Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 205, de 07/11/2012
cve: DSCD-10-CO-205
PDF
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2012 X Legislatura Núm. 205
CONSTITUCIONAL
PRESIDENCIA DEL EXCMO. SR. D. ARTURO GARCÍA-TIZÓN LÓPEZ
Sesión núm. 8
celebrada el miércoles
7 de noviembre de 2012
ORDEN DEL DÍA:
Comparecencia del señor director de la Agencia Española de Protección de Datos (Rodríguez Álvarez), para informar sobre la memoria de la Agencia Española de Protección de Datos correspondiente al año 2011. A petición propia. (Número de
expediente 212/000483) ... (Página2)
Se abre la sesión a las once y cinco minutos de la mañana.
El señor PRESIDENTE: Vamos a comenzar la sesión de la Comisión Constitucional que interrumpimos el pasado día 31 de octubre, con la comparecencia de don José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos,
para informar, a petición propia, sobre la memoria de la agencia y los datos correspondientes al año 2011.
Bienvenido, don José Luis, a la Comisión Constitucional y muchas gracias por su comparecencia, que hace a petición propia. Cuando le parezca puede hacer uso de la palabra.
El señor DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Rodríguez Álvarez): Señorías, es para mí un honor comparecer ante esta Comisión Constitucional para informar sobre la memoria de la Agencia Española de Protección de Datos
correspondiente al año 2011. Habida cuenta de que la memoria ha sido remitida a sus señorías, para no incurrir en excesivas reiteraciones en relación con su contenido, me limitaré a exponerles los datos más relevantes recogidos en ella para, a
continuación, examinar algunas de las cuestiones más importantes que actualmente tenemos planteadas en relación con la protección de datos en España, sin perjuicio, obviamente, de poder tratar cualquier otro asunto que consideren oportuno.
El primer aspecto que quería destacar es el notable incremento del interés y de la preocupación de la ciudadanía por la protección de sus datos personales, interés y preocupación que se han traducido en un crecimiento muy significativo de
las consultas, de las tutelas y, sobre todo, de las denuncias presentadas ante la agencia. El número de consultas dirigidas al servicio de atención ciudadana ha tenido el pasado año un crecimiento cercano al 30 %, llegando a atenderse casi 135.000.
Al mismo tiempo, las visitas a la página web se aproximaron a los 3 millones, lo que viene a suponer unos 8.000 mil accesos diarios de promedio. Por otra parte, las solicitudes de tutela aumentaron también en un 34,58 % hasta llegar a las 2.230.
Cabe señalar que más de la mitad de las tutelas resueltas afectan al derecho de cancelación, mientras que un 10 % tuvieron por objeto el derecho de oposición y un 31 % el derecho de acceso, ocupando entre estas últimas -las relacionadas con el
derecho de acceso- un lugar muy destacado las relativas al acceso a las historias clínicas. Pero donde se ha producido el crecimiento más importante es en el número de denuncias, que experimentaron un incremento de un 51,6 %, pasando de poco más de
5.000 en el año 2010 a 7.648 en 2011. Como consecuencia de ello, se llevaron a cabo un 25 % más de actuaciones de investigación.
Analizado por sectores o ámbitos de actividad, el sector donde más actuaciones de investigación se realizaron fue en el de las telecomunicaciones, con 1.378; en segundo término se encuentra el sector de videovigilancia, con 871
investigaciones; en tercer lugar, las entidades financieras, 841; en cuarto lugar, los servicios de Internet, 288 investigaciones; en quinto término, las comunicaciones electrónicas comerciales y spam, con 270, y luego vienen otros sectores con
cifras inferiores y decrecientes. El aumento de las denuncias y de las investigaciones ha tenido como consecuencia también que en el año 2011 se hayan dictado un 37,7 % más de resoluciones declarativas de infracción, en total 898, de las cuales 817
tuvieron como destinatarios a responsables privados y 81 a administraciones públicas. Por sectores, el mayor número de infracciones se ha producido en la videovigilancia -281-, seguido del sector de telecomunicaciones -220-, y en tercer lugar se
sitúa el sector financiero -58 infracciones declaradas~_. Finalmente he de señalar que el importe global de las sanciones impuestas se situó en torno a los 19,5 millones de euros, aproximadamente un 12 % más que el año anterior, de los cuales el 63
% recayó sobre el sector de telecomunicaciones -12,3 millones de euros-, seguido del sector financiero -3,8 millones- y las entidades de suministro y comercialización de gas, electricidad y agua -algo más de un millón de euros de sanciones
impuestas-.
En este contexto he de recordar que en el año 2011 se produjo una importante novedad legislativa al modificarse el régimen sancionador de la Ley Orgánica de Protección de Datos por medio de la Ley 2/2011, de 4 de marzo, de Economía
Sostenible. La reforma perseguía alcanzar mayores niveles de seguridad jurídica y posibilitar una aplicación más flexible de las sanciones económicas. Para ello, como es sabido, se revisó la tipificación de ciertas conductas, se suprimieron
algunos tipos que se habían mostrado técnicamente inadecuados y se recalificaron determinadas infracciones. La flexibilización de las sanciones económicas se abordó también desde una triple perspectiva: ampliando los criterios de modulación dentro
de cada escala, reformulando los supuestos en los que se permite la atenuación e incorporando la figura del apercibimiento. También se modificaron los mínimos de las sanciones
correspondientes a las infracciones graves, reduciéndolos de 60.000 a 40.000 euros, al tiempo que se elevaron los de las leves de 600 a 900 euros.
A la luz de la experiencia acumulada en estos meses de aplicación, se puede afirmar que la reforma se ha mostrado adecuada para alcanzar los objetivos perseguidos, dado que ha permitido modular y atenuar las sanciones en función de las
circunstancias concurrentes en cada caso y diferenciar convenientemente en atención a la diligencia y a la responsabilidad exigible según se trate de grandes empresas, de pequeñas y medianas empresas o que los infractores hayan sido profesionales o
personas físicas. Especialmente indicada se ha mostrado la figura del apercibimiento, que permite amonestar sin imponer sanciones económicas a determinados responsables en el caso de que se trate de la primera infracción. La agencia está haciendo
un uso frecuente de esta posibilidad, como queda de manifiesto en el hecho de que de las 706 resoluciones de infracción relativas a responsables privados dictadas desde la entrada en vigor de la reforma en marzo de este año, 312 han sido de
apercibimiento, lo que supone un 44 % del total, siendo aún mayor su repercusión en el ámbito de la videovigilancia, donde el 70 % de las infracciones declaradas se han saldado con un apercibimiento, sin sanción económica.
Hasta aquí los datos correspondientes a las investigaciones y a las sanciones de la agencia, pero para tener una visión de conjunto sobre la aplicación de la Ley Orgánica de Protección de Datos en el año 2011 es obligado tener también en
cuenta las sentencias de los órganos jurisdiccionales. Comenzando por el órgano al que corresponde revisar las decisiones de la agencia, la Audiencia Nacional ha dictado 222 resoluciones, de las cuales 17 fueron de inadmisión, 63 desestimatorias,
52 estimatorias de los recursos y 90 de estimación parcial. En relación con estas últimas, es necesario tener en cuenta que la gran mayoría, en concreto 80 de las 90, son consecuencia de la aplicación retroactiva del nuevo régimen sancionador al
que antes he hecho referencia, principalmente de la aplicación retroactiva de la reducción en el importe de las sanciones graves, que, como les decía, se ha rebajado de 60.000 a 40.000 euros. Por tanto, a pesar de que las cifras inicialmente
pudieran dar a entender otra cosa, si se descuenta el efecto de aplicación retroactiva del nuevo régimen sancionador, el grado de confirmación por parte de la Audiencia Nacional de los criterios interpretativos de la agencia se mantiene en el mismo
nivel que en el año 2010. Esto es, se sitúa en torno al 72 %. Por su parte, el Tribunal Supremo dictó un total de 33 sentencias, de las cuales solo en cinco casos estimó recursos interpuestos contra sentencias de la Audiencia Nacional que
confirmaban resoluciones de la agencia.
Dentro de este contexto de la actuación de los órganos judiciales me gustaría detenerme un momento a comentar dos resoluciones especialmente importantes. En primer lugar, la sentencia del Tribunal de Justicia de la Unión Europea de 24 de
noviembre de 2011, en la que, dando respuesta a las cuestiones prejudiciales planteadas por el Tribunal Supremo en relación con la trasposición del artículo 7 f) de la directiva de protección de datos, señaló que los Estados miembros no pueden
imponer exigencias adicionales a las establecidas en la normativa de la Unión para el tratamiento de datos y proclamó que el artículo 7 f) de la Directiva, que no había sido traspuesto por el legislador español en términos literales -no había sido
traspuesto literalmente en España-, está dotado de efecto directo. Consecuentemente, a resultas de esta sentencia y dándole aplicación, el Tribunal Supremo, en febrero de este año, anuló el apartado b) del artículo 10.2 del Reglamento de Protección
de Datos, que exigía que para poder tratar datos lícitamente sin el consentimiento de los titulares, además de concurrir un interés legítimo en quien desea llevar adelante este tratamiento, deberían encontrarse estos datos en fuentes accesibles al
público. Este requisito adicional ha sido anulado.
Estas sentencias y la doctrina que en ellas se contiene suponen un nuevo reto para la agencia, que a partir de ahora ha de proceder a aplicar directamente el artículo 7 f) de la directiva, conforme al cual será legítimo el tratamiento de
datos sin el consentimiento del afectado cuando sea necesario para la satisfacción de un interés legítimo y siempre que no prevalezcan el interés o los derechos y libertades fundamentales del afectado. Esto implica que ahora, en cada caso concreto,
se ha de realizar una ponderación entre el interés legítimo de quien se propone tratar datos ajenos sin recabar su consentimiento y los intereses o los derechos fundamentales de los afectados con el fin de determinar cuál prevalece en cada caso
concreto y decidir finalmente si el uso de los datos personales que se quiere llevar a cabo es legítimo o no. Por otro lado, tiene especial trascendencia también la sentencia del Tribunal Supremo de 2 de diciembre de 2011, que ha afectado a las
competencias de la agencia. En esta sentencia, resolviendo un recurso de casación el Tribunal Supremo considera que existen razones constitucionales y de legalidad que impiden que las potestades atribuidas a la agencia puedan tener como
destinatarios a los juzgados y tribunales, a los órganos judiciales. Tras subrayar la naturaleza esencialmente administrativa de la agencia,
el Tribunal Supremo sostiene que la independencia del Poder Judicial consagrada en la Constitución y en la Ley Orgánica del Poder Judicial impide cualquier tipo de intromisión o injerencia por parte de una autoridad administrativa. Y
finalmente, apoyándose en las previsiones del artículo 230 de la Ley Orgánica del Poder Judicial, atribuye al Consejo General del Poder Judicial la función tuitiva en esta materia, con exclusión expresa de la competencia de la agencia.
