Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 448, de 27/02/2018
cve: DSCD-12-CO-448
PDF
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2018 XII LEGISLATURA Núm. 448
JUSTICIA
PRESIDENCIA DEL EXCMO. SR. D. PABLO MATOS MASCAREÑO VICEPRESIDENTE PRIMERO
Sesión núm. 35
celebrada el martes,
27 de febrero de 2018
ORDEN DEL DÍA:
Comparecencias en relación con el proyecto de ley orgánica de protección de datos de carácter personal. Por acuerdo de la Comisión de Justicia. (Número de expediente 121/000013):
- De la señora directora de la Agencia Española de Protección de Datos (España Martí). (Número de expediente 212/001158) ... (Página2)
- Del señor Piñar Mañas, catedrático de Derecho Administrativo de la Universidad CEU San Pablo, delegado de protección de datos del Consejo General de la Abogacía. (Número de expediente 219/001034) ... (Página16)
- Del señor López Calvo, delegado de protección de datos de Centro Superior de Investigaciones Científicas (CSIC), exsubdirector general de la Agencia de Protección de Datos. (Número de expediente 212/001159) ...
- Del señor Villaverde Menéndez, catedrático de Derecho Constitucional de la Universidad de Oviedo. (Número de expediente 219/001035) ... (Página30)
Se abre la sesión a las tres y cinco minutos de la tarde.
COMPARECENCIAS EN RELACIÓN CON EL PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. POR ACUERDO DE LA COMISIÓN DE JUSTICIA. (Número de expediente: 121/000013):
- DE LA SEÑORA DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (ESPAÑA MARTÍ). (Número de expediente 212/001158).
El señor VICEPRESIDENTE (Matos Mascareño): Señorías, buenas tardes.
Damos comienzo a la sesión de la Comisión de Justicia convocada para la celebración de comparecencias en relación con el proyecto de ley orgánica de protección de datos de carácter personal, y lo hacemos, en primer lugar, dando la bienvenida
a doña Mar España, directora de la Agencia Española de Protección de Datos.
Antes de dar la palabra a la señora España, quiero comunicarles a todos que la presidenta de la Comisión, Isabel Rodríguez, ha dado a luz a una niña esta mañana y quiero que conste en el Diario de Sesiones la enhorabuena de la Mesa y de
todos los miembros de la Comisión, enhorabuena que le haremos llegar.
Sus señorías conocen el trámite. Intervención de la compareciente, intervención de los portavoces de los grupos parlamentarios por un tiempo de cinco minutos y contestación por parte de la señora España a las preguntas y cuestiones que se
le planteen.
Tiene la palabra.
La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España Martí): Muchas gracias, presidente.
En primer lugar, quería agradecer a los diferentes grupos parlamentarios la premura en haber acordado la celebración de las comparecencias empezando por una semana en la que no hay Pleno.
Como todos ustedes saben, el 25 de mayo de este año -quedan menos de tres meses-, el reglamento general de protección de datos producirá plenos efectos en nuestro país. El reglamento -que desplaza y por tanto hace inaplicable cualquier
norma de derecho interno que no resulte plenamente conforme al mismo- supone un cambio sustancial en el régimen jurídico de la protección de datos de carácter personal. Ese cambio querría sintetizarlo en tres aspectos esenciales. En primer lugar,
se refuerzan las garantías para que el interesado vea salvaguardado su derecho y pueda hacerlo valer ante quien trata sus datos. Se establece un marco mucho más desarrollado de figuras tales como el consentimiento o la información -ahora ya
convertida en un derecho-, vinculado al principio de transparencia o se reconocen nuevos derechos tales como los de limitación o la portabilidad. En segundo lugar, el reglamento cambia el modelo de cumplimiento de las normas de protección de datos
de carácter personal de forma sustantiva; desde un modelo tradicional de verificación del cumplimiento, en que quienes trataban datos personales estaban sujetos a una serie de obligaciones legales previamente tasadas y determinadas se evoluciona a
un modelo mucho más flexible basado en el principio de responsabilidad activa. En este nuevo modelo no existirán ya listas predeterminadas de cumplimiento, por lo que aquellos, tanto responsables como encargados, habrán de valorar qué medidas
concretas deberán aplicar a cada tratamiento que lleven a cabo para garantizar plenamente este derecho fundamental. En tercer lugar, el reglamento modifica el régimen de supervisión, ya que siendo uno de los principales objetivos el logro de una
aplicación homogénea a diferencia de la directiva en toda la Unión Europea, las autoridades estaremos obligadas a cooperar no solo en la fijación de los criterios para su interpretación sino en su aplicación en el caso concreto de que varias
autoridades puedan verse afectadas como consecuencia de un determinado tratamiento. Esta obligación de cooperación se regula en los complejos procedimientos de cooperación y coherencia. Por primera vez, la Unión Europea ha logrado garantizar un
derecho fundamental, ha establecido un procedimiento que va a implicar importantes consecuencias en nuestro derecho administrativo, por el cual, aparte de que -luego lo comentaré con más detalle- tengamos que tramitar todos los procedimientos en
inglés, estamos obligados a cooperar en diversos trámites del procedimiento con las veintiocho actuales autoridades nacionales de protección de datos. En este procedimiento se otorga un papel especialmente relevante al Comité Europeo de Protección
de Datos y, en última instancia, al Tribunal de Justicia de la Unión Europea.
Todos estos cambios imponen a los Estados miembros la necesidad de que su derecho interno se adecue al nuevo modelo previsto en el reglamento. Para el logro de este fin se ha elaborado el proyecto de ley orgánica de protección de datos.
Estoy segura de que el compareciente que acudirá a continuación, José Luis Piñar, contará con mucho más detalle el procedimiento en la ponencia destinada al efecto por el ministro, de la que, como ustedes saben, la agencia ha formado parte activa
para presentar un primer borrador de anteproyecto a la Comisión General de Codificación.
Me centraré ya en los objetivos concretos del texto del anteproyecto. ¿Qué pretendemos con ese texto? A mi juicio, el proyecto trata de cumplir cinco propósitos esenciales. El primero de ellos, como no podía ser de otra manera y así
especifica el artículo uno, es adaptar el derecho español al modelo establecido en la norma de la Unión, siempre, como es lógico, dentro de los límites que tanto el propio texto como las instituciones de la Unión otorgan a los Estados miembros y
como recuerda el Consejo de Estado en el dictamen reciente que dio al anteproyecto. Un ejemplo evidente y para mí esencial como responsable de la agencia de esta necesaria adaptación lo encontramos en la regulación de los procedimientos y el
régimen sancionador. Este es un punto clave en el cual quiero trasladar a sus señorías la importancia de que tengamos aprobada la ley para poder continuar con el reto sustancial que supone para todas las autoridades nacionales de control la
regulación de los procedimientos transfronterizos. El modelo español, basado en la legislación del procedimiento administrativo común a través de la ya conocida Ley 39/2015, resulta inaplicable a procedimientos que exigen el intercambio continuo de
información y la búsqueda de soluciones consensuadas de las autoridades de control involucradas o la intervención, cuando proceda, del Comité Europeo de Protección de Datos. De este modo, en caso de encontrarnos ante los procedimientos
transfronterizos, hay diferentes fases del procedimiento donde deberemos cooperar en inglés, como decía anteriormente, con las diferentes autoridades principales, bien porque seamos autoridad principal o bien porque seamos autoridad interesada en
los diferentes procedimientos transfronterizos -hay siete modalidades distintas, no voy a aburrir a sus señorías con esta casuística- donde seamos autoridad local aunque la autoridad principal sea la autoridad nacional de otro Estado miembro. La
primera de esas fases será decidir, en cualquier caso, si somos la autoridad principal o si pudiéramos ser autoridad interesada en los miles de procedimientos que puedan estar tramitando en paralelo las diferentes autoridades nacionales y, una vez
que seamos la autoridad principal, la siguiente fase en la que deberemos ponernos de acuerdo es en si es conveniente solicitar la asistencia de otras autoridades para recavar información o realizar conjuntamente actuaciones de investigación. A
continuación, cuando la fase de actuaciones de investigación ya esté realizada, habrá una tercera fase esencial, que es cuando la autoridad principal elabore o bien el acuerdo de inicio del procedimiento sancionador o bien ya directamente el
proyecto de decisión donde las restantes veintisiete autoridades podrán oponer objeciones, si se consideran autoridades interesadas, al proyecto revisado de decisión en un plazo de cuatro semanas; si aun así persistiera el desacuerdo, esa decisión
final deberá adoptarse por el Comité Europeo de Protección de Datos.
Todas estas especialidades y complejidades hacen que estos tipos de procedimiento, que como decía son siete en el ámbito de los procedimientos transfronterizos, pudieran paralizar durante periodos prolongados el logro de los acuerdos o la
realización de las actuaciones que se han señalado. Con las normas básicas del procedimiento administrativo común de las que disponemos en este momento, ello no implicaría la suspensión del procedimiento, de ahí que el proyecto de ley regule
expresamente la suspensión del procedimiento en los diferentes trámites en que se pueden encontrar los procedimientos transfronterizos. En este sentido, para mí, como responsable de la agencia, insisto, es imprescindible establecer un régimen
jurídico especial adaptado al modelo del reglamento, dado que en caso contrario el procedimiento estaría abocado a su caducidad como consecuencia de esos trámites exigidos por el reglamento. De ahí que el artículo 63 del proyecto de ley establezca
que el régimen jurídico a este tipo de procedimientos administrativos será lógicamente el del reglamento general de protección de datos, el propio del proyecto de ley y, subsidiariamente, se le aplicarán las normas generales de procedimiento
administrativo común. No estamos hablando de casos aislados. Para que se puedan hacer una idea, en la agencia -ya presentaré la memoria de gestión de 2017 en la Comisión Constitucional- recibimos el año pasado 10 571 entre denuncias y tutelas de
derecho, y por las primeras estimaciones que tenemos del Grupo de trabajo del artículo 29 calculamos -eso lo tendremos que ir valorándolo a partir del 25 de mayo, que es cuando nos enfrentaremos a la cruda realidad- que el número de procedimientos
transfronterizos que podrían llegar a producirse se encontrarían entre los 17 000 y los 20 000. Es decir, a partir del 25 de mayo es muy probable que la gestión habitual de la agencia se duplique o se triplique, de
ahí que necesitemos establecer el régimen jurídico lo antes posible. Además, dado el peso que tiene España en la Unión Europea, es muy probable que tengamos la condición de autoridad principal o interesada en un alto porcentaje de los
procedimientos. Esto hay que sumarlo al carácter extraterritorial de la aplicación de reglamento que, a diferencia de la legislación actual, se aplica no solo a los responsables o encargados que tengan un establecimiento o dispongan de medios en
nuestro país, sino que basta que ofrezcan bienes o servicios a ciudadanos en nuestro país o que hagan un perfilado para que sea automático. Hace unos días me comentaban que solo en Japón se estimaban en 4 millones las empresas que se verían
afectadas por el reglamento. Estas cifras que les estoy dando son orientativas porque, como les decía, hasta el 26 de mayo no sabremos realmente cuál es el número y el volumen complejo de denuncias y tutelas de derecho que vamos a recibir a través
de este procedimiento.
Otro tema esencial es el régimen sancionador. El régimen que establece el reglamento difícilmente es compatible, si no tuviéramos las previsiones del proyecto de ley, con el respeto de los principios consagrados tanto por la ley como por la
jurisprudencia de nuestro Tribunal Constitucional. Por mencionar solo un ejemplo, el reglamento no establece un plazo de prescripción de las infracciones y no resulta tampoco posible aplicar los plazos de la vigente ley orgánica, puesto que el
sistema de tipificación de infracciones del reglamento no es compatible con lo que establece la Ley Orgánica de Protección de Datos. ¿Se imaginan sus señorías una infracción administrativa que no prescribiera nunca? Esta situación equipararía las
infracciones en materia de protección de datos con los ilícitos penales de mayor gravedad. Por eso, insisto, es completamente necesario que una norma de derecho interno prevea tales plazos garantizando el respeto al principio de la prescripción.
En segundo lugar, el proyecto desarrolla el reglamento en aquellas cuestiones en las que dicha norma se lo impone en unos casos o se lo permite en otros a los Estados miembros. El ejemplo más claro es el modelo de supervisión. El
reglamento obliga al legislador nacional a regular las autoridades de control con arreglo a los criterios que el propio texto establece; el proyecto prevé el régimen jurídico de la Agencia Española de Protección de Datos y desarrolla sus potestades
para el ejercicio de las competencias que le atribuye el reglamento. Igualmente, dentro del margen permitido a una ley estatal, establece el régimen de colaboración con las autoridades autonómicas de protección de datos, especialmente en el marco
de los procedimientos de cooperación y coherencia previstos en el reglamento, pero siempre teniendo en cuenta la doctrina emanada del Tribunal Constitucional en esta materia, que consagra el principio de garantía uniforme del derecho en todo el
territorio nacional.
Como tercer objetivo esencial, el proyecto refuerza allí donde lo permite el reglamento los derechos de los ciudadanos desde una doble perspectiva. En primer lugar, adopta medidas sustantivas para garantizar la mayor protección de los
derechos; por ejemplo, se prohíbe la existencia de listas negras relacionadas con datos especialmente sensibles. Por ello no será posible el establecimiento de listas de afiliados a un sindicato a partir del mero consentimiento de los
trabajadores; esto, lógicamente, es perfectamente compatible con la legitimación que tienen los sindicatos, pero en ese caso emanado directamente del artículo 9.2.d) del propio Reglamento general de protección de datos. Igualmente se garantizan
los derechos de las personas fallecidas dado que, aun no siendo titulares del derecho a la protección de datos, sus herederos y otras personas podrán lograr el acceso o en su caso la rectificación o supresión de sus datos. Los derechos de los
ciudadanos se ven igualmente reforzados al reforzar el proyecto los ficheros de exclusión publicitaria, las conocidas listas Robinson, garantizando así que quien no quiera recibir publicidad o simplemente un sector de determinados ámbitos
publicitarios pueda tener a disposición este instrucción para impedir el tratamiento de sus datos con estos fines y flexibiliza el régimen de la actual ley orgánica.
