Camiño de navegación
Publicacións
DS. Congreso de los Diputados, Comisiones, núm. 685, de 11/10/2006
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2006 VIII Legislatura Núm. 685
CONSTITUCIONAL
PRESIDENCIA DEL EXCMO. SR. D. ALFONSO GUERRA GONZÁLEZ
Sesión núm. 23
celebrada el miércoles, 11 de octubre de 2006
ORDEN DEL DÍA:
Comparecencia del señor director de la Agencia Española de Protección de Datos (Piñar Mañas) para informar sobre la memoria de la Agencia Española de Protección de Datos correspondiente al año 2005. A petición propia.
(Número de expediente
212/001186.) ... (Página 2)
Se abre la sesión a la once y treinta y cinco minutos de la mañana.
El señor PRESIDENTE: Señores comisionados, vamos a dar comienzo a esta reunión de la Comisión Constitucional que tiene, como saben ustedes, un orden del día de un solo punto, consistente en la comparecencia del señor director de la Agencia
Española de Protección de Datos, a petición propia, para informar sobre la memoria de la misma correspondiente al año 2005. Para ello tiene la palabra el señor Piñar, a quien damos la bienvenida a la Comisión y le agradecemos el esfuerzo de acudir
a informarnos.
El señor DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Piñar Mañas): Señor presidente, señorías, comparezco de nuevo ante esta Comisión para informales sobre la memoria que preceptivamente debe elaborar la Agencia Española de
Protección de Datos correspondiente en la presente ocasión al año 2005. Sin embargo, antes de comenzar mi exposición quiero agradecer a la Presidencia, a los grupos parlamentarios y a los letrados que la asisten el esfuerzo que me consta han hecho
para que esta comparecencia pueda tener lugar, pues soy plenamente consciente de la cantidad e importancia de la tareas que en este momento tiene asignadas esta Comisión. Voy a tratar por tanto de ser conciso refiriéndome a los aspectos más
destacables de la memoria remitiéndome en lo omitido a su propio contenido y ampliando con informaciones de actualidad la evolución de los temas de mayor interés. Antes debo insistir en la importancia que el derecho fundamental a la protección de
datos tiene en toda sociedad abierta y democrática, sobre todo ante los continuos riesgos y amenazas a que nos vemos sometidos en un entorno en que las nuevas tecnologías, que por puesto son motor de avance irrenunciable en el desarrollo social, se
muestran cada vez más potencialmente invasivas de la privacidad de la personas. Se ha llegado incluso a afirmar que a los seres humanos ya no nos queda un ápice de privacidad, posición esta sin duda exagerada, pero que ha de llamar la atención
acerca de la necesidad de contar con una legislación rigurosa en la garantía del derecho a la protección de datos y con una institución que desde la más absoluta independencia garantice a todos sus derechos frente a las posibles violaciones que
puedan sufrir en su privacidad por parte de los particulares, las empresas o cualquier entidad, institución u organismo público.
Mi intervención girará como es obvio en torno a la memoria correspondiente a las actividades desarrolladas por la agencia en el año 2005. Para ello expondré en primer lugar los datos e información referentes a los medios económicos,
personales y materiales de la agencia. A continuación me referiré a la actividad del Registro general de protección de datos, pieza clave en todo es sistema de datos personales. Más tarde, a la actividad desarrollada en el ámbito de las
competencias de investigación y en el ejercicio de la potestad sancionadora y, en fin, a la función asesora y de informe jurídico, así como a la intensa actividad internacional que en muy diversos foros desarrolla la agencia. También haré
referencia a la evolución que en el proceso de lo que he venido en denominar normalización de la cultura de la protección de datos se ha producido en los últimos cuatro años, para concluir con una breve alusión a algunas de las cuestiones que más
reflejo e interés han suscitado en las últimas semanas en el ámbito de un derecho como la protección de datos, cada vez más valorado y conocido por los ciudadanos.
Como decía, comenzaré mi intervención haciendo una referencia lo más sintética posible a los medios económicos, materiales y humanos de que ha dispuesto la agencia en el año 2005 para el desarrollo de las competencias que tiene atribuidas.
Los Presupuestos Generales del Estado dotaron a la agencia con un prepuesto de gastos de algo más de 7 millones de euros, 7.004.180 euros, lo que supuso un incremento del 25,6 por ciento sobre el ejercicio anterior, que por las modificaciones
acaecidas durante el año acabó alcanzando la cifra de casi 7.400.000 euros. Al término del ejercicio, el nivel de ejecución del presupuesto fue de más del 95 por ciento. Los derechos reconocidos correspondientes a sanciones económicas ascendieron
a 21.105.000 euros, con una recaudación total de más de 9,5 millones de euros, tanto de dicho ejercicio como de ejercicios anteriores. Durante al año 2005 el número de empleados públicos con que ha contado la agencia ha evolucionado de 89 a 98
personas, de los que el 61 por ciento son mujeres y el 39 por ciento restante hombres. En dicho ejercicio cabe resaltar en materia de personal el desarrollo de políticas activas para la conciliación de la vida laboral y familiar. Destaca en el año
2005 el cambio de la sede de la Agencia Española de Protección de Datos, que ahora se encuentra ubicada en la calle Jorge Juan número 6 de Madrid. El cambio de sede ha venido motivado fundamentalmente por la ineludible necesidad de ampliar el
espacio disponible para los empleados públicos que prestan sus servicios en la institución y, en la misma medida, por la de poder atender adecuadamente a los ciudadanos y a las entidades que se relacionan con la agencia, que además requería de una
sede acorde con la entidad y funciones de la institución. Por tanto, al aproximarse la finalización del contrato de arrendamiento anterior, no se procedió a su renovación. Aprovecho por cierto la ocasión para invitar cordial y formalmente al
presidente y a los miembros de la Comisión para conocer el nuevo edificio cuando lo deseen.
La agencia ha prestado siempre un interés especial en facilitar la comunicación con los ciudadanos a través del servicio de atención al ciudadano. Las cifras relativas a esta actividad constituyen un primer indicador sobre el conocimiento
de la normativa de protección de datos y sobre la inquietud que tienen en este ámbito los ciudadanos y los sujetos obligados a cumplirla. Unos y otros
disponen de tres canales -telefónico, presencial y escrito- para obtener información del servicio de atención al ciudadano. En el año 2005 el número de consultas se ha mantenido estable en torno a las 35.500. Las solicitudes de información
a través de este servicio se han referido principalmente al ejercicio de los derechos recogidos en la Ley Orgánica de Protección de Datos y especialmente a los derechos de cancelación (40 por ciento) y acceso (33 por ciento de consultas). El
interés específico que revelan los porcentajes señalados se ratifica y corresponde con los datos relativos a la tutela de tales derechos, tal como posteriormente les comentaré. No obstante, estas cifras no pueden considerarse indicativas de que se
haya producido un estancamiento en las solicitudes de información de la agencia, sino que más bien debe concluirse que manteniéndose e incrementándose dicho interés se ha canalizado a través de otros cauces que presumiblemente apuntan a un
conocimiento más maduro de la normativa de protección de datos, como es el acceso a la información disponible a través de la página web. En efecto, la página web de la agencia ha tenido en el año 2005 un considerable incremento en el número de
accesos, que han pasado de 580.000 a casi 850.000, un incremento por tanto del 46 por ciento. A ello se añade que la duración media de los accesos web por usuario alcanza un promedio de más de ocho minutos. Estos datos confirman que en una
situación en la que la agencia carece de delegaciones territoriales, las nuevas tecnologías de la información constituyen un cauce adecuado para permitir que los ciudadanos accedan a la información que les resulte relevante. A su vez, ello exige un
esfuerzo continuado de la agencia para mantener actualizada la información e innovarla. En este sentido, en el año 2005 merece destacarse por un lado que la pagina web de la agencia posee un nivel de accesibilidad AA para facilitar la obtención de
información a personas con discapacidad; por otro, que la ausencia de un motor de búsqueda que facilite un acceso analítico, rápido y exhaustivo a la información, deficiencia relevante de la página web señalada en la memoria, ha sido ya subsanada
en 2006. Finalmente, se ha intensificado la incorporación de información en inglés, de forma que los hitos más destacables, principalmente normativos, sean accesibles desde terceros países.
Como SS.SS. conocen, el Registro general de protección de datos encuentra su fundamento legal en la exigencia de garantizar el derecho de información de los ciudadanos a poder conocer quién puede estar tratando sus datos personales y para
qué finalidad velando así por la publicidad de la existencia de los ficheros de datos de carácter personal, así como facilitando el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. La memoria que hoy presento a la
Comisión incorpora como novedad la cifra relativa al número de veces que los ciudadanos han ejercido este derecho de consulta o de información, que en el año 2005 ascendió a 780.000 consultas, en una proporción de 80 por ciento respecto de ficheros
privados y 20 por ciento respecto de ficheros públicos. Los datos disponibles en 2006 apuntan a una tendencia creciente en el ejercicio de este derecho, ya que a 30 de septiembre el número de consultas ascendía ya a 835.000. Pero en la medida en
que la LOPD obliga a todos los responsables públicos o privados a notificar sus ficheros, el registro es al mismo tiempo, y esta es una idea que me interesa resaltar, un indicador sobre el nivel de conocimiento y cumplimiento de la normativa de
protección de datos. Desde esta perspectiva he señalado en otras ocasiones que cualitativamente, es decir atendiendo a las grandes corporaciones o empresas que tratan datos personales y a la posibilidad de utilizar herramientas informáticas que
permiten elaborar perfiles cada vez más precisos de los ciudadanos, el registro puede considerarse completo y actualizado. Por el contrario, desde un punto de vista cuantitativo se constata una importante deficiencia en el cumplimiento de la
obligación de notificar por parte de profesionales, pymes y corporaciones locales de tamaño reducido. Pues bien, puedo señalar con satisfacción que esta deficiencia está en camino de resolverse, pues el año 2005 ha finalizado con un total de casi
651.000 ficheros inscritos, con un crecimiento del 40 por ciento sobre el año anterior, en el que destaca el referido a profesionales y pymes. La tendencia al incremento de inscripciones se mantiene y acentúa previéndose que antes de finalizar el
año 2006 alcance la cifra de 800.000 ficheros inscritos en el Registro general de protección de datos.
Lamentablemente, esta mayor concienciación del sector privado no ha ido acompañada en la misma medida por la de la Administración local, lo que ha determinado que la agencia haya tenido que efectuar un requerimiento generalizado a los
ayuntamientos de más de 2.500 habitantes, en total se ha requerido a 176 ayuntamientos, que aún no habían cumplido la obligación de notificar sus ficheros. El requerimiento formal ha tenido un efecto razonablemente positivo, pues casi 2/3 de los
ayuntamientos requeridos han cumplido o iniciado actuaciones en tal sentido, si bien respecto del tercio restante ha sido necesario iniciar en 2006 los oportunos procedimientos por infracción de la LOPD, en particular 61 procedimientos de
infracción, de los que ya 27 han finalizado con declaración de infracción. Al término del ejercicio 2005 se puede concluir que los mayores porcentajes de cumplimientos en cuanto a inscripción de ayuntamientos se dan en las provincias de Andalucía,
con Huelva en un nivel del cien por cien de ayuntamientos con ficheros inscritos, Ciudad Real y Barcelona, mientras que los mayores niveles de incumplimiento se producen en las provincias de las comunidades autónomas de Castilla y León, Castilla-La
Mancha, La Rioja y Navarra. En cuanto a la Administración autonómica, se ha constatado un incremento de 7,5 por ciento de notificaciones destacando el correspondiente a la Comunidad Autónoma de Andalucía, que la ha situado en la segunda posición en
cuanto al número de ficheros inscritos.
