos se deriva una resolución de archivo, por cuanto no se ha producido o
entendemos que no hay constancia de que se haya producido tal infracción.
Desde la Agencia somos conscientes de la importancia que tiene el tratamiento de los datos por parte de entidades financieras. De hecho, es uno de los ámbitos que
cuantitativamente más ocupan a la Agencia, y ello por la sencilla razón de que se trata de un sector sumamente importante para los ciudadanos y en el que además se produce un gran número de tratamientos de datos personales. En su momento se hizo
una inspección sectorial en relación con la banca a distancia, y debo decir que la Agencia está en constante comunicación con entidades financieras al objeto de que se garantice un absoluto y total cumplimiento de la legislación de protección de
datos por parte de las mismas, no sólo en lo que se refiere a los ficheros de morosidad sino también en cualquier tratamiento de datos personales que lleven a cabo. Igualmente estamos muy atentos a cualquier tema que se plantee en relación con los
datos de salud y, de hecho, uno de los contenidos más pormenorizado de mi comparecencia ha sido precisamente el que hacía referencia a esta cuestión.
Al señor Tardá, representante del Grupo de Esquerra Republicana, quiero agradecerle también sus comentarios, sus observaciones y la sensibilización que demuestra en el ámbito de la protección de datos personales, sin perjuicio de que debo
decirle que alguno de sus comentarios u observaciones me han dejado algo perplejo por lo que de inmediato le comentaré, en ese ambiente de sinceridad que usted mismo ha apuntado y que creo que es el que debe existir en una comparecencia de este
tipo. Aparte de otros temas que de inmediato trataré, fundamentalmente hacía referencia a las relaciones entre la Agencia Española de Protección de Datos y la Agencia Catalana de Protección de Datos, algo a lo que también ha hecho referencia doña
Elisenda Malaret en representación del Grupo Parlamentario Socialista. Las relaciones entre las Agencias autonómicas y la española y el ámbito de competencias de unas y otra fueron claramente definidos en la Sentencia 290/2002 del Tribunal
Constitucional, que en muchas ocasiones no se tiene en consideración como debería y se centra mucho más la atención en la Sentencia 292, que es la que define el derecho fundamental a la protección de datos como derecho autónomo e independiente. En
la sentencia 290/2000, también de 30 de noviembre, y en la Sentencia 292 se ventila, se trata, se analiza un recurso relacionado con la Lortad del año 1992, y el Tribunal Constitucional lleva a cabo un muy comedido, en mi opinión, y muy riguroso
análisis de la distribución de competencias Estado-comunidades autónomas, llegando a la conclusión de que al estar ante un derecho fundamental es lógico que exista una Agencia nacional de protección de datos con competencias en todo el territorio
nacional. No obstante, entra en la materia de las competencias autonómicas en lo que se refiere a los ficheros de titularidad pública, si bien tan sólo referidos, como S.S. sin duda sabe, a los ficheros de las administraciones autonómicas y a los
ficheros de las corporaciones locales radicados en el ámbito territorial de las comunidades autónomas, no a otros ficheros de entidades públicas que, sin embargo, sí han sido incorporados en las leyes autonómicas posteriores, la madrileña, la
catalana y la del País Vasco. Uno de los puntos esenciales de ese sistema de distribución de competencias es sin duda el Registro General de Protección de Datos, y tanto la Ley de Protección de Datos como las leyes autonómicas parten de la base,
según la doctrina del Tribunal Constitucional, de que el único registro de protección de datos que tiene efectos de publicidad frente a terceros en los términos de la Ley Orgánica de Protección de Datos es el Registro General de Protección de Datos.
Y la Ley Orgánica de Protección de Datos exige que todos y cada uno de los tratamientos, todos y cada uno de los ficheros, al margen de quién sea la administración competente en relación con los mismos, deben estar inscritos todos ellos, públicos y
privados, en el Registro General de Protección de Datos. En consecuencia, no se trata en absoluto de una imposición, de un intento de establecer una obligación adicional no fijada en la ley por parte de la Agencia; más bien todo lo contrario, se
trata de hacer cumplir la previsión legal que, como digo, exige que todos y cada uno de los ficheros y tratamientos estén inscrito en el Registro General de Protección de Datos.