El proyecto regula igualmente los sistemas de información crediticia. Sé que es un tema controvertido. Como saben sus señorías, la mera inclusión en un fichero de morosidad tiene importantes consecuencias económicas o sociales adversas
para los ciudadanos. De las 10 571 entre denuncias y tutelas de derechos que recibimos en la agencia, una de cada tres -es un dato importante- hace referencia a inclusión en ficheros de morosidad; por ello, sin cuestionar la legitimidad de estos
ficheros, el proyecto introduce un límite mínimo de 50 euros para que las deudas puedan ser incluidas en el sistema. Con ello se evita que una persona pueda quedar estigmatizada por su inclusión como consecuencia del impago de deudas de ínfima
cuantía; en ocasiones han llegado incluso a incluir a ciudadanos en nuestro país por deudas de unos céntimos de euro. Además, se establecen en el proyecto mecanismos que garantizan una rápida preservación de los derechos de los afectados en el
caso de que los mismos puedan haberse visto comprometidos. A tal fin se establece, sin perjuicio de la actuación reactiva de la agencia, la posibilidad de
que las reclamaciones de los ciudadanos puedan ser rápidamente atendidas por los delegados de protección de datos -donde los hubiere- o la posibilidad de establecer sistemas de resolución de conflictos a través de códigos de conducta. Esta
posibilidad extraadministrativa de resolución de conflictos en el propio seno de la empresa, a través del delegado de protección de datos o a través de los mecanismos de supervisión establecidos en un código de conducta, es plenamente compatible con
la actuación previa y urgente si hubiera alguna infracción grave del reglamento por parte de la agencia o la inmediata actuación posterior en el caso de que la respuesta dada por el responsable o el encargado al ciudadano no haya sido parcial o
totalmente satisfactoria de acuerdo con su pretensión.
En cuarto lugar, el proyecto clarifica algunas de las provisiones del reglamento teniendo en cuenta la aplicación de las normas de protección de datos que han tenido lugar en España hasta ahora. Por este motivo se regula el derecho a la
información, posibilitando y flexibilizando la información por capas. Por último, pero no menos importante, la finalidad del proyecto es dotar a los operadores de herramientas que garanticen la seguridad jurídica. El cambio de modelo de
cumplimiento que supone el reglamento ha generado en los operadores un marco de incertidumbre que es agravada teniendo en cuenta el importante y alto régimen sancionador que prevé el reglamento cuando estamos hablando de hasta 20 millones de euros o
el 4 % del volumen de facturación global mundial. En este punto cabe traer a colación el régimen introducido por el título IV del proyecto, en el que se hace referencia a determinados tratamientos específicos, donde se clarifican aquellos que se
fundan en el cumplimiento de misiones de interés público o donde se establecen presunciones de prevalencia del interés legítimo del responsable siguiendo en este punto los criterios sentados por el Consejo de Estado. Pondré algunos ejemplos. El
proyecto clarifica el sometimiento a las normas de protección de datos del tratamiento de datos de contacto de los profesionales; un tratamiento que se lleva a cabo masivamente en la actualidad y que actualmente se excluía de dicha normativa. En
el proyecto se presupone la licitud del tratamiento sobre la base del interés legítimo siempre que concurran determinadas circunstancias concretas. Igualmente se regulan los sistemas de información de denuncias internas, admitiendo incluso las
anónimas. Esto ha sido considerado, como es sabido y ha señalado la Fiscalía General del Estado, imprescindible para que las personas jurídicas puedan acreditar la diligencia necesaria para quedar exentas de la responsabilidad penal en función de
los términos establecidos en el artículo 31 bis de la reciente reforma del Código Penal. El proyecto dota así a las empresas de una norma que les permite conciliar su propio derecho con el derecho a la protección de datos de las personas
denunciantes o denunciadas en estos sistemas. Con la finalidad también de garantizar la seguridad jurídica, el proyecto aclara que no será imputable a los responsables la inexactitud de los datos que traten cuando aquella provenga de causas que le
son ajenas, como son, por ejemplo, los supuestos en los que el propio afectado ha facilitado, deliberada o involuntariamente, estos datos inexactos, o cuando el responsable trate datos que ha recibido de otro como consecuencia del ejercicio por el
interesado de su derecho a la portabilidad.
Finalmente, el proyecto ha sido consciente de las dudas que genera la delimitación por el reglamento de los supuestos en los que un responsable deberá designar un delegado de protección de datos, y a fin de reducir esa incertidumbre, ha
enumerado supuestos concretos en que deberá procederse a esa designación. En consecuencia, la aprobación de la ley orgánica que adapte el derecho español al reglamento es necesaria y en muchos casos, como he intentado destacar antes, considero que
es imprescindible para garantizar no solo su adecuada aplicación sino sobre todo la adecuada protección del derecho fundamental de los ciudadanos a la protección de sus datos.
Estoy segura de que la tramitación parlamentaria del proyecto y las diferentes enmiendas que planteen los distintos grupos parlamentarios ayudará a mejorar su contenido y en este punto quiero manifestarles mi opinión acerca de algunos temas
respecto de los que me consta que se han planteado algunas dudas y preocupaciones por distintos actores. El primero de los temas es el de la edad a partir de la cual el menor pueda prestar el consentimiento para el tratamiento de sus datos
personales. En este punto, el reglamento -porque fue imposible llegar a un consenso- establece como regla general la edad de dieciséis años, permitiendo a los Estados miembros rebajarla hasta un mínimo de trece años, siendo esta la opción que ha
adoptado el proyecto; opción que se ha tomado teniendo en cuenta el derecho comparado. Hemos hecho un estudio de los diferentes países de la Unión Europea y la opción mayoritaria, además en países tan importantes como por ejemplo Irlanda o Reino
Unido, donde la mayor parte de las empresas proveedoras de servicios de Internet tienen el establecimiento principal, es establecer los trece años como la edad para el consentimiento de los menores. Ante todo debemos recordar que el reglamento de
la Ley orgánica aprobada en diciembre de 2007 y previamente informada en sentido favorable por la
agencia, estableció como edad mínima -es la edad vigente ahora mismo- de prestación del consentimiento los catorce años. Se da la peculiaridad de que en esta comparecencia hay un exdirector de la agencia como ponente de un grupo
parlamentario y comparecerá después otro exdirector de la agencia. Tanto en mi mandato como, por lo que me han trasladado los funcionarios de la agencia, en mandatos anteriores, no hemos registrado desde entonces denuncias o comentarios críticos
que nos hagan considerar tal previsión como perjudicial para los derechos o intereses de los menores. Por ello, no nos parece lógico que el proyecto elevase la edad por encima de la actualmente establecida. Si bien no cabe duda de la existencia de
riesgos asociados al uso de Internet de los menores, tampoco es discutible que ese uso lleve aparejados beneficios y en este sentido hemos tenido en cuenta también la opinión de diferentes ONG. Irlanda elaboró un trámite complejo de información
pública y de consulta a más de 50 organizaciones no gubernamentales, entre ellas entidades tan importantes como Unicef y Amnistía Internacional, y la opinión mayoritaria fue mantener y avalar la edad de trece años, y en nuestro país distintas
asociaciones, como por ejemplo Pantallas Amigas, pusieron de manifiesto en el trámite de información pública que el establecimiento de mayores restricciones en el acceso a Internet y sus servicios mediante la elevación de la edad mínima por encima
de los trece años podría suponer una limitación en el desarrollo de la personalidad de los menores. En este punto yo entiendo la sensibilidad de los diferentes grupos, pero creo honestamente que la cuestión no es tanto un año arriba o abajo en
cuanto a la edad que se establezca como límite mínimo, sino cómo gestionar las consecuencias que esta decisión tiene. Sea cual sea la edad que se determine, es preciso acompañar esa medida con otras orientadas tanto a mejorar la educación de los
menores y sus padres en materia de protección de datos y privacidad como a asegurar un correcto uso de los datos de los menores por parte de los responsables de su tratamiento. Como digo siempre que me toca comparecer, creo que ya es el momento de
que las comunidades autónomas comiencen a regular en el desarrollo curricular el uso responsable de Internet en los colegios. Ahora mismo está previsto como una asignatura transversal. Se sigue enseñando seguridad vial, pero no los mínimos que
debe conocer un menor cuando se da de alta en una red social o cuando comienza a utilizar los grandes buscadores de Internet. Además, no debe olvidarse que la regla establecida en el proyecto no es absoluta, sino que se limita a los supuestos en
los que no exista otra restricción al consentimiento del menor. Y pondré el ejemplo del consentimiento en materia de prestación sanitaria, donde, como ustedes saben, la edad es de dieciséis años.
En otro orden de cosas, me consta que existen asociaciones científicas que han manifestado su inquietud considerando que el artículo 6 del actual proyecto de ley, al exigir un consentimiento específico e inequívoco para cada uno de los
tratamientos de datos personales que pretendan llevarse a cabo, puede suponer un obstáculo para el desarrollo de la investigación biomédica en nuestro país. A este respecto, me gustaría señalar que el artículo 9.2.j) del reglamento se remite para
la habilitación de estos tratamientos a la legislación de los Estados miembros. De este modo, ni el reglamento ni el proyecto modifican la regulación vigente sobre investigación en el ámbito de la salud, y creo que este es un tema esencial porque
me consta que está habiendo bastante inquietud en el sector, que se sigue rigiendo por la Ley 14/2007, de Investigación Biomédica, y el Real Decreto 1090/2015, sobre ensayos clínicos con medicamentos. Pero es que, además, el reglamento permite una
interpretación más amplia y flexible de los fines de investigación para los que debe prestarse el consentimiento o de los supuestos en que excepcionalmente la norma no lo exige, y pondré tres ejemplos. El considerando 33 permite que los interesados
den su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas por la investigación científica y no para la investigación concreta, y lo traduciré a la práctica. Hasta ahora se estaba
exigiendo el consentimiento de un paciente para la investigación, por ejemplo, del cáncer de colon. Ahora mismo bastaría con la investigación para el cáncer en general, con lo cual estamos dando un salto cualitativo en cuanto a la flexibilidad.
Asimismo, el considerando 53 recuerda que las categorías especiales de datos personales deben tratarse con fines relacionados con la salud, no solo cuando sea necesario para lograr dichos fines en beneficio de las personas físicas -y esto es
esencial-, sino también en beneficio de la sociedad en su conjunto. Finalmente, el considerando 159 aclara que el tratamiento de datos personales con fines de investigación científica debe interpretarse de una manera amplia, que incluya el
desarrollo tecnológico, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado.
En conclusión, el nuevo régimen en materia de protección de datos no solo no establece requisitos adicionales para la prestación del consentimiento en el ámbito de la investigación biomédica, sino que permite realizar una interpretación más
flexible del alcance del consentimiento prestado o de los supuestos
en los que el mismo no será necesario, como, por ejemplo, acudiendo a los comités de ética, como sucede en los supuestos de investigaciones de interés general que son autorizadas por estos comités, y así se lo he trasladado tanto al
Ministerio de Sanidad como al presidente de la Federación de Asociaciones Científico Médicas en nuestro país. En este punto, sí quiero anunciar que en breve, y precisamente para garantizar y dar seguridad jurídica, emitiremos y publicaremos un
dictamen por la agencia, en el que podremos detallar con mucha más precisión estos breves argumentos que les acabo de mencionar.
También se ha planteado en diversos foros la cuestión de la procedencia de imponer sanciones económicas al sector público. Esta cuestión fue objeto también de un serio debate durante la tramitación del reglamento y esa es la razón por la
que se dejó que fueran los Estados miembros quienes decidieran si imponer o no esas sanciones económicas. El proyecto ha optado por mantener el criterio actual, en el que no se imponen multas económicas el sector público, partiendo del principio de
unidad de caja y del hecho de que, en definitiva, en los supuestos de infracción cometidos por un cargo público, sería el administrado y no la Administración quien pecharía finalmente con la carga económica que implica la sanción, al verse
restringida la capacidad de gasto de la Administración infractora. Eso es compatible con el artículo 77 del proyecto, que establece la publicidad de las sanciones en el caso del sector público. Igualmente, me consta que diversas universidades que
imparten másteres relacionados con la protección de datos personales, certificados por la Agencia nacional de evaluación de la calidad y acreditación, han planteado la necesidad de que esos másteres sean reconocidos como formación mínima a los
efectos de poder participar en las pruebas para obtener la certificación de delegados de Protección de Datos, esquema y proceso de certificación que es voluntario. Es decir, no hace falta que ningún delegado de Protección de Datos en nuestro país
sea certificado por ese esquema, aunque sí podría ser aconsejable.
Ante esta situación, la agencia va a estudiar la posibilidad de que estos másteres puedan ser directamente aceptados como forma de demostrar la formación requerida en ese esquema de certificación, pero para ello será necesario modificar el
contenido del esquema de certificación, llevar la propuesta y tener el consenso del Comité Técnico de Certificación, donde había veintidós miembros, tanto del ámbito público como del privado, y establecer mecanismos para poder llevar a cabo ese
reconocimiento, a la vista de la variedad de contenidos que pueden presentar las diferentes ofertas formativas universitarias. En todo caso, considero, sin embargo, que el proyecto no puede hacer referencia a titulaciones universitarias
acreditativas de las competencias para ser delegados de Protección de Datos, dado que ello excedería el margen permitido en este punto por el reglamento. El artículo 37 del reglamento es muy taxativo. Simplemente requiere conocimientos
especializados de derecho, y está claro que el reglamento apuesta, ante las diferentes situaciones de tratamiento que puedan tener los responsables, por que sean estos los que determinen las cualificaciones y no, como en su momento llegó a barajarse
con una de las propuestas de la Comisión, que hubiera una determinación general en cuanto a los requisitos y la capacitación de estos futuros delegados de Protección de Datos. Además, el hecho de que el proyecto de ley estableciera unos mínimos de
titulación podría suponer una limitación a la prestación de los servicios y a la trasposición de la Directiva relativa a los servicios en el mercado interior, recogida en nuestro país a través de la ley 17/2009.
Finalmente, para concluir, me consta que han existido comentarios acerca de la extensión de los procedimientos para la autorización de transferencias internacionales de datos y, particularmente, las basadas en normas corporativas
vinculantes. El proyecto actualmente prevé una duración para estos procedimientos de un año. En este punto es preciso tener en cuenta que la experiencia ha demostrado que en muchas ocasiones es necesaria la existencia de múltiples reuniones y
actuaciones previas a la iniciación del procedimiento. Además, el reglamento impone nuevamente en esta materia la actuación coordinada de las autoridades de protección de datos de los Estados miembros. No obstante, y después de contrastar y de
estudiarlo nuevamente, creo que sí podría ser posible admitir, si los grupos así lo consideran, una disminución del procedimiento a nueve meses, en el caso de la aprobación de las normas corporativas vinculantes, y a seis meses, en el caso de la
autorización de los supuestos que se exigen actualmente para las transferencias internacionales, siempre y cuando la ley delimitase claramente las causas de suspensión de estos plazos, con especial referencia a la actuación conjunta de dichas
autoridades.