De otro lado, la exigencia de una obligación legal de notificar, que en nuestro sistema legal, a diferencia de otros europeos, no tiene excepción alguna, impone a la agencia el desarrollo de soluciones que faciliten su cumplimiento. En ese
sentido, las actuaciones de la agencia en 2005 se han dirigido a simplificar los modelos o impresos de notificación. Se ha reducido de 13 a 3 páginas el impreso de notificación incluyendo la información más relevante. La agencia ha elaborado
también modelos precumplimentados para los ficheros más habituales, principalmente los de gestión de recursos humanos, clientes, gestión contable, fiscal y administrativa, y ha desarrollado el sistema de notificaciones telemáticas a la agencia,
llamado sistema nota, que está disponible desde el 1 de septiembre de 2006. El nuevo sistema constituye la primera incorporación de la agencia a la Administración electrónica, en el sentido de abarcar la tramitación íntegra de la notificación, así
como el seguimiento de la tramitación y resolución de la inscripción, que pueden realizarse telemáticamente si el responsable de los ficheros dispone de firma electrónica. La puesta en funcionamiento del sistema, que ha exigido la creación del
registro telemático de la agencia, está dando ya resultados muy positivos. El nuevo sistema ha sido bien recibido, pues desde su muy reciente puesta en marcha el número de notificaciones recibidas está ya en torno a 1.000. En todo caso y con
independencia de los resultados que se deriven del nuevo sistema de notificaciones, debo resaltar que pese al incremento sensible del número de notificaciones y de operaciones diarias relacionadas con ellos, alcanzando la cifra media diaria de más
de 800, los funcionarios del Registro general de protección de datos han conseguido que el 74 por ciento de la notificaciones se tramiten en un tiempo medio de seis días siendo así que la ley prevé un plazo de un mes para resolver. Puedo decir que
con esta cifra media de 802 operaciones se puede considerar que en torno a 300 ó 400 empresas se incorporan diariamente a la cultura de la protección de datos en España.
Con el mismo fin de facilitar el cumplimiento de la obligaciones legales, en
el mes de abril de 2005 se publicó en la página web de la agencia una guía modelo para la elaboración del documento de seguridad, destinada a facilitar esta obligación legal a los responsables de ficheros de entidades públicas y privadas de pequeño
tamaño, que ha tenido una gran aceptación, ya que ha se han contabilizado cerca de 58.000 descargas hasta el fin de año.
Paso a continuación a referirme a la subdirección general de inspección, en la que todos los indicadores de su actividad -inspecciones, procedimientos de tutela, procedimientos de infracción a responsables públicos o privados- han tenido en
2005 un incremento medio del 24 por ciento. Se mantiene la tendencia de que la mayor parte de las actuaciones de inspección iniciadas son consecuencia de reclamaciones o denuncias de los ciudadanos, si bien las ordenadas por el director de la
agencia, normalmente como consecuencia de informaciones en medios de comunicación, ascienden al 7 por ciento del total. También se consolida la presencia en todo el territorio nacional de denunciantes y denunciados. En cuanto a su distribución
territorial, los tres primeros lugares los ocupan, tanto en actuaciones previas de inspección como en procedimientos de tutelas de derechos y en procedimientos sancionadores, las comunidades autónomas de Madrid, Cataluña y Andalucía; únicamente en
el caso de procedimientos sancionadores la Comunidad Valenciana figura en tercer lugar antes que la andaluza. Desde el punto de vista cuantitativo, las actuaciones de inspección iniciadas consolidan el incremento que tuvo lugar en 2004 y crecen un
18 por ciento adicional. Los procedimientos sancionadores también consolidan el aumento que se produjo en el ejercicio anterior y se incrementan en 2005 en un 42 por ciento, y los procedimientos de tutela de derechos iniciados marcan un número
máximo en la historia de la agencia alcanzando la cifra de 579.
¿Qué ponen de manifiesto estas cifras? A mi juicio, como he señalado en otras ocasiones, un conocimiento cada vez más extendido de la cultura de la protección de datos por parte de los ciudadanos y un fuerte incremento de la demanda de
actuaciones dirigidas a conseguir que la aplicación de la garantías previstas en la LOPD sea efectiva, pero sin que ello, y quiero insistir particularmente en esta afirmación, deba ser interpretado en el sentido de que se produce un nivel relevante
de incumplimiento de la ley y consiguientemente de la obligada declaración de infracciones, pues como destaca la memoria se produce un 34 por ciento más de resoluciones de archivo de las actuaciones que de declaración de infracciones en
procedimientos sancionadores, una vez tramitadas la actuaciones previas de inspección, en la mayor parte de los casos porque de las mismas no se deducen pruebas suficientes que permitan romper el principio de presunción de inocencia. ¿Qué
implicaciones tiene esa situación en la organización de la agencia? Es evidente que nos encontramos en una situación de desbordamiento de la carga de trabajo de inspectores e instructores que exige un incremento urgente del número de efectivos para
así poder seguir cumpliendo con las funciones que la ley nos atribuye, funciones que de otro modo podrían verse notablemente afectadas.
El análisis de estos datos por sectores de actividad pone de manifiesto que el mayor número de inspecciones y de declaraciones de infracción se producen en el sector de las telecomunicaciones, con el 24 por ciento de inspecciones y el 29 por
ciento de procedimientos sancionadores. Dentro de este sector, continúa siendo la infracción más frecuente la vulneración del llamado principio de calidad del dato o de los datos, por la inclusión indebida de abonados como deudores en los
denominados ficheros de morosidad, que alcanzan un porcentaje cercano al 50 por ciento, pero a continuación le siguen a una distancia crecientemente reducida las infracciones relacionadas con la contratación de servicios de telecomunicaciones, bien
porque no se lleva a cabo por los operadores con garantías suficientes sobre la identificación
y auténtica voluntad de los ciudadanos para abonarse a los servicios, incurriendo en el tratamiento de sus datos sin su consentimiento, bien por constatarse prácticas de contratación fraudulenta que suponen la recogida de datos de forma
engañosa dando lugar a infracciones graves que pueden ser sancionadas con multas de 300.000 a 600.000 euros. Estas conductas afectan principalmente a la contratación de servicios de telefonía y acceso a Internet. Quiero hacer esta llamada de
atención como una reflexión para que por parte de los operadores de telecomunicaciones, dentro de la legítima y necesaria competencia que preside su actividad, se extreme la diligencia a la hora de incentivar nuevas contrataciones.
En este sentido,
he de destacar que he podido apreciar por parte de dichos operadores una mayor conciencia del problema y de la necesidad de establecer garantías adicionales en los procesos de contratación en las reuniones que a su iniciativa se han celebrado en la
agencia para evaluar las medidas adoptadas por tales operadores para resolver este problema.
Al sector de las telecomunicaciones le siguen el sector financiero, con un 19 por ciento de las actuaciones, principalmente por inclusión indebida de deudores en ficheros de morosidad, y el de publicidad, a través de cauces distintos al de
la comunicación electrónica de promociones comerciales. Estos sectores han sido tradicionalmente los que han dado lugar a un mayor número de reclamaciones, pero junto a ellos ha aparecido un fenómeno que me preocupa particularmente, como es el
incremento del número de inspecciones y de iniciación de procedimientos por infracción como consecuencia de denuncias referidas al tratamiento de datos por las administraciones públicas. En 2005 las actuaciones de investigación respecto de las
administraciones públicas han ascendido al 9 por ciento del total, el 11 por ciento si se añaden las relacionadas con la actividad de la Fuerzas y Cuerpos de Seguridad del Estado, y los procedimientos por infracción de la Ley Orgánica de Protección
de Datos se han incrementado en un 86 por ciento respecto a 2004. En este marco se mantiene un relativo equilibrio entre las administraciones imputadas, con un 37 por ciento de actuaciones de inicio de procedimiento tanto respecto de la
Administración General del Estado como de las administraciones autonómicas, y un 26 por ciento respecto de entidades locales. Más preocupante aún es que el mayor porcentaje de infracciones imputadas a las administraciones públicas sean por la
vulneración del deber de secreto seguida de las infracciones en materia de seguridad, por cuanto pone de manifiesto la falta de diligencia en la custodia y confidencialidad de los datos que los ciudadanos, en la mayor parte de los casos
obligatoriamente, han de facilitar a aquellas administraciones.
En cuanto a los procedimientos dirigidos a tutelar los derechos de acceso, rectificación, cancelación y oposición que la ley reconoce a los ciudadanos, 592 procedimientos terminados, los datos de 2005 indican que el mayor número de
reclamaciones se refiere, por este orden, a los derechos de cancelación (348) y acceso (276), lo que indiciariamente pone de manifiesto que los ciudadanos están particularmente preocupados por conocer qué información consta sobre ellos y preocupados
también por el hecho de que la misma sea eliminada de los ficheros y base de datos. Debo señalar que el capítulo de la memoria relativo al gabinete jurídico incluye una rúbrica de análisis jurisprudencial, en el que se analizan las sentencias
dictadas en relación con los recursos interpuestos contra las resoluciones de la agencia. Pues bien, en dicha rúbrica se destaca el incremento de las sentencias desestimatorias de los recursos interpuestos contra resoluciones de la agencia. Así,
en efecto, de las 86 sentencias de la Sala de lo Contencioso-administrativo de la Audiencia Nacional, solo 12 han estimado íntegramente los recursos interpuestos. Por su parte, los 12 autos o sentencias dictadas por el Tribunal Supremo o han
inadmitido o han desestimado recursos, de modo de en ningún caso el Tribunal Supremo ha quitado la razón a la agencia.
El notable incremento de las actividades de inspección que les acabo de señalar no ha impedido que continúen desarrollándose, aunque con un alcance más limitado, las políticas de prevención a través de los llamados planes sectoriales de
oficio. Se ha culminado el plan sectorial realizado a los denominados portales de empleo y está a punto de culminarse durante este año el plan sectorial de oficio llevado a cabo en el ámbito de la enseñanza reglada no universitaria. La actividad
de asesoramiento especializado por parte de la agencia, que forma parte de lo que se puede calificar como política preventiva de la entidad, se ha mantenido estable respecto al año 2004 consolidándose el incremento del 41 por ciento que ha tenido la
emisión de informes jurídicos desde 2002.
Cualitativamente, las materias en las que se ha producido un fuerte incremento en las consultas planteadas han sido las relacionadas con la recogida y tratamiento de datos por operadores de comunicaciones
electrónicas y con el tratamiento de datos de salud, que, como SS.SS.
conocen, tiene un régimen de protección reforzado. El notable incremento de las consultas planteadas por operadores de servicios de comunicaciones electrónicas, que han pasado a
ocupar el primer lugar de la formuladas, se explica por la aprobación del Real Decreto 424/2005, de 15 de abril, que establece la necesidad de contar con informe de la agencia y que amplía además el ámbito de competencias de la Agencia Española de
Protección de Datos.