Como no podía ser de otro modo, una vez recibida la notificación de la sentencia, en la agencia hemos suspendido la tramitación de las tutelas y de las denuncias que estaban en curso y hemos iniciado un proceso de diálogo con el Consejo
General del Poder Judicial para determinar los efectos de la sentencia y proceder al traslado de los expedientes. Sin embargo, la presencia en el ámbito de la Administración de Justicia de ficheros de distinta naturaleza, de los que en unos casos
son responsables los órganos judiciales y en otros órganos administrativos que pueden ser las consejerías de Justicia o puede ser el ministerio en el territorio no transferido, dificulta enormemente dar aplicación a un pronunciamiento tan genérico
como el que ha hecho el Tribunal Supremo, que probablemente no podría hacer otra cosa que un pronunciamiento genérico de estas características. Me atrevo a sugerir que tal vez sea aconsejable aquí la intervención del legislador para establecer un
claro deslinde competencial que permita continuar garantizando la aplicación de la normativa de la protección de datos en el ámbito de la Administración de Justicia.
Hasta aquí la exposición sucinta de las actividades de la agencia relacionadas con las demandas de los ciudadanos, la investigación de las denuncias, el ejercicio de la potestad sancionadora y la valoración que, en su caso, han merecido por
parte de los tribunales. Pero la actividad de la agencia no se limita a actuaciones de carácter reactivo, sino que también desarrolla toda una serie de actuaciones de carácter preventivo dirigidas a concienciar sobre la importancia de los datos
personales para la protección de la vida privada y a dar a conocer a la ciudadanía los derechos que le asisten y los cauces para poder ejercitarlos. Para ello, disponemos en la web de un canal ciudadano con informaciones y materiales divulgativos y
editamos guías prácticas orientativas sobre los diversos ámbitos de proyección del derecho. En esta tarea contamos, además, con la valiosa colaboración de los medios de comunicación, que en los últimos años ha adquirido un papel muy destacado como
cauce de difusión de la protección de datos personales y están mostrando un creciente interés por estas cuestiones, que se ha traducido en el año 2011 en casi 550 solicitudes de información dirigidas a la agencia. A lo largo del año, tanto el
director como otros representantes de la agencia, han intervenido en diversas entrevistas, reportajes en prensa, radio y televisión. Además, la agencia mantiene un microespacio de información con periodicidad semanal en Radio Nacional de España.
En la agencia hemos hecho una apuesta decidida por facilitar a los sujetos obligados, ya sean entidades públicas o privadas, el cumplimiento de la normativa de protección de datos, hasta el punto de convertirlo en una línea estratégica de
actuación. Así, en la página web tenemos un canal del responsable con toda la información necesaria para conocer las obligaciones derivadas de la normativa vigente. Se editan también guías específicas dirigidas a los diversos sectores atendiendo a
sus singularidades propias. Por otra parte, hemos desarrollado varias aplicaciones informáticas de apoyo, con el propósito de facilitar a los responsables tanto el conocimiento de sus obligaciones como de hacerles más sencillo el cumplimiento de la
ley. En esta línea contamos con una herramienta gratuita de autoevaluación denominada Evalúa, que está disponible en la página web y que permite a los responsables del tratamiento de datos hacer de una forma anónima un auto diagnóstico de cuál es
su grado de adecuación a la ley y, en su caso, conocer los cambios o las actuaciones que deberían llevar a cabo para cumplirla plenamente. Además, en el año 2011 hemos puesto en funcionamiento un nuevo sistema informático desarrollado para mejorar
la eficacia de las operaciones relacionadas con la inscripción telemática de ficheros, la expedición de copias de contenidos y las autorizaciones de transferencias internacionales de datos. En el año 2012, como les informaré en la próxima
comparecencia, hemos puesto en funcionamiento la sede electrónica donde se centralizan todos estos programas y aplicaciones informáticas, que permite tanto a los ciudadanos si quieren presentar denuncias o dictar tutelas como a los obligados y
responsables cumplir con los trámites en sus relaciones con la agencia de una manera telemática.
En el año 2011, la inscripción de ficheros en el registro general aumentó en casi medio millón, alcanzándose la cifra de 2.609.000 ficheros inscritos, cifra que es muy indicativa del volumen de datos personales que se tratan regularmente en
España. Junto a ello, sin perder la perspectiva del apoyo a los obligados, desde el gabinete jurídico se responde mediante informes ad hoc a todas aquellas conductas de cierta complejidad planteadas por quienes tratan datos, con el fin de poder
resolverles directamente las
dudas que surjan. Es esta una función informadora que se proyecta también sobre el sector público y que viene a completar en la dimensión práctica la función informadora que en todo caso ha de realizar la agencia con carácter preventivo
sobre todos los proyectos de disposiciones generales que afectan a la protección de datos. En concreto, en el año 2011 se evacuaron 484 informes sobre cuestiones planteadas por entidades privadas o administraciones públicas y fueron informados nada
menos que 110 proyectos de disposiciones de carácter general.
Para concluir esta primera parte de mi intervención dedicada a presentarles las actividades de la agencia, me referiré brevemente a las actuaciones desarrolladas en el ámbito europeo e internacional. En el ámbito europeo he de aludir, en
primer lugar, a la participación en los trabajos del Grupo de autoridades europeas de protección de datos, conocido como Grupo del artículo 29, que durante el año 2011, aparte de elaborar los habituales dictámenes, centró sus actividades en
coordinar y en preparar las aportaciones colectivas de las autoridades de los distintos Estados miembros al proceso de revisión del marco europeo de protección de datos que puso en marcha la Comisión y al que más adelante me referiré. Este grupo ha
ido progresivamente consolidándose como una plataforma sumamente útil para la coordinación de las distintas autoridades de protección de datos en relación con aquellos asuntos que afectan a varios Estados, con el fin de evitar criterios discrepantes
o actuaciones divergentes. Esta coordinación ha alcanzado su máxima expresión en dos actuaciones recientes que no pertenecen al año 2011 sino a 2012, pero que quisiera mencionar brevemente porque afectan a dos de los principales proveedores de
servicios de Internet y tienen consecuencias para los usuarios de toda la Unión Europea. Se trata, en primer lugar, de la auditoría realizada a Facebook por la autoridad irlandesa, de la que se derivaron una serie de exigencias dirigidas a esta
compañía en relación con su política de protección de datos y cuyo cumplimiento se está evaluando ahora mismo. En segundo lugar, se trata de la investigación sobre la nueva política de privacidad de Google, liderada por la autoridad francesa, que
ha concluido con un informe crítico presentado públicamente el pasado 16 de octubre y con una carta que hemos firmado todas las autoridades de protección de datos de la Unión Europea, emplazando a Google a que modifique sus políticas de privacidad
para cumplir con la normativa europea. En ambos casos, la agencia española ha colaborado activamente con las autoridades actuantes, tanto en el diseño de los parámetros de las investigaciones como en la evaluación de los resultados y en la
preparación de las conclusiones que, finalmente, se han analizado también en el seno del grupo de autoridades, en el seno del Grupo 29.
Por otro parte, sin abandonar el ámbito europeo, la agencia española ha desarrollado durante los años 2011 y 2012 el proyecto de fortalecimiento de la Agencia Croata de Protección de Datos, convocado y financiado por la Comisión Europea
dentro de los programas Twinning, y también ha participado en un proyecto de asistencia técnica sobre el fortalecimiento de la protección de datos en Albania. En esta misma línea de impulso de la protección de datos en otras áreas geográficas la
agencia ha continuado con su labor de apoyo al desarrollo de la protección de datos en los países de Iberoamérica, tanto a través de la Red iberoamericana de protección de datos como mediante actuaciones bilaterales tales como el asesoramiento en la
redacción de iniciativas legislativas o la formación del personal directivo de las autoridades de nueva creación. Y es un motivo de especial satisfacción constatar que actualmente la región iberoamericana es la región del mundo en la que se están
produciendo los mayores avances en materia de protección de datos y en todos países, aunque con singularidades, la normativa y el modelo de autoridad que se está implantando está fuertemente inspirado en el modelo europeo. Por lo tanto, esto va a
suponer no solo un avance en la protección de los derechos de los residentes, los ciudadanos y los residentes en estos países, sino que también, en la medida en la que tiene una gran proximidad con el modelo europeo, facilitará también la
transferencia de los datos desde Europa y facilitará también las actuaciones de nuestras empresas en esta región. De hecho, este año tenemos que celebrar que Uruguay ha sido reconocido como un país con un nivel de protección adecuado por parte de
la Unión Europea, lo cual significa que a efectos de las transferencias internacionales de datos a este país no es necesaria ya una autorización del director de la agencia sino que se considera que tiene las mismas garantías que las que se exigen y
se aplican en la Unión Europea. Es ya el segundo país, viene a sumarse a Argentina, que tiene también reconocido el nivel adecuado de protección.
Como les había adelantado, en la segunda parte de mi intervención me gustaría, en la medida que consideren oportuno, abordar algunos temas de especial relevancia y actualidad. Podrían ser más pero, para no abusar demasiado de su tiempo, he
seleccionado tres: la protección de los datos de los menores, el denominado derecho al olvido en Internet y el proceso de reforma de la normativa europea actualmente en curso. Comenzando por los menores, al tratarse de personas en proceso de
formación, desconocen o
no conocen plenamente todavía el valor de la privacidad y de los datos de carácter personal y esto les conduce en muchas ocasiones a hacer un uso más arriesgado o menos responsable de los datos personales y, por otra parte, el rápido
desarrollo de la sociedad de la información y de las tecnologías de la comunicación les hace aún más vulnerables y propensos a ser víctimas de conductas no deseadas que incluso pueden llegar a ser constitutivas de delito, sin desconocer tampoco
aquellas situaciones en las que los propios menores son autores también de actuaciones o de acciones infractoras. La agencia es muy sensible a esta realidad y a la problemática que encierra y en su página web dispone ya de un espacio dedicado a los
menores donde se recogen varios recursos destinados a concienciar, a sensibilizar, tanto a los propios menores como a sus padres o a los representantes legales, sobre el valor de los datos personales y sobre la necesidad de hacer un uso responsable
de ellos. Pero siendo conscientes de la necesidad de reforzar la protección de este colectivo, hemos decidido dar un paso más y tras analizar diversas opciones hemos puesto en marcha un proyecto dirigido a crear un nuevo espacio on line, dedicado
exclusivamente a la concienciación, la sensibilización y la formación sobre la protección de lo datos de los menores. Se trata de un proyecto de carácter integral, que será escalable, es decir, permitirá incorporar gradualmente nuevos contenidos y
actualizar los existentes, y en el que tendrán cabida recursos y materiales dirigidos específicamente a los jóvenes atendiendo a su diferente grado de madurez y desarrollo, pero en el que también se incorporarán materiales y recursos diseñados para
su uso por la comunidad educativa, de modo que sirvan también de instrumentos de apoyo para el desarrollo de acciones formativas. Entre los temas que se tratarán destacan la importancia de la privacidad, el valor de los datos personales, su
tratamiento en los distintos contextos, el uso de las redes sociales, la mensajería instantánea, la identidad digital, los problemas relacionados con la suplantación de la identidad, las situaciones de riesgo -el ciberacoso o cyberbullyng, el
grooming, el sexting- y, por supuesto, habrá también prácticas, consejos y recursos de apoyo o auxilio. Para el desarrollo de esta iniciativa contamos además con la colaboración del Intef, del Instituto Nacional de Tecnologías Educativas y de
Formación del Profesorado, perteneciente al Ministerio de Educación, Cultura y Deporte, y también han participado expertos de otras entidades y organizaciones, incluida la Brigada de Investigación Tecnológica de la Policía.