No creo que sea necesario entrar en la naturaleza de los registros de las comunidades autónomas. Lo cierto es que una de mis preocupaciones desde el mismo momento en que tomé posesión como director de la Agencia fue la de las relaciones con
las Agencias autonómicas (en aquel momento tan sólo la Agencia madrileña porque era la única constituida, posteriormente se constituyó la Agencia catalana y también la Agencia vasca, las tres en funcionamiento), y en mi opinión es lo que creía
hasta hace unos minutos las relaciones han sido fluidas, fructíferas, de lealtad absoluta y sin ningún tipo de tensiones más allá de las lógicas del cumplimiento serio y riguroso de las funciones y de las competencias por parte de cada uno de los
directores de las distintas Agencias. No puedo compartir en absoluto las apreciaciones que hacía acerca del convenio firmado hace unas semanas sobre integración de los registros autonómicos en el sentido de que se trató de una suerte de imposición
en el último momento. Evidentemente, lo que yo ahora diga se podrá valorar en los términos que se quiera, pero lo cierto es que ese convenio se puso sobre la mesa en el día de la reunión con la indicación por mi parte de que no se firmaría hasta
que todas y cada una de las Agencias autonómicas hiciesen las observaciones que considerasen oportunas, y que incluso si consideraban que no debía firmarse no se firmaría. Fueron los directores de las Agencias los que lo analizaron y dijeron que
ese convenio debía firmarse, y que debía firmarse en ese momento, y el director de la Agencia catalana hizo unas observaciones que se tomaron en consideración.
En ningún caso se ha tratado de una imposición de un convenio por cuanto, como digo,
yo como director de la Agencia fui el primero que expresé mi opinión de que quizá era prematuro firmarlo y que tan sólo con el visto bueno de todas y cada una de las instituciones se podría proceder a su firma, no en otro caso, la opinión
unánime fue que convenía firmarlo al objeto de dar un paso importante en el ámbito de la cooperación; paso importante que entre otras cosas se traduce en la creación de grupos de trabajo que se reunirán en su próxima sesión en Barcelona. Yo
propuse que la próxima reunión de trabajo tuviese lugar en la sede de la Agencia Catalana de Protección de Datos y la propuesta fue acogida favorablemente por todos los allí asistentes. Creo que debo expresar cómo se desarrollaron las cosas en esa
reunión entre las Agencias autonómicas y la Agencia Española de Protección de Datos.
En el ámbito de las relaciones internacionales, la Agencia española ha presentado y ha avalado a la Agencia catalana, a la Agencia madrileña en su momento y ahora lo va a hacer con la Agencia vasca para que sean aceptadas como miembros de
pleno derecho en la conferencia de primavera de autoridades de control, en la conferencia del Consejo de Europa y en la conferencia mundial. En la última reunión de la Conferencia Mundial de Protección de Datos, que tuvo lugar en Polonia, se adoptó
el acuerdo expreso, a instancias de la Agencia española y muy de acuerdo con la Agencia catalana, de aceptar como miembro de pleno derecho a la Agencia catalana. Estamos ya haciendo las gestiones oportunas para que se reconozca a la Agencia vasca,
que no pudo ser en su momento porque no estaba formalmente nombrado el director cuando concluyó el plazo de presentación de solicitudes para ser incorporado como miembro de pleno derecho. En consecuencia, en el ámbito de las relaciones
internacionales hemos actuado también con absoluta lealtad y ánimo de cooperación. De hecho, en la conferencia de primavera que tuvo lugar en Rotterdam, este año la delegación española estaba integrada por el director de la Agencia española, el
director de la Agencia madrileña y el director de la Agencia catalana, aparte de miembros de las distintas Agencias autonómicas y española.
En cuanto a los convenios de colaboración, el futuro es el que ahora existe en relación con el convenio de intercambio de información para integración de registros, sin perjuicio de que también estamos colaborando en relación con la fijación
de criterios que puedan afectar a tratamientos de titularidad pública.