Por su parte, los informes preceptivos sobre disposiciones de carácter general se han incrementado en un 25 por ciento respecto al año 2004, lo que indica un crecimiento continuado de la sensibilidad del Gobierno por las implicaciones que
tiene la normativa de protección de datos en el ejercicio de la iniciativa legislativa y reglamentaria. Sintéticamente pude destacarse que los principales informes emitidos afectan a materias como la persecución del terrorismo y otras formas graves
de delincuencia organizada, por ejemplo, Convenio de
Prüm, y normas de desarrollo de la legislación sobre financiación del terrorismo y blanqueo de capitales, el tratamiento de datos de salud, por ejemplo, anteproyecto de ley orgánica de protección de la salud y lucha contra el dopaje en el
deporte, que dio lugar a una comparecencia informativa ante la Comisión de Educación y Ciencia del Congreso; anteproyecto ley de garantías y uso racional de los medicamentos y productos sanitarios; reglamento de la hemodonación y de los centros y
servicios de transfusión, así como todo lo referente al documento nacional de identidad electrónico.
Permítame, señor presidente, que dedique unos minutos, pocos en cualquier caso, a la necesidad de normalizar la cultura de la protección de datos.
En las distintas ocasiones en que he comparecido ante esta Comisión, he destacado como
prioridad de la agencia la de extender y consolidar una auténtica normalización de la cultura de protección de datos. Como señala la memoria, una prioridad de estas características es por su propia naturaleza un objetivo a medio o largo plazo,
máxime en una materia como esta en la que, a pesar del tiempo transcurrido desde la promulgación de la primera ley reguladora de este derecho fundamental, el desconocimiento existente hasta hace apenas tres años era aún muy generalizado. La
información que he facilitado a la Comisión hasta este momento es indicativa del estado de esta cuestión en el año 2005, pero para poder apreciar en su verdadera dimensión el avance que se ha producido en la consecución de este objetivo es preciso
enmarcarlo en una perspectiva temporal quizá más amplia. La normalización de una cultura de protección de datos exige facilitar a los ciudadanos el conocimiento de las garantías y derechos que la ley les reconoce, de forma que su ejercicio forme
parte de su vida cotidiana. Impone también difundir la normativa de protección de datos entre quienes deben cumplirla aclarando sus dudas, simplificando sus obligaciones, desarrollando actuaciones preventivas y dotándolos de los mayores niveles de
seguridad jurídica. Respecto a los poderes públicos esta prioridad debe traducirse además en conseguir que todas aquellas normas que pueden afectar al tratamiento de datos personales se elaboren y aprueben teniendo en cuenta las implicaciones y
efectos respecto de este derecho fundamental, y en caso de vulneración de la ley debe garantizarse su aplicación efectiva. Por supuesto, el desarrollo de estas actividades hace preciso contar con los recursos económicos, materiales y sobre todo
personales necesarios. Los aspectos que he señalado aparecen claramente recogidos en el primer informe de la Comisión Europea sobre la aplicación de la Directiva de Protección de Datos de 15 de febrero de 2003. En este documento, bajo la rúbrica
observaciones, conformidad y sensibilización, el informe sugiere, en cuanto a la observancia efectiva de la directiva, que se den diversos fenómenos interrelacionados que pasan por la necesidad de potenciar las facultades para garantizar la tutela y
el efectivo cumplimiento del derecho a la protección de datos de carácter personal.
Quisiera brevemente señalar que la perspectiva de casi cuatro años como director de la agencia puede ofrecer algunos datos significativos. Así, las cifras de ficheros inscritos en el Registro general de protección de datos demuestran el
gran crecimiento experimentado en estos últimos cuatros años, ya que si se tiene en cuenta que a finales de 1995 figuran inscritos 225.000 ficheros, fruto del proceso de inscripción masiva que tuvo lugar en sus dos primeros años de existencia, que a
finales del año 2002 esta cifra se extendía a 328.000 y que está previsto que cuanto termine 2006 se supere la cifra de 800.000 ficheros inscritos, podemos comprobar que en el periodo 1996-2002 el crecimiento neto es de 103.790 ficheros, lo que
supone una tasa de crecimiento anual aproximada del 6,5 por ciento para estos siete años, frente al crecimiento neto de 471.000 ficheros y la tasa anual de crecimiento de más del 35 por ciento para los cuatro últimos años. Comparando estas cifras
podemos afirmar que el volumen de trabajo del Registro general de protección de datos se ha multiplicado en los últimos cuatro años por seis. Teniendo en cuenta que a lo largo de 2006 el número medio diario de operaciones de inscripción es de 900,
cabe señalar que desde el año 2002 este indicador de actividad se ha triplicado. Respecto a la información facilitada a través de la oficina de atención al ciudadano, en el año 2002 se atendieron 19.900 consultas, mientras que a diciembre de 2005
dicha cifra se incrementó hasta un total de más de 35.000, lo que supone un incremento del 56 por ciento. En relación con las consultas planteadas al gabinete jurídico debe destacarse el importante crecimiento que se produjo durante los años 2003 y
2004. De este modo, el número de consultas planteadas ha evolucionado desde las 415 en el año 2002 hasta las 588 que se prevén para el ejercicio 2006, con un incremento del 42 por ciento en el periodo. Una baza importante en la difusión del
derecho fundamental ha sido la página web, de la que se hizo en el año 2003 una renovación integral de diseño y funcionamiento para garantizar la accesibilidad a la misma a las personas con discapacidad. Esta página institucional ha recibido en el
periodo 2002-2005 un total de más de 7.580.000 visitas.
En cuanto a la participación de la agencia en la elaboración de disposiciones generales, el incremento ha sido mucho más significativo habiendo evolucionado desde las 33 disposiciones estudiadas durante el año 2002 a las 76 que fueron objeto
de informe en el año 2005, siendo la previsión para el año 2006 de 83 disposiciones, lo que supondría un incremento en el periodo del 152 por ciento. En este sentido, las disposiciones analizadas se han referido a una gran pluralidad de sectores
habiéndose adquirido conciencia de la necesidad de someter al parecer de la agencia no solo las normas relacionadas con la creación de los ficheros sino aquellas que aun no desarrollando directamente la LOPD influyen esencialmente en la misma
regulando los tratamientos llevados a cabo por los sectores público y privado. En efecto, la agencia debe informar preceptivamente
cualquier proyecto de disposición que afecte al derecho fundamental a la protección de datos personales. Ello ha supuesto que en muchos casos los proyectos que carecían de disposiciones relacionadas con el derecho fundamental a la
protección de datos hayan pasado a incorporar normas específicas sobre la materia o hayan establecido remisiones a lo dispuesto en la LOPD.
Los datos relativos a la actividad de la subdirección de inspección son también significativos. Así, los procedimientos sancionadores iniciados se han incrementado en un 161 por ciento, las actuaciones previas de investigación iniciadas en
un 60 por ciento, los procedimientos de declaración de infracción de las administraciones públicas en un 300 por ciento y los procedimientos de tutela de derechos desde el punto de vista cuantitativo, salvo en el año 2004, en que el volumen general
disminuyó un 16 por ciento, en el cómputo global arrojan un aumento de 30 de por ciento.
Por lo que se refiere al presupuesto de la agencia, durante el periodo 2002 a 2006, al que vengo refiriéndome, se ha incrementado en más de 4.800.000 euros pasando de 4.570.000 en 2002 a 9.450.000 en 2006, lo supone un aumento porcentual de
más del cien por cien. Este incremento presupuestario ha permitido incrementar en más de un 60 por ciento la plantilla de la agencia, que ha pasado de 68 puestos de trabajo en 2002 a un total de 113 en 2006. Especial mención merece el incremento
en capítulo 6, destinado a inversiones, principalmente vinculadas al ámbito de las nuevas tecnologías, que ha pasado en 2002 de 128.000 euros a un total de 1.124.000 en el ejercicio 2006, lo que supone un incremento de más de 1.100 por ciento.
Importancia capital en la garantía efectiva del derecho ha tenido también el cambio de sede de la agencia al que antes me he referido y que se hizo efectivo durante el año 2005. Otro aspecto importante en el objetivo de difundir el derecho
fundamental fue dotar en al año 2004 a la agencia de sus especificas señas de identidad mediante la renovación de su logotipo y la implantación de una imagen institucional propia, que ha permitido en los dos años de andadura facilitar la
identificación de la institución por los ciudadanos.
Finalmente, no puedo olvidar hacer referencia en este balance a un aspecto que ha constituido para mí una prioridad desde mi primera comparecencia ante la Comisión, como es la necesidad de elaborar un reglamento de desarrollo de la Ley
Orgánica de Protección de Datos. El año pasado ya informé detalladamente a esta Comisión sobre las razones que justificaban la necesidad de aprobar esta disposición con el fin fundamental de incrementar la seguridad jurídica, así como sobre el
detalle de los trabajos en curso. En este momento me limitaré a informarles de que la Agencia de Protección de Datos ultimó, tras un amplio debate en los más diversos foros con los sectores afectados, un borrador de reglamento que ha sido puesto a
disposición del Ministerio de Justicia, al cual corresponde la iniciativa en esta materia.
El objetivo de normalizar la cultura de protección de datos se ha manifestado también en las relaciones institucionales mantenidas por el director de la agencia. Junto a las habituales relaciones con el Ministerio de Justicia y con el
Defensor del Pueblo, quiero destacar aquí las visitas institucionales que en el año 2005 realicé a los presidentes del Congreso de los Diputados y del Senado, en las que les informé sobre las actividades de la agencia e intercambiamos opiniones
sobre el estado de situación del derecho fundamental a la protección de los datos personales y sobre la relaciones de la institución con cada una de las Cámaras. En este apartado merece una mención específica la cooperación con las autoridades de
protección de datos de las comunidades autónomas.
Desde la creación de cada una de las autoridades autonómicas de protección de datos en la Comunidad de Madrid, en Cataluña y en el País Vasco en 1997, 2002 y 2003 respectivamente, se mantienen
relaciones institucionales y de colaboración entre el Registro general de protección de datos y los registros de ficheros autonómicos. En 2005 se ha continuado esta relación a través de reuniones del grupo de trabajo creado en 2004, con el objeto
de establecer un protocolo de comunicación homogéneo entre el Registro general de protección de datos y cada uno de los registros autonómicos, mediante la definición de un sistema de comunicación de información relativa a las inscripciones de los
registros, independiente de la tecnología y basado en estándares de intercambio de datos y de seguridad. Se han celebrado reuniones bilaterales con las distintas agencias autonómicas, así como encuentros entre la agencia española y las tres
agencias autonómicas que les acabo de comentar. Se puede decir que la colaboración con las autoridades autonómicas se ha desarrollado en todos los ámbitos, en el ámbito de registro pero también en el ámbito de las actuaciones inspectoras, en las
que en ocasiones ha sido necesario analizar situaciones complejas en las que intervienen responsables de ficheros de titularidad pública, de competencia de las agencias autonómicas, y de titularidad privada, de competencia de la Agencia Española de
Protección de Datos. En estos casos hemos conseguido dar respuesta adecuada a las necesidades de la investigación partiendo de la autonomía en el ejercicio de las funciones de inspección, de la cooperación en la transmisión de informaciones
relevantes y del respeto a la competencia de cada autoridad a la hora de dictar resoluciones sobre los hechos investigados. En todo caso, todos hemos sido concientes de la nueva situación que se abre con la reforma de los estatutos de autonomía, en
la que desempeña una labor fundamental esta Comisión, y de la necesidad de adecuar el marco de cooperación al régimen competencial previsto en los nuevos estatutos.