Por otro lado, en relación con los menores tenemos la problemática específica del cumplimiento de la legislación española que, como saben, no permite el tratamiento de datos de menores de catorce años si no cuentan con el consentimiento de
los padres o los tutores, y la verificación del cumplimiento de este requisito, sobre todo en los servicios ofrecidos por Internet y especialmente en las redes sociales está planteando muchas dificultades prácticas. La agencia está exigiendo a los
proveedores de estos servicios un compromiso efectivo con la observancia de la normativa española y periódicamente requiere a los responsables de las principales redes que operan en España, a Tuenti, a Facebook, para que informen sobre las medidas
que están adoptando para evitar que los menores se registren sin el consentimiento de sus padres y para darles de baja en caso de que se hayan registrado incumpliendo la normativa española. Pero, a pesar de que por esta vía se está avanzando y los
responsables de las redes sociales sobre todo de la empresa española Tuenti se muestran más sensibles a esta problemática, los resultados aún distan de ser satisfactorios y en parte ello se debe a que no existen procedimientos o instrumentos
sencillos y fiables para verificar la edad. A este respecto desde la agencia hemos propuesto al Gobierno como una posible vía de solución incorporar al DNI electrónico de los menores el certificado de autenticación, no la firma electrónica que está
reservada a los mayores o a los emancipados, pero sí el certificado de autenticación, de tal manera que pueda existir un instrumento fiable y que permita controlar por un procedimiento sencillo también si quien se da de alta en un servicio de
Internet es o no mayor de edad. La propuesta ha sido acogida muy favorablemente y actualmente se encuentra en estudio, por lo que esperamos que próximamente se pueda avanzar en este ámbito.
La segunda cuestión que quería tratar es la del denominado derecho al olvido en Internet. El derecho al olvido en Internet es una expresión con la que se hace referencia al derecho a eliminar de Internet información personal cuando su
publicación es ilícita o el derecho a limitar la difusión indiscriminada de esa información personal cuando, aunque la publicación inicial sea legítima, su difusión universal e ilimitada a través de los buscadores causa una lesión a los derechos de
las personas. En realidad, como se deduce de lo que acabo de apuntar, el derecho al olvido no es un derecho radicalmente nuevo sino que es más bien una reformulación de los tradicionales derechos de cancelación y de oposición, adaptándolos en torno
al nuevo contexto on line. Frente a lo que en ocasiones interesadamente se afirma, este derecho al olvido no es en modo alguno incompatible con la libertad de expresión ni con el derecho a recibir
libremente información, ni tampoco lo es con las libertades de investigación o con el libre desarrollo de estudios e investigaciones con fines científicos.
Gran parte de los equívocos que ha generado se deben a la propia denominación, derecho al olvido, que es expresión muy plástica pero muy poco precisa para describir su verdadero contenido y, en la medida en la que evoca mucho más de lo que
realmente significa, está siendo en ocasiones aprovechado para presentar una imagen distorsionada del mismo, incluso a veces amenazadora, afirmando que su reconocimiento llevaría a reescribir la historia o a alterar las hemerotecas. Nada más lejos
de la realidad. Al igual que ocurre con todos los derechos, el derecho al olvido no es un derecho absoluto, por lo tanto, cuando entra en colisión con otro derecho es necesario proceder a una ponderación y encontrar un equilibrio entre ambos. Y en
esta ponderación el derecho olvido habrá de ceder con carácter general cuando entran en juego las libertades de expresión o de información que, como bien saben, no son solo derechos sino que también poseen una dimensión institucional porque se trata
de condiciones necesarias para la existencia de una sociedad democrática y en consecuencia, como muchas veces ha dicho nuestro Tribunal Constitucional, gozan de una posición preferente respecto al resto de derechos fundamentales, con mayor razón aún
frente al derecho al olvido.
Partiendo de este enfoque, en la agencia hemos ido desarrollando una serie de criterios de ponderación que nos permitan tutelar el derecho al olvido en Internet en unos términos que consideramos que son plenamente respetuosos con las
libertades constitucionalmente garantizadas. Así entendemos que no procede reconocer el derecho olvido al cuando se trata de hechos noticiables o informaciones de carácter general, es decir, hechos o informaciones con interés para la ciudadanía.
En este caso siempre rechazamos las demandas de tutela por el derecho al olvido; son demandas de cancelación o de oposición porque como les decía realmente es un nuevo nombre, pero son los derechos ya reconocidos proyectados sobre el ámbito
Internet y con las modulaciones necesarias. Por tanto, el derecho al olvido se circunscribe a informaciones personales que no tengan relevancia pública en la actualidad. Por otra parte, entendemos que cuando la publicación inicial es legítima, ya
sea porque responde a un mandato legal, como puede ser el caso de los boletines oficiales o porque está amparada por el ejercicio de la libertad de expresión o de la libertad de información, como sucede con los diarios o las hemerotecas digitales,
en estos casos cuando la publicación originaria es legítima, el derecho al olvido no comporta un derecho a cancelar la información, a borrarla de los soportes originales, sino que se traduce en un derecho oposición, un derecho a oponerse a que esa
información que ya no tiene ninguna relevancia ni ningún interés sea captada y difundida universalmente por los buscadores a través de Internet.
De ahí que en estos casos la agencia no conceda la cancelación, sino que lo que hace es requerir a los responsables de las páginas web para que adopten medidas técnicas adecuadas para que esa información personal, que no tiene relevancia
pública, no sea indexada por los buscadores. Existen actualmente varios protocolos de no indexación, el más conocido de ellos es el Robots.txt, pero existen otros que están afectados generalmente por buscadores y que permiten conservar la
información originaria y que no sea indexada por los buscadores. Y se requiere también a los responsables de los motores de búsqueda para que excluyan de los resultados de las búsquedas los enlaces a esa información que es irrelevante y cuya
difusión está lesionando los derechos de una persona.
De este modo, la información continúa inalterada en su publicación inicial y puede ser consultada por quien tenga un interés directo acudiendo a la página web, por ejemplo a la página web del BOE que no se altera o a una hemeroteca digital,
que tampoco se altera y se podrá consultar esa información acudiendo directamente a la fuente e incluso permitimos que esa búsqueda se pueda hacer mediante los buscadores habilitados al efecto en la página web. Pero lo que evitamos es la difusión
universal e indiscriminada a través de Internet, por parte de los buscadores, que es la causa principal de la afectación de los derechos de la personalidad.
Con estos criterios estamos dando respuesta a una demanda ciudadana creciente, año a año se incrementan las solicitudes dirigidas a la agencia en relación con estos temas y con carácter general las resoluciones de la agencia son atendidas y
cumplidas por sus destinatarios con una excepción muy relevante que tengo que lamentar, por cuanto se trata de Google, la empresa responsable del buscador de uso mayoritario en España, que sistemáticamente recurre las resoluciones de la agencia,
impidiendo que alcancen efectividad y prolongando así el daño a los afectados. Las razones alegadas son básicamente dos: que se trata de una empresa que opera desde fuera de la Unión Europea, por lo que no está sujeta al derecho europeo y que la
actividad de los buscadores no constituye tratamiento de datos. En la agencia entendemos que sí resulta aplicable el derecho europeo, dado que tiene establecimientos en la Unión
Europea y utiliza medios situados también en territorio europeo. Además, la actividad que realizan los buscadores en cuanto recaban, indexan y difunden con arreglo a ciertos criterios información personal es una actividad típicamente de
tratamiento de datos. En todo caso, consideramos que las empresas que ofertan bienes y servicios a residentes en Europa deben respetar los derechos reconocidos en los ordenamientos europeos, máxime si como sucede en este caso se trata de derechos
fundamentales. Lo contrario conduciría casi siempre a una situación de indefensión, no sólo por los elevados costes de actuar ante la jurisdicción de otro país sino porque varios de ellos, incluidos los Estados Unidos, impiden en muchos supuestos
el acceso a la jurisdicción de los extranjeros. El tema se encuentra actualmente pendiente de resolución por parte del Tribunal de Justicia de la Unión Europea, como consecuencia de las cuestiones prejudiciales planteadas por la Audiencia Nacional
el pasado 27 febrero. Esperemos que pronto se resuelva para que las autoridades y los tribunales nacionales podamos continuar otorgando la protección que se nos reclama cuando un ciudadano considera fundadamente que sus derechos han sido
lesionados.
Por último, quería hacer una referencia al proceso actualmente en marcha de reforma de la normativa europea de protección de datos, iniciado en enero de este año, con la presentación por parte de la Comisión Europea de dos iniciativas: una
propuesta de reglamento general de protección de datos y una propuesta de directiva sobre la protección de datos en el ámbito a las infracciones y sanciones penales. No necesito subrayar en esta sede la gran importancia de esta reforma, que afecta
a las dos normas que actualmente configuran el marco normativo de la protección de datos en Europa, la directiva del año 1995 y la decisión marco del año 2008, y por lo tanto tendrá un gran impacto en el derecho español donde tanto la actual Ley
Orgánica de Protección de Datos, como otras muchas normas sectoriales, se verán directamente modificadas o deberán ser adaptadas a la nueva regulación, máxime teniendo en cuenta que el instrumento elegido para llevar a cabo el grueso de la reforma
es un reglamento, por lo que una vez aprobado resultará vinculante sin necesidad de intervención de los legisladores estatales. Así como la propuesta directiva merece una valoración crítica porque en muchos casos establece un régimen de protección
injustificadamente limitado, la propuesta de reglamento sin embargo, y sin perjuicio de que contiene algunos elementos cuestionables -sobre todo uno al que luego me referiré-, merece una valoración general muy positiva por diversas razones.
En primer lugar, porque refuerza muy significativamente los derechos de las personas, perfecciona y actualiza su redacción y los adapta a este nuevo contexto on line. Hay que tener en cuenta que la directiva es del año 1995, cuando toda la
evolución de las nuevas tecnologías estaba prácticamente iniciándose. En este sentido la propuesta de reglamento, además de reforzar el derecho de oposición, reconoce dos derechos nuevos -al menos con nombre nuevo-, el derecho a la portabilidad y
el derecho al olvido, y destaca también la nueva regulación que hace del consentimiento, que clarifica las condiciones en las que su prestación puede considerarse válida, exigiendo que el consentimiento para el tratamiento de datos personales sea
explícito. Con lo cual se excluye que el silencio o la inacción puedan constituir consentimiento.