En conclusión, desde la perspectiva de la autoridad de supervisión, es preciso poner de relieve la necesidad de que, en el menor plazo posible, podamos disponer de una norma que permita hacer efectivos los objetivos perseguidos con la
reforma propiciada por el reglamento y que nos permita a la agencia, como autoridad nacional de protección de datos, poder asumir, me atrevería a decir con una cierta
dignidad, el reto importante que suponen los procedimientos transfronterizos ante las posibles duplicaciones o incluso ante los incrementos sustantivos del actual volumen de gestión que tramitamos en la agencia.
Me disculpo porque sé que he ido muy rápido. Estoy a su disposición para poder aclarar cualquier duda o tema que no haya quedado suficientemente claro en mi intervención.
Muchísimas gracias.
El señor VICEPRESIDENTE: Muchísimas gracias, señora España Martí.
A continuación es el turno de los portavoces de los grupos parlamentarios. Por el Grupo Parlamentario Vasco, señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente.
Muchas gracias, directora de la Agencia Española de Protección de Datos. Simplemente quiero formular una pregunta. Nos ha comentado ya cuáles serían las consecuencias de no tener aprobada la norma para la fecha prevista, creo que es mayo.
Dados los plazos de tramitación, las comparecencias, las enmiendas y el paso por el Senado, igual soy un poco agorero, pero veo complicado ese cumplimiento. Le quisiera preguntar, en esa realidad distópica, cuáles serían de una manera muy
esquemática, más allá del tema del procedimiento que nos ha comentado, los centros de gravedad negativos -vamos a llamarlo así- que nos encontraríamos si realmente no tuviéramos aprobada la norma.
Muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Legarda.
Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, señor presidente.
Gracias, señora España, por su comparecencia y por su explicación en cuanto al contenido y los objetivos de la ley. Le voy a hacer unas preguntas muy concretas, aprovechando su cargo, relativas al funcionamiento de la agencia en sí. A
nosotros nos preocupa, por una parte, la independencia de la agencia. El reglamento dice que las autoridades de control deben actuar con plena independencia de los poderes públicos. El hecho de que su presidencia sea nombrada por el Gobierno,
quedando relegado el papel del Congreso a emitir un mero dictamen de idoneidad y que, por otra parte, el consejo consultivo queda también para una regulación posterior y, por tanto, no tenemos conocimiento en este momento ni de su régimen ni de sus
competencias ni de su funcionamiento, ni siquiera de si van a tener sus decisiones carácter vinculante o no, hace que esta independencia quede un poco desdibujada en el proyecto de ley orgánica. Le preguntaría cómo mejorar esa independencia y qué
le parecería a usted establecer un sistema de concurrencia en el que se pudieran medir el mérito y la capacidad de varios candidatos en un proceso que fuera público y transparente.
En segundo lugar, ¿prevé usted un crecimiento de la agencia? ¿La nueva regulación va a precisar de más medios materiales y humanos y, por tanto, la agencia tendrá que adaptarse a unas nuevas dimensiones? O, dicho de otro modo, ¿tendrá que
sobredimensionarse? Se ha referido usted a esa carga de trajo que van a suponer los problemas transfronterizos. Entonces, ¿qué nuevas exigencias va a suponer para la agencia?
Por otra parte, le preguntaría también si considera usted que ahora la agencia va a atesorar un amplio poder que dimanaría del artículo 53, donde se establece el alcance de la actividad de investigación en el que de algún modo solo queda
salvaguardada la inviolabilidad del domicilio, y del artículo 54, donde se habla de los planes de auditoría preventiva para sectores concretos y que quedan a voluntad del presidente de la agencia. ¿Con qué criterios aplicaría usted, por llamarlos
de alguna manera, y, por supuesto, entrecomillado, estos amplios poderes? Le preguntaría también si considera que esta nueva regulación puede afectar de algún modo a la cooperación institucional con las autoridades autonómicas o esta cooperación no
se va a ver sustancialmente modificada con respecto a como se viene desarrollando en la actualidad.
Muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Gómez Balsera.
Por parte del Grupo Parlamentario Confederal de Unidos Podemos, tiene la palabra la señora Carreño.
La señora CARREÑO VALERO: Ante todo, muchísimas gracias por su comparecencia. Su exposición ha sido muy clara y muy completa, así que seré breve.
En primer lugar, quería preguntarle, por lo que ha dicho sobre la investigación científica, que, efectivamente, está generando muchísima preocupación en el sector. Nuestro grupo parlamentario ha tenido ya varias reuniones con representantes
de diferentes asociaciones que mostraban su inquietud por la nueva regulación. Ya ha dicho usted que publicarán una nota informativa desde la agencia, pero, no obstante, quería preguntarle su opinión respecto a la posibilidad de incluir una
enmienda dentro del proyecto de ley que especifique que pudieran ser destinados a otros fines, a fines de investigación diferentes al que ha sido explicitado por la persona que cede sus datos, específicamente para cuestiones de salud pública.
Por otro lado, nos alegra que se haya incluido un mínimo de deuda para poder incluir a una persona en un fichero de entidades crediticias, pero creemos que el mínimo de 50 euros podría resultar muy bajo. Es decir, simplemente una factura de
luz o de Internet impagada puede superar ese límite. Por tanto, queremos saber su opinión respecto a subirlo un poco más. Creemos que 50 euros es una cantidad muy baja para tenerla en cuenta. También queríamos saber si tiene usted alguna
recomendación respecto a los aspectos que hay que regular aquí, como, por ejemplo, el tema de prescripciones que ha citado.
Por último, ha dicho usted que a partir del 26 de mayo, cuando entre en vigor el reglamento, se prevé un aumento, duplicar o triplicar el trabajo de la agencia. Queríamos saber si hay alguna previsión de aumentar efectivos o si esto
simplemente va a explotar a partir de ese momento; cómo van ustedes a realizar ese trabajo y si hay previsión por parte del Gobierno.
Sin más, muchísimas gracias.
El señor VICEPRESIDENTE: Gracias, señora Carreño.
Por el Grupo Parlamentario Socialista, el señor Rallo.
El señor RALLO LOMBARTE: Gracias, presidente.
Bienvenida, directora de la agencia. Voy a intentar ser lo más breve posible, máxime teniendo en cuenta que, como le consta a la directora, y lo comparto con el resto de los grupos, la semana pasada le hicimos llegar un listado con las
preocupaciones de este grupo parlamentario, con el fin de que pudiera optimizar esta comparecencia, que necesariamente es limitada en el tiempo. Pero no quisiera hurtarle al resto de grupos cuáles son las preocupaciones de este grupo, que en buena
medida usted ya las ha atendido total o parcialmente. Algunas de ellas se han quedado sin atender y, por tanto, haré referencia a las mismas.
En primer lugar, el consentimiento de los menores. La explicación ha sido exhaustiva, aunque ha faltado algún dato que creo que también el resto de grupos debería conocer, como que dos países muy importantes como Alemania, en una ley
aprobada, y Francia, en un proyecto de ley, han optado por elevar la edad del consentimiento de los menores a dieciséis años. Esos son dos actos que no deben hurtarse a la hora de ponderar opciones.
Ha atendido también la petición de información sobre la problemática de la investigación biomédica, pero, como decía la compañera portavoz de Podemos, convendría hacer especial énfasis, si es posible en el turno de respuesta, a la
problemática específica de la reutilización de los datos, que es lo que realmente está preocupando al sector. También hay una demanda respecto de la que nos gustaría conocer su opinión y es sobre la conveniencia o necesidad de una futura
legislación específica sobre el tratamiento de datos en el ámbito de la salud y conocer, por tanto, si el marco jurídico actual, aunque sea disperso, es o no satisfactorio.
Otra de las cuestiones que es también objeto de debate es la pertinencia o no de legalizar los llamados ficheros positivos de solvencia patrimonial y crediticia, que a priori el proyecto de ley descarta. No ha hecho ninguna referencia, y
preocupa fundamentalmente a muchísimas empresas, a la regulación del bloqueo de datos del artículo 32. En cuanto a la cualificación de los delegados de Protección de Datos, es cierto que ha descartado una modalidad específica de cualificación
universitaria de estos delegados, pero no es menos cierto que ya el artículo 35 explicita mecanismos a través de los cuales se puede entender y, por tanto, otros de naturaleza universitaria podrían entenderse también perfectamente acogidos por este
precepto.
Me gustaría también que aclarara el papel que se le presume o pretende al delegado de Protección de Datos en el artículo 37 para saber exactamente cuál es el alcance. No nos gustaría pensar que esa intervención previa a las reclamaciones
ante la agencia sea un mecanismo para condicionar el ejercicio
del derecho, aunque fuera incluso desde el punto de vista de la dinámica práctica. En otra intervención ya le han preguntado sobre la pertinencia o no de una elección parlamentaria de la presidencia de la agencia, nosotros se la reiteramos,
y también nos gustaría conocer su experta opinión sobre la conveniencia de ampliar la composición de ese consejo consultivo a otros representantes de la sociedad civil.
Hay una previsión un tanto distorsionante, a nuestro entender, en el artículo 59 del proyecto de ley sobre las relaciones entre la autoridad nacional, la Agencia Española de Protección de Datos, y las agencias autonómicas. El artículo 59
tiene una previsión que denota recelo y desconfianza hacia las agencias autonómicas que nos gustaría que fuera objeto de explicación.
Por último, quisiera preguntarle también por qué el proyecto de ley no extiende el sistema de denuncias internas al sector público y, en concreto, también sobre esa previsión relativa a que la implantación de esta ley deba realizarse a coste
cero. Si eso es o no posible.
Nada más y muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra don Francisco Martínez.
El señor MARTÍNEZ VÁZQUEZ: Muchas gracias, señor presidente.
Muchísimas gracias, directora, por su comparecencia y por sus explicaciones exhaustivas. Lo primero que quiero hacer, en nombre de mi grupo parlamentario, en esta Comisión de Justicia es felicitar a la directora de la agencia por el trabajo
realizado en la fase prelegislativa de este proyecto de ley orgánica. A todos nos consta y todos coincidimos en que es una materia tremendamente compleja, con un alto contenido técnico, en el cual además vamos a cambiar de alguna forma nuestra
cultura jurídica. Vamos a aplicar de forma simultánea un reglamento europeo que no necesita ninguna clase de trasposición, pero también una ley orgánica que es necesaria porque el Reglamento europeo precisamente lo permite y eso va a influir en la
forma en la que los distintos operadores jurídicos tengan que aplicar una materia tan importante como el régimen de protección de datos. Nos consta que todo ese cambio ha exigido un enorme esfuerzo por parte de la agencia y que se ha hecho en el
tiempo más breve posible, con un equipo enormemente cualificado en términos técnicos, por lo que le pido, en nombre de mi grupo, que traslade esa felicitación a todo su equipo, buena parte de él aquí presente.
Con respecto al apartado de las preguntas concretas, lo que tiene hablar el último es que muchas de ellas ya han sido formuladas por mis compañeros de otros grupos parlamentarios, pero quisiera insistir en que, ante ese panorama que se
avecina a partir de la entrada en vigor del reglamento el día 25 mayo, a todos nos gustaría conocer con qué medios contará la agencia para la adaptación al reglamento y a la próximamente aprobada ley orgánica. Me gustaría que detallase esta parte
de los medios materiales, personales y de recursos.
En cuanto a cuestiones concretas del texto, hay algunas en las que ciertamente nuestra ley es innovadora con respecto al reglamento, siempre dentro del margen que la norma europea permite. Por ejemplo, la protección que el artículo 3
dispensa a los datos de las personas fallecidas. Me gustaría conocer cuál es el objetivo de esa regulación, donde, como digo, hay algunos elementos innovadores.
El señor Rallo se ha referido a la figura del delegado de Protección de Datos. En la medida en que pueda, nos gustaría conocer cómo la regulación flexible que hace el proyecto de ley orgánica aporta algunas disposiciones, en las que se
aparta, dentro de lo que permite el reglamento, obviamente, de la rigidez del reglamento, para permitir una mayor flexibilidad.
También quiero preguntarle por la simplificación procedimental, por la eliminación de cargas y concretamente por lo que prevé el artículo 65 en relación con otros preceptos, como el artículo 37, a propósito de los mecanismos de supervisión
previstos en los códigos de conducta, donde hay medidas que ciertamente pueden facilitar la agilización de los procedimientos. No quiero insistir en ello porque lo han suscitado todos los que me han precedido en el uso de la palabra, pero a
nosotros también nos preocupa el tema de la investigación biomédica, los ficheros positivos. Son cuestiones que nos han hecho llegar los sectores afectados y me sumo a esa inquietud de otros portavoces. Y permítame que me sume también a esa idea
que suscitaba del desarrollo de medidas de protección de menores, pero no desde la perspectiva de la Ley Orgánica de Protección de Datos, sino la incorporación en los contenidos curriculares por parte de las comunidades autónomas. De la misma
manera que tratamos de formar a los menores en el ámbito de la seguridad vial, cómo no lo vamos hacer en ámbitos como el uso responsable de Internet. No es tanto una pregunta, sino más bien un apoyo a la iniciativa que usted lanzaba para que
distingamos perfectamente el consentimiento de los menores en el ámbito de la protección de datos de la protección
de los menores en el ámbito del uso de Internet. Son cuestiones distintas y, como es algo de lo que necesariamente vamos a tener que hablar en ponencia y en Comisión durante la tramitación del proyecto de ley orgánica, debemos tener claro
que se trata de cuestiones diferentes, que una no necesariamente impide la otra.
Le reitero mi agradecimiento y la felicitación de mi grupo parlamentario por su trabajo.
El señor VICEPRESIDENTE: Muchas gracias, señor Martínez.
Para contestar a las cuestiones que se le han planteado, tiene la palabra la señora España.
La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España Martí): Muchísimas gracias, señor presidente.