Voy terminando ya, señor presidente. La memoria de 2005 incorpora un extenso apartado sobre la actividad internacional de la agencia. En ella disponen SS.SS. de información detallada sobre la intensidad tanto cualitativa como cuantitativa
de la actuaciones que se han desarrollo en el año de referencia. La Agencia Española
de Protección de Datos lleva a cabo una intensa actividad internacional en Europa, Iberoámerica y Estados Unidos, centrada en su participación en muy diversos foros de debate multinacionales y en actividades de supervisión y cooperación
internacional en materia de protección de datos. Mi intervención se va a limitar a reseñar brevemente los hitos fundamentales en esta área y a informarles de su estado en este momento, ya que los principales retos con que nos encontramos en la
actualidad están relacionados con problemas planteados en el ámbito internacional y con su repercusión en nuestro país.
Dentro de las actividades de la Red Iberoamericana de Protección de Datos, que me honro en presidir, en el año 2005 se celebró durante los días 2 a 4 de noviembre el IV encuentro iberoamericano en la ciudad de México.
Este encuentro aportó
diversas novedades destacadas, entre otras la de que por primera vez era una entidad distinta de la Agencia Española de Protección de Datos la que organizaba el encuentro, en particular el Instituto Federal de Acceso a la Información, de México. Se
produjo además como novedad un encuentro abierto a la participación de expertos del sector, que contó con la intervención de más de cuatrocientas personas. Además, se aprobaron documentos sumamente importantes, entendemos, tales con el de
estrategia de la red, la viabilidad de creación de autoridades de protección de datos en Iberoamerica, la relación entre acceso a información pública y protección de datos personales, y la relación entre Gobierno electrónico, telecomunicaciones y
protección de datos. El encuentro además consolidó una metodología a través de la creación de grupos permanentes de trabajo y grupos de carácter temporal sobre temas importantes en el ámbito de la protección de datos en la región iberoamericana.
Por otra parte y en el ámbito europeo, la agencia participa en el llamado Grupo de trabajo del artículo 29, órgano que reúne a las autoridades europeas con competencias en materia de control de la protección de datos personales, del que
tengo el honor de ostentar la vicepresidencia. En este grupo hemos trabajado en el pasado año y lo que llevamos de este, entre otros temas en asuntos de tanta importancia como los historiales médicos electrónicos, el tratamiento de datos
biométricos en pasaportes y en documentos de identidad, la Administración electrónica, la necesidad de redefinir el concepto de dato personal derivada de la aparición de nuevas tecnologías que posibilitan nuevas vías de identificación y localización
de la personas, como los dispositivos llamados RCID, identificadores de radiofrecuencia, la puesta en marcha de las llamadas cláusulas corporativas vinculantes, por las que se articula un sistema para las transferencias internacionales de datos
dentro de un grupo multinacional, o bien el fortalecimiento de las competencias de control y tutela de las autoridades de protección de datos. Sobre este último la agencia ha desempeñado un papel destacado, ya que se ha constituido un subgrupo de
trabajo que analiza la capacidad de aplicar y ejecutar las normas de protección de datos por parte de las autoridades de control. La agencia ha liderado la puesta en marcha de la primera acción nacional sincronizada de control de la aplicación de
las normas europeas de protección de datos, para la que seleccionó el sector de seguros de salud privados, y ello por ser el tratamiento de datos personales sensibles un elemento clave de sus actividades y por el impacto que tendría un eventual
incumplimiento sobre un número significativo de personas de la Unión Europea.
Junto a nuestra actividad consultiva en el llamado ámbito del primer pilar de la Unión Europea, nuestro papel en el proceso de creación de un espacio de Libertad, Seguridad y Justicia, el tercer pilar, ha sido también intenso. Hemos
examinado e informado algunas de las medidas en materia de lucha contra el terrorismo y la delincuencia organizada con muchas implicaciones en la privacidad de los ciudadanos. Sobre esto quisiera destacar que la agencia, junto con sus colegas
europeos, ha informado y hecho sugerencias durante el proceso de elaboración de la Directiva europea sobre retención de datos de tráfico en telecomunicaciones, aprobada en 2006. Sin cuestionar por nuestra parte la enorme utilidad que para las
investigaciones policiales sobre atentados terroristas tienen estos datos de comunicación, quisimos no obstante subrayar la necesidad de respetar en todo momento el principio de finalidad a la hora de tratar los datos limitando el uso posterior de
los mismos. Recomendamos igualmente que deberían preverse en todo momento medidas de seguridad específicas: control de accesos, accesos o autorizaciones restringidas, etcétera. Todas estas recomendaciones de las autoridades de protección de datos
fueron incorporadas en el texto definitivo. En este mismo ámbito la agencia asesora y colabora con los representantes del Ministerio de Justicia que participan en el proceso de elaboración del marco regulador europeo aplicable al tratamiento de
datos en la esfera policial y judicial. Con la futura decisión marco de protección de datos, instrumento propio de tercer pilar, se vendrá a colmar un vacío legal que actualmente existe en un ámbito en que el intercambio ágil y sin trabas de
información de datos personales es absolutamente necesario para combatir las formas de criminalidad cada vez más internacionalizadas. Desde nuestra perspectiva, esta legítima aspiración es también compatible con el respecto a los principios
esenciales de la protección de datos. No solo eso, ambas son necesarias, ya que la veracidad, exactitud y seguridad de la información es algo esencial para que sean realmente útiles en las investigaciones criminales.
Fuera del ámbito europeo y con motivo del desarrollo de las nuevas competencias de la agencia en materia de privacidad en telecomunicaciones y más concretamente en la lucha contra las comunicaciones electrónicas no solicitadas, el correo
basura o spam, iniciamos un marco de colaboración con la entidad competente en este campo en Estados Unidos, la Federal Trade Commission. En febrero de 2005, en efecto, se firmó con esta autoridad
un acuerdo de cooperación administrativa para la lucha contra el spam. Los asuntos de mayor actualidad son consecuencia del nuevo curso que están tomando las relaciones transatlánticas Unión Europea-Estados Unidos con motivo de las medidas
para la lucha contra el terrorismo que está adoptando la Administración americana. La articulación por parte de las autoridades de Estados Unidos de medidas que permitan el acceso inmediato a toda información sobre personas, ya sea que viajen a su
territorio, ya sea que realicen transacciones financieras internacionales, está produciendo cada vez en mayor medida colisiones con la normas europeas de protección de datos y hay que buscar soluciones que permitan conciliar la investigación
antiterrorista y los derechos fundamentales.
Brevemente me referiré a dos casos concretos que todavía están sobre la mesa del debate. Por un lado el llamado asunto PNR. Desde finales del año 2003, después de los atentados del 11 de septiembre de 2001, la agencia de protección de
datos se está ocupando del llamado asunto PNR (Passengers Name Record) o la transferencia de datos personales de pasajeros de aerolíneas con destino a Estados Unidos. En la madrugada del viernes 6 de octubre de 2006, los representantes del Gobierno
de Estados Unidos y el Consejo de la Unión Europea alcanzaron un acuerdo sobre el contenido del convenio que regulará las condiciones de esta transferencia. Este hecho centró de manera extraordinaria la atención de todos los medios de comunicación,
pero no es un tema nuevo; se trataba fundamentalmente de dar una base jurídica adecuada a una decisión adoptada por la Comisión Europea en mayo de 2004, al considerar el Tribunal de Justicia de las Comunidades en una sentencia de 30 de mayo de 2006
que este era un tema del tercer pilar y que por tanto debía regularse en un norma adecuada en un convenio internacional y no en una decisión de la Comisión Europea basada en la Directiva 95/46. En virtud de este acuerdo, el departamento de Aduanas
y Fronteras de Estados Unidos tendrá acceso a ciertos datos contenidos en la lista PNR, hasta un máximo de 34 datos, de los pasajeros en vuelos con destino a Estados Unidos con una antelación de 72 horas. Los datos solo podrán ser utilizados para
las investigaciones sobre terrorismo y crímenes graves y pueden ser compartidos con otras agencias para estos fines. Para supervisar el cumplimiento de este acuerdo se crea un comité conjunto y además, por parte de Estados Unidos, una oficina de
supervisión ad hoc integrada en el departamento de Interior y Seguridad.
Por otra parte, está el llamado asunto Swift. A raíz la información publicada en junio de 2006 en The New York Times sobre el acceso masivo por parte del Gobierno del Estados Unidos a datos personales existentes en la base de datos del
compañía Swift-Bélgica, compañía multinacional europea de gestión de transacciones financieras internacionales, en su centro operacional de Estados Unidos, se inicio una campaña internacional por parte de la autoridades de protección de datos de 33
países, entre ellas la Agencia Española de Protección de Datos. De acuerdo con la normativa europea, esto constituye una transferencia internacional de datos que podría ser ilegal, no autorizada ni tampoco consentida por el interesado, que además
es totalmente ajeno al hecho de que sus datos están siendo comunicados a terceros. En la Unión Europea, las autoridades coordinamos nuestras investigaciones a través del Grupo de trabajo del artículo 29 y en nuestra última reunión de septiembre
analizamos la primeras conclusiones de la autoridad belga, que es la autoridad competente en este caso, ya que efectuadas las oportunas investigaciones en España comprobamos que la oficina de Swift-Iberia era solo una delegación comercial para
Swift-Bélgica que no realizaba tratamientos en España y que no se había visto envuelta en los requerimientos de datos por parte de las autoridades de Estados Unidos. La autoridad de protección de datos belga ha constatado la existencia de un acceso
masivo no autorizado por parte de las autoridades de Estados Unidos a los datos almacenados en una base operacional situada en dicho país que no estaba prevista para tal fin, sino únicamente para mayor seguridad del sistema informático; se creaba
un segundo soporte en otro continente por si fallasen todos los sistema europeos. Este acceso ha sido justificado por el lado americano como necesario para investigar transacciones financieras que podrían estar ralacionadas con actividades
terroristas.
Por aplicación de sus leyes antiterroristas, la Patriot Act y la Antiterrorist Act, obligaron a Swift Bélgica a permitir el acceso. El caso no está todavía cerrado y ha provocado el inicio de conversaciones transatlánticas para dotar
de legitimidad y seguridad a las transferencias.
Concluyo aquí, señor presidente, mi intervención. El reto que ante sí tiene el derecho fundamental a la protección de datos no es en absoluto menor. En nada exagero al afirmar que del respeto a la protección de datos depende en gran medida
el futuro de una sociedad en libertad, respetuosa con los derechos de las personas y en particular de su dignidad, pues no podemos olvidar que cuando alguien trata ilegítimamente nuestros datos personales está manipulando nuestra identidad y, en
consecuencia, está jugando con nuestra dignidad. Permítanme la licencia de culminar con una cita que tomo prestada de Benito Juárez, parafraseando su ya famosa cita: Seamos concientes de que el respeto al dato ajeno es la paz. Agradezco muy de
veras su atención y por supuesto quedo a su entera disposición para atender y contestar las observaciones, dudas o comentarios que deseen formularme.
El señor PRESIDENTE: Muchas gracias, señor Piñar, por su intervención, también por la invitación que hace a la Comisión para conocer el nuevo edificio, que espero sea recibida favorablemente por los miembros de la Comisión.
Tiene la palabra en nombre del Grupo Parlamentario Popular don Carlos Salvador.
El señor SALVADOR ARMENDÁRIZ: Bienvenido, señor Piñar, a la Comisión.