En segundo lugar, supone un gran avance el hecho de que, al haberse elegido un reglamento y no una directiva, esto permitirá poner término o al menos corregir muy significativamente uno de los principales problemas que actualmente tenemos en
Europa, que es la fragmentación normativa, la diversidad de regulaciones existentes en materia de protección de datos como consecuencia de que los legisladores estatales, en el uso legítimo de sus competencias, han optado por soluciones diversas
dentro del margen de configuración que les dejó la directiva. Y en esta misma línea de establecer un régimen jurídico uniforme en toda la Unión Europea, la propuesta tiene una previsión sumamente importante en relación con su ámbito de aplicación.
El artículo 3.º establece que será aplicable a los tratamientos realizados en establecimientos situados en la Unión Europea. Pero no se queda ahí sino que se dispone que también será aplicable a los tratamientos de datos personales de residentes en
la Unión Europea realizados en establecimientos fuera de la Unión Europea, cuando estos tratamientos se lleven a cabo con la finalidad de ofertar bienes o servicios a residentes en la Unión Europea, o -dice también la propuesta de reglamento- de
monitorizar su conducta, de hacer un seguimiento de su conducta on line. Con ello se crea una base sólida para salir al paso de posiciones como la que ya he aludido que vienen manteniendo algunas corporaciones internacionales que, teniendo su sede
principal fuera de la Unión Europea, entienden que, a pesar de que están ofertando bienes y servicios a residentes en Europa, no están sujetas al derecho europeo de protección de datos.
El tercer aspecto que quería destacar como positivo es que el reglamento no se conforma con el establecimiento una normativa única para toda la Unión Europea sino que busca también que la interpretación y aplicación de esa normativa sea lo
más armonizada posible, y para ello prevé que las autoridades de protección de datos deberán estar configuradas con las mismas competencias y los mismos poderes en todos los Estados miembros, poniendo término también a la gran diversidad que
actualmente existe entre las autoridades de protección de datos de los Estados miembros de la Unión Europea. Y, como pieza de cierre del sistema, configura un mecanismo de coherencia para buscar soluciones o respuestas coordinadas que puedan ser
asumidas conjuntamente por todas las autoridades y, por lo tanto, permitir una actuación única, o al menos altamente coordinada, en aquellos asuntos que tengan una relevancia supranacional.
Junto a estos aspectos positivos hay otros que me merecen una valoración más crítica. En realidad son varios los temas que creo que deberían ser objeto de una reflexión más pausada, pero voy a centrarme solo en uno que, a mi juicio, es el
más importante. Se trata de lo que se ha dado en llamar el modelo de one stop shop o de ventanilla única, que básicamente consiste en la previsión de que, cuando una compañía tenga varios establecimientos en distintos Estados de la Unión Europea,
la autoridad competente para supervisar los tratamientos de datos de esa compañía en todos los Estados de la Unión Europea será la del Estado en el que se encuentre su establecimiento principal. Esta suerte de concentración de la competencia es
coherente con la lógica de la integración europea y desde luego tiene indudables ventajas para las empresas porque el hecho de que actúe una sola autoridad como punto de contacto y que tome todas las decisiones sobre esa compañía aunque opere en
varios países, comporta una sensible reducción de cargas y también elimina -claro está- la posibilidad de criterios o resoluciones divergentes. Pero esta fórmula plantea serios interrogantes desde la perspectiva de la protección de los derechos de
los ciudadanos. De instaurarse este modelo, en muchas ocasiones sus derechos no serían tutelados por la autoridad del Estado de residencia sino por la autoridad de un tercer Estado, lo cual de entrada ya suscita algunas reservas en la medida en que
estamos hablando de la protección un derecho fundamental, pero además plantea toda una serie de interrogantes prácticos acerca de cómo se van a canalizar las demandas de los ciudadanos ante la autoridad del otro país, de cómo se van a resolver los
problemas relacionados con el uso de distintos idiomas, cómo va a poder reaccionar el ciudadano ante la falta de respuesta de la autoridad de otro Estado miembro y qué remedios jurídicos o jurisdiccionales podrá utilizar en el caso de no estar de
acuerdo con la respuesta recibida. ¿Puede recurrirla ante los tribunales de su propio Estado o ha de acudir también a los tribunales del Estado de la autoridad que ha dictado la resolución? Como ven, hay ventajas claras, pero el modelo de
ventanilla única conlleva grandes dificultades para los ciudadanos, pudiendo en algunos casos llegar incluso a generar desprotección. Esta es una de las cuestiones, a mi juicio, peor resueltas en la propuesta de reglamento, que debería ser
replanteada para lograr un equilibrio entre la reducción de cargas para las empresas y la protección efectiva de los derechos de los ciudadanos. Una posible vía de solución que hemos sugerido desde la agencia española, tanto a la Comisión como al
Gobierno de España, consistiría en establecer un modelo mixto en el que se centralicen en la autoridad del país del establecimiento principal todas las relaciones administrativas o todas las relaciones de gestión con la empresa que tenga
establecimientos en varios Estados, pero con la excepción de la tutela de los derechos de los ciudadanos, que debería corresponder a la autoridad y a los tribunales del país de residencia del afectado, del país donde se produce el conflicto aunque,
eso sí, esa autoridad deberá actuar siempre de manera coordinada con el resto de las autoridades europeas cuando se trate de una cuestión que tenga incidencia más allá de un solo Estado.
Lamento la extensión de mi intervención. Les agradezco mucho su atención y quedó a su disposición, presidente.
El señor PRESIDENTE: Muchísimas gracias, señor Rodríguez Álvarez, por su exposición de la memoria de datos de 2011 de la Agencia de Española de Protección de Datos.
Ahora entramos en el turno de los distintos grupos parlamentarios y lo haremos de menor a mayor. En primer lugar, por el Grupo Mixto don Rafael Larreina tiene la palabra.
El señor LARREINA VALDERRAMA: En primer lugar, quiero agradecer la comparecencia del director de la Agencia Española de Protección de Datos, así como la información que nos ha trasladado. Sobre todo esta última parte, que era sobre la que
al menos mi grupo, como digo, tenía una mayor preocupación porque de la propia memoria de la agencia y de los datos de las sanciones se traduce que prácticamente el 95 % están centrados en el ámbito tradicional, y el 5 % están centrados en el ámbito
relacionado con
Internet, que quizá es uno de los ámbitos de futuro que, como usted muy bien ha dicho, cuando se inicia toda la normativa, era un ámbito que no tenía relevancia, pero que ahora cada vez tiene mayor relevancia y además de una forma muy
acelerada; ese es uno de los elementos fundamentales que debe centrar la atención de la agencia, no solo en el ámbito del Estado español sino en el ámbito de la Unión Europea, porque es quizá un ámbito nuevo en el que los derechos de los
ciudadanos, de la ciudadanía a la protección de sus datos están ahora mismo más indefensos. Por eso considero muy positivas todas esas reflexiones que nos ha trasladado y los trabajos que están desarrollando. Ahí la pregunta es ver si además desde
el punto de vista práctico están ya articulando las medidas para dar respuesta a esas cuestiones, porque normalmente -y desgraciadamente- la protección de los datos y de los derechos fundamentales solo es posible si hay también una cierta
posibilidad sancionadora real para que las entidades tengan claro que tienen la obligación de respetar esos derechos.
Hay un elemento fundamental, que usted también ha citado, que es la relación con el buscador Google. En concreto es un contencioso que se está produciendo a nivel europeo, y es uno de los elementos que es importante resolver, como puede ser
en general la relación con los grandes de Internet. Normalmente también la vulneración de los derechos personales se produce más bien con las grandes empresas, con las grandes corporaciones que con las pequeñas, y en Internet normalmente los
grandes de Internet son los que tienen una mayor posibilidad de vulnerar esos derechos, y es ahí donde habrá que centrar los esfuerzos.
Vuelvo al principio. Creo que es importante que sigan trabajando en esa línea y quizá también con esa prospección de futuro que no sé cómo se podría articular para de intentar adelantarse a los acontecimientos, cosa que si es complicado en
los espacios tradicionales, en el mundo de las redes sociales, de la nube, de Internet en general es todavía mucho más complicado, pero creo que a pesar de la complicación merece la pena intentarlo. Sin más, vuelvo a agradecerle su comparecencia y
su información.
El señor PRESIDENTE: Por el Grupo Catalán de Convergència i Unió tiene la palabra el señor Jané.
El señor JANÉ I GUASCH: En primer lugar, en nombre del Grupo Parlamentario Catalán de Convergència i Unió queríamos dar la bienvenida al director de la Agencia Española de Protección de Datos, don José Luis Rodríguez, en esta primera
comparecencia ante el Congreso de los Diputados para presentar la memoria desde que ostenta el cargo de director, del que pronto se cumplirá un año; recuerdo además perfectamente que tuvo ocasión de participar en la comparecencia previa que exige
la propia normativa antes de ser nombrado por el Gobierno, y no nos cabía ninguna duda a Convergència i Unió de su capacidad a la hora de poder profundizar y afianzar el necesario respeto al derecho a la protección de datos de la ciudadanía en
general. Por tanto entendemos que desde la agencia se está haciendo una buena labor, y valoramos también positivamente la memoria que hoy se nos ha presentado, destacando algunos aspectos de esta presentación. En primer lugar, es positivo el hecho
de que más personas se hayan dirigido a la agencia, esto demuestra de alguna manera que se la tiene presente en esa función tuitiva de un derecho fundamental, que es el derecho a la propia intimidad en ese ámbito de la protección de datos, y por
tanto es importante.
Es importante también -y yo lo quiero destacar de manera solemne- el hecho de que no estamos ante la única autoridad de protección de datos, existen agencias en el ámbito autonómico, Cataluña tiene también una Autoridad Catalana de
Protección de Datos; es necesario también que existan relaciones fluidas entre los distintos organismos, que persiguen una finalidad que es reforzar ese derecho fundamental y prevenir y dar amparo a aquellos que puedan sentir que se ha producido
una lesión a sus datos personales, que no deja de ser una lesión a su propio honor, en ocasiones a su propia intimidad, y la Constitución del año 1978 fue pionera en reconocer el alcance de ese derecho fundamental también en el ámbito de la
protección de datos. Por tanto lo valoramos positivamente y le pedimos esa estrecha colaboración en este caso con la Autoridad Catalana de Protección de Datos.