Intentaré responder exhaustivamente, pero a la vez brevemente, a las diferentes cuestiones que me han planteado los distintos grupos parlamentarios. En primer lugar, en cuanto al planteamiento del PNV respecto de las consecuencias que
supondría que no tuviéramos aprobada la ley orgánica, la verdad es que serían lamentables y no solo para la gestión de la agencia. Pudiera haber un intervalo de algunos meses -espero que sean pocos- respecto al 25 mayo en cuanto a la aprobación de
la ley orgánica, pero si no, como ya he advertido en la comparecencia, hay un riesgo alto de que los procedimientos de declaración de infracción caducasen y las tutelas de derecho también. Voy a poner un ejemplo solo. Tramitamos casi mil tutelas
de derecho al olvido que nos plantean los ciudadanos de nuestro país. Esas tutelas, lógicamente, van a ser objeto de procedimiento transfronterizo, pues estamos hablando en el 95 % de los casos de Google, que ofrece servicios a todos los ciudadanos
del ámbito de la Unión Europea. Si multiplicamos las mil tutelas de nuestro país por otras tantas que puedan tener los otros veintiocho actuales Estados miembros, puede dar lugar a que, si yo no tengo la habilitación de la suspensión del
procedimiento, estemos impidiendo que esos derechos de los ciudadanos queden garantizados, con los graves perjuicios que eso puede suponer en la esfera y en la protección de este derecho fundamental. Al mismo tiempo supondría una inseguridad
jurídica alta para los responsables del proyecto.
Desde la agencia hemos intentado proponer la regulación de determinados sectores que ahora mismo estaban regulados en la ley vigente y en algunos casos flexibilizarlos más, como el tema de los ficheros de solvencia o las listas Robinson,
como he explicado anteriormente. Además, tengo que decir que no hay plan B, es decir, necesitamos contar con una ley orgánica para poder continuar con esta tramitación administrativa tan compleja. Y por lo que a mí me consta, hay aspectos mucho
más flexibles para la garantía de los derechos de los ciudadanos en otros proyectos de ley que están tramitando autoridades nacionales. Solo hay dos países, ya lo adelanto, que son Alemania y Austria, que tienen ya aprobada una ley nacional en
materia de protección de datos. Nosotros estamos igual que las veinticinco autoridades restantes.
En cuanto al Grupo Parlamentario Ciudadanos, me preguntaba por mi posición respecto de la independencia y el nombramiento del presidente de la agencia. Lógicamente, no debería ser yo quien se pronunciara, pues es un tema que debe acordarse
entre los diferentes grupos parlamentarios. Conozco la proposición de ley y las diferentes enmiendas presentadas por los distintos grupos parlamentarios y puedo decir que, desde mi perspectiva -tengo ejemplos de los últimos cuatro directores-, se
cumple la ley de Murphy. Prácticamente al poco tiempo del nombramiento siempre se plantea una primera prueba con una denuncia. Aunque no me parece elegante, puedo dar ejemplos, ya que hay dos exdirectores que están presentes, de denuncias de
tutelas de derecho donde el director ha acabado sancionando al Gobierno o al partido que su momento le propuso. Esto es, desde mi perspectiva como directora de la agencia y desde la perspectiva de los miles de casos que se han tramitado durante
estos seis años desde su creación, la independencia con el sistema de nombramiento actual ha quedado garantizada y el riesgo de exigir -esto lo planteo solo como cautela- una mayoría parlamentaria cualificada puede suponer un bloqueo de
instituciones importantes. Pongo como ejemplo la institución del Defensor del Pueblo, que está vacante desde el 19 de julio precisamente por esa mayoría reforzada que se exige para su designación.
Me preguntaban también por los medios materiales, si tenemos suficientes. Lógicamente, mi respuesta es no, pero hago lo que debe hacer cualquier gestor público. Estamos optimizando al máximo los recursos disponibles y tengo que decir que
el año pasado, cosa que agradezco, el Gobierno nos amplió la relación de puestos de trabajo en once más y hemos tenido siete puestos por la oferta de empleo público. Estamos ya en conversaciones con el Ministerio de Hacienda para poder trabajar en
un siguiente incremento de plantilla, pero, si no hay presupuestos aprobados, yo tengo un techo de gasto y estoy atada de pies y manos, existiendo unidades que son clave. Pondré dos ejemplos. La Unidad de Evaluación y Estudios
Tecnológicos va tener que tratar cualquier notificación de brechas de seguridad de cualquiera de los 3,5 millones de empresas en nuestro país, del 1,5 millón de profesionales y de los cientos de miles de organismos públicos y atender las
consultas que se hagan sobre la evaluación de impacto si, una vez realizada por ese responsable, tanto público como privado, tienen riesgos sobre las dudas que puedan plantear. Esa unidad ahora mismo está formada por cuatro personas y no tengo
ninguna previsión de que se incremente si no se aprueban los presupuestos a partir de mayo del año que viene. Por ejemplo, esta semana anunciaremos la puesta en marcha de la Unidad de Atención al Responsable. Desde la agencia estamos intentando
acompañar -hoy vengo de un acto en el INAP para todos los funcionarios, tanto de la Administración General del Estado como de las comunidades autónomas- tanto al sector público como al sector privado. Estamos realizando acciones de difusión en
todas las comunidades autónomas, también con CEOE, con Cepyme y con los diferentes colegios profesionales y, como les decía, en esa Unidad de Atención al Responsable que vamos a poner en marcha para intentar acompañar en este proceso por si
cualquiera tiene dudas en cuanto a cómo implementar el régimen tan sustancial de cambio que suponen las obligaciones de reglamento, va a haber tres personas, porque no lo puedo incrementar en más. De ahí que para mí estratégicamente sea clave el
título VIII de la ley y algunos de los artículos, porque establecen diferentes fases, de manera que se pueden graduar actuaciones previas antes de la admisión a trámite de la agencia, la posibilidad de que denuncias habituales por una vulneración o
una posible infracción muy grave de los derechos no impliquen que al día siguiente se tenga que realizar una inspección presencial y que podamos acudir a mecanismos extra administrativos de resolución de conflictos, donde ganan todos; gana el
responsable, gana el ciudadano, ya que sus derechos son atendidos antes, y gana la agencia porque puede liberar recursos. Pongo un ejemplo. Al tramitar miles de denuncias en materia de videovigilancia a lo mejor se puede realizar un plan de
inspección de oficio en materia de entidades financieras, pues eso afecta a millones de ciudadanos de nuestro país.
Me preguntaba también por los poderes que atribuye a la agencia a través del artículo 53 y del artículo 54. Los poderes y las funciones son simplemente una trasposición de las potestades que nos atribuye el artículo 57 del Reglamento
General de Protección de Datos a las autoridades de protección de datos. Los poderes del artículo 54, simplemente lo que se ha planteado en el proyecto de ley es una habilitación dentro de todo el respeto al secreto de las comunicaciones para
poder, precisamente, identificar el origen de la infracción, porque si no puede haber casos donde el supuesto infractor... Hay denuncias que se tramitan desde el punto de vista administrativo en la agencia que luego acaban derivando en el lícito
penal; así que era importante que tuviéramos esa habilitación, que además ha sido expresamente avalada en el dictamen del Consejo de Estado.
Me preguntaba también sobre los criterios en cuanto a la realización de los planes de auditoría preventiva. Esos criterios son públicos. Estamos haciendo un esfuerzo importante desde la agencia en materia de transparencia y de
participación. Y, recientemente, por si no lo conocen, hemos publicado en la página web un informe, bastante exhaustivo, del grado de cumplimiento de las actuaciones realizadas el año pasado en cumplimiento del plan estratégico. Hemos hecho ya una
programación de los planes de oficio que tenemos en marcha este año. Hemos retomado con especial energía los planes de oficio y, ahora mismo, tenemos en marcha la continuidad del Plan de inspección de oficio en el tema de visados en el espacio
Schengen. Estamos iniciando una inspección de oficio en temas masivos; el 85 % de las sanciones que imponemos en la agencia es en el ámbito del sector de las telecomunicaciones, no porque lo hagan peor sino porque quizá haya más cultura de
denuncia en nuestro país en ese ámbito. Tenemos también en marcha una inspección oficio para las entidades financieras, que es la primera vez que se va a realizar una inspección de esta entidad. También les quiero decir que si sus señorías, a
través de los diferentes grupos, entienden que a lo mejor pudiera haber algún tema que pudiera ser de interés para incorporarlo a nuestras previsiones, dentro de la limitación de medios y del horizonte temporal, por supuesto estaría encantada de
poder estudiar su viabilidad.
Me preguntaba también cuáles son los mecanismos de cooperación con las autoridades autonómicas. Ahora mismo solo existen la autoridad vasca de protección de datos y la autoridad catalana, y estamos también en colaboración con el Consejo de
Transparencia y Protección de Datos en Andalucía, pero aún no tiene articuladas las competencias por vía de desarrollo reglamentario en materia de protección de datos. Sí quiero decir a este respecto, porque seguí con mucho interés el debate a la
enmienda a la totalidad -y quiero agradecer también a la mayoría de los grupos parlamentarios su apoyo, porque esta es una ley principalmente de carácter técnico-, que el proyecto de ley reconoce expresamente la existencia de las autoridades
autonómicas de protección de datos; y recoge esa previsión en los artículos
57 y 58 del Reglamento solo en las funciones y poderes que se atribuyen a las autoridades de control, previsiones que, como les decía, se ajustan a la doctrina del Tribunal Constitucional en su conocida sentencia 290/2000.
El proyecto refleja en esa competencia respetuosa al marco autonómico, casi literalmente, algunas de las disposiciones estatutarias que actualmente se refieren a protección de datos, como es, por ejemplo, el artículo 156 del Estatuto de
Cataluña. Si no hemos hecho una atribución pormenorizada y exhaustiva de las funciones y poderes que les pudieran corresponder a las autoridades autonómicas es, precisamente, por respeto. Creo que van a comparecer en la siguiente sesión tanto la
autoridad catalana como la directora de la agencia vasca, y ellas, posteriormente o en paralelo, estarán también preparando ahora mismo la tramitación de su propia legislación autonómica; y es ahí donde cabe esa regulación de sus funciones y
competencias. Por ello, insisto en que el proyecto, precisamente por respeto a la autonomía de cada comunidad, ha dejado que sea la propia comunidad autónoma, en la tramitación legislativa correspondiente, la que determine el alcance de las
funciones y de los poderes.
Paso ya a los planteamientos del Grupo Parlamentario de Podemos. Me planteaban el tema de la investigación científica. Lo que haremos será publicar un informe del gabinete jurídico, y además esta semana porque me ha pedido una reunión el
presidente de la Asociación Española de Epidemiología, pero lo que no podemos en la ley es presumir que con el consentimiento de un ciudadano se pueda utilizar para otros fines para investigación, porque eso lo prohibiría la propia legislación de
Reglamento General de Protección de Datos. Como decía, lo que sí se permite ahora es una mayor flexibilidad a la hora de acotar ese fin, y que no tenga que ser para una línea de investigación o para un sector concreto de investigación, sino que se
pueda articular a través de una investigación más amplia. Habrá aspectos o temas que, quizá, no sea necesario que se cronifiquen en un proyecto de ley, sino que lo más inteligente, quizá, sea que lo podamos resolver en el día a día, y yo creo que
hemos dado pruebas en este tiempo, y en los tiempos anteriores por supuesto, de flexibilidad. Y, precisamente, a través de informes de la Abogacía de Estado en la agencia o de las propias resoluciones podemos ir creando y sentando doctrina, sin que
haga falta que se cronifique en una ley orgánica, porque, luego, la investigación va a ir siempre mucho más avanzada que la mayoría cualificada que requiere aprobar una ley orgánica. Por eso era importante plantearlo.
Comentaban también la posibilidad de subir la cantidad para que a un ciudadano en nuestro país se le incluya en un fichero de morosos. A mí no me parece mal. Si pusimos la cantidad de los 50 euros -está aquí el responsable del área
internacional- fue porque hicimos un estudio comparado de todos los países del entorno, y era la cantidad mayoritariamente aceptada, pero sí sus señorías pactan otra, yo lo que necesito es que se apruebe la ley. La razón de poner esos 50 euros fue,
precisamente, porque seguíamos al régimen mayoritario de los países de la Unión Europea.
En cuanto al incremento de los medios para la gestión, ya lo he comentado anteriormente. Vamos a tener dieciocho personas más. Necesitamos que se aprueben los Presupuestos Generales del Estado para poder contar con refuerzos,
fundamentalmente en la unidad de evaluación y estudios tecnológicos, en la unidad de atención al responsable y en la inspección de servicios; y, en paralelo, y por eso para nosotros estratégicamente es vital el título VIII del proyecto de ley, que
establece procedimientos mucho más ágiles para eliminar cargas burocráticas y poder dedicar -que creo que es mi obligación- el cien por cien del personal tan cualificado que trabaja en la agencia a los temas estratégicos, a los temas de impacto
masivo, y poder priorizar, incluso con actuaciones previas, antes de la admisión a trámite.
Por parte del Grupo Parlamentario Socialista, en relación con el tema de los menores, tienes razón Artemi, Alemania y Francia tienen el límite de edad en los dieciséis años. Yo puedo hacerles llegar a los diferentes grupos parlamentarios,
porque no tengo ningún interés en guardar esa información para mí, los datos. Son ocho países los que han establecido la edad de trece: Chipre, Dinamarca, Irlanda, Letonia, Polonia, Suecia, Reino Unido y Noruega; Austria y Bulgaria en catorce;
en dieciséis Alemania, Francia, Hungría, Lituania, Luxemburgo y Holanda; y Croacia en quince. Esto quiere decir que la edad será la que señorías pacten, pero teniendo en cuenta que la edad mayoritaria en la mayor parte de los países poderes de
servicios de Internet van a ser la autoridad principal, Irlanda, que ha establecido trece años. Entendemos que es mucho más garantista que nosotros nos adecuemos, primero, al régimen mayoritario del número de países de la Unión Europea; y, luego,
a países con la importancia práctica tan alta, como pueden ser allá donde vaya a ser la autoridad principal en países poderes de servicios de Internet, sumado a las consideraciones de las diferentes entidades no gubernamentales que llevan años
trabajando en el sector. Realmente, a mí me haría una gran ilusión si en paralelo a la tramitación de las enmiendas al proyecto de ley pudiéramos ver proposiciones de ley en las diferentes comunidades autónomas, donde se empezara
a regular el uso responsable de Internet. Me encanta percibir esa sensibilidad de los diferentes grupos parlamentarios, pero creo, de verdad, que si queremos proteger a los ocho millones de jóvenes escolarizados, hay que empezar a
enseñarles desde los cinco años. Hay muchos jóvenes que empiezan a bajarse vídeos. Estamos trabajando también con televisiones en este ámbito, pero, bueno, no me quiero extender.