Antes que nada quisiera pedirle por anticipado disculpas porque en mi caso es la primera vez que llevo este tema y pudiera ser que algunas de las preguntas que yo fuera
a hacerle igual eran o demasiado evidentes en su respuesta o extravagantes en cuanto al tema que nos ocupa. Sin perjuicio de ello, le diré que he leído los antecedentes, he leído con atención el debate de la presentación de la memoria del año
pasado así como los de las de los dos años anteriores, y he leído con mucho interés su libro. Yo quisiera antes que nada agradecerle, tanto en esta ocasión como en las precedentes, lo prolijo y lo exhaustivo de sus explicaciones y decirle en este
caso lo interesante que me ha parecido la memoria de este año. Contiene en el saluda no una recomendación, pero sí unas palabras que deberíamos de aplicárnos todos. Habla de que la memoria efectivamente es una oportunidad para analizar o volver a
estudiar el porqué de las cosas. Muchas veces tendemos a aquello de cortar y pegar y efectivamente esta es una buena ocasión para estudiar de nuevo, que yo creo que es lo que hay que hacer, y yo le agradezco ese esfuerzo porque, ya le digo, a veces
tenemos la tentación de simplificar y no de hacer el esfuerzo de, en cada ocasión y en cada presentación de la memoria, analizar uno a uno los temas como se merecen. Yo creo que además, por respeto a esta Cámara, debe de hacerse así; por eso yo lo
felicito sinceramente por esta memoria y por sus explicaciones.
Lo que constato obviamente, es una realidad que se ve en la propia memoria y es que la actividad de la agencia crece, aumenta. Me queda la duda de saber si efectivamente es un crecimiento no vegetativo sino reactivo o si es un crecimiento
proactivo. Usted sugería la necesidad de incrementar el personal y efectivamente así parece, porque la actividad crece y crece y digamos que esta cultura del conocimiento de los derechos por parte del ciudadano provoca que efectivamente la agencia
al final tenga obviamente en todos sus indicadores de actividad más trabajo.
Yo he recogido los debates o alguna de las preguntas que se sugerían en relación con la presentación de la memoria y algunos de los temas que en su día se suscitaban han sido tocados por usted, obviamente, pero siguen hoy de actualidad. Uno
de ellos, el que hacía mención a la consignación y la financiación, yo creo que está zanjado, aunque la prevención y la disculpa que le hacía en un primer momento era, y es una cuestión personal, que he entrado en los Presupuestos Generales del
Estado de este año y he visto una consignación muy inferior a los 7 millones de euros, que es el presupuesto de la agencia. Entonces había entrado en el Ministerio de Justicia, al que parece que está adscrita la agencia española, y veía 1.471.000
euros. Entonces no me encajaba ese dato. No sé si los fondos que pueda recibir la agencia derivan de otros ministerios, no lo sé, puede ser que sea derivado de un error mío, pero en su caso quisiera saber si toda la financiación procede
exclusivamente de esa única fuente.
Se suscitaba con anterioridad, usted ha hecho mención a ello, la necesaria colaboración y cooperación con las agencias autonómicas y hablaba de las incertidumbres que tal vez en el futuro, por el hecho de la aprobación de los distintos
estatutos y las competencias que ahí se recojan, pudieran derivarse. Yo sé que únicamente el registro general está sometido al principio de publicidad general y entonces puede que existan o hayan existido problemas a la hora de que coincidan los
datos de ese registro general con el autonómico. Quisiera saber si eso ha mejorado, si siguen teniendo problemas en ese campo y cómo ve usted el futuro en relación con ese tema. Constata que ha aumentado el grado de colaboración con las
autonomías. En años precedentes se solicitaba que así como el plano internacional hay mucha actividad, también se trasladara al nivel autonómico: A mí me ha satisfecho su repuesta. Otros años también se comentaba la necesidad, y hoy lo ha vuelto
usted a repetir, del desarrollo reglamentario de la ley. Nos ha dicho que ustedes han trasladado un borrador al ministerio, pero quisiera que nos ampliara esa información para saber si efectivamente podremos tenerlo más pronto que tarde y si
vislumbra una solución.
Me ha parecido un dato interesante el aumento de informes emitidos, informes que están obligados e impelidos a hacer por cumplimiento del artículo 37.h de la ley. He visto, usted lo ha comentado y me parece un dato preocupante, el aumento
de infracciones en los deberes de custodia por parte las administraciones públicas. Quisiera que nos lo ampliara un poco. Yo había visto en el informe que, por lo menos en relación con los historiales clínicos, sí que ha habido casos. No sé si
otros años ha habido el mismo número de procesos o de procedimientos que se abren, pero me ha llamado la atención que al menos en este caso cuatro de esos informes habían tenido algo que ver con historiales clínicos. Quisiera saber a qué se debe,
cuáles son las razones que usted cree que pueden motivar este crecimiento. Igual resulta que hay más ficheros, no lo sé, y hay más riesgo, pero le agradecería que nos dijera a qué cree usted que se puede deber este aumento y, en su caso, qué cree
usted que se puede hacer.
Me parece correcto, y así lo dice la memoria, el dato de la litigiosidad y el grado de éxito que las resoluciones de la agencia tienen y el bajo éxito, por tanto, obviamente, que tienen las demandas, las resoluciones de quienes pleitean
contra la agencia. Me parece bien. También hace una mención la memoria sobre la implantación de los códigos tipo, esos códigos de buenas prácticas, que me da la sensación de que cada vez son más utilizados, y quisiera saber si efectivamente es
así. ¿Qué información prestan ustedes o en qué medida la agencia coadyuva a que se extienda la implantación de esos códigos?
Se constata también que el acceso a la agencia, a la información y a los servicios se hace forma masiva a
través de Internet. Recuerda su memoria el artículo 18.4 de la Constitución española, ese que dice que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno
ejercicio de sus derechos. Yo le pongo un caso y usted me dice si efectivamente puede ser competencia de la agencia, si realmente se puede hacer algo por parte de este o quién sería el competente. Una persona es acusada de un delito muy grave y
por lo que fuera o bien esa acusación únicamente se queda en la denuncia pública, no accede a los tribunales, o bien tras esa acusación, después del juicio que se deriva de la misma, esa persona resulta absuelta y por lo que sea en Internet figuran
los datos únicamente de la acusación a esa persona y ahí están colgados en Internet. Uno entra en un buscador, busca el nombre de esa persona y el primer dato que aparece es ese: este señor es acusado... No hay nada de lo que ha pasado después,
que ha podido clarificar el tema o lo que sea. ¿Podemos reaccionar frente a eso? Obviamente Internet es una herramienta de extraordinario interés, pero efectivamente también tiene ese problema, que da la sensación de que cabe todo. La ciencia o
la informática va adelante siempre, pero no sé si es un problema que de alguna manera puede ser enfocado a través de agencia o que capacidad de reaccionar tenemos.
Una cuestión de matiz. He visto que en el presupuesto están los datos de ejecución de los años 2001 a 2005 y hay un dato sobre los activos financieros que no se ha ejecutado con el mismo porcentaje el último año.
No sé si tiene alguna
explicación o es que efectivamente, en el plano temporal, está más reciente y en su caso será subsanado. En principio no tengo más preguntas. Quiero agradecerle tanto la actividad de la agencia, lo que hago extensivos y espero que traslade a todas
las personas que trabajan con usted, como su explicación y la presentación de su extraordinaria memoria.
El señor PRESIDENTE: Cuando di la palabra no estaba presente, pero la había solicitado con anterioridad el señor Jané, así que ahora, en nombre de Convergència i Unió, tiene la palabra el señor Jané.
El señor JANÉ I GUASCH: En primer lugar, en nombre del Grupo Parlamentario Catalán (Convergència i Unió) queríamos agradecer una vez más la presencia en el Congreso de los Diputado del director de la Agencia de Protección de Datos y también
la explicación de la memoria. Deseamos plantearle diversos aspectos pidiéndole ya al director excusas anticipadas porque este portavoz, que también lo es de la Comisión de Fomento, va a tener que hacer una gestión ante el ministerio que ya tenía
comprometida antes y por tanto no podré escuchar la respuesta que nos pueda aportar, pero la leeremos sin ninguna duda en el 'Diario de Sesiones'.
En primer lugar, tras la aprobación de nuevas normas estatutarias, en el caso del Estatuto de Autonomía de Cataluña de manera clara, por primera vez se concretan atribuciones a agencias de protección de datos de ámbito autonómico.
Previamente existía esa regulación , pero no tenía el marco de regulación estatutaria; ahora sí y desde esta óptica de mayor concreción de unas competencias que antes no la tenían, nos gustaría conocer cuál es el balance final que hace el director
de la agencia tras la aprobación de los primeros estatutos de un ciclo que esta Comisión Constitucional está llevando a cabo con gran esfuerzo durante esta legislatura y si entiende que quedan bien concretados los espacios competenciales tanto de la
Agencia Estatal de Protección de Datos, cuyo director tenemos aquí, como de las agencias autonómicas.
En segundo lugar, quiero mostrarle la colaboración y la buena disposición de Convergència i Unió en el desarrollo reglamentario de la ley, en el necesario reglamento global de toda la Ley Orgánica de Protección de Datos. Tuve el honor de
ser ponente de la ley que se tramitó en esta Cámara hace dos legislaturas, y tuve también la ocasión de percibir cómo alguno de sus aspectos se concretaron quizá con demasiada celeridad por la proximidad de las elecciones del año 2000. Había que
terminar la ley; una ley muy compleja que requería de buenas definiciones, de concreciones adecuadas y que al final se hizo deprisa en un proceso legislativo que estaba a punto de acabar. El letrado que nos acompaña recordará bien las prisas que
tuvimos durante la tramitación de esa ley y quiero agradecerle una vez más la colaboración que tuvo en aquel momento para que la ley pudiera salir adelante. Ahora más que nunca hace falta tener una visión global, ver si es necesario modificar la
ley orgánica en algún aspecto (y adelanto que si se hiciera debería hacerse desde el consenso) y ver también en qué medida un buen desarrollo reglamentario pudiera ayudar a completar algunas incertidumbres del texto actual.
Señor presidente, quería plantear al director de la agencia una cuestión específica: la Ley del permiso por puntos. Sabe el presidente de la Comisión -y no sé si lo sabe el director de la agencia- que presido en esta Cámara la Comisión de
seguridad vial y, por tanto, tengo un especial interés en que el nuevo permiso por puntos sea una herramienta útil, un instrumento útil para la ciudadanía. Para que esa utilidad se plasme, para que todos los conductores perciban realmente que hay
un permiso por puntos y vean cómo ese nuevo sistema les lleva a un cambio de actitud es básico que conozcan bien su saldo. Cuando se tramitaba la ley incluso defendí que hubiera una especie de permiso tangible y que en cada momento cada conductor
tuviera en la mano los puntos, como si fuera una tarjeta de autobús que cada vez vas sabiendo el saldo que te queda o el saldo que has incrementado. Entiendo que es un elemento pedagógico importante para la Ley del permiso por puntos. Cuando se
inició el sistema de que simplemente con el nombre y apellidos y el número del permiso de conducir, que es el mismo del DNI, mucha gente podía tener acceso al saldo de puntos de otros conductores, la agencia actuó
en esta cuestión. Por eso nos gustaría conocer su opinión sobre si sería fácil un permiso tangible para que facilitemos las cosas al ciudadano y que en el DNI electrónico incorporáramos de alguna manera -que la ley lo prevé- un sistema para
que con un código privado tuviera también acceso directo al saldo final de puntos que tiene su permiso. Es un tema que también quería dejar abierto.