Nos queríamos centrar en algún aspecto concreto de la actualidad y también de la memoria que hoy se nos ha presentado. En primer lugar, el alcance europeo. Es cierto que se está avanzando hacia un nuevo reglamento a nivel de Unión Europea
que por tanto será aplicable a todos los Estados miembros, y cierto es también que nuestra normativa sobre la que yo tuve ocasión -no me atrevo a decir el honor, pero sí la ocasión- de participar como ponente en el año 1999 en esta Comisión
Constitucional -yo creo que don Juan Carlos Vera, que hoy es vicepresidente-, ya lo era entonces también de esa Comisión-, y pudimos asistir a un dictamen de Comisión de la Ley Orgánica de Protección de Datos un poco apresurado en lo que fue la
necesidad de aprobar una ley, ya había una normativa europea que también
debíamos adaptar, pero había un fin de legislatura ya a las puertas, y por tanto se hizo una tramitación apresurada del conjunto de nuestra ley orgánica que vino a sustituir a la anterior, tan apresurada que ni tan siquiera tiene exposición
de motivos, y esa asignatura pendiente que tenemos desde el año 1999 quizá ahora que vamos a tener ese nuevo reglamento europeo será una ocasión propicia para replantear también globalmente nuestra normativa, para que quede mejor clarificada la
potestad sancionadora, los tipos. Es verdad que en la Ley de Economía Sostenible hicimos una reforma para atemperar en ocasiones algún efecto muy duro en el ámbito sancionador que nos colocaba en una situación ante empresas menos competitiva que la
de otros países de la Unión Europea, y debemos en un momento de crisis económica velar para proteger también a nuestro sector empresarial, y por tanto hay que clarificar conceptos, clarificar sanciones, hay que darle un repaso general a la normativa
tras esos ya más de trece años de vigencia, y quizá será una buena ocasión, casi obligada, la propia aprobación en el ámbito de la Unión Europea de ese reglamento.
Cierto es también -y lo comentaba el director de la agencia- que Europa es parámetro para el mundo en el ámbito de la protección de datos, y de qué forma en Iberoamérica, que se está avanzando, se toma el modelo europeo como un modelo de
referencia. Yo me atrevería a decir que dentro de ese modelo europeo nosotros hemos sido muy pioneros, y por tanto también debemos poner en valor la actuación que todas las autoridades y la agencia en especial han venido realizando durante todos
estos años, sus directores y todo el equipo que acompaña a la agencia y que yo también quiero poner en valor, porque es todo un equipo que conoce la normativa, que conoce los supuestos, y que intenta en todo caso buscar mejoras.
También merecen una especial consideración algunos de los aspectos que el director hoy nos ha planteado como temas concretos. Ha hablado del derecho al olvido en Internet. Es cierto que Internet proporciona sobre todo a partir de los
buscadores muchísima información, y es cierto también que determinada información debería poder ser eliminada cuando ya no tiene una trascendencia pública. Cuántas veces subsisten en la red informaciones que después fueron rectificadas porque eran
falsas, en cambio la información original que afecta al honor de una determinada persona puede seguir apareciendo allí cuando realmente después resultó que era una información que no se adecuaba a la verdad. Con lo cual aquí hay que profundizar
muchísimo también en lo que es la garantía de ese derecho al olvido en Internet, quizá la expresión no es la más adecuada técnicamente, pero se puede entender cuál es la finalidad de la misma.
Ha hecho una especial mención al ámbito de protección de los menores. Es un sector muy vulnerable. Por tanto todas las autoridades públicas deberíamos poner un especial celo en el uso de las nuevas tecnologías la fácil adquisición por
parte de los menores de esas tecnologías que saben manejarse bien en la red, pero que en muchas ocasiones son menores que aún no tienen la formación global de su personalidad y no son conscientes de los riesgos que se les ocasiona. Es un esfuerzo,
y entre todos deberíamos profundizar sobre de qué manera exigimos mayores cautelas y prevenciones para evitar riesgos que podrían afectar a la formación de esa personalidad del menor, y sobre todo riesgos que pudieran atentar a su propia imagen y a
su intimidad. Por tanto aquí tenemos un camino por recorrer.
No ha hablado de ello, pero yo también quería poner en valor un aspecto de la memoria que hoy se nos presenta y que creo que también tiene una implicación en el ámbito de la propia intimidad, que son los llamados riesgos de la
geolocalización. Es cierto que todos tenemos un terminal de telefonía que permite incluso localizar y saber exactamente en qué sitio y en qué lugar se encuentra una determinada persona en todo momento, pero una mala utilización de las tecnologías
también podría conllevar un riesgo para la intimidad de las personas. Por tanto todos esos aspectos relativos a la geolocailización que la propia memoria explica van también en la dirección acertada.
Para terminar, señor presidente, quería trasladarle al director de la agencia dos temas concretos. Primero, cuál sería la posición de la agencia en relación con el proyecto de reglamento que se está ultimando en la Unión Europea y que el
propio director de la agencia ha expuesto también, pero en todo lo relativo a la imposición de multas económicas, de elevada cuantía a las administraciones públicas. Es una cuestión que está encima de la mesa, hasta ahora esas administraciones
públicas no eran receptoras de esas posibles elevadas sanciones económicas y nos gustaría conocer exactamente cuál es la posición de la agencia sobre esta futura normativa europea en lo que hace referencia a esa posibilidad de imponer multas de
elevada cuantía a las administraciones públicas.
Finalizo ya, señor presidente, con otro aspecto que le preocupa a Convergència i Unió y es el relativo al sector de asesoramiento que desde hace más de tres años está ante el llamado fenómeno del coste
cero. Se administran aquí unos fondos comunitarios, existe una fundación tripartita, pero una mala gestión o una mala utilización de estos fondos también podrían dañar en ocasiones lo que es la actividad de la protección de datos y la
propia imagen de la agencia, porque en ocasiones ha llegado información incluso de una posible suplantación de identidad de la propia agencia. Este es un tema que nos preocupa. Entendemos que la agencia en este ámbito debería tener una relación
fluida con la fundación tripartita, y nos gustaría conocer si esta relación ha existido o no. Debe velar en todo caso, -si se produjera ese uso de prácticas que podrían ser fraudulentas, si se utiliza la imagen corporativa de la agencia o se
intenta trasladar ante el mercado que quien actúa es la agencia o que se actúa en colaboración con la agencia-, por que en esa conocida LOPD a coste cero, toda cautela sea poca para evitar un uso fraudulento.
Termino ya, señor presidente, agradeciendo una vez más al director de la agencia su comparecencia y agradeciendo también al presidente que le hayamos dado un mejor encaje institucional, no haciéndolo a última hora de la noche de un día
previo a una festividad, sino una mañana en la que no hay Pleno en el Congreso y hayamos podido escuchar con mayor atención y mayor dedicación lo que desde la Agencia de Protección de Datos hoy se nos ha aportado.
El señor PRESIDENTE: Por el Grupo Parlamentario Socialista tiene la palabra la señora Batet.
La señora BATET LAMAÑA: Señor director, bienvenido a la Comisión Constitucional. Quiero agradecerle la petición puntual de su comparecencia, tal y como está obligado a hacer anualmente ante esta Comisión, y quiero agradecerle también toda
la información pormenorizada que nos ha brindado de la propia memoria y también sobre algunos temas puntuales, y me parece que la selección que ha hecho para ahondar en ellos y dedicarle un poco más de tiempo ha sido acertada.
Quiero empezar mostrando una especial preocupación sobre la sentencia del Tribunal Supremo en virtud de la cual se establece que la Agencia Española de Protección de Datos debe quedar fuera del Poder Judicial y el alcance de esa
interpretación que usted mismo destacaba sobre todo pensando en la actividad administrativa del propio Poder Judicial. A lo mejor sería interesante que, en la medida de lo posible -nos ha apuntado algo y ha dicho que a lo mejor el Legislativo
podría intentar resolver de alguna manera esta cuestión-, si puede dedicar a ello un poco en sus respuestas, nos dijera si hay otros ámbitos en los que puede pasar algo similar. Estoy pensando, por ejemplo, en el proyecto de ley que está en estos
momentos en la Cámara, el proyecto de ley de transparencia donde se establece que, respecto a la actividad administrativa, los tres poderes están sujetos a la ley de transparencia, y que por tanto tienen que responder a esta obligación. No sé si se
puede establecer un cierto paralelismo también en otras materias más allá de esta que le acabo de citar.
Quería empezar también poniendo en valor algunas cuestiones que usted mismo ha destacado. En primer lugar, el incremento de la demanda ciudadana y el incremento de alguna manera de la sensibilización social que hay respecto a un derecho tan
importante como es la protección de datos y el derecho a la intimidad, el derecho al honor, a la propia imagen, etcétera, consagrados en nuestra Constitución, y cómo la actividad creciente que ha sido demandada por la agencia ha sido respondida por
la misma. Sin haber aumentado los recursos humanos de los que dispone, la agencia ha sido capaz de mantener la calidad en la respuesta y en los tiempos a esta ciudadanía cada vez más sensible. En parte por la legislación europea que está en debate
y en parte por esta sensibilización que previsiblemente también irá creciendo, es posible que en un futuro bastante inmediato, no muy lejano, este incremento vaya a más y eso nos preocupa. Nos gustaría que usted hiciera una valoración de si cree
que la agencia dispone de los instrumentos y recursos suficientes como para enfrentarse a esta actividad creciente de la misma.
En segundo lugar, también quería poner en valor la proyección internacional que la propia agencia tiene y no solo la proyección, sino el reconocimiento internacional. Usted destacaba el papel que ha tenido en Iberoamérica. Por razones
históricas y culturales es una región del mundo con la que se tiene una relación intensa, y la Agencia Española de Protección de Datos ha sido claramente un referente para muchos países iberoamericanos. Es una buena noticia que toda la región de
Iberoamérica tienda a tomar como modelo el europeo más que por ejemplo el estadounidense.
En ese sentido, dado que estamos hablando de materias muy interrelacionadas e inmersas en un mundo globalizado, sería más positivo que algunos otros países con tradiciones distintas pudieran sumarse a esta tradición europea; y estoy
pensando principalmente en Estados Unidos.
En tercer lugar, quería poner en valor el acierto en la identificación de las prioridades y de los retos de futuro que en esta materia tiene la agencia, y todos nosotros como sociedad. Ha hablado por ejemplo de los menores y quería
preguntarle si cree que lo que se viene a llamar privacidad en el diseño puede
ayudar en este aspecto. Usted apuntaba algunas cuestiones sobre el DNI electrónico que parecían interesantes. Oíamos, por ejemplo, a algunos responsables de Facebook defender que cuando Facebook está abierto a menores el diseño es
relativamente distinto. Pero la pregunta inmediata es cómo saben que están tratando con un menor o con un adulto; es decir, qué mecanismos se pueden establecer para dar esa seguridad jurídica. Me parece que es uno de los elementos más importantes
que usted mismo ha destacado.
Para no alargarme excesivamente me gustaría centrarme en tres cuestiones que desde el Grupo Parlamentario Socialista valoramos como importantes y prioritarias. Una es la geolocalización. El señor Jané, portavoz de Convergència i Unió, se
ha referido a ello y creo que socialmente es uno de los elementos más preocupantes. Si no me equivoco, hubo un encargo de dictamen de la Comisión Europea para que este Grupo de trabajo de los veintinueve -o de articulo 29, como usted lo llamaba-
hiciera un estudio para ver en qué medida se solucionaba el problema o cómo se podía acotar el uso de esta información. Efectivamente cualquier ciudadano que lleva un terminal móvil, que es la inmensa mayoría, puede ser localizado en todo momento
sabiéndose dónde está.