En cuanto a la posibilidad de la regulación de tratamientos de datos en el ámbito sanitario, es cierto que tenemos una disposición adicional, que era la novena, que se eliminó posteriormente del anteproyecto y voy a explicar la razón. La
razón fue que recibimos sugerencias en ese sentido de diferentes sectores, además de total variedad. En el trámite de información pública fueron cuatro tomos las propuestas y sugerencias que recibió el Ministerio de Justicia en dicho trámite; y,
fundamentalmente, las consideraciones se basaban en dos tipos: uno, que se podría establecer a través de esta norma una restricción del tratamiento de los datos relacionados con la salud, porque la disposición hablaba de que esa regulación en un
ámbito de dos años podría añadir garantías o limitaciones; y, dos, las que consideraban que el establecimiento del plazo de dos años, como podía ser por ejemplo Unespa, podría generar inseguridad jurídica, dado que esa norma futura podría implicar
una deslegitimación en este tiempo transitorio para aquellos tratamientos de datos de salud que venían realizando hasta ahora, con amparo en las leyes que permanecen actualmente vigentes. Tanto FarmaIndustria como Unespa, la Asociación Española de
Banca, la CEOE, la Asociación Profesional Española de Privacidad, la Asociación Multinacionales por marca España, Ametic y Ceca, Adigital y Ecija en el trámite de información pública de esta disposición en la página web del Ministerio de Justicia
plantearon la conveniencia y las posibles fisuras que podía tener esa disposición adicional. Esa es la razón por la cual se optó por la eliminación de dicha disposición en el anteproyecto.
Me preguntaba también por mi posición respecto a la no regulación en la ley de los ficheros positivos. En este caso también hemos hecho un estudio comparado. Hay países de nuestro entorno que los prohíben directamente -como, por ejemplo,
Francia- y el 75 % de los países que mantienen y regulan expresamente estos ficheros están basando su regulación exclusivamente en el consentimiento. En esa línea, el Gobierno, que es el que tiene la iniciativa legislativa, había incluido en el
anteproyecto de ley una regulación de los ficheros positivos basada en el consentimiento, pero plantear esa afirmación podría suponer en la práctica que no hubiera otra legitimación legal entre las diferentes legitimaciones que plantea el artículo 6
del reglamento que habilitara esos ficheros positivos. Si bien es cierto que la mayoría de los países de nuestro entorno la basan exclusivamente en el consentimiento, entendíamos que era más prudente no regularlos expresamente y esa ha sido la
razón por la cual finalmente esa previsión decayó del anteproyecto. Les puedo comentar que los países que solo admiten ficheros negativos son Dinamarca, Finlandia, Islandia, Noruega y Francia.
En cuanto al bloqueo de los datos, el reglamento no regula el bloqueo, pero tampoco lo prohíbe. La figura del bloqueo, como ya saben, se encuentra actualmente recogida en la vigente ley orgánica no como un derecho, sino como una obligación
legal que se impone a los responsables de los tratamientos para garantizar que las autoridades de protección de datos puedan llevar a cabo adecuadamente sus funciones de investigación. Si esos datos se suprimieran en el momento en que recibimos una
denuncia, difícilmente la inspección de la agencia iba a poder contrastar que efectivamente se había producido una infracción. Ya expresamente el dictamen del Consejo de Estado asume plenamente esta posibilidad diciendo que el bloqueo de datos no
se configura como un derecho de los interesados sino como una obligación del responsable. La única consideración que nos hace el Consejo de Estado en este ámbito es la relativa a la necesaria clarificación de los supuestos en que sería posible
exceptuar esa situación obligación de bloqueo. Pongo dos casos que están expresamente habilitados en la ley; esta es otra razón más por las cuales sería importante tener la ley aprobada cuanto antes. El primero sería cuando la conservación de los
datos pudiera implicar un riesgo elevado para los derechos de los interesados como podría suceder, por ejemplo, en el caso de las denuncias internas. Esta previsión de la ley es muy importante y es un paso más en la lucha contra la corrupción y por
la transparencia. El segundo sería cuando el coste derivado de la conservación de los datos bloqueados pueda considerarse difícilmente asumible por el responsable como, por ejemplo, en el caso de videovigilancia. Ahora mismo establecemos el límite
temporal de un mes. ¿Se imaginan el espacio que haría falta para que los responsables guardaran todas las imágenes grabadas por las cámaras de videovigilancia existentes en nuestro país?
Me preguntaba también por la capacitación del delegado de protección de datos. Es cierto que el reglamento habla expresamente de que debe tener conocimientos especializados en derecho y, como
decía, dentro del principio de la responsabilidad activa la clave está en la elección, por parte del responsable o del encargado, del delegado de protección de datos mejor capacitado. Es cierto que una titulación universitaria en la
práctica da un plus de garantía respecto a la formación y a la especialización que va tener ese delegado de protección de datos, pero es otro ejemplo de temas que no son tanto un problema de regulación legal -además, insisto en que en este ámbito el
proyecto de ley no podría regular una titulación mínima, porque nuestro país tendría un problema con la Comisión Europea-, sino un problema en la práctica de cómo se desarrolle el mercado. Quiero hacer un llamamiento. Yo espero que tanto el sector
público como el sector privado vayan por delante de las notificaciones que hasta ahora tiene la agencia de delegados de protección de datos. Sé que no es obligatorio hasta el 25 de mayo, pero me gustaría compartir con ustedes el dato de
notificaciones que tenemos hasta ahora: cincuenta, incluyendo el sector público -dieciséis- y el sector privado, treinta y cuatro. Por eso hemos puesto en marcha también el esquema de certificación de delegados de protección de datos, que es
voluntario y al que pueden acudir voluntariamente los responsables que así lo deseen. Insisto en que no es obligatorio contratar un delegado de protección de datos; solo es obligatorio en los tres supuestos del reglamento. La previsión del
artículo de la ley simplemente lleva a la práctica ejemplos de esos tres supuestos a título indicativo. Además, si tiene obligación de contratar, tampoco es obligatorio que acuda a este esquema de certificación, pero al menos este esquema que está
avalado por la agencia le permite garantizar un mínimo de formación -el ejemplo puede ser perfectamente la cualificación de las universidades- o bien un mínimo de experiencia o bien los criterios mixtos. La agencia está apostando por sistemas
mixtos y flexibles de delegados de protección de datos. Pondré un ejemplo. Los colegios profesionales son uno de los supuestos enumerados en el proyecto de ley que están obligados a tener delegado de protección de datos en el ejercicio de sus
funciones públicas. Utilizando una economía de escala igual que se hace con las firmas de seguros, los colegios profesionales podrían ofrecerlo a sus profesionales que no estén obligados a tener un delegado de protección de datos por los supuestos
del reglamento pero que a lo mejor tienen que hacer un análisis de riesgo y sobre todo en una primera etapa podría ser muy útil que contaran con un delegado de protección de datos. No hace falta que cada profesional contrate un delegado de
protección de datos, sino que pueden acudir a fórmulas mixtas externas, parciales y flexibles, como podría ser, por ejemplo, que el propio Colegio profesional de Médicos ofreciera la figura del delegado de protección de datos, que a su vez
previamente hubiera hecho un análisis de riesgo tipo de los riesgos que pueda tener un profesional en la materia. Se hablaba también del temor que tenían de la aplicación del artículo 37 en cuanto a la posibilidad de que la agencia remita al
delegado de protección de datos la denuncia o la tutela de derechos pudiera condicionar que ese derecho fuera garantizado por la agencia. Quiero trasladar total tranquilidad. Si la agencia recibe una denuncia o una tutela de derechos en que
entendamos que existe un riesgo alto para los derechos y libertades de los ciudadanos, se le daría trámite de urgencia inmediatamente y, si hace falta, incluso actuaríamos de oficio. En cualquier caso, acudir a este mecanismo voluntario de
mediación a través del DPO es perfectamente compatible con que posteriormente la agencia continúe con la tramitación de este procedimiento administrativo.
En cuanto a la composición del consejo consultivo y la apertura a la sociedad civil, ahora mismo ya tenemos en la composición actual un representante de los usuarios y consumidores, un representante de las entidades responsables y encargadas
de los tratamientos propuestos por las organizaciones empresariales -ahora mismo es el representante de las Cámaras de Comercio- y un experto en la materia propuesto por el Consejo de Universidades. El proyecto de ley establece también un
representante de los profesionales de la protección de datos propuesto por el Ministerio de Justicia y un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el capítulo cuarto del título
V propuesto también por el Ministerio de Justicia.
Me preguntaba también por las denuncias anónimas en el sector público. Entiendo que la previsión que tiene el anteproyecto de ley para el whistleblowing en el ámbito privado y que hacía referencia precisamente a esa reforma del Código Penal
y la exoneración de la responsabilidad penal en el caso de que las personas jurídicas en este ámbito pusieran en marcha mecanismos de compliance para luchar contra la corrupción son ámbitos distintos. Me consta también que hay una proposición de
ley en tramitación parlamentaria, pero la previsión que hacía el proyecto de ley era exclusivamente para el sector privado precisamente por esta referencia específica que hace el artículo 31 bis del Código Penal.
En cuanto al coste cero en el ámbito de la Administración General del Estado, es una disposición adicional. Dentro de la autonomía organizativa que tienen todas las administraciones públicas esto se puede hacer. Nosotros ya tenemos
nombrado -como no podía ser de otra manera- delegado de
protección de datos. No ha supuesto un incremento de la RPT. Simplemente lo que se ha hecho es adscribir esas funciones a una persona que estaba trabajando la agencia desde hace años con una excelente capacitación y cualificación y eso
también puede hacerse en el ámbito de la Administración General del Estado o en el ámbito de las comunidades autónomas. Además el delegado de protección de datos puede ser una persona pero puede tener detrás todo un órgano colegiado que le asesore.
Difícilmente una sola persona -el delegado de protección de datos de un ministerio tan sensible por ejemplo como Sanidad o una consejería como la de Justicia- va a poder cubrir las funciones de especialización jurídica y conocimientos tecnológicos y
de seguridad que requiere esa especialización, y en datos tan sensibles y estratégicamente tan cualificados como pueden ser esos datos además de administraciones que están realizando big data, es muy importante que ese grado de protección de datos
tenga órganos colegiados, y no hace falta crear más órganos sino utilizar bien los que ya existen.
Me preguntaba por último el Grupo Parlamentario Popular por los medios que tiene la agencia para la adaptación. Ya he contestado en referencia al planteamiento que me ha hecho el Grupo Parlamentario de Ciudadanos.
En cuanto a por qué hemos incluido -este es un tema que yo creo que supone una ventaja para nuestros ciudadanos y sería una pena que los ciudadanos de nuestro país no pudieran tener estos derechos por que no se aprobara la ley- la previsión
para el derecho de acceso, supresión o cancelación de las personas fallecidas. El artículo 2.2 de la Ley orgánica en aplicación del reglamento lógicamente no se aplica a las personas fallecidas pero se podría dar la paradoja. Por ejemplo nos llegó
un dato sobre un caso muy sensible que pasó en Alemania, donde se suicidó una joven, la madre quiso acceder a la conversación que su hija había tenido en Facebook y la compañía se lo denegó. En este caso, cómo no, en el caso del tratamiento de
datos de personas fallecidas, ¿sus familiares -salvo que ese fallecido haya prohibido el acceso lógicamente en vida previamente- no van a poder tener acceso a esa información y en su caso a la cancelación o a la supresión? Cuando además podemos
estar hablando incluso de derechos de autor. Entendemos que es una previsión que garantiza los derechos de los ciudadanos y es muy importante porque es un plus de garantía respecto a lo que ofrece el Reglamento General de Protección de Datos y es
un plus que van a tener los ciudadanos que residen en nuestro país.
Me planteaban también la eliminación de las cargas. Para mí estratégicamente es vital el título VIII del reglamento y especialmente el abanico de medidas que damos antes de adoptar las medidas provisionales y el artículo 65. Estoy segura
de que el texto puede ser mejorado, todo se ha hecho de la mejor manera posible, es una ley principalmente técnica y estoy convencida de que en el trámite de enmiendas que espero que puedan cerrar los diferentes grupos parlamentarios cuanto antes
podamos tener sugerencias y mejoras que puedan enriquecer el texto que ahora mismo ustedes tienen.
Muchísimas gracias. (Aplausos).
El señor VICEPRESIDENTE: Muchísimas gracias, señora España Martí. Le aseguro que su intervención ha sido muy útil para todos los portavoces y grupos parlamentarios. Suspendemos un minuto la sesión de la Comisión. (Pausa).
- DEL SEÑOR PIÑAR MAÑAS, CATEDRÁTICO DE DERECHO ADMINISTRATIVO DE LA UNIVERSIDAD CEU SAN PABLO, DELEGADO DE PROTECCIÓN DE DATOS DEL CONSEJO GENERAL DE LA ABOGACÍA. (Número de expediente 219/001034).
El señor VICEPRESIDENTE: Señorías, reanudamos la sesión con la comparecencia del segundo de los intervinientes, que es don José Luis Piñar Mañas, catedrático de Derecho Administrativo de la Universidad CEU San Pablo y delegado de Protección
de Datos del Consejo General de la Abogacía. ¿Conoce el procedimiento, don José Luis? Tiene usted una primera intervención y luego los grupos parlamentarios le plantearán las cuestiones que estimen convenientes. Tiene la palabra.
El señor PIÑAR MAÑAS (Catedrático de Derecho Administrativo de la Universidad Ceu San Pablo, delegado de Protección de Datos del Consejo General de la Abogacía): Muchas gracias. Con la venia, señor presidente.