En Convergència i Unió también nos preocupan las nuevas normas de Interior a nivel europeo y a nivel internacional en la medida que obligan a custodiar ciertos datos de entrada de personas a través de Internet y el uso que después se hará,
si determinados proveedores de servicios de la Sociedad de la Información están obligados a custodiar unos datos de ciudadanos que han entrado en determinados sitios de Internet durante un tiempo y el buen uso que se hace de ellos, y no por razones
de seguridad sino que nos preocuparía muchísimo un mal uso de esos datos que son absolutamente privados y que afectan a la intimidad de las personas.
Termino agradeciendo una vez más al director de la Agencia Española de Protección de Datos su colaboración con el Parlamento y con los grupos parlamentarios. Le deseamos aciertos en su tarea y en su responsabilidad pública y que siga
velando por lo que debe ser la necesaria protección de los datos. Ya sabe que desde Convergència i Unió siempre hemos sido partidarios de intentar buscar un régimen sancionador que no sea exagerado -a veces la exageración puede comportar que la
gente no llegue a entender las resoluciones finales y las sanciones que se les imponen-, buscar una cierta proporcionalidad porque la ley nos ha perjudicado poniendo unos mínimos muy altos en determinados tramos que también deberíamos revisar.
Muchas gracias, y le pido disculpas una vez más porque no podré escucharle en sus respuestas.
El señor PRESIDENTE: En nombre del Grupo Parlamentario Socialista tiene la palabra doña Elisenda Malaret.
La señora MALARET GARCÍA: Bienvenido, señor director de la Agencia Española de Protección de Datos, a la sesión anual de rendición de cuentas al Parlamento, una sesión relevante puesto que como es bien conocido la agencia española es
independiente y como tal está sustraída al control del Gobierno, lo que convierte en fundamental esta sesión de control parlamentario. Es cierto que todas las actividades y tareas de la Agencia Española de Protección de Datos están continuamente
sometidas al escrutinio de los ciudadanos, por lo que quiero felicitar la mejora que se ha producido en la web, su cambio sustancial en este último periodo, porque ello ha facilitado precisamente este escrutinio continuo y regular por parte de los
ciudadanos. En todo caso, es obvio que no es un obstáculo para que la sesión que hoy desarrollamos pueda cumplir la finalidad que se previó que tuviera.
El año 2005 ha sido de normalización total y absoluta para la Agencia Española de Protección de Datos, normalización tanto en la vertiente institucional como en su vertiente relativa a las tareas y cometidos varios que el legislador le
asignó, normalización que se plasma muy bien en la memoria. Se afirma así y está fundamentado en los datos que se aportan que todos los indicadores de actividad son positivos, y son positivos porque evidencian un aumento de la cultura de protección
de este derecho, un derecho nuevo, un derecho que a medida que avanza la tecnología adquiere vertientes nuevas, facetas nuevas. Como aumentan los riesgos se complica la protección del derecho, y ante esta complicación la agencia ha actuado
positivamente. En todo caso, ya digo que es un año de normalización porque ha aumentado su actividad en aquellos campos en que así era necesario, en el ámbito de la prevención y en el de la represión, es decir, en la parte de sanciones,
inspecciones, etcétera. Al mismo tiempo creo que es positivo -y así se valora en la agencia pero es importante ponerlo de relieve- que en aquellos ámbitos en los que la agencia ya se había pronunciado anteriormente y había publicado sus posiciones
han disminuido las consultas. Por tanto, en esta faceta nueva que adquiere la información y la posibilidad que suministran las nuevas tecnologías se ve claramente que ha dado todos sus frutos. Repito que creo que es un buen año para la agencia
desde estas vertientes que muy sintéticamente he señalado y que aparecen muy bien recogidas y desmenuzadas en la memoria de la agencia de 2005.
Debemos valorar positivamente también la coordinación y cooperación desarrollada con las agencias autonómicas que se han creado hasta la fecha (y ya se anuncia que algunas se van a crear en el futuro porque en algunos parlamentos autonómicos
hay proyectos de ley en los que se plasma precisamente la creación de nuevas agencias); una cooperación y coordinación desarrollada no solo mediante la creación del Grupo de trabajo del sistema informático de intercambio registral, que ha
desarrollado un conjunto de posiciones comunes y de buenas prácticas que son muy útiles en aras a una mejor y más eficiente defensa de un derecho fundamental, sino porque también -y es importante señalarlo-, como se enuncia en un momento dado y así
lo ponen de relieve distintos actores implicados, se ha desarrollado un proceso coordinado de investigación en determinados supuestos. La distribución de cometidos entre la agencia española y las agencias autonómicas hacen que en determinados
ámbitos, en función de la naturaleza del organismo, la competencia recaiga en uno o en otro, y ha sido fundamental y clave en el éxito de las tareas desarrolladas el que esta investigación se haya producido de manera coordinada. Como bien se señala
en la memoria, ello no ha sido óbice para que luego, en cambio, las resoluciones se hayan pronunciado de manera separada, como no podía ser de otra manera, pero se han evitado posiciones poco precisas o solapamientos, incluso contradicciones, y se
ha actuado de manera
coordinada. Por tanto, es importante continuar trabajando en red, incrementar los intercambios de buenas prácticas y de información y desarrollar tareas complementarias, como ya se está haciendo en estos últimos meses de manera cada vez más
creciente. Una actuación en red que en España ya se produce y que también se proyecta a nivel europeo con el Grupo del artículo 29, al que ha hecho mención el director de la agencia en su comparecencia, que también aparece recogido en la memoria de
la agencia y se plasma en su correspondiente web, que nos suministra mucha información. En ese contexto de normalización y de tareas desarrolladas muy positivamente querría realizar algunas observaciones en relación a cuatro aspectos puntuales
españoles y dos cuestiones internacionales.
En primer lugar quisiera destacar -porque me parece que es importante que el Parlamento se haga eco de ello- la significación práctica que tiene un criterio que ha formulado la agencia en relación a una cuestión muy controvertida en el día a
día de los municipios españoles y de los parlamentos autonómicos. Me refiero a si es legítima o no la solicitud de acceso a determinados documentos o expedientes por parte de concejales y de grupos parlamentarios. Generalmente la cuestión se
suscita cuando están en la oposición. La agencia ha señalado, como no podía ser seguramente de otra manera -es importante que se haya publicado y que en el Parlamento nos hagamos eco de esta posición-, la legitimidad del acceso, pero ha señalado
también los límites del mismo. El acceso es posible en la medida en que es necesario para el control democrático de los gobiernos. Por tanto, legitimidad del acceso pero también con límites para garantizar los derechos individuales. Esta cuestión
es importante y suscita muchos problemas fundamentalmente en el día a día de los municipios españoles.
En segundo lugar, en relación con los planes sectoriales de inspección, en la memoria de la agencia se pone de relieve cómo en el marco del Grupo de trabajo del artículo 29 se formuló la necesidad de trabajar en un sector especialmente
complicado y en el que se manejan datos sensibles como es el de las empresas aseguradoras. Junto a empresas bancarias y de telecomunicaciones es el tercer sector en el que se plantean y suscitan continuamente conflictos. Me gustaría saber si esta
propuesta que se ha formulado a nivel europeo tiene algún reflejo en el ámbito español y si la agencia se plantea realizar algún tipo de plan sectorial de inspección en el campo de los seguros.
Tercera cuestión: códigos tipo. La memoria de la agencia pone con toda su crudeza lo lenta que va la autorregulación en España. Todos hemos señalado siempre que esta era una cuestión fundamental, un mecanismo destinado precisamente a
aligerar los controles y la imposición de obligaciones al sector privado, pero en cambio vemos que va muy lento y que no hay en realidad nuevos códigos tipo. Solo se señala la modificación que se ha producido en el código tipo que había formulado
en su momento la asociación correspondiente para el comercio electrónico y la publicidad interactiva. Me gustaría poner de relieve solamente dos cuestiones en relación con los códigos tipo, lamentar su escasez, y por tanto animar a los operadores
privados a que vayan por esta senda, y preguntarle al director de la agencia si tiene previsto algún mecanismo que permita incentivar y que se incremente el número de estos documentos.
La cuarta cuestión es la relativa a si la agencia española piensa elaborar algún documento o informe de carácter más general en relación con tres cuestiones que preocupan en la actualidad: historias clínicas, que aparecen también en
problemas a nivel europeo, investigación biomédica y datos biométricos que se incluyen en documentos de seguridad, cuestiones relativas a almacenamiento y tratamiento.
Para terminar, me gustaría conocer un poco mejor de lo que se ha enunciado al final de su intervención la posición de la Agencia Española de Protección de Datos, que ya sé que se plasma en el seno del Grupo del artículo 29, en relación con
dos cuestiones que han creado una honda preocupación en Europa. Me refiero al intercambio de datos sobre pasajeros aéreos con Estados Unidos. No se nos ha explicado cómo se resolvieron los problemas que hace unos días impedían llegar a un acuerdo
con Estados Unidos y cómo se desbloquea la noche que usted cita. Solo tengo los datos de la prensa porque buscando en Internet no he encontrado el acuerdo. Lo único que aparece son posiciones antiguas, pero no hay información sobre cómo se ha
cerrado el acuerdo. Parece que no hay nuevos datos, pero hay una información que ha generado una cierta inquietud y es el acceso por parte de otras agencias americanas a la información que se transmite al Departamento de Seguridad Interior, que era
el destinatario inicial de la información. No nos podemos quedar en la historia de los pilares. Es cierto que este fue el argumento que utilizó la sentencia del Tribunal de Justicia para anular la decisión, pero hay cuestiones de fondo y no solo
de base jurídica, y en todo caso yo diría que son las cuestiones de fondo las que inquietan a los ciudadanos. En segundo lugar, precisamente por la problemática que se suscita a nivel europeo, me gustaría conocer con mayor precisión de la que se ha
dado la posición del Grupo del artículo 29 en relación con el caso Swift, sobre todo porque si no me falla la información el director de la agencia española era en aquel momento el presidente del grupo de trabajo y, por tanto, tiene que tener
información en relación con la práctica de una entidad bancaria europea que al margen de la normativa europea suministró datos a autoridades americanas.
Muchas gracias y felicidades por la tarea desarrollada a lo largo de 2005 por la Agencia Española de Protección de Datos.
El señor PRESIDENTE: El director de la Agencia de Protección de Datos puede ahora contestar a las preguntas
y a las referencias que han hecho los distintos portavoces.
El señor DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Piñar Mañas): Ante todo quiero agradecer muy de veras las amables palabras que todos los representantes de los grupos parlamentarios que han intervenido han dedicado a la
gestión de la agencia durante el ejercicio 2005, que vienen a ser un reconocimiento del trabajo que los profesionales, los empleados públicos, los funcionarios que prestan servicio en la agencia desarrollan día a día. Lo que pretendemos todos es
garantizar -como se ha señalado también aquí-, desde la independencia que la ley exige, el derecho fundamental a la protección de datos personales. Agradezco también el interés que sus señorías han mostrado en relación con la actividad de la
agencia, en relación con la memoria que ahora se presenta y, en definitiva, en relación con el derecho fundamental a la protección de datos personales. La sensibilidad de la Cámara en relación con este derecho es, sin duda, un elemento enormemente
positivo para seguir profundizando en lo que ya aquí tantas veces se ha citado, la cultura de la protección de datos de carácter personal.