En cuanto a la inspección de centros educativos, me indica S.S. que sólo se ha llevado a cabo una inspección en Cataluña de un centro educativo y además privado. Primero, no podíamos en ningún caso inspeccionar (sin perjuicio de que la
terminología, como bien se decía antes, es mejorable) un centro público porque entraríamos de lleno dentro de las competencias de la Agencia catalana. Es decir, por respeto a las competencias de la Agencia catalana, no hemos inspeccionado ningún
centro público de Cataluña ni ningún centro público del resto de España. Si hubiésemos incluido en nuestra inspección sectorial centros públicos habríamos entrado de lleno en las competencias de las Agencias autonómicas, por cuanto tienen
competencia ellas, como S.S. sabe perfectamente, en el ámbito de los ficheros de titularidad pública, con lo cual lo que hicimos fue tan sólo respetar el ámbito de competencias. Tampoco comprendo las quejas de que no incluyamos a un centro
público, porque eso sí podría haber producido con toda razón el recelo o consideraciones críticas por parte de S.S., no en este caso, porque es tan sólo un respeto puro y absoluto de las competencias de la Agencia catalana.
No debo entrar en el tema de mi nombramiento, que también se ha planteado, porque eso corresponde al legislador y no a mí. Sí debo decir que la independencia de la Agencia está plena y absolutamente garantizada. En este sentido, el
nombramiento de director es de cuatro años, plazo durante el cual no puede ser cesado salvo por los motivos tasados y expresamente previstos en la ley. Las relaciones con el Gobierno son, ha sido y espero que serán siempre muy fluidas, todo ello
desde la más absoluta independencia de la Agencia. No hay por tanto una renovación de mandato, no hay por tanto un mantenimiento en el cargo; tan sólo un cumplimiento de lo que la ley establece, y es el cumplimiento de un mandato de cuatro años
que coincide en su punto medio casi con una renovación de las Cámaras consecuencia de la celebración de las elecciones. No se necesita una renovación del mandato porque la ley opta por otro sistema precisamente para garantizar la total y absoluta
independencia del director de la Agencia de Protección de Datos.
La Agencia está muy al tanto de lo que está ocurriendo con la administración electrónica algo a lo que también se refería la representante del Grupo Socialista, con el DNI digital, con las bases de datos genéticos. Señalaba el señor Tardá
que en los temas que son objeto de debate la Agencia Española de Protección de Datos no participa. Yo creo que estamos prácticamente en todos los debates. En el documento de datos genéticos del grupo de trabajo del artículo 29 hemos sido ponentes.
Estamos colaborando activamente con las entidades y con las administraciones públicas competentes en estas materias, lo que pasa es que lo hacemos desde la más absoluta discreción. Las memorias reflejan las actividades. Las memorias muchas veces
son más frías de lo que deberían porque si no serían otra cosa, pero por supuesto que estamos presentes y participando, no sólo a través del dictamen preceptivo que debemos elaborar en relación con todos los proyectos normativos que tengan que ver
con lo relativo a protección de datos. Muchos son textos que se refieren a temas importantísimos que S.S. ha planteado.
Le agradezco muy sinceramente sus observaciones, su tono de sinceridad y su preocupación por la protección de datos personales que es lo que potenciará la normalización de la cultura de protección de datos personales en España. Agradezco
también las muy amables
palabras de don José María Guinart. Es sumamente importante lo que ha apuntado en relación con el desarrollo reglamentario de la ley y estamos trabajando en ello. Se ha podido incorporar por primera vez en el plan normativo del Ministerio
de Justicia, a instancias de la Agencia, la elaboración del reglamento de la Ley de Protección de Datos para el año que viene. En consecuencia, podremos contar con un reglamento en 2005.
Tomé posesión el año 2002, el 2005 son tres años después.