Ante todo quiero agradecer a la Comisión que me haya dado la ocasión de intervenir en el procedimiento legislativo de elaboración de la nueva ley orgánica de protección de datos de carácter personal que ha de aprobarse para adaptar nuestro
ordenamiento jurídico al Reglamento General de Protección de Datos. Mi intervención inicial, que intentaré que sea breve, apenas de quince minutos, se
centrará en cuestiones fundamentalmente técnicas relacionadas, por un lado, con la labor que llevó a cabo -creo que es de justicia reconocerlo- la Comisión General de Codificación en la elaboración del anteproyecto de ley orgánica de
protección de datos para luego centrarme no tanto en el contenido que ya ha expuesto brillantemente la directora de la Agencia Española de Protección de Datos sino en cuestiones generales relacionadas con la posición en el ordenamiento jurídico de
la que será nueva ley orgánica de protección de datos en relación con el Reglamento General de Protección de Datos.
Como todos sabemos, en octubre de 2016 y mediante orden del ministro de Justicia se constituyó en el seno de la Comisión General de Codificación, en la sección de Derecho Público que tengo el honor de presidir, la ponencia encargada de
elaborar el anteproyecto de ley orgánica de protección de datos de carácter personal. La primera reunión que celebró dicha ponencia tuvo lugar el 3 de noviembre de 2016 y el texto que surgió de los debates que allí se desarrollaron fue entregado al
ministro de Justicia el 19 de mayo de 2017, es decir, apenas seis meses para la elaboración un anteproyecto que, todos coincidimos, es de enorme importancia para todos los ciudadanos. Ese texto fue sometido al informe de la Agencia Española de
Protección de Datos, que llevó a cabo a través de su documento 194/2017 y dictamen del Consejo de Estado de 26 de octubre de 2017, presentándose posteriormente como proyecto de ley ante esta Cámara, ante el Congreso de los Diputados.
Por tanto, en mi opinión, se llevó a cabo una labor prelegislativa en un tiempo más que breve en relación con la entidad de la norma a la que estamos refiriéndonos y que ha dado lugar a un texto fundamentalmente técnico, algo que debería
resaltarse, como por lo demás ustedes saben perfectamente. Estamos ante un texto técnico que lo que debe hacer -esa es su función- es no trasponer sino adaptar el ordenamiento español al Reglamento General de Protección de Datos. Esto nos lleva al
artículo 288 del Tratado de Funcionamiento de la Unión Europea, donde se nos indica claramente que los reglamentos de la Unión Europea tienen un alcance general y son obligatorios en todos sus elementos y directamente aplicables en cada Estado
miembro. Repito, la Ley orgánica de protección de datos no es una norma de trasposición de una directiva sino una norma de adaptación del ordenamiento español al Reglamento General de Protección de Datos. Esto implica que, a partir de la plena
aplicación del reglamento y de la aprobación de la ley, vamos a tener que convivir con dos normas diferentes: el Reglamento General de Protección de Datos, por un lado, y la ley orgánica, por otro, sin perjuicio de las leyes sectoriales que en su
caso se aprueben y de las leyes ahora ya en vigor que no sean modificadas pero que se deberán considerar desplazadas por el reglamento cuando este sea plenamente aplicable. No obstante la aplicación directa del reglamento, ya el Consejo de Estado
recuerda que hay hasta cincuenta y seis remisiones en el reglamento a los legisladores nacionales, lo cual indica que es necesaria una adaptación normativa que, como antes señalaba la directora de la agencia, hoy por hoy han llevado a cabo tan solo
Alemania y Austria, si bien es verdad que la Asamblea Nacional francesa acaba de adoptar en primera lectura, el 9 de febrero de este mismo año 2018, un proyecto de ley para adaptar el derecho francés al reglamento europeo.
Pasamos, por tanto, de un modelo basado en una directiva a un modelo que se fundamenta en un reglamento. Ya solo el simple análisis de ambos textos nos indica cuál es la diferente naturaleza de la directiva y del reglamento. La directiva
tiene apenas 34 artículos y 72 considerandos; el reglamento, 99 artículos -tres veces más- y 173 considerandos -100 considerandos más que la directiva-. Como antes señalaba, esto se debe a que estamos ante una norma con vocación de ser de directa
aplicación, y esta es la opción por la que apostó la Unión Europea cuando se decidió aprobar no una directiva sino un reglamento. Esto es algo que el Consejo de Estado explica perfectamente en las primeras e interesantísimas páginas de su antes
citado dictamen de 26 de octubre de 2017. No obstante lo cual, pese a esta relación ordinamental entre reglamento y norma de adaptación, lo cierto es que el considerando octavo del Reglamento General de Protección de Datos permite, en la medida en
que sea necesario y por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, incorporar a los derechos nacionales elementos del citado reglamento. Eso es lo que en parte se ha hecho en la nueva
Ley orgánica de protección de datos, pero en la medida de lo estrictamente necesario. Y esto explica también que, tras una primera lectura y por quien no esté habituado a la regulación sobre protección de datos, por los actores, por los aplicadores
de la norma, se pueda considerar que estamos ante una norma parcial o una norma incompleta, por cuanto hay materias que no están recogidas en este proyecto de ley. Esto, repito, como saben sus señorías perfectamente -mucho mejor que yo-, se debe a
esa relación existente entre el Reglamento General de Protección de Datos y la norma de desarrollo. No hay definiciones en el proyecto de ley orgánica de protección de datos, no hay regulación de determinados
derechos, no hay una regulación pormenorizada de cuestiones que parecerían sustanciales porque se encuentran en el reglamento, reglamento que no obstante trae consigo un importantísimo nuevo modelo de protección de datos. Como saben
perfectamente sus señorías, se trata de un modelo basado en el principio de responsabilidad proactiva. Aparecen nuevos principios, nuevas obligaciones de los responsables y encargados, entre otras, la de adoptar medidas que garanticen y les
permitan demostrar que se cumple con el reglamento, lo cual es un motivo más por el que debe aprobarse una norma de adaptación.
No voy a entrar ahora en el contenido del reglamento y de la ley, como antes señalaba, porque ya ha sido analizado con anterioridad por la directora de la Agencia Española de Protección de Datos, pero sí insisto en el carácter enormemente
técnico de la ley que ahora se está debatiendo. Se trata de una ley que tiene poco margen de maniobra; es una ley que debe ceñirse a lo que establece el Reglamento General de Protección de Datos. Además, ya la Comisión Europea ha señalado en más
de una ocasión que lo que deben hacer los Estados miembros es adaptar exclusivamente su normativa a lo que establece el Reglamento General de Protección de Datos. Esto nos plantea la situación que se produciría en el hipotético caso de que no
estuviese aprobada la ley orgánica para el 25 de mayo de 2018. Se produciría una situación de desplazamiento de la Ley orgánica de protección de datos y de la normativa reguladora de la materia contradictoria o contraria al reglamento, pero no una
derogación de la Ley orgánica de protección de datos. Todas las disposiciones de la LOPD y de, por ejemplo, el reglamento aprobado por Real Decreto 1720/2007, seguirían plenamente en vigor en lo que no fuesen contradictorios con el Reglamento
General de Protección de Datos. Se produciría, eso sí, sin duda alguna, una situación de incertidumbre -se refería a ello también la directora antes-, lo que debería llevarnos a la necesidad de aprobar una norma cuanto antes, y les pongo un ejemplo
que quizá ha pasado desapercibido en algún sector y que se refiere a algunos temas que se han analizado en la comparecencia anterior. Me refiero a la edad para prestación del consentimiento por parte de los menores. Hay que tener en cuenta que el
Reglamento General de Protección de Datos establece como edad para la prestación del consentimiento la de dieciséis años, si bien establece que por ley de cada uno de los Estados se podrá rebajar esta edad hasta los trece años. Debemos tener muy
presente que en estos momentos la edad para la prestación del consentimiento de los menores en el reglamento aprobado por el Real Decreto 1720/2007 está fijada en catorce años, si bien es verdad que estamos ante una norma aprobada por un reglamento,
no ante una ley, de modo y manera que en mi opinión ese artículo 13 del reglamento aprobado por Real Decreto 1720/2007 quedaría desplazado, de modo que el 25 de mayo resurgiría de nuevo la edad de dieciséis años como la edad para obtener válidamente
el consentimiento de los menores, por cuanto no es una norma con rango de ley, sino reglamentaria, la que establece hoy por hoy esa edad de catorce años.
No creo que, como antes señalaba, sea oportuno entrar en mayores detalles en cuanto al contenido de la ley. Reitero que estamos ante una norma fundamentalmente técnica. Esa perspectiva técnica es la que se tuvo en cuenta en la Comisión
General de Codificación durante la ponencia integrada por vocales de la comisión y por representantes de la Agencia Española de Protección de Datos, en la que, por cierto -y quiero resaltarlo-, participó muy activamente su directora, doña Mar
España, en prácticamente todas las reuniones que celebró la ponencia. Ese texto técnico es el que dio lugar al proyecto presentado por el Gobierno, que nos ha de llevar a un nuevo modelo de protección de datos, en el que, como digo -y con esto
termino-, deben convivir necesariamente el reglamento de directa aplicación pero que necesita de adaptación y la ley orgánica que se apruebe en su momento de adaptación del ordenamiento español a dicho reglamento.
Por mi parte, nada más, señor presidente. Quedo a disposición de los grupos parlamentarios para cualquier cuestión que consideren oportuno plantearme.
El señor VICEPRESIDENTE: Muchas gracias, señor Piñar.
Comenzamos el turno de los grupos parlamentarios. El Partido Nacionalista Vasco no va a hacer uso de la palabra. Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, señor presidente.
Muchas gracias, señor Piñar, por su comparecencia. Voy a hacerle algunas preguntas para contar con su opinión y con su buen criterio. No van a ser muchas porque quiero dar también margen a distribuir el trabajo con mis compañeros y
formular una diversidad de preguntas que pueda usted responder a continuación. Por ejemplo, yo le preguntaría por el novedoso régimen de los datos de las personas fallecidas, por la herencia digital, si considera usted que este asunto está bien
tratado en el proyecto de
ley o si cabría hacer alguna modificación o ajuste y también si considera que esta materia podría afectar al derecho de sucesiones y, en consecuencia, requeriría algún ajuste a lo mejor del Código Civil, a los efectos de adaptar ambas
normas. Introduciría incluso un segundo matiz y es el caso del fallecimiento de las personas con discapacidad. Podría ser una anomalía que las obligaciones de instituciones como la tutela o la curatela, que tradicionalmente terminan con el
fallecimiento de la persona tutelada, se perpetuaran ahora en el tiempo, teniendo derecho de acceso, rectificación o supresión para ejercerlo con posterioridad al fallecimiento, como digo, de estas personas tuteladas. No sé si esto también afecta
al derecho civil y requerirá de algún ajuste y es por ello por lo que le pregunto.
En cuanto al consentimiento del afectado, vaya por delante que a nosotros no nos gusta la palabra 'afectado' y que seríamos partidarios de cambiarla en toda la ley por la palabra 'interesado'. Creo que la palabra 'afectado' tiene una cierta
connotación negativa per se en el tratamiento de los datos que no tiene ninguna justificación; preferiríamos sustituirla por la palabra 'interesado'. Pero, volviendo al tema, en cuanto al consentimiento del afectado se dice en el artículo 6 que
será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para cada una de ellas. Nosotros queremos preguntarle si el hecho de que el interesado deba marcar, por ponerle un ejemplo, diez casillas en lugar de una
implica un mayor grado de protección para el interesado, o si cree usted que pudiera tener cabida, sin dejar de cumplir con lo dispuesto en el reglamento, un sistema de prestación del consentimiento agrupado o por capas; esa sería la concreción de
la pregunta. También me gustaría preguntarle por el artículo 20 del proyecto de ley, cuando se refiere a los sistemas de información crediticia, cuando presume lícito el tratamiento de los datos personales relativos al incumplimiento de
obligaciones dinerarias, financieras o de crédito. Nos parece que aquí se está perdiendo una cierta oportunidad para abrir la posibilidad a que sean regulados los ficheros positivos de solvencia, en línea con la regulación existente en otros
países. ¿Qué opinión tiene usted acerca de los ficheros positivos de solvencia? ¿Cree que esto sería bueno para los consumidores, ya que podría fomentar la concesión de créditos responsables?
Nada más. Muchas gracias.
El señor VICEPRESIDENTE: Gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Podemos, tiene la palabra la señora Carreño.
La señora CARREÑO VALERO: Buenas tardes, señor Piñar. Muchísimas gracias por su comparecencia.
He de decir que tanto su comparecencia como la previa de la directora de la Agencia de Protección de Datos han sido muy completas y con las preguntas que ha hecho el compañero de Ciudadanos creo que no vamos a hacer ninguna más desde este
grupo, pero sí queríamos poner de relieve que se está haciendo alusión aquí continuamente al carácter técnico de esta ley, pero desde nuestro grupo pensamos que, por supuesto, hay cuestiones políticas que deberán dilucidarse en esta Cámara en el
trámite parlamentario. Intentaremos ser rápidos respecto a este trámite, pero hay que tener en cuenta cuándo nos ha llegado el proyecto de ley; se hará lo posible para ser rápidos, pero teniendo en cuenta que tampoco parece que estemos disponiendo
de mucho tiempo.
Muchísimas gracias.
El señor VICEPRESIDENTE: Gracias, señora Carreño.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Sí, presidente, brevemente y básicamente para agradecerle al profesor Piñar su intervención, que ha sido, como siempre, ilustrativa y rica en el contenido del que es un gran experto. Fundamentalmente, queremos
agradecerle su intervención.
Nada más.
El señor VICEPRESIDENTE: Gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra el señor Martínez.
El señor MARTÍNEZ VÁZQUEZ: Gracias, señor presidente.
Quiero agradecer también al señor compareciente su explicación, que ha sido exhaustiva y didáctica en cuanto a ese nuevo modelo que nos va a obligar a aplicar simultáneamente un reglamento europeo y una ley nacional. En esa línea querría
aprovechar, en nombre de mi grupo parlamentario, para felicitarle y agradecerle el enorme trabajo realizado en la fase prelegislativa al frente de la ponencia que se
constituyó en la Comisión General de Codificación y, como hice con la directora de la agencia, le ruego que traslade a quienes integraron esa ponencia nuestro agradecimiento y felicitación por un trabajo, del que no vamos a excluir,
evidentemente, sus dimensiones políticas, pero que tiene una enorme complejidad técnica.