En segundo lugar, quería hacer también mención al derecho al olvido, aunque usted lo ha explicado muy bien y con mucha profundidad. Decía que es un concepto plástico y yo diría que el problema que hemos tenido es que nos hemos adaptado al
lenguaje periodístico más que al jurídico y se pierde rigor y se pierden referentes en la legislación nacional, como es el derecho a cancelación o a oposición que usted mencionaba. Es verdad que entra mucho más fácil y puede ser manejado por muchos
más ciudadanos. No sé si está suficientemente garantizado en nuestra legislación -creo que no lo está-, y quería preguntarle por la nueva legislación que el reglamento europeo nos propone. Usted ha sido muy claro. Al final quien mayor
responsabilidad tiene para ejercer el derecho al olvido son los buscadores. Todos los que utilizamos Internet sabemos que al final se llega a una información a través de un buscador. Si estos buscadores quedan excluidos de la obligación de cumplir
este derecho, desde mi punto de vista es como no reconocer el derecho. Es decir, no será un derecho efectivo, y por tanto no se estará protegiendo a los ciudadanos y garantizando de verdad este derecho. Me parece que la redacción actual del
reglamento europeo no da estas garantías con claridad. Me gustaría saber cuál es su opinión; y no solo la suya como representante de la agencia española, sino también si usted conoce cuál es la sensibilidad de las otras agencias europeas porque al
final el hecho de que distintos Estados miembros tengan una misma visión sobre una cuestión puede ayudar a mejorar la redacción posterior de este reglamento.
Finalmente quería hacer referencia a la legislación europea. Usted ha dicho que en principio es una modificación absolutamente positiva y necesaria. Compartimos esta valoración y pensamos que sirve para actualizar una directiva de 1995 en
un contexto completamente distinto. Entonces el volumen de información era mucho menor y el criterio de territorialidad tenía algún sentido. En estos momentos el criterio de territorialidad no tiene sentido en ningún caso. También, como usted
decía, es verdad que es muy positiva para evitar la fragmentación actual de las distintas legislaciones europeas. Esto genera inseguridad jurídica para empresas y también para los ciudadanos y para darle la uniformidad necesaria, nos parece muy
acertado que sea un reglamento y no una directiva y también porque aclara el ámbito de aplicación. Usted ha destacado muchos otros elementos positivos -no me quiero alargar más en esto-, pero sí quiero destacar algunas cuestiones que nos preocupan
en el Grupo Parlamentario Socialista. Usted ha hablado de la ventanilla única. Compartimos su reflexión y pensamos que seguramente es muy positiva para simplificar la vida a las empresas, pero creo que conlleva algunos problemas inasumibles para
el ciudadano. Pero más allá de la ventanilla única quería hablar de dos o tres cuestiones. En primer lugar, el impulso de esta nueva legislación mediante un reglamento y una directiva -dos normas que en principio se quieren tramitar en paralelo-
nos parece positivo, pero nos preocupa cuál es la posición de los otros Estados miembros respecto a esta legislación. No sabemos si también ha sido percibida como algo positivo y necesario o si hay reticencias ya manifiestas de algunos Estados
miembros. Eso nos va a dar la pista de si esta legislación llegará a buen puerto -de momento no se ha aprobado- o de si se va a frustrar por el camino.
En segundo lugar, nos preocupa la regulación que se hace de la pymes, de las pequeñas y medianas empresas. Establece unos parámetros que desde la realidad española no nos parecen excesivamente acertados. Establece un parámetro de 250
trabajadores y esto querría decir que quedarían excluidas en España prácticamente el 90 % de las empresas. Además, no solo es una cuestión de umbral de número de trabajadores, sino que sería muy importante que hubiera criterios muy definidos en la
legislación europea para valorar realmente si son empresas que manejan datos sensibles. No es lo mismo una
zapatería que una clínica pequeña que puede tener ocho trabajadores, pero que dispone y trata con datos mucho más sensibles que un comercio al uso.
En tercer lugar, nos preocupan los excesivos poderes delegados que se da a la Comisión en este reglamento europeo. Nos parece que para no concretar cuestiones que a lo mejor estarían sujetas a debate y serían controvertidas, el reglamento
pospone la decisión y la deja en manos de la Comisión. Esto reduce la participación del Consejo y del Parlamento Europeo a la hora de desarrollar elementos que en algunos casos son esenciales. Esa es una de las cuestiones que en el proceso de
discusión de la normativa europea se debería abordar, y nos gustaría conocer si desde la agencia se ha hecho también alguna valoración al respecto.
Termino aquí. Quiero acabar volviéndole a agradecer su comparecencia y deseándole éxitos sucesivos como los que ha tenido durante este año. Esperamos que nos pueda responder al menos en parte a algunas de las cuestiones.
El señor PRESIDENTE: Por el Grupo Parlamentario Popular tiene la palabra doña Sara Cobos.
La señora COBOS TRALLERO: Quisiera dar las gracias al director de la agencia por su comparecencia en esta Comisión y por su exposición y explicación de la memoria de la agencia de 2011.
Señorías, vivimos en un mundo donde las cosas cambian constantemente y a una gran velocidad en todos los aspectos, pero posiblemente en el tema de la protección de datos todavía más, aunque pueda parecer lo contrario. Las nuevas tecnologías
han hecho que todo cambie de manera vertiginosa. Usted fue nombrado hace poco más de un año, adquirió esta responsabilidad, pero la agencia lleva tiempo trabajando y enfrentándose a estos nuevos retos. La agencia es un órgano independiente, que
cuenta con un gran número de profesionales y que trabaja para salvaguardar el derecho fundamental a la protección de datos. Tenemos una organización grande, con capacidad técnica y capacidad económica, con una ley orgánica que regula este derecho
desde hace años y, sin embargo y a pesar de lo que nos ha comentado del incremento del interés de los ciudadanos, el Grupo Parlamentario Popular considera que sigue habiendo un gran desconocimiento sobre esta materia. La mayoría de los ciudadanos
no sabe todo lo que engloba este derecho, no sabe muy bien a quién o dónde acudir; en definitiva no hay una concienciación de la materia. En la memoria habla usted de la guía del derecho fundamental a la protección de datos, de la colaboración con
los medios de comunicación, pero querríamos saber qué acciones se pueden tomar, qué puede hacer la agencia para que exista una mayor difusión, una mayor relación con las empresas, con los ciudadanos, porque en muchas ocasiones este desconocimiento
lleva aparejado el deber de cumplimiento.
Hemos escuchado su exposición y leído la memoria y vemos el trabajo y el esfuerzo de la agencia para facilitar el cumplimiento de la ley y para dar respuesta a las demandas de los ciudadanos. Entre los temas que destaca por el incremento de
las inspecciones y resoluciones de procedimientos están la morosidad, casos de fraude, aparición de datos en Internet sin consentimiento, fotos, videos o bases de datos ilegales que no se ajustan a la normativa. El objetivo de la agencia es la
seguridad jurídica, tema sobre el que queríamos que nos concretara alguna cuestión. A la vista de las recomendaciones hechas por las autoridades europeas de protección de datos sobre las políticas de privacidad y, en concreto, a la que usted ha
hecho referencia, a la política de privacidad de Google, ¿puede la agencia tomar alguna medida o ha llevado a cabo alguna actuación?
Otro tema al que ha hecho referencia usted y el resto de grupos y que al Grupo Parlamentario Popular le ha preocupado en otras ocasiones es el llamado derecho al olvido. Sabemos que se ha trabajado y se está trabajando, pero también es
cierto que sigue siendo muy sencillo grabar, colgar cosas en Internet, pero sigue siendo difícil borrarlo porque requiere tiempo y dinero. ¿Qué puede hacer la agencia para cambiar esto teniendo en cuenta además, como bien ha dicho, que en ocasiones
encontramos conflictos de derecho internacional?
Otra cuestión que puede plantear y plantea problemas de seguridad jurídica es la nube. La computación en nube conlleva beneficios económicos porque permite acceder a tecnologías que de otra manera son costosas, pero también representa un
reto para la protección de datos. Presenta riesgos por la falta de control sobre el uso de los datos de carácter personal y la falta de información acerca de cómo, dónde y quién realiza el tratamiento de estos datos.
Además de todo esto, me gustaría hacer alguna pregunta un poco más concreta y que nos explicara qué sucede en actividades, que ya ha mencionado, como las telecomunicaciones, servicios de Internet o, por ejemplo, la sanidad, para que se hayan
incrementado tanto los procedimientos y las resoluciones sancionadoras. ¿Qué impresión tiene el director de la agencia sobre cómo están cumpliendo los ciudadanos
las recomendaciones que se hacen? ¿Qué más podemos hacer para conseguir que se inscriban en los ficheros además de sancionar?
Somos conscientes del esfuerzo que está realizando la agencia y le animamos a seguir trabajando. Cuenta usted con un equipo de profesionales, aprovéchelo para beneficio de toda la sociedad española. (Aplausos).
El señor PRESIDENTE: Tiene ahora la palabra el director de la agencia para responder a las cuestiones que le han planteado los distintos grupos.
El señor DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Rodríguez Álvarez): En primer lugar, quiero agradecer a todos los portavoces e intervinientes las consideraciones que han hecho y el interés por la actividad de la agencia que
detrás de ella se encuentra. Intentaré dar respuesta en la medida de lo posible a todas las cuestiones que he anotado. Si en algún caso algunas se me quedaran en el tintero, sigo a su disposición para aclarar por otros cauces o mediante una visita
a la propia agencia cualquier cuestión que sus señorías consideren necesario completar, clarificar o simplemente conocer.
Le agradezco mucho, señor Larreina, su intervención y su valoración del trabajo que estamos realizando. Ha puesto el acento en el principal reto que tenemos ahora mismo todas las autoridades de protección de datos, que es mantener la
garantía de la protección de datos al ritmo en el que se está produciendo la evolución de las nuevas tecnologías. Todos sabemos el profundo cambio radical que nuestras sociedades han vivido en los últimos años. Estamos viviendo a un ritmo cada vez
más acelerado un gran cambio tecnológico, grandes avances en las tecnologías que traen muchas ventajas, de las que todos los días nos beneficiamos, pero que al mismo tiempo comportan riesgos crecientes para la esfera de la privacidad. El derecho
que protege esa esfera no ha avanzado, es decir, no se ha reformado y actualizado al mismo ritmo, por tanto las autoridades de protección de datos estamos obligadas a tratar situaciones nuevas con un instrumental que es de épocas anteriores a esta
evolución. Nuestro empeño diario es intentar afrontar los nuevos retos con el instrumental del que disponemos, de ahí que sea tan importante contar con un nuevo marco normativo, un marco que necesariamente tiene que ser europeo, actualizado y
adaptado a la nueva realidad y que nos ofrezca a las autoridades la posibilidad de reaccionar frente a estas nuevas situaciones con instrumentos de nuestro tiempo y que impida también que quienes operan a gran escala -hacía usted referencia también
a las grandes compañías- intenten aprovechar esa debilidad del ordenamiento para impugnar las actuaciones de las autoridades.