Creo que es un reglamento que debe hacerse de un modo sosegado, tranquilo y con audiencia de los sectores implicados, porque es una norma que va a tener una importancia capital. Aprovecho esta ocasión para agradecer el apoyo que prácticamente todos
los grupos han mostrado acerca de la necesidad de ir adelante con el reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Coincido plenamente ya lo apuntaba en mi comparecencia en la necesidad de contar con más medios. Debo decir que las propuestas que elabora la Agencia de incremento de medios personales las hace siempre desde el rigor y la objetividad, en
muy estrecha comunicación con los departamentos competentes en la materia, fundamentalmente Administraciones Públicas y Hacienda. No estoy dispuesto a entrar en una dinámica de negociación con los departamentos. No se trata de pedir cincuenta
puestos para que nos den veinticinco, sino de determinar rigurosamente cuántos se necesitan. Como muy bien apuntaba, son medios importantes, pero siguen siendo insuficientes para el cumplimiento de las funciones importantes que tenemos atribuidas.
En cuanto a la inspección sectorial de la Administración local, nos encontramos con la posibilidad de interferir en competencias de las Agencias autonómicas, porque estaríamos hablando de responsables de tratamientos en Cataluña, en el País
Vasco y en Madrid que están dentro del ámbito de competencias de esas Agencias ya constituidas. Quizá no sería lo más conveniente, sin perjuicio de que se podría llevar a cabo una inspección sectorial o auditoría preventiva conjunta entre la
Agencia española y las Agencias autonómicas, algo que sin duda puede llevarse a cabo.
Agradezco muy de veras las consideraciones que se hacen acerca de la financiación de la Agencia. Insisto y repito que la situación no me produce la más amplia de las tranquilidades sino, más bien, preocupación.
Lo digo porque se ha
generado un ambiente equívoco en relación con el modo por el que la Agencia se financia. Se argumenta cada vez más que la Agencia puede tener un interés directo, por cuanto al financiarse con cargo a remanente, por tanto con cargo a sanciones,
estaría más interesada en sancionar que si el sistema de financiación fuese otro.
Esto es absolutamente incorrecto, no es lo que está ocurriendo en la realidad. Como he querido trasladar en mi intervención y como apuntaba la diputada representante
del Partido Popular, queremos que la función de la Agencia sea más importante de lo que ahora es en el ámbito de la divulgación, de la difusión, de la normalización, de la concienciación.
En este sentido, debo indicar que cuando se hace realiza una
inspección sectorial jamás se inicia un procedimiento sancionador aunque constatemos ciertas irregularidades, salvo que la irregularidad sea recalcitrante y se haya indicado previamente que estamos ante una situación irregular que debe atajarse
cuanto antes. Seguramente el sistema es perverso y soy consciente de que estas palabras se utilizarán. Que el director de la Agencia haya dicho que el sistema es perverso se utilizará en el ámbito de la defensa ante los tribunales. No es
indicativo de que se pueda correr el mínimo riesgo en cuanto a la independencia total y absoluta de la Agencia y la objetividad en su funcionamiento, pero preferiría un sistema de financiación diferente.
Agradezco muy de veras las palabras de doña Carmen Matador, representante del Partido Popular. En efecto, hemos llevado a cabo un gran esfuerzo en el cambio de la imagen de la Agencia. No es un tema baladí, o secundario la imagen externa
que dé una institución pública, una imagen que queremos que sea de una institución rigurosa, seria, pero cercana a los ciudadanos, que transmita la idea de cooperación, de colaboración, para que la protección de datos sea una realidad, y no sólo ni
principalmente a través de la imposición de sanciones. Una y otra vez, como director de la Agencia, insisto en que debe cumplirse con la Ley de Protección de Datos no por temor a las posibles sanciones que puedan imponerse, sino porque es bueno
para la sociedad, es bueno para el sector empresarial, es bueno para los ciudadanos y, en definitiva, es bueno para una sociedad democrática. En cuanto a sus consideraciones sobre la financiación, me remito a lo que acabo de indicar, y agradezco
también su apoyo y el de su grupo al objeto de que se adopten cuanto antes medidas efectivas para dotar a la Agencia de un presupuesto homologado con el resto de las autoridades de nuestro mismo tamaño o nivel en otros países europeos, no digo ya en
relación con otras administraciones independientes respecto de las cuales estamos a años luz en cuanto a presupuesto. Insistiremos en los códigos tipo porque es un medio excepcional y magnífico para potenciar la concienciación en materia de
protección de datos.