Creo que las preguntas las ha hecho exhaustivamente mi compañero de Ciudadanos y, en consecuencia, simplemente le voy a hacer alguna puntualización. Ha hablado usted de la adaptación de la normativa con esas vías que deja abiertas el
reglamento en otros Estados, que Alemania y Austria ya habían aprobado sus leyes nacionales, ¿en qué estado se encuentran, si usted lo conoce, otros ordenamientos jurídicos de la Unión Europea? Por ver en qué momento estamos. Luego, ciertamente
usted se ha referido, como lo ha hecho la directora de la agencia, a la incertidumbre que plantea el escenario probable de que el 25 de mayo de 2018 no haya terminado la tramitación de esta iniciativa. He querido entender que la incertidumbre no
significa inseguridad jurídica; es decir, el señor Legarda hablaba en la anterior intervención de distopía, pero creo que hay que plantear un escenario no apocalíptico. Como nos vamos a ver necesariamente en ese contexto, probablemente lo que
tenemos que hacer entre todos es intentar que el tiempo sea el mínimo posible y, si es cero, mucho mejor. Desde su perspectiva como experto en Derecho Administrativo y en la materia, me gustaría conocer su opinión en este sentido, si estamos ante
un escenario de cierta incertidumbre pero no de inseguridad jurídica. El reglamento es directamente aplicable y, en consecuencia, habrá herramientas para que todos los afectados por la normativa puedan aplicarla con toda normalidad. Me gustaría
conocer su opinión sobre este aspecto porque creo que así también trasladamos a los afectados cierta tranquilidad. Por otro lado, es a nosotros, a los miembros de esta Comisión, de esta Cámara y a los compañeros del Senado, a quienes corresponde
ser diligentes a la hora de aprobar con la mayor celeridad este proyecto de ley orgánica. También es cierto que, gracias al trabajo que ustedes han realizado exhaustivamente en toda la etapa prelegislativa, creo que tenemos mucho avanzado ya.
Muchísimas gracias.
El señor VICEPRESIDENTE: Gracias, señor Martínez.
Señor Piñar.
El señor PIÑAR MAÑAS (Catedrático de Derecho Administrativo de la Universidad CEU San Pablo, delegado de Protección de Datos del Consejo General de la Abogacía): Muchísimas gracias, señor presidente.
Gracias, ante todo, a los grupos parlamentarios y a sus señorías por las observaciones que han formulado. Quiero agradecer especialmente las referencias que se han hecho a la labor de la Comisión General de Codificación, lo que demuestra la
cualificación no de mi persona, por supuesto, en cuanto a presidente de la sección de derecho público, sino de los integrantes de la ponencia, algo que por lo demás el propio Consejo de Estado reconoce en su dictamen. Fue un trabajo de varios meses
-apenas seis meses-, intenso, en el que intentamos redactar un anteproyecto -no es más que eso, un anteproyecto; le correspondió al Gobierno, por supuesto, presentar el proyecto y a la Cámara aprobar la ley- que se ajustase lo máximo posible a las
necesidades derivadas del nuevo modelo y del marco derivado del Reglamento General de Protección de Datos.
En cuanto a las muy interesantes cuestiones que plantea el Grupo Parlamentario Ciudadanos, son cuestiones todas ellas que se plantearon desde el principio en la redacción de la norma. Empiezo con la de las personas fallecidas. En efecto,
lo que se intenta en las muy novedosas previsiones que contienen el artículo 3 y la disposición adicional séptima de la ley, es regular -lo señalaba también antes la directora de la Agencia Española de Protección de Datos- una realidad. Y la
realidad es que el derecho a la protección de datos, como derecho de personas físicas y derecho de la personalidad, no es un derecho de las personas fallecidas, y se planteaba el tema de qué hacer con los datos de personas fallecidas que en muchas
ocasiones pueden generar enormes trastornos y situaciones no deseadas. Ante la inexistencia de un régimen que previese qué hacer en relación con los datos referentes a personas fallecidas, se optó por regular el artículo 3, que pretende ser
exquisitamente respetuoso con el Código Civil y, por eso, se señala que serán los herederos los que en su caso puedan ejercer esos derechos sin perjuicio de que el causante, el titular fallecido, pueda determinar o señalar quién, en su nombre, puede
ejercer los derechos derivados de la legislación de protección de datos. Esto, quizás, por considerar que en términos generales -y sin perjuicio de lo que ahora mismo diré- el dato personal no forma parte de la herencia, sino que es un elemento de
la personalidad; sin perjuicio de que pueda haber determinados datos o información que
sí pueda tener un valor o contenido que le pueda hacer calificable como parte de la herencia, y estoy pensando en algún contenido de cierto valor que una persona fallecida incorpore o integre o incluya en una red social: sus reflexiones,
sus pensamientos, que puedan tener un valor económico en el futuro y que sí puedan formar parte de la herencia. En principio, la ley no está pensando en eso ni quiere pensar en eso. La ley no quiere en absoluto sustituir la regulación que contiene
el Código Civil, tan solo se refiere a esa situación respecto de datos personales que en principio no formarían parte de la herencia. ¿Afecta a las personas con discapacidad y a quienes tienen o ejercen la tutela o la curatela? Sí. Pero en la
medida en que la tutela o la curatela desaparecen con el fallecimiento. Entonces, dependería de quien hubiese sido designado -en su caso, por la persona o por quien pueda manifestar su voluntad- para esa situación de futuro tras su fallecimiento.
Por lo tanto, entiendo que no afecta al Código Civil, sin perjuicio -y lo reconozco- de que a lo mejor se puedan plantear en el futuro situaciones que puedan ser límites en cuanto a la compatibilidad de la regulación de la Ley orgánica y el Código
Civil. Pero intentamos -o se intentó, y ese es el texto que al final surgió y respecto del que además no ha puesto pegas el Consejo de Estado- regular la materia en los términos que he intentado trasladarle.
En cuanto al consentimiento del afectado, en lo que se refiere a la palabra 'afectado', tiene toda la razón su señoría; de hecho, cuando se estuvo elaborando el anteproyecto y en los primeros textos, se utilizaba el término 'interesado',
que es el que habitualmente se utiliza en la legislación de protección de datos, pero se apreció que en alguna ocasión podía producirse alguna confusión en relación con el concepto 'interesado en el procedimiento'. El afectado es interesado, pero
no siempre coinciden los términos, y fue una decisión que en absoluto pretende tener más alcance sustantivo que el de utilizar una terminología que también se utiliza en el marco de la legislación de protección de datos pero que efectivamente no es
la usual en cuanto al uso de la palabra 'interesado'. Esa es fundamentalmente la explicación.
Más alcance tiene la interesantísima pregunta que formulaba en cuanto al artículo 6 y la necesidad de dar el consentimiento para las distintas finalidades. Esto es algo que deriva del propio reglamento. El Reglamento General de Protección
de Datos es muy escrupuloso con los derechos del interesado, del titular de los datos. Es una norma que establece un nuevo modelo de responsabilidad proactiva, de definición de medidas de seguridad y medidas técnicas de un modo aparentemente mucho
más general que lo que ahora se recoge en la normativa en vigor, pero, por otro lado, no implica en absoluto una reducción, sino todo lo contrario, en cuanto a las garantías y tutela de los interesados. Y una de las previsiones que tiene el
reglamento es que los consentimientos deben ser diferenciados para las distintas finalidades del tratamiento de los datos. Ahora, concluir que debe marcarse una cruz o darse un consentimiento por cada una de las finalidades, nos llevaría a una
situación seguramente contraria a la intención de la ley. Seguramente, sería contraproducente que se exigiese una cláusula informativa de cinco folios que nadie leería, de ahí la información por capas. Por eso -la agencia ya lo ha señalado en
varias ocasiones y los tribunales también-, de lo que se trata es de que el interesado, a través de los consentimientos y las finalidades que se definan, sea consciente y tenga conocimiento de para qué, en términos generales, se van a utilizar sus
datos, cuál va a ser la finalidad, pero no las finalidades concretas, cinco, diez, quince o veinte, sino que se garantice respecto del interesado ese poder de disposición que tiene sobre sus propios datos. Entiendo que esto no nos lleva a cincuenta
casillas, sino a lo mejor a dos o tres en función de la naturaleza o la finalidad genérica. Recuerdo que en alguna ocasión se planteó este tema por y ante la agencia en cuanto a la información de las finalidades y se llegó a una solución, recuerdo,
hace años, con Fecem, en el sentido de que se pudiesen utilizar finalidades tales como ocio, cultura, servicios financieros, que especificasen ámbitos de actuación, para que de este modo se garantizase que el titular, el interesado, mantiene ese
poder de disposición sobre sus propios datos.
En cuanto a los sistemas de información crediticia, la presunción de licitud de los sistemas de información crediticia en cuanto a los ficheros negativos y la posible extensión a los ficheros positivos, antes lo ha explicado con rigor la
directora de la Agencia Española de Protección de Datos. Es verdad que no hay una previsión expresa de reconocimiento de los ficheros positivos amparados por lo que podría ser un interés legítimo del responsable o de terceros, que es el título
habilitante que se elige para regular los sistemas de información crediticia con carácter general, pero también es verdad que no están prohibidos. Son distintos los regímenes jurídicos que se dan en los distintos países de la Unión Europea. La
cuestión es que un fichero positivo de solvencia, que puede ser un instrumento muy útil para el control del riesgo en el sistema financiero y para facilitar el acceso al crédito por los cumplidores, indirectamente implica también un fichero negativo
de quienes no están incorporados en ese fichero positivo. Esta es un poco la
consideración que suele hacerse cuando se plantea la posibilidad de crear un fichero positivo aún sin consentimiento del afectado. En cualquier caso, dado el nuevo modelo que se plantea ahora en protección de datos, que además ha sido
apuntado por el Consejo de Estado cuando analiza los tratamientos amparados en el interés legítimo, no es que esté abierto, sino que corresponderá al responsable acreditar que existe en su caso un interés legítimo que le permita, aun sin
consentimiento del afectado, llevar a cabo ese tratamiento.
Agradezco también las observaciones y los comentarios del Grupo Parlamentario Confederal de Unidos Podemos, así como los del Grupo Parlamentario Socialista por parte del señor Rallo. En cuanto a las observaciones del Grupo Parlamentario
Popular, reitero también mi agradecimiento por la felicitación a la labor, en cumplimiento de sus funciones, que desarrolló la Comisión General de Codificación. En cuanto a la situación del desarrollo normativo de la adaptación al reglamento en
otros países, Alemania aprobó su ley en junio de 2017, hay una ley alemana de 30 de junio de 2017. Hay una ley austriaca también reciente cuya fecha no tengo presente. En Francia -como señalaba antes-, la Asamblea Nacional francesa acaba de
adoptar en primera lectura un proyecto de ley de protección de datos el 8 de febrero, hace unos días. Me consta que en Italia están preparando también la adaptación, si bien, según parece, a través de una técnica distinta, que es una suerte de
delegación legislativa en favor del Gobierno, que en nuestro sistema sería difícil de aceptar por cuanto los decretos legislativos ni los decretos-leyes podrían afectar a derechos fundamentales. Este es un tema también muy importante que todos
tenemos en la cabeza, como sus señorías saben, y es que es, en lo que a mí se me alcanza, la primera vez que un derecho fundamental en su totalidad queda regulado en una norma europea, no en una ley orgánica, sino en una norma europea. Esto exige
utilizar el sistema de fuentes que nuestra Constitución establece. Por tanto, ese sistema que, en principio, parece que se ha seguido en Italia no sería posible entre nosotros. En cuanto al resto de los países, sé que el Reino Unido también tiene
un borrador, un proyecto avanzado, y parece que el resto de los países van bastante más atrasados que los modelos que acabo de indicar y, por tanto, de lo que está en estos momentos acaeciendo entre nosotros.
En cuanto a esa incertidumbre, más que inseguridad jurídica, que se podría plantear a partir del 25 de mayo de este mismo año, en efecto, como apunté en mi intervención, estamos ante un nuevo modelo en el que el reglamento, con una
regulación extensa y detallada -repito, casi 100 artículos y 173 considerandos-, regula un derecho fundamental y pretende hacerlo con bastante amplitud. Hay 56 remisiones a los legisladores nacionales y hay cuestiones, efectivamente, que necesitan
de regulación nacional. Antes lo ha señalado la directora de la Agencia Española de Protección de Datos, por ejemplo, todo lo que se refiere a los procedimientos de actuación, que seguramente no deberían estar incorporados en la ley orgánica, sino
que requerirán de un desarrollo reglamentario de la Ley orgánica de protección de datos. Pero lo cierto es que, como antes señalaba, a partir del 25 de mayo no es que se produzca un vacío normativo, ni mucho menos, porque el reglamento será
plenamente aplicable y también serán plenamente aplicables todas las normas ahora en vigor que no sean contrarias al reglamento y que se encuentran recogidas en la LOPD, en el Decreto de 2007 o en cualquier otra norma sectorial, que no quedan en
absoluto derogadas, como sus señorías saben perfectamente, sino que quedan desplazadas en lo que sean contradictorias con el reglamento. Además, ya hay obligaciones por parte de los responsables que van a permitir facilitar el cumplimiento, no solo
la labor magnífica que, en mi opinión, está llevando a cabo la agencia de concienciación y de aprobación de herramientas, de instrumentos y de guías que faciliten la aplicación de reglamentos, sino, por ejemplo, en el propio nombramiento de un
delegado de Protección de Datos. Decía la directora que se ha notificado tan solo el nombramiento de cincuenta delegados. El nombramiento del delegado de Protección de Datos va a permitir la aplicación de la norma y la definición de ese nuevo
modelo por parte de los responsables, sin necesidad de contar con una nueva ley orgánica de protección de datos. Es deseable que esa norma se apruebe lo antes posible porque es verdad que, si no, se puede generar cierta incertidumbre entre los
actores que están llamados a aplicarla, sin perjuicio de la situación que puede producirse en las autoridades de protección de datos, sobre todo a raíz de la extraordinaria novedad que suponen los tratamientos transfronterizos y todo el
procedimiento de cooperación y coherencia, que está fijado en el reglamento y que, ese sí, no está previsto en absoluto en nuestro ordenamiento porque no existe en la actualidad. Hay que reconocer que quizá las normas de procedimiento
administrativo ahora contenidas en leyes como la 39/2015 no están pensadas para procedimientos tan complejos como los que van a ponerse en marcha una vez que se aplique la nueva normativa europea.
Creo que he contestado a las observaciones que se han formulado. Nada más y muchas gracias por su atención.