Gran parte de los problemas que tenemos actualmente planteados se pueden afrontar con los instrumentos que tenemos, pero, al no estar actualizados, estos instrumentos son más fácilmente cuestionables, y se están cuestionando, sobre todo por
las grandes corporaciones. Eso exige una actuación del legislador para poder dotarnos de instrumentos más eficaces. Entretanto -haré referencia a esto en contestación también a otras preguntas que se me han hecho-, la fórmula más eficaz es siempre
la coordinación de todas las autoridades de la Unión Europea, lo que nos permite afrontar problemas, retos que son supranacionales con un mismo planteamiento. En esta línea, celebro que estemos avanzando mucho en los últimos meses. Cada vez las
autoridades europeas estamos actuando de una forma más coordinada y, por tanto, a la altura de los retos que se nos plantean.
Agradezco mucho al señor Jané las consideraciones que ha hecho, la valoración de la actuación de la agencia en este año, y le puedo asegurar que desde la agencia mantenemos una colaboración muy estrecha, y en mi mandato se va a seguir
manteniendo, con todas las autoridades o agencias autonómicas de protección de datos. Lo he hecho así con el equipo de la anterior directora de la autoridad catalana y desde el momento en que ha sido nombrada la nueva directora hemos iniciado un
estrecho trabajo de colaboración, de cooperación, al igual que ha sucedido con la autoridad de las otras dos comunidades que tienen autoridad de protección de datos, Madrid y País Vasco.
Periódicamente se reúnen los grupos técnicos. Hay grupos de trabajo por áreas que tienen reuniones semestrales y una vez al año tenemos además una reunión de directores para realízar análisis. Estas son reuniones formales. Lo más
importante es que afortunadamente los tres directores de las autoridades autonómicas y el director de la agencia estatal tenemos una relación personal muy fluida que facilita el intercambio continuado de criterios y el flujo de la información desde
el claro deslinde de competencias, porque no hay solapamiento de competencias entre la autoridad estatal y las autoridades autonómicas.
En cuanto a la normativa europea, me suscita la cuestión del nuevo régimen sancionador y su impacto sobre el sector de la Administración o sector público. Tanto en la regulación actual como en la regulación
proyectada existe una parte de la normativa, que es la parte básica, la parte general, que es aplicable por igual al sector público y al sector privado, y también existen en la normativa actual algunas especialidades -nosotros las tenemos
también en nuestra normativa española- para el sector público. En el proyecto de reglamento esas especialidades para el sector público en la regulación material se acentúan, es decir, hay alguna especialidad más para el sector público. Se les da
más flexibilidad, por ejemplo, para tratar con finalidades distintas de aquellas para las cuales han sido recogidos los datos, y también se confiere a los Estados la posibilidad de excepcionar el régimen de los derechos de los interesados en algunos
supuestos. Además, en otros supuestos también a las autoridades públicas se les exime de la obligación de realizar evaluaciones de impactos. Son cuestiones que las autoridades de protección de datos, en la evaluación que hemos hecho del proyecto,
no hemos valorado positivamente. Creemos que si se conceden más especialidades al sector público, deben precisarse, acotarse mucho mejor los ámbitos de estas especialidades o estas exenciones del régimen general.
Es cierto que en la nueva normativa no se mantiene la distinción que actualmente hay en algunos Estados en el régimen de sanciones. Actualmente, como bien saben, en la normativa española el derecho aplicable es el mismo, con algunas
especialidades como les decía, el control es el mismo para el sector público y para el sector privado -es decir, cuando hay una denuncia o una investigación se aplican los mismos parámetros-, pero la diferencia radica en que cuando se constata la
infracción al sector público se le declara la misma, se exige que adopte las medidas necesarias para poner término a la infracción, se le requiere para ello y además se le requiere que informe a la agencia, y la agencia informa además al Defensor
del Pueblo, pero no se le imponen sanciones económicas. Este es el modelo que actualmente tenemos en España.
En el proyecto se prevé un régimen de sanciones económicas sin distinguir entre el sector público y el sector privado y obviamente esto es un cambio significativo que deberá ser valorado. Hay buenas razones para mantener el sistema que
tenemos en España. Básicamente siempre se ha entendido que, al tratarse de un presupuesto público, en definitiva podría entenderse que es una caja única y tiene poco sentido imponer sanciones a administraciones públicas para que vayan a la caja de
la Administración General del Estado o de la Administración pública en general, y sobre todo siempre se ha entendido que, si se impone una sanción económica a una Administración -pensemos por ejemplo en un ayuntamiento-, puede existir un riesgo de
que esa sanción afecte al normal funcionamiento de los servicios y que en última instancia quienes realmente se vean afectados por la sanción impuesta a la Administración pública sean los ciudadanos. Estas son las razones por las que en España
hasta ahora hemos optado por no imponer sanciones económicas a la Administración pública cuando se producen infracciones del régimen de protección de datos, pero también es cierto que desde el sector privado esto se considera un agravio comparativo
y continuamente tenemos quejas, en parte fundadas, que cuestionan este distinto trato.
Hay otros países, señaladamente el Reino Unido, donde se imponen sanciones también a las administraciones públicas; incluso la autoridad británica está imponiendo más sanciones en el sector público por cuantía que en el sector privado. Por
lo tanto, en Europa tenemos distintas culturas. Ahora estamos en un momento en el que, si se regula en un reglamento, habrá que optar -esto es también un ejemplo más de la fragmentación a la que antes hacía referencia- por un régimen único para
toda la Unión Europea. Creo que hay buenas razones para una fórmula y para la otra, y es una cuestión que tiene que sopesar el legislador; quien tiene la potestad para esto tiene que tomar una decisión. Si al final se opta por imponer sanciones
también a las administraciones públicas, lo que sí será necesario es introducir algunos cambios en el proyecto actual, porque, si bien prevé que en determinados casos las sanciones se podrán girar en función de los ingresos de las empresas, en
relación con el sector público no hay ninguna previsión de modulación en relación, por ejemplo, con su presupuesto. Por lo tanto, si se aplica esta fórmula al sector público, sí será necesaria alguna modulación. Tampoco está prevista la figura de
apercibimiento, que sí se prevé para el sector privado en el proyecto de reglamento, para el sector público. Yo creo que, si se opta por esta fórmula, sí tendríamos que tener un régimen armonizado para los dos sectores.
Comparto prácticamente el resto de todas sus observaciones. Le agradezco la valoración -como la del resto de los grupos parlamentarios- y el apoyo que implica para la actuación de la agencia, para su director y para todo el personal que
trabaja en ella que sus señorías vean con buenos ojos y apoyen las actuaciones que se están realizando. Es muy importante para nosotros saber que estamos trabajando en la buena dirección y yo creo que, si no lo he interpretado mal, debo agradecer a
todas sus señorías intervinientes el apoyo que han dado a la agencia en esta línea.
En cuanto a la cuestión a la que ha aludido del denominado fenómeno coste cero o la suplantación de identidad de la agencia, son dos cuestiones diferenciadas. Se han dado algunos casos en los que determinadas entidades, corporaciones,
consultorías o particulares han intentado hacer un uso indebido de la imagen o del logo de la agencia. En esto hemos reaccionado siempre con absoluta contundencia. La agencia no permite a ninguna institución, despacho, corporación, consultoría o
entidad privada utilizar el logo de la agencia en sus actuaciones. Siempre que hemos tenido conocimiento de que se producía alguna actuación de este tipo hemos enviado inmediatamente un requerimiento y hasta ahora siempre ha sido atendido. Se han
dado también algunos casos un poco más preocupantes de cierto intento de suplantación de la identidad de la agencia, bien sea por el uso de denominaciones o bien sea porque públicamente, en escritos enviados a sujetos obligados, se presentaban como
si actuaran en nombre de la agencia. En los dos casos de los que hemos tenido conocimiento hemos dado traslado a la fiscalía con carácter inmediato.
En cuanto a la cuestión a la que ha aludido de la existencia de entidades o de empresas o particulares que hacen un asesoramiento financiado con fondos que no iban inicialmente destinados al ayuntamiento, efectivamente es un tema que nos
preocupa y del que hemos tenido conocimiento por algunas denuncias que han llegado a la agencia. En concreto, hemos tenido conocimiento de once empresas relacionadas con esta problemática, pero es un ámbito en el que la agencia española no tiene
ninguna competencia, ninguna posibilidad de actuar porque no está dentro de la esfera de sus funciones o de sus competencias fiscalizar si las empresas que prestan asesoramiento lo hacen con arreglo a la normativa o no. Por lo tanto, todos estos
supuestos de los que hemos tenido conocimiento los hemos remitido a la Dirección General de Servicio Público de Empleo Estatal, en concreto a la directora general del mismo, que ostenta la presidencia de la Fundación Tripartita, de donde, según se
indica en estas denuncias, proceden los fondos. Me consta, porque me ha sido comunicado personalmente por la propia directora, que ha emprendido actuaciones al respecto. Sobre el contenido y el resultado de estas actuaciones no le puedo precisar
más, solo sé que se han emprendido actuaciones, porque así me ha sido trasladado por la responsable del órgano, y le reitero que, desgraciadamente, porque sí nos preocupa, la agencia en esto no tiene competencias. Por lo tanto, ni siquiera podemos
entrar a verificar la certeza o el grado de vulneración que en un caso o en otro se puede producir del ordenamiento.
En cuanto a la intervención de la señora Batet, quiero agradecerle también muy sinceramente sus consideraciones y la valoración que ha hecho de la actuación de la agencia. Me suscitaba cuestiones de mucha relevancia, pero no sé si el
presidente me permitirá seguir abusando de su paciencia y de la de todos ustedes para poder tratarlas todas. La sentencia del Tribunal Supremo que establece la falta de competencia de la agencia en el ámbito de la Administración de Justicia
efectivamente crea una situación que urge resolver, porque es necesario que en un sector tan amplio y tan relevante como el de la Administración de Justicia no solo reciba aplicación la legislación de protección de datos, que en principio la recibe
porque la legislación de protección de datos sigue estando vigente en el sector de la Administración de Justicia, sino que también exista un órgano que esté verificando la aplicación y un órgano que pueda responder a las demandas y a las quejas de
los ciudadanos en este ámbito. Hemos iniciado -como les decía- un trabajo conjunto con el Consejo General del Poder Judicial que nos permite en una primera aproximación deslindar algunas cuestiones, pero la conclusión compartida es que sin la
intervención del legislador es muy difícil clarificar el deslinde competencial después de la sentencia del Tribunal Supremo. Por lo tanto, hemos trasladado esta cuestión también al Gobierno, me consta que se está analizando y que en su caso se
adoptará una iniciativa.
En cuanto al incremento de la actividad de la agencia, he hecho referencia al crecimiento producido el pasado año 2011, pero si tomamos como punto de partida el año 2008, entre 2008 y el presente la entrada en la agencia de asuntos se ha
duplicado y desde 2008 hasta hoy en día no se ha producido ninguna alteración en la plantilla, seguimos teniendo la misma plantilla que en el año 2008. Por lo tanto, quiero aprovechar esta ocasión para trasladar a sus señorías también mi
reconocimiento personal a los funcionarios y a todos los trabajadores de la agencia por el enorme esfuerzo que están haciendo para asumir esta nueva carga de trabajo.