Voy a atender, cómo no, a las observaciones, sugerencias y preguntas que me han hecho sus señorías en el mismo orden en que se han formulado. Me planteaba el señor Salvador, en representación del Grupo Parlamentario Popular, a quien de
nuevo y más en concreto agradezco las amables palabras iniciales y también finales de su intervención, diversas cuestiones todas ellas de enorme interés en relación con aspectos fundamentales de la gestión de la agencia y del derecho fundamental a
la protección de datos personales. La primera cuestión que planteaba se refería a la financiación. En efecto, es un tema sumamente importante, es un tema que se plantea de modo recurrente y es un tema que aparece en la Ley de presupuestos. Como
su señoría conoce, el presupuesto anual de la agencia se determina en la Ley anual de Presupuestos Generales del Estado dentro de la sección 13, Ministerio de Justicia, y en concreto en la clave 301, en el programa 135.M para la protección de datos
de carácter personal. Este presupuesto contiene las partidas para atender los gastos derivados de los capítulos 1, 2, 3, 5 y 8 referidos al pago de retribuciones de personal, gastos corrientes y de inversión. La cifra global se determina en la Ley
de Presupuestos Generales del Estado de modo diferenciado, según establece la Ley Orgánica de Protección de Datos. La Agencia Española de Protección de Datos se financia fundamentalmente con cargo a una transferencia presupuestaria del Ministerio
de Justicia, que usted ha comentado, y además con cargo al remanente de tesorería generado en su mayoría por las sanciones impuestas en el ejercicio de su actividad por parte de la agencia. Este modo de financiación podría dar la imagen de que la
agencia se financia con cargo a las sanciones que impone, pero no es realmente así por cuanto este remanente de tesorería no se puede usar libremente por parte de la agencia, sino que su utilización puntual requiere la tramitación de un expediente
económico-administrativo a través del Ministerio de Justicia con la autorización del Ministerio de Economía y Hacienda o, en su caso, del Consejo de Ministros si supera el 5 por ciento del presupuesto de gastos del organismo. Debo decir que, por
cierto, la capacidad de gestión económica de la Agencia Española de Protección de Datos en este punto es menos ágil que la que corresponde o se reconoce a las agencias reguladas en la reciente Ley de agencias. Paradójicamente, una entidad como la
Agencia Española de Protección de Datos, dotada de independencia porque así lo dice la ley, la directiva comunitaria y la Carta Europea de Derechos Fundamentales, disfruta de menos capacidad de gestión económica que la que se ha reconocido ahora a
las agencias reguladas, como digo, en la Ley de agencias de la Administración General del Estado. Así que hay una parte de transferencias del Estado al presupuesto de la agencia que no coincide con el total del presupuesto de la agencia, que al
tener que ser cuadrado en cuanto a ingresos y gastos necesita de aportaciones que provienen, como antes comentaba, del remanente de tesorería. De ahí esas cifras que aparecen en el proyecto de presupuestos. Permítanme que aproveche también para
indicar que para el correcto cumplimiento de sus funciones el presupuesto previsto para 2007 ha quedado, en nuestra opinión y con todos los respetos, algo escaso.
Hablaba su señoría, igual que lo hacía la señora Malaret y también lo comentaba el señor Jané, de la relación con las agencias de las comunidades autónomas. En efecto, considero que la relación con las agencias autonómicas se ha plenamente
normalizado, es una relación sumamente fructífera, es una relación que va mucho más allá de lo que es la relación en el ámbito del Registro general de protección de datos y de los registros de las agencias autonómicas, que se ha puesto ya en marcha
en las investigaciones llevadas a cabo como consecuencia de actuaciones en las que confluyen las competencias de dos o más agencias de protección de datos o, al menos, de la agencia estatal y una agencia autonómica.
Puedo afirmar que esta
cooperación está dando sus frutos y, como antes se comentaba, está permitiendo que desde la independencia de las agencias actuantes se estén llevando a cabo actuaciones de investigación coordinadas que dan lugar a una imagen de rigor en el
funcionamiento de las instituciones y de colaboración en el cumplimiento de sus funciones.
En particular se hacía referencia, y así lo señalaba el señor Salvador y también el señor Jané, a la situación derivada de la aprobación de los nuevos
estatutos de autonomía y en concreto la derivada de la aprobación del Estatuto catalán, que es un texto del más alto nivel institucional autonómico en el que se recoge una referencia expresa a la Agencia Catalana de Protección de Datos. Ante todo
quiero señalar la importancia que tiene esta referencia. A las agencias de protección de datos se hace referencia
expresa en la Carta Europea de Derechos Fundamentales y en la Directiva 95/46, así como por supuesto en la Ley Orgánica de Protección de Datos.
El que se haga referencia en un estatuto de autonomía eleva al rango estatutario la existencia
misma de la Agencia de Protección de Datos, en este caso de Cataluña, lo cual implica el reconocimiento al más alto nivel normativo dentro de la comunidad autónoma de la Agencia de Protección de Datos y el significado que tiene y que debe tener en
la tutela del derecho fundamental y en el ámbito de sus competencias. Primer elemento, por tanto, que creo que debe ser valorado muy positivamente.
Segundo, se reconocen competencias exclusivas ejecutivas de la Generalitat de Cataluña en lo que se
refiere al derecho fundamental a la protección de datos y se redefine de alguna manera su ámbito competencial en relación con los ficheros que entrarían dentro de la competencia de la agencia autonómica, ya que se incorporan también los ficheros
privados siempre y cuando sean para el desarrollo de funciones públicas en el ámbito de competencias de la comunidad autónoma. Sin duda se amplían, como digo, las competencias de la Generalitat y quizá se pueda plantear algún supuesto en el que no
sea fácil definir claramente el ámbito competencial de la agencia española y de la agencia autonómica, algo que por lo demás es absolutamente lógico dado que nos movemos en el terreno de los conceptos jurídicos indeterminados y por eso
necesariamente se van a producir supuestos -como por lo demás ya se producen en este momento- en los que no queda claro si la competencia es de la agencia autonómica o de la agencia estatal. Ya se produce en relación con ficheros de corporaciones
de derecho público, como son colegios profesionales o cámaras de comercio. Hasta ahora las situaciones se han resuelto por la vía de la colaboración de las agencias autonómicas y la agencia española, y estoy seguro de que también se van a resolver
los supuestos que en su momento o en su caso puedan plantearse.
Preguntaba también el señor Salvador y hacía referencia a ello el señor Jané, así como también la señora Malaret, acerca del reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Creemos que el reglamento puede estar aprobado
en breve. No le compete a la agencia aprobar dicho reglamento sino que deberá ser aprobado por el Consejo de Ministros a iniciativa del Ministerio de Justicia. En este momento está el texto en la mesa del Ministerio de Justicia y, por las noticias
que tenemos, en breve podrá ser remitido al Consejo de Estado para que dictamine preceptivamente. También debe ser informado preceptivamente por la Agencia Española de Protección de Datos. Por tanto, creemos que podrá aprobarse en breve el
reglamento de desarrollo de la LOPD, superando así esa situación que desde muchos sectores se ha puesto de manifiesto sobre la necesidad de incrementar la seguridad jurídica en un ordenamiento que tiene algunos elementos que requieren mayor
claridad, como es el de la protección de datos de carácter personal, sobre todo porque estamos hablando de un derecho fundamental y de un régimen sancionador importante.
Se planteaba por el señor Salvador el crecimiento de las infracciones por las administraciones públicas y, en particular, en lo referente al uso o no confidencial de la información por las administraciones públicas estatal, autonómicas y
locales. Es un tema que nos preocupa enormemente y, como comentaba también la señora Malaret, en definitiva plantea cuestiones que tienen que ver con el acceso a la información y a veces con un mal entendimiento de lo que debe ser la transparencia
y el acceso a la información o el uso de datos por las administraciones públicas. A veces se plantean cuestiones en las que no hay una clara respuesta por parte del ordenamiento jurídico, que requiere por tanto una resolución de interpretación por
parte de la agencia, es el caso del acceso a la información por los concejales, y en otros se deriva de un claro incumplimiento de las entidades locales que utilizan datos para finalidades que en absoluto coinciden con el ejercicio de las funciones
por las distintas administraciones públicas. En este punto, aprovechando la ocasión que sus señorías me brindan, querría transmitir la importancia y la necesidad de contar cuanto antes con una ley de transparencia y acceso a la información pública
que seguramente podría cerrar el bloque normativo que estaría integrado por la Ley protección de datos y la Ley de transparencia. España es ya uno de los pocos países europeos que no cuenta con ley de transparencia y, sin embargo, sí cuenta con un
muy consolidado modelo y sistema de protección de datos de carácter personal.
Se ha planteado también por el señor Salvador y la señora Malaret el tema de los códigos tipo. Desde la agencia estamos convencidos de la bondad de este instrumento, de la bondad de acudir a mecanismos de autorregulación.
También somos
conscientes de que durante el año 2005 han sido muy pocas las iniciativas que han prosperado en relación con los códigos tipo.
Puede deberse a varios motivos, quizá por la carencia de una regulación específica acerca del contenido de los códigos
tipo. Por eso en el reglamento que ahora mismo se está elaborando, y al que antes me refería, se ha previsto una regulación específica sobre los códigos tipo, sobre el contenido que deben incorporar, sobre su función y sobre la inscripción en el
Registro general de protección de datos de los códigos tipo. Desde la agencia impulsamos, por supuesto, la aprobación de los códigos tipo, pero por la experiencia de muchos años hemos podido apreciar que en ocasiones se presentaban ante la agencia
por algunos promotores códigos tipo que no respondían a lo que un código tipo ha de ser, que no es más que incorporar algún valor añadido que garantice adicionalmente el derecho fundamental a la protección de datos. En muchas ocasiones,
desgraciadamente, hemos podido ser testigos de propuestas de códigos tipo que no pretendían más que ser un reclamo para hacer ver que se cumplía con la Ley de protección de datos y, sin embargo, no incorporaban ningún valor añadido en
relación con la ley, o incluso no tenían en cuenta el sector concreto al que iban dirigidos, por lo que la agencia ha tenido que rechazar determinados códigos tipo. Por tanto, somos fervientes defensores del código tipo como complemento del
marco normativo regulado del derecho fundamental a la protección de datos, al objeto de incorporar un valor añadido que mejore el cumplimiento de la ley y garantice el derecho fundamental a la protección de datos en el sector al que se refiere.
Se me ha planteado una interesante cuestión por el señor Salvador acerca de la publicación, entiendo que se refiere a la publicación de datos derivados de resoluciones judiciales en Internet: acusación por delitos graves, condena o no,
condena o absolución. Este tema plantea un problema de enorme importancia que es el de la publicación de datos en Internet, y la posibilidad de conocerlos y tratarlos posteriormente a través del uso de la herramienta de los potentes buscadores que
permiten conocer casi todo de todos en pocos segundos. Se plantea la necesidad de exigir algún tipo de garantía de privacidad y de protección de datos en la información que se vuelque en Internet, porque si bien una información contenida en un
diario oficial al uso en soporte papel es difícil de tratar y de localizar, a través de un buscador es muy fácil poder conocer datos personales de ciudadanos sin que muchas veces ellos mismos sepan que están volcados en Internet. Por eso entendemos
que deberían anonimizarse todas las resoluciones judiciales en cuanto a datos personales cuando sean publicadas en Internet. La agencia publica sus resoluciones y en virtud de la Instrucción 1/2004 las publica totalmente anonimizadas, sin
incorporar datos personales de ningún tipo, porque las publica en Internet en la página web y esto impide que a través de un buscador se puedan conocer los datos personales. En documentos internacionales, que con mucho gusto facilitaré, del Consejo
de Europa, en sentencias judiciales se insta incluso a que los datos personales se supriman de las resoluciones judiciales al objeto de evitar que se pueda producir un tratamiento ilícito precisamente a través de la herramienta que supone el uso de
los buscadores en Internet.