La representante del Grupo Socialista ha hecho numerosas e interesantes observaciones acerca de mi intervención, del contenido sustancial y de la Memoria a las que intentaré responder. Le agradezco sus palabras acerca de la sustantividad
del derecho a la protección de datos, un tema capital que en absoluto es teórico. En muchas ocasiones se piensa que hablar del derecho a la protección de datos como un derecho fundamental es pura teoría, pero nada más lejos de la realidad.
Precisamente por considerar que es un derecho fundamental se puede dar respuesta a muchos problemas que se plantean cotidianamente, y eso la Agencia lo sabee. Son muchos los asuntos que resolvemos, por muy concretos que sean, aplicando principios
generales del derecho fundamental a la protección de datos personales.
En algunas ocasiones la posición de la Agencia no puede conocerse en las memorias porque algunas de las cuestiones que me planteaba se referían sobre todo a aspectos que no encajaban en los años 2002 y 2003. Es verdad que se podrían haber
incorporado, pero algunas de ellas lo harán a la Memoria de 2004, porque eran temas iniciados o no concluidos, como, por ejemplo, la inscripción de los ficheros. En efecto, la ley española no admite excepción, todos los tratamientos y ficheros,
salvo aquellos que están fuera del ámbito de aplicación de la ley, deben inscribirse. Debo indicar que en la última reunión del grupo de trabajo del artículo 29, que tuvo lugar la semana pasada y en la que por supuesto participamos, se estuvo
discutiendo un documento sobre simplificación de notificaciones.
En diversos países hay excepciones a la notificación, pero en estos momentos la línea que está siguiendo en Europa no es tanto la excepción de las notificaciones cuanto la
simplificación, porque se ha caído en la cuenta de que el hecho de exigir la inscripción de ficheros es un elemento sumamente importante para concienciar a los responsables de protección de datos. Hay algunos países que incluso cobran tasas por la
inscripción de los ficheros y no se muestran muy propicios a aprobar excepciones, pero hay una línea muy clara a favor de la simplificación de las notificaciones. Creo que esa puede ser la línea a seguir en el desarrollo reglamentario de la ley.
Si se quisiesen establecer excepciones habría que modificar la ley, por lo tanto podría llegarse a la simplificación. Debo decir que a través de los servicios de la Agencia, del servicio de atención al ciudadano, de la página web y del registro
general, se puede ayudar mucho y estamos haciéndolo a los ciudadanos. En estos momentos se está produciendo una media de inscripción diaria de 600 tratamientos. Eso significa que a través de la página web y de la inscripción por medios
telemáticos se puede facilitar mucho el trámite a los ciudadanos, pero queremos simplificar más. En este momento estamos trabajando en el documento de inscripción para simplificarlo todavía más y somos conscientes de que algunos aspectos de la
notificación pueden simplificarse.
Son muy pocos los códigos tipo que se han inscrito, algo que a mí personalmente me preocupa. Tiene usted toda la razón al referirse a que en 2003 tan sólo se modificó el de Telefónica. Ahora bien, de lo que se trata es de que los sectores
afectados sean conscientes de lo que un código tipo puede significar para facilitar y mejorar la aplicación de la legislación de protección de datos. Debo decir que hay un número importante de códigos tipo que se están tramitando, cuya aprobación
se demora porque el modo de actuar de la Agencia es el siguiente: cuando algún sector nos sugiere la posibilidad de elaborar un código tipo mostramos de inmediato nuestra colaboración a que así se haga y exigimos que ese código tipo suponga
realmente un valor añadido y sirva para facilitar las cosas y no para complicarlas. Es por ello por lo que iniciamos una ronda de contactos informales, de colaboración muy estrecha informal constante, cotidiana, con quienes pretenden presentar el
código tipo, al objeto de que cuando contemos con un buen código tipo acorde con la Ley Orgánica de Protección de Datos, éste pueda ser inscrito. Y esto demora en algunas ocasiones la elaboración del propio código. Pero en todo momento he mostrado
mi apoyo y mi interés a que los códigos tipo se potencien y puedan salir adelante como medio importante para facilitar el cumplimiento de la Ley Orgánica de Protección de Datos.