La situación actual es ya una situación crítica y recientemente hemos recibido nuevas competencias en relación con las brechas de seguridad y en relación con las cookies y la publicidad conductual. Si a ello se suma, como se ha anunciado,
el retorno de las competencias de una comunidad autónoma, obviamente la situación se va a agravar. Por lo tanto, sin necesidad de esperar a los cambios que vaya a producir la aprobación del nuevo reglamento europeo, va a ser muy difícil en los
próximos años continuar manteniendo
el nivel de atención y de calidad que actualmente se está dando si esto sigue creciendo así y si no disponemos de más recursos, personales sobre todo, porque los recursos materiales se pueden optimizar, los estamos optimizando, a pesar de
que este año, y es una cuestión a la que no he hecho referencia, tenemos un fuerte impacto en nuestro presupuesto como consecuencia de la aplicación retroactiva del régimen sancionador que antes les mencionaba, por el hecho de que haya que devolver
cantidades ingresadas y que luego han sido anuladas por la Audiencia Nacional al aplicar retroactivamente el régimen sancionador. Por poner un ejemplo, todas las sanciones graves en las que se había impuesto la sanción mínima de 60.000 euros, con
el nuevo régimen sancionador automáticamente se tienen que rebajar a 20.000 euros. Esto hace que continuamente tengamos, como les decía, 80 de las 90 sentencias parcialmente desestimatorias de la Audiencia Nacional, que lo que hacen es aplicar
retroactivamente -como no puede ser de otro modo- el nuevo régimen sancionador a aquellos supuestos que todavía no son firmes. Esto está teniendo también un impacto presupuestario que ha obligado este año a reducir mucho las actividades, porque los
recursos han de destinarse a la devolución de los intereses. De ahí también que hayamos tenido que incrementar el capítulo dedicado a gastos financieros, que es con arreglo al cual se devuelven los intereses. Pero esta es una situación
transitoria, por lo tanto, los recursos materiales se pueden seguir aprovechando; en lo que puede haber graves problemas será en relación con los recursos personales.
Comparto plenamente la necesidad de incorporar -y sobre esto podría hablar porque es uno de mis temas predilectos- el principio de privacidad desde el diseño cuando se desarrolla un nuevo producto, un nuevo servicio. Al igual que se hacen
valoraciones de seguridad o de impacto ambiental si tiene incidencia en la privacidad o en la protección de datos, debería hacerse una valoración del impacto de privacidad, porque cualquier corrección que se tenga que hacer posteriormente siempre va
a ser mucho más costosa. Además, con la privacidad desde el diseño se evitarán lesiones cuando esa aplicación, ese servicio se implante.
En cuanto al derecho a olvido -ya he expuesto el enfoque que estamos haciendo en la agencia- quizá solo añadir que esta es una cuestión que a mi juicio está comenzando. Estamos ahora viviendo los primeros efectos de un gran cambio que se
está produciendo en nuestras sociedades y es que la memoria digital es una memoria ilimitada, cada vez es más económica y permite guardar la información con mucha facilidad y transmitirla con mucha facilidad. Nunca en la historia de la humanidad ha
pasado esto siempre ha sido muy costoso conservar información y transmitirla. Ahora en muchos casos es más económico guardar información que borrarla. Si a eso se añade que Internet pone en conexión las memorias virtuales con independencia de cuál
sea el lugar en el que se encuentran emplazadas- no hay barreras geográficas para la información- y sobre Internet actúan unos proveedores de servicios sumamente útiles como los buscadores, que nos permiten acceder a la información de una manera
selectiva, nos encontramos con que la información hoy está accesible para cualquier persona con independencia del momento en el que se haya producido, sea hace quince o veinte años; del lugar en el que esa información se genere, sea un lugar
próximo o lejano; de la relevancia pública que tenga esa información. Esto está empezando a generar -de ahí viene la demanda creciente de la ciudadanía- una petición de poder tener también una capacidad de control sobre esa información. De hecho,
el derecho a la protección de datos personal consiste en reconocer a las personas un poder de control o disposición sobre su información personal.
Ocurre que, con la evolución de Internet y con la aparición de los buscadores, este poder de control cada vez es más difícil porque cada vez es más la información que está disponible y es más difícil, como bien decía la señora Cobos,
borrarla o tener un control efectivo sobre ella. De ahí que tengamos que continuar perfeccionando las técnicas para seguir garantizando un poder de disposición efectivo en este nuevo contexto, que es radicalmente distinto, y de ahí que tengamos que
exigir a todos los intervinientes una actuación responsable y un compromiso con los daños que están causando. En este sentido los buscadores son, obviamente, parte del problema y tienen que contribuir a la solución. Muchos casos se pueden resolver
quitando la información o bloqueando el acceso en la web original donde se ha puesto inicialmente a disposición esa información. Pero, aunque eso se haga, es necesario que los buscadores inmediatamente la retiren de los resultados de sus búsquedas
porque muchas veces que esa información siga estando localizable durante quince días o un mes supone que continúa la lesión de los derechos de una persona durante esos días. Piensen en alguno de los casos que hemos tenido que atender en la agencia
como, por ejemplo, el de una mujer que ha sido víctima de violencia de género que de repente se encuentra con que la información de su domicilio está disponible en Internet porque el colegio al que iba su hija, en aras de la transparencia, ha
publicado los nombres y los domicilios de los beneficiarios de las
becas de comedor. Obviamente, aunque el colegio lo retire de su página web de manera inmediata, si el buscador no lo retira de su caché y lo sigue ofreciendo durante un tiempo, los días que sean, sigue existiendo un grave peligro y una
grave lesión para esa persona que ha buscado el anonimato en una nueva residencia. Podría ponerles otros ejemplos similares.
Es muy importante que las empresas que prestan estos servicios y que obtienen grandes beneficios por ello estén a la altura de la responsabilidad que contraen con la sociedad. No digamos en los casos en los que la información se pone a
disposición fuera del ámbito territorial de la autoridad nacional o incluso del ámbito territorial de Europa. Esa información, colocada en un país lejano, no puede ser borrada del original, de la web donde se publicó inicialmente. Por lo tanto,
solo los buscadores pueden poner término a la lesión que se ha generado con la difusión indiscriminada de esta información.
En cuanto a la intervención de la señora Cobos, le agradezco muy sinceramente todas las valoraciones que ha hecho de la actuación de la agencia. Créame que no solo las comparto sino que suscribo el gran valor, la calidad profesional y
humana del personal que trabaja en la agencia y sobre todo una cosa que yo cada vez valoro más, el compromiso con el trabajo que se está realizando en un contexto complejo. Cada vez tenemos nuevos retos, nuevas amenazas que requieren estar
continuamente actualizando los conocimientos y diseñando medios, procedimientos para intentar combatir esas amenazas. Probablemente todavía no haya el conocimiento suficiente de la protección de datos en España y es necesario avanzar en las
acciones de difusión y de concienciación. Nosotros, como decía, tenemos esto como una línea estratégica. Este año, también por restricciones no tanto presupuestarias sino por tener que dedicar los recursos a compensar los efectos de la aplicación
retroactiva del régimen sancionador, no hemos podido completar algunos proyectos que están ya diseñados y que saldrán el próximo año. Continuaremos trabajando, pero aquí tenemos que buscar cómplices; tenemos que buscar entidades e instituciones,
comenzando por los medios de comunicación, que están trabajando en una línea correcta. Necesitamos seguir avanzando porque la agencia sola no puede llegar a difundir, la necesidad de la protección de este derecho y todas las implicaciones que
conlleva. Es un derecho y un régimen jurídico que tiene muchas especialidades según el sector sobre el que se proyecta. No es lo mismo el ámbito de la sanidad que el ámbito laboral, que por supuesto el ámbito de las nuevas tecnologías y de
Internet. Esto requiere informaciones, guías y documentos específicos para el sector.
En cuanto a la seguridad jurídica y a las políticas de las grandes corporaciones y qué posibilidades tiene la agencia de actuar, como les decía, en el ámbito de las autoridades europeas del Grupo 29, que se llama así porque está regulado en
el artículo 29 de la directiva ya sé que resulta un poco exótico hablar del Grupo 29, pero para nosotros es un termino familiar, siempre hablamos del Grupo 29, el grupo que reúne a las autoridades de todos los países de la Unión Europea y que está
previsto en el artículo 29 de la directiva actualmente vigente-, hemos acordado realizar actuaciones conjuntas, en la medida de lo posible, cuando se trata de corporaciones que destinan servicios a usuarios en todo el ámbito de la Unión Europea. En
este año ya hemos realizado dos actuaciones; se encarga a una autoridad la ejecución pero todas participamos en el diseño y en la valoración. Obviamente, no todas compartimos al final al cien por cien las conclusiones que se extraen, pero creemos
que es la fórmula más eficaz de afrontar los retos que plantean las grandes corporaciones. Así lo hemos hecho con Facebook, así lo hemos hecho con Google y si esta vía da frutos tendrá preferencia sobre la actuación de las autoridades nacionales.
Si no se atiende a las consideraciones, a las recomendaciones o a las exigencias que hemos planteado por esta vía, tendremos que empezar a actuar las autoridades nacionales.
La computación en nube. Este es otro de los temas que me gustaría haber tratado porque es otro de los grandes retos, pero veo que estoy abusando excesivamente del tiempo. Es una de las grandes cuestiones que en la próxima comparecencia
desarrollaré; en cualquier caso podemos hablar de ello cuando deseen. ¿Qué hemos hecho en la agencia? Cuando ha empezado a ofertarse este tipo de servicios, lo primero que hemos hecho es convocar una consulta pública para conocer exactamente
cuáles son las necesidades, cuáles son los problemas que tanto los prestadores como los usuarios tienen en España en relación con la computación en nube, luego hemos trabajado conjuntamente con el resto de las autoridades europeas en la elaboración
de criterios comunes y hemos aprobado un dictamen conjunto sobre cloud computing, que establece ya las bases del análisis que vamos a hacer todas las autoridades de la Unión Europea en relación con este fenómeno. Ahora estamos en la fase en la que
las autoridades nacionales y también la agencia española van a hacer públicas unas guías, unas consideraciones para dar certeza, para dar seguridad jurídica a los usuarios del cloud computing y también para dejar claro cuáles son las
responsabilidades y cuáles son las garantías que tienen que ofrecer los proveedores en
este ámbito. Es un sector muy relevante que supone un gran avance, que tiene multitud de ventajas, pero esta evolución, tiene que ir siempre acompañada de una protección efectiva de la privacidad.
Creo que he contestado a las cuestiones más relevantes pero si hubiera alguna que considere cualquiera de ustedes que he de profundizar en ella, ahora mismo, si el presidente me lo permite, o cuando ustedes tengan a bien, podré atenderles.
El señor PRESIDENTE:. Muchísimas gracias, señor Rodríguez Álvarez por su presencia hoy aquí. En posteriores comparecencias tendremos ocasión de ir aclarando y avanzando en estos temas.
Ruego a los miembros de la Mesa que se queden porque vamos a tener una reunión de Mesa.
Se levanta la sesión.
Era la una y veinte minutos de la tarde.