El señor Jané me planteaba algunas cuestiones referidas a los estatutos de autonomía y la mención específica que se hace en los recientemente aprobados a la protección de datos y a las agencias de protección de datos, y también a si quedaban
o no concretados los espacios competenciales, también en cuanto al desarrollo reglamentario de la ley, que creo haber ya respondido. Y me hacía una referencia concreta y precisa al carné por puntos. En efecto, se ha planteado el tema en la Agencia
Española de Protección de Datos. En la agencia somos conscientes de la bondad del carné por puntos y de las virtualidades que su puesta en marcha puede traer consigo para la seguridad vial, pero también hemos de atender por respeto al derecho
fundamental a la protección de datos. Por eso incluso se llevó a cabo una reunión en la sede de la agencia entre este director y el director general de Tráfico al objeto de poder concretar un sistema que, facilitando la información precisa sobre el
saldo de puntos a los conductores, fuese respetuoso totalmente con la Ley de protección de datos. Como saben sus señorías, el acceso al saldo de puntos a través de Internet se puede hacer utilizando o no la firma electrónica. Con firma electrónica
no hay ningún problema porque se garantiza la identidad de quien accede al saldo de puntos; sin firma electrónica se permitía el acceso, como antes se comentaba, tan solo incorporando los datos de nombre, apellidos, fecha de primera expedición del
carné de identidad, lo cual en nuestra opinión planteaba dudas de seguridad en materia de protección de datos. La Dirección General de Tráfico canceló de inmediato ese servicio y se está poniendo en marcha un nuevo sistema que con plenas garantías
de la protección de datos permita a los conductores conocer el saldo de puntos. Se trataría no de impedir que algo se haga, sino de señalar cómo debe hacerse algo respetando la legislación de protección de datos. También se hacía referencia por el
señor Jané indirectamente a si es o no exagerado el régimen sancionador.
Creemos que el régimen sancionador previsto en la ley es claramente disuasorio y que las líneas por las que se mueven las recientes modificaciones que en algún país se han
llevado a cabo en la legislación de protección de datos tienden hacia un incremento en las sanciones que pueden imponer las agencias de otros países. Tal es el caso, por ejemplo, de Francia muy recientemente. Debo decir también que en muchas
ocasiones la sanción no acierta a compensar el beneficio que derivado de un mal uso de los datos personales ha podido obtener el infractor. Por tanto, creo que la ley, con los mecanismos que establece de modulación de las sanciones -me refiero al
artículo 45.4 y 5-, permite dar una respuesta proporcionada a las infracciones que en materia de protección de datos se cometen.
Terminando ya con las interesantes observaciones que ha planteado la señora Malaret, a la que como también al señor Jané agradezco sus amables palabras en relación con la actividad de la agencia y la memoria que ahora se presenta, aparte de
las cuestiones que ya he comentado, como las relaciones con las agencias autonómicas y la normalización de la cultura de la protección de datos, me hacía algunas observaciones muy concretas.
Una, que también he contestado, en cuanto a la respuesta
práctica acerca de si es legítimo o no solicitar el acceso por los concejales a información de las entidades locales. Hemos considerado en la agencia que hay que atender al principio de finalidad y al principio de proporcionalidad. Esa información
será posible facilitarla en la medida en que sea necesaria para el control democrático de los ayuntamientos. En cuanto al plan sectorial de oficio o plan sectorial de inspección en el ámbito de las empresas aseguradoras, como antes comentaba,
precisamente la Agencia Española de Protección de Datos lidera el grupo de trabajo que está llevando a cabo el plan sectorial a nivel europeo en el ámbito de las empresas aseguradoras, y la verdad es que hemos recibido una
respuesta muy positiva en cuanto a la colaboración que están prestando estas empresas, y en particular Unespa, que se ha puesto totalmente a nuestra disposición al objeto de facilitar al máximo esa que en definitiva es una inspección de
oficio, puntual, quizá más limitada en relación con las que la agencia lleva a cabo, pero es una inspección de oficio conjunta, coordinada en todos los países de la Unión Europea. Por tanto, en estos momentos no hay previsto poner en marcha un plan
sectorial en el ámbito de las compañías aseguradoras porque entendemos que antes deberíamos culminar ese plan conjunto y coordinado que se está llevan a cabo a nivel europeo.
Comentaba también cuestiones relacionadas con los códigos tipo y acerca de tres puntos concretos, historias clínicas, investigación biomédica y datos biológicos fundamentalmente en pasaportes y documentos de identidad. Es un tema que en
este momento se está analizando en particular en el Grupo de trabajo del artículo 29, y la agencia está actuando, interviniendo y participando activamente en los grupos de trabajos sectoriales que se han constituido al efecto. Estamos analizando y
cooperando en la definición de hasta qué punto pueden utilizarse, por ejemplo, datos biológicos en los documentos de identificación y hasta qué punto las investigaciones biomédicas deben ser respetuosas, que deben serlo por supuesto, con la
legislación de protección de datos. En ese sentido querría señalar que la agencia elaboró un dictamen que con mucho gusto les facilito y pongo a su disposición sobre el proyecto de ley de investigación biomédica, y debo decir que todas las
observaciones que la agencia hizo en relación con el texto inicial del proyecto fueron tenidas en consideración y fueron incorporadas al texto que en estos momentos se está debatiendo y que tenían que ver fundamentalmente con el necesario respeto a
la protección de datos personales, a la confidencialidad de los datos, al principio de trazabilidad de las células y la conservación de los datos que garanticen la trazabilidad, así como el periodo durante el cual deben ser tratados. Como digo, se
atendieron íntegramente las propuestas de la agencia en el texto que ahora se está debatiendo y repito que pongo a su disposición el informe que en su momento elaboró la Agencia de Protección de Datos.
Para concluir, señor presidente, dos cuestiones que me planteaba la señora Malaret, una en relación con el PNR y otra en relación con el caso Swift.
El acuerdo está previsto que mañana jueves se cierre. El acuerdo al que se ha llegado es
fruto de unas intensas negociaciones entre Estados Unidos y la Unión Europea como consecuencia, como su señoría sabe perfectamente, de que tras la sentencia del Tribunal de Justicia de 30 de mayo de 2006 la base legal previa que amparaba la cesión
de datos y que se encontraba en una decisión de adecuación aprobada por la Comisión y un acuerdo internacional entre Estados Unidos y la Unión Europea fue dejada sin efecto sobre la base de un argumento formal, dado que el Tribunal de Justicia
afirmaba que haber tomado como base legal para la decisión de adecuación del Convenio internacional la Directiva 95/46 era erróneo, ya que no nos encontramos ante un supuesto de mercado interior o de primer pilar, sino de tercer pilar, con lo cual
la directiva no operaba y la base era incorrecta y, en consecuencia, los textos debían ser considerados ilegales. Esto producía un efecto realmente complicado a partir del uno de octubre de este año, por cuanto desde ese momento dejaba de haber
base legal que amparase esa transferencia. El Grupo de trabajo del artículo 29 ha participado activamente en la consecución de ese último acuerdo, que viene a reproducir una situación muy semejante a la que se daba en base al acuerdo y a la
decisión de adecuación vigentes hasta el uno de octubre, con dos modificaciones. Una de ellas es que ya se ha garantizado por parte de Estados Unidos que se va a pasar del llamado -y perdón por la expresión pero es una terminología ya
suficientemente consolidada- sistema pull al sistema push. Es decir que las autoridades de Estados Unidos, en lugar de acceder directamente a los datos en el sistema pull actual, deberán ser informados, es decir, se les tendrá que facilitar la
información a las autoridades de Estados Unidos.
Y segundo, como muy bien comentaba su señoría, se ha previsto el acceso por parte de otras agencias a los datos que se facilitan a las autoridades aduaneras de Estados Unidos. En nuestra opinión y
en opinión de las autoridades de protección de datos, el sistema es en lo esencial respetuoso con el derecho fundamental a la protección de datos, primero, porque se establece una lista de datos que es la misma que establecía la base legal anterior;
segundo, porque se establece un principio de retención por parte de las autoridades de Estados Unidos que es el mismo que antes se establecía de tres años y seis meses; tercero, porque se establece que será el llamado chief privacy officer, el
responsable de privacidad del Departamento de Seguridad Interior de Estados Unidos, el que garantizará los derechos de los ciudadanos, de modo que cualquier persona podrá ejercer ante esta institución sus derechos de acceso, rectificación,
cancelación, etcétera, y podrá preguntar qué datos tienen sobre su persona e incluso podrá exigir su rectificación en su caso.
Además, la cesión a otras autoridades va a ser caso a caso para investigaciones concretas, y deberá quedar constancia de
a qué instituciones, a qué administraciones se han facilita esos datos por parte de las autoridades aduaneras de protección de datos. En consecuencia, entendemos que la situación actual no supone un atentado contra los principios europeos de
protección de datos de carácter personal.
En cuanto al caso Swift, como muy bien decía su señoría, durante la sesión del Grupo del artículo 29 en que se discutió el caso este director ostentaba la presidencia, lo que ocurre es que en esa reunión se analizaron unas primeras
informaciones que nos facilitó la agencia belga, con un compromiso de confidencialidad por cuanto estaban en marcha precisamente las investigaciones en aquel momento. Justo al día siguiente la autoridad belga hizo pública su resolución declarando
que
Swift Bélgica había infringido la legislación belga de protección de datos, por cuanto había llevado a cabo una transferencia de datos sin consentimiento y sin informar a los usuarios. Lo que dejó muy claro el Grupo de trabajo del artículo
29 fue su queja y su denuncia acerca de la opacidad que en todo caso se había producido en ese sistema y en esa transferencia de datos que se había ocultado a los ciudadanos y a los clientes de las instituciones financieras. En relación con la
situación en España puedo decir que de inmediato la agencia española inició actuaciones de investigación ante Swift Iberia, y hemos podido comprobar que no se llevan a cabo tratamientos de datos en España, sino que es la sede central en Bélgica la
que lleva a cabo la transferencia de datos a las autoridades de Estados Unidos, lo que, como digo, ha dado lugar a una resolución declarando la infracción por parte de la agencia belga de protección de datos personales.
Creo que he atendido a las preguntas que sus señorías me han formulado.
Agradezco una vez más la posibilidad que me brinda la Comisión para presentar la memoria en este caso correspondiente al año 2005. Quedo, por supuesto, a su entera
disposición y agradezco también la sensibilidad que en relación con la protección de datos personales siempre ha demostrado la Cámara y en particular esta Comisión y sus componentes.
Muchas gracias señor presidente.
El señor PRESIDENTE: Muchas gracias, señor Piñar.
Si no hay más intervenciones, agradezco la presencia y las intervenciones, muy particularmente a don José Luis Piñar, director de la Agencia Española de Protección de Datos.
Se levanta la sesión.
Era la una y treinta minutos de la tarde.