En cuanto a la posición del director en relación con el conocido tema de los PNR, cesión de datos, al conocimiento de datos de pasajeros que vuelen a o desde Estados Unidos como destino escala, antes apuntaba que la Agencia Española de
Protección de Datos y así se refleja en las memorias ha participado muy activamente en el proceso de discusión de este tema. Como antes comentaba, fui invitado personalmente a participar en una sesión pública del Parlamento Europeo al objeto de
mostrar la preocupación de la Agencia Española de Protección de Datos en este ámbito. La Agencia Española de Protección de Datos siempre se ha mostrado muy cautelosa, cuando no crítica, con el modo en que se estaban haciendo las cosas. Respecto al
grupo de trabajo del artículo 29 la Agencia ha mostrado su preocupación por el hecho de que a través de este procedimiento se pueden estar poniendo en riesgo los principios de la protección de datos en Europa, que no son los mismos que los mismos
principios de Estados Unidos. No obstante lo cual, fruto de las negociaciones entre Estados Unidos y la Comisión, se ha llegado a la adopción de una decisión de adecuación formal, de modo que en estos momentos existe una decisión de la Comisión que
considera como adecuado, a efectos de la directiva, el tratamiento de datos personales que se refiere al conocimiento de las autoridades aduaneras de los Estados Unidos de los datos de los pasajeros que vuelan con destino o escala en Estados Unidos.
Bien es verdad que desde los primeros planteamientos que ponían sobre la mesa las autoridades de Estados Unidos en cuanto a plazo de retención de datos, datos que debían conocer, finalidades, e instituciones que los conocerían hasta el final ha
habido una rebaja sustancial en las pretensiones de Estados Unidos. De ciento y pico datos se ha pasado a 34, que no son pocos. De un plazo amplísimo de retención se ha pasado a un plazo mucho más razonable. De un control muy difuso de lo que se
hacía con los datos, a un control mucho más riguroso.
Personalmente tuve ocasión de celebrar una entrevista con la responsable del departamento de Seguridad, the Home Security interna en materia de protección de datos en Estados Unidos, en
Washington, al objeto de hacerle ver nuestra preocupación sobre el tema al que estoy refiriéndome.
Hoy existe una decisión y estamos a la espera de lo que decida el Tribunal de Justicia. Debo decir también que la Agencia ha colaborado muy
estrechamente con el Parlamento Europeo, y en particular con la Comisión de Libertades, incluso
personalmente con el presidente de la Comisión de Libertades, al objeto de definir la posición del Parlamento Europeo frente a este problema.
En cuanto a las líneas de trabajo futuro, con los escasísimos recursos con que contamos vamos a hacer lo que podamos, que pasa por seguir concienciando a los ciudadanos y a los responsables de tratamientos públicos o privados en el ámbito de
la protección de datos personales.
Tengan en cuenta que la Agencia cuenta tan solo con 16 inspectores para todo el territorio nacional, que actúan de dos en dos en las inspecciones, de modo que tenemos tan sólo ocho equipos de inspectores para las
denuncias que se presentan en materia de protección de datos en todo el territorio nacional. Comprenderán SS.SS. que son unos medios escasísimos, no obstante lo cual queremos insistir en otros ámbitos: difusión, concienciación y normalización.
En este sentido deben interpretarse esas frases a las que se refería en la memoria, frases que, como S.S. habrá podido comprobar, se incluyen en un capítulo introductorio que se refiere al derecho fundamental a la protección de datos. Siendo
consciente porque evidentemente lo fui del impacto que podían producir esas frases, finalmente opté por que se mantuviesen. La Agencia debe llamar la atención ante el hecho de que se está generando un ambiente no siempre leal en el ámbito de la
protección de datos, en el sentido de hacer ver que cumplir con la Ley de Protección de Datos es difícil, costoso, e imposible incluso para las pymes, cuando en realidad este mensaje se está lanzando (quiero ser muy cauto con mis palabras, con lo
que digo) desde círculos interesados en que la protección de datos sea difícil y costosa. Quiero llamar la atención a los ciudadanos acerca de que la Agencia Española de Protección de Datos puede facilitar todo lo que tiene que ver con la
protección de datos personales. Incluso hemos tenido que dar traslado al fiscal general del Estado de actuaciones posiblemente delictivas de usurpación de la imagen de la Agencia, por cuanto hemos constatado que ciertas personas estaban enviando
escritos falsos con membrete de la Agencia a responsables de tratamiento, sobre todo pequeñas y medianas empresas, acerca de una posible inspección o sanción que podría imponer la Agencia, indicando que sería posible negociar con la Agencia para
regularizar la situación. Hemos constatado que días después de que esa empresa recibiese la falsa carta de la Agencia se presentaba una persona que decía ser experto en protección de datos y se prestaba a resolver los problemas que esa empresa
tuviese en materia de protección de datos, lo cual evidentemente nos hace sospechar y por eso se lo hemos comunicado a la Fiscalía General del Estado, que ya está actuando que hay fraude incluso penalmente perseguible, en el ámbito de la
protección de datos personales.
El señor PRESIDENTE: ¿Hay alguna petición de palabra? Señor Tardá, muy brevemente.
El señor TARDÁ I COMA: Quiero puntualizar a efectos de acta que quizás me he explicado mal o usted no me ha entendido bien, pero hemos preguntado por el DNI digital y el banco de datos genéticos. En ningún momento he querido decir y si lo
he dicho me he equivocado o usted lo ha entendido mal que ustedes no tuvieran como objetivo prioritario atender a ello.
Una segunda aclaración, ciertamente la pregunta era retórica respecto a qué le parecía que su nombramiento fuera del Gobierno.
Por supuesto que a usted no le toca decirlo. No había ningún tipo de ofensa, era un ejercicio retórico para mostrar nuestro posicionamiento.
El señor PRESIDENTE: Señora Malaret.
La señora MALARET GARCÍA: Quiero agradecer las explicaciones del director de la Agencia y mostrar el convencimiento de que tendremos que seguir contando con su participación porque hay muchas cuestiones que requerirán de nuevas
intervenciones para dar luz. Son importantes sus palabras finales, pero con relación a la posible existencia de delitos que justifiquen las frases que he señalado, a pesar de la existencia de delitos me parece que es bueno mantener el tono
institucional. Si queremos enfatizar la necesidad de pedagogía en la protección de datos, este tono todavía es más importante. Yo creo que es mejor limar estas asperezas.
El señor PRESIDENTE: Señora Fernández Dávila.
La señora FERNÁNDEZ DÁVILA: Quiero, en primer lugar, agradecer la información que me ha ofrecido, así como todas las preguntas que me contestó. En lo que se refiere a la cesión de los datos por parte de Telefónica a Atento en Marruecos,
podemos quedar más tranquilos, pero no exentos de toda preocupación, porque aunque la autorización del director sea sustitutiva de la autorización de los afectados en esa transferencia de datos, tendremos que reflexionar sobre este requisito que es
indispensable según la vigente Ley Orgánica de Protección de Datos. Lo adecuado es que la autorización provenga de los propios afectados, y eso no se hizo. De acuerdo con la aplicación del artículo 11, a que S.S.
hacía referencia, hay una
garantía de que los datos van a ser protegidos de acuerdo a la legislación española, pero tenemos que reflexionar sobre esta materia. En otras comparecencias seguiremos insistiendo porque tendría que haber sido con autorización expresa de los
afectados.
El señor PRESIDENTE: Terminado el orden del día, la Presidencia, en nombre de la Comisión, quiere agradecer al director de la Agencia de Protección de Datos su comparecencia, sus explicaciones, y a los miembros de la Comisión, su presencia.
Se levanta la sesión.
Era la una y treinta minutos de la tarde.