El señor VICEPRESIDENTE: Muchísimas gracias, señor Piñar, por su intervención y por haber querido colaborar con esta Comisión compartiendo sus reflexiones sobre la ley que estamos tramitando. De verdad, muchísimas gracias.
Suspendemos durante dos minutos la sesión. (Pausa).
- DEL SEÑOR LÓPEZ CALVO, DELEGADO DE PROTECCIÓN DE DATOS DEL CENTRO SUPERIOR DE INVESTIGACIONES CIENTÍFICAS (CSIC) Y EXSUBDIRECTOR GENERAL DE LA AGENCIA DE PROTECCIÓN DE DATOS. (Número de expediente 212/001159).
El señor VICEPRESIDENTE: Continuamos la sesión dando la bienvenida al tercero de los comparecientes de la tarde de hoy, don José López Calvo, delegado de Protección de Datos del Centro Superior de Investigaciones Científicas, CSIC, y
exsubdirector general de la Agencia de Protección de Datos. Conoce el procedimiento: primero una breve intervención por su parte, después le damos la palabra al resto de los portavoces para que le planteen las cuestiones que estimen convenientes
y, para acabar, una última intervención por su parte. Tiene la palabra el señor López Calvo.
El señor LÓPEZ CALVO (Delegado de Protección de Datos del Centro Superior de Investigaciones Científicas, CSIC, y exsubdirector general de la Agencia de Protección de Datos): Muchas gracias por permitirme comparecer y dar mi opinión sobre
este importante proyecto, aportando mi visión de alguna forma desde dentro, mi visión desde la experiencia como ex subdirector de la inspección.
En primer lugar, indudablemente, es necesario hacer un reconocimiento a la labor y el esfuerzo que ha sido realizado para tener disponible un proyecto de ley en tan breve plazo, porque es una ley complicada, conseguir un texto en dos años no
es fácil. Deriva de una situación movible en lo que se refiere a estándares sociales y principios; emplaza a resolver en el ámbito nacional un juego que se realiza a nivel europeo y a nivel mundial y en este plazo se ha tenido que lidiar con
intereses contrapuestos y trasnacionales, consiguiendo un texto que, como digo, hay que celebrar.
Con respecto al texto y entrando de lleno en su redacción, querría destacar algunas cuestiones. En primer lugar, la existencia, en mi opinión, de alguna ambigüedad y vacío en aspectos que al menos debieran tenerse en cuenta. En ocasiones
se deduce algo pero no se explicita, como, por ejemplo, la inclusión de los datos de contacto y de empresarios individuales en el ámbito de la ley. Hay un artículo en que se legitima su tratamiento basándose en el interés legítimo, pero no se
especifica de manera concreta, lo que sería conveniente por razones pedagógicas, que se encuentra incluido dentro del marco de la ley. Tampoco hay una referencia explícita -y creo que sería bueno también para buen entendimiento- ni en el reglamento
ni en la ley a las cesiones de datos. Hay una previsión a cesiones de datos en la Ley 40/2015 entre administraciones públicas, pero siempre que sea posible, en mi opinión, es bueno explicitar y no dar por sentado algo.
En otros casos, sin embargo, es verdad que la opción que adopta el legislador es la del vacío o el silencio de alguna forma, quizá inevitable porque resulta complicado en ocasiones delimitar en el actual estadio en mayor medida, pero que es
verdad que no es lo idóneo y que en algún caso puede causar problemas. Así se produce en lo que se refiere al alcance del derecho de portabilidad, el Consejo de Estado de alguna forma ha obligado a que exista un cierto vacío; en ficheros
positivos, entre las opciones que se podrían manejar, consentimiento sí o consentimiento no necesario o interés legítimo, se opta de alguna forma por el silencio. Tampoco he visto en la ingente tramitación normativa del proyecto que haya habido una
insistencia muy grande por parte del Ministerio de Economía en este aspecto, que, a mi juicio, hubiera sido muy relevante porque la enervación del principio de consentimiento tendría que producirse cuando razones importantes y razones sustanciales
del mercado financiero exigieran enervar ese consentimiento y yo al menos no he visto una insistencia por parte de las autoridades financieras suficientemente rotunda en ese sentido.
También veo un vacío que sería conveniente llenar en la medida de lo posible, es complicado pero es una de esas preguntas que el sector está ansioso por que se respondan, en lo que se refiere a la utilización de los datos de publicidad. Las
empresas de publicidad están preguntando cuál es el alcance del interés legítimo para no tener que recabar consentimientos explícitos para cada una de las cientos de miles o millones de personas a las que envían publicidad. Una mayor concreción
sería necesaria o conveniente.
La ley incluye decisiones que, a mi juicio, son correctas y que comparto. En algún caso se adoptan por encima del reglamento o más allá del reglamento, por ejemplo, en lo que se refiere a los códigos de conductas. Los códigos de conducta
el reglamento únicamente los restringe a las asociaciones de responsables o de encargados, a las asociaciones empresariales. Sin embargo, el proyecto de ley lo permite también a las empresas o grupos de empresas, lo que, a mi juicio, es acertado.
También introduce ex novo que los delegados de protección de datos puedan ser personas jurídicas. Creo que es adecuado por la imposibilidad en muchas ocasiones de que una única persona, por muchos conocimientos que tenga, cubra todo el espectro.
Creo que es correcto y comparto la aceptación del whistle blowing vía denuncias anónimas respecto a conductas de empleados o de terceros. Por tanto, la innovación de que se puedan aceptar denuncias anónimas. Se ha planteado o se ha suscitado -lo
estaba escuchando- cuál sería la opinión respecto a que esa previsión alcance también a las denuncias en el ámbito público. En primer lugar, a mi juicio, y ya se ha dicho, probablemente no corresponde a la LOPD establecer una regulación en este
aspecto. Hay otras leyes, unas en trámite y otras ya aprobadas, como la Ley de Transparencia y Buen Gobierno, que introducen o podrían introducir modificaciones en sentido. En segundo lugar, en la Administración, en mi opinión, hay sistemas de
denuncia administrativos internos amplios, protocolos de acoso, órganos administrativos e incluso vías sindicales. También administrativos pero externos al propio órgano como inspecciones de servicio, oficinas de conflictos o judiciales e incluso
vía fiscalía que lo cubren adecuadamente. En todo caso, en la Administración, cuando se recibe por parte del responsable que corresponda una denuncia anónima pero que tiene visos de verosimilitud, de alguna forma hay una precaución habitual que es
abrir una investigación reservada, actuar si de alguna forma hay indicios de que puede haber una conducta irregular. También creo que es correcta la regulación del bloqueo de datos no prevista en el reglamento. La introducción, a mi juicio, es
acertada y habría que introducir algún matiz en la redacción, pero es correcto.
Hay otros artículos que requieren una revisión y uno de ellos es el artículo 4, la inexactitud de los datos, no únicamente en la redacción, sino en la limitación que se recoge. La diligencia al recabar los datos debe suponer la exculpación
en todos los casos, en principio, no únicamente en los tres supuestos que se establecen, sino en todos los casos. Por otra parte, la responsabilidad del comercial o de aquella persona que recaba los datos en nombre de un tercero no debe someterse a
la normativa del sector, sino que, en todo caso, tiene que resultar aplicable. Esto es, una persona que da de alta a un tercero sin el consentimiento del mismo tiene que responder, lo diga el código del sector o no o lo diga la normativa específica
o no. Asimismo, se debe responder también por los datos facilitados, en mi opinión, por el afectado pero que sean incorrectos y no se haya adoptado diligencia para contrastar su corrección. Por ejemplo, se da un número de cuenta corriente y no se
pide un recibo acreditativo de la titularidad.
Hay algunos elementos que, a mi juicio, revisten especial relevancia en el proyecto y, de alguna forma, me suscitan dudas e incluso alguna preocupación. Uno de ellos es el artículo 52, que exige la intermediación judicial para obtener
información sobre el presunto infractor de las empresas de telefonía e Internet si es persona física. Esto es, si hay una infracción como, por ejemplo, una suplantación en Internet y se denuncia o una llamada telefónica por motivos de publicidad,
la agencia hasta ahora ha estado solicitando a las empresas de telefonía y a las empresas de Internet que desvelara quién se encuentra detrás de ese número de teléfono o de esa IP y las empresas de telefonía y las empresas de Internet se lo han
venido suministrando. Esto a lo largo del procedimiento de tramitación, por lo que yo he ido viendo, se ha mantenido e incluso el Consejo de Estado ha explicado por qué se mantenían y específicamente lo ha desarrollado.
El Consejo General del Poder Judicial no solamente no ha hecho observaciones al respecto, sino que ha introducido una consideración respecto al rol de la agencia en el ámbito de trasferencias internacionales, en el ámbito específico, pero
que viene a decir que se puede o que sería preciso -en este aspecto en que la agencia asume funciones jurisdiccionales, repito, respecto de trasferencias internacionales- dotar a la autoridad de control de una configuración tal que permita reconocer
en ella de forma indubitada e indiscutible los rasgos que conforme a la jurisprudencia europea caracterizan el concepto autónomo de órgano jurisdiccional con arreglo al cual se confiere la legitimación para abrir el diálogo prejudicial,
configuración que podría establecerse en la propia ley orgánica cuyo anteproyecto es ahora informe. Esto es, el Consejo del Poder Judicial reconoce que se le puede dar esa función a la agencia, función que ha tenido hasta ahora y función que se
mantenía durante la tramitación y que desconozco si en fase de Comisión de Subsecretarios o en qué fase en especial, pero en una de las fases ulteriores, ha desaparecido. Esta condición y este requisito puede suponer un obstáculo complejo para el
devenir
cotidiano de la agencia que tiene que requerir de forma muy ágil en muchas ocasiones información a las operadoras de telefonía y de Internet, que tienen que suministrar la información también rápidamente porque hay riesgo de que desaparezcan
las pruebas -y en ocasiones las pruebas desaparecen en días-, y traslado mi preocupación por esta medida en concreto y por esta restricción que rompe la tradición respecto de lo existente hasta la actualidad, que no ha causado problemas, que tenía
respaldo y tiene respaldo en la tramitación por parte del Consejo de Estado y del Consejo General del Poder Judicial y que abre una zona de incertidumbre de alguna forma que impide anticipar hacia dónde irá.
Con respecto al título VIII, quería hacer algunas reflexiones. Es cierto que este título supone una nueva visión estratégica de cuál es el enfoque que se quiere dar a la actuación de la agencia, de alguna forma desapoderando el régimen
sancionador -detrás de ello hay una decisión política de hacia dónde se quiere que vaya la actuación de la institución-, que a mí me lleva a alguna reflexión, con independencia de que, en efecto, hay que repasar técnicamente tanto el título como
otros artículos relacionados con el mismo. A mi juicio, este cambio de paradigma puede tener cierta trascendencia. Por una parte, llama la atención este desapoderamiento de la vía sancionadora en contraste con la reivindicación que su prima
hermana, el Consejo de Transparencia, está realizando en sentido contrario. El Consejo de Transparencia está insistiendo en que el problema que tiene es que no tiene régimen sancionador y, como no lo tiene, aquello de la pedagogía de la sanción
-que, por desgracia, funciona- no puede aplicarlo y, por tanto, se encuentra de alguna forma atado de pies y manos y no consigue cubrir su función en plenitud. Por otra parte, supone una ruptura importante respecto de una tradición que la Agencia
Española de Protección de Datos -sus funcionarios y los diferentes directores- han mantenido en el tiempo, derivando en procedimientos sancionadores ya muy aquilatados, meditados y pensados, ratificados por los tribunales en un porcentaje altísimo y
que, a mi juicio, han funcionado y funcionan razonablemente bien.
Por otro lado, el cambio de paradigma es muy importante porque el afectado, como se dice en la ley, pasa de no ser interesado -en el procedimiento sancionador no es interesado- a ser beneficiado. El Tribunal Supremo lo ha dicho en muchas
ocasiones: cuando alguien se ve afectado y presenta una denuncia, no es interesado en que recaiga una sanción porque su esfera de derechos no va a incrementarse por el hecho de que esa entidad sea sancionada. Eso deriva, por ejemplo, en que cuando
la agencia archiva una denuncia y el afectado acude a los tribunales, normalmente los tribunales inadmiten a trámite el recurso diciendo: usted no tiene legitimación para interponer un recurso frente a un archivo por parte de la agencia. Todo lo
más que reconocen es el derecho que tienen a una investigación. En este caso, sin embargo, este giro supondría que pasa a resultar beneficiado de una eventual contraprestación. Esto es, en un caso típico, una persona a la que dan de alta en una
empresa de telefonía sin consentimiento y la incluyen en un fichero de morosos, con la vía actual, denuncia a la agencia y la sanción correspondiente puede alcanzar 80 000 euros aproximadamente. Con el nuevo sistema una reversión al delegado de
Protección de Datos -todas las empresas van a tener el delegado de Protección de Datos- incentivaría un sistema que tiene riesgos, que es: si no me pagas, te denuncio. Entonces ya se produce una negociación para evitar que se eleve esa reclamación
a la agencia. Tiene otra trascendencia y es que el bien jurídico privacidad pasa de ser objeto de protección de oficio por los poderes públicos a ser objeto transaccional. Esa reconducción deriva en que sea el DPD de la empresa, o sea la empresa,
y el particular los que negocien una compensación al margen de la eventual reconducción al procedimiento sancionador. Indudablemente, puede tener un efecto recaudatorio. La memoria de 2016 de la agencia indica que de los 14 millones recaudados la
totalidad corresponde a empresas que van a tener un DPD, que son grandes empresas. Eventualmente, las denuncias que han derivado en esas sanciones pueden reconducirse a la vía de negociación entre DPD e interesado, a la vía de transacción o la vía
de búsqueda de una compensación económica y, desde el punto de vista presupuestario, es indudable que puede y previsiblemente va a tener trascendencia, lo cual al menos hay que tener en cuenta. Probablemente, es algo conocido y de alguna forma está
previsto, pero es necesario tenerlo en cuenta. Por otra parte, muchas pymes, que no van a tener delegados de Protección de Datos, no van a poder acogerse a ese procedimiento, a esa reconducción. Es verdad que las pymes y las personas físicas
normalmente no son sancionadas finalmente; son apercibidas, pero no son sancionadas económicamente, pero serían objeto en primera persona de los procedimientos sancionadores de la agencia. Habría también un posible problema de prescripción que
probablemente también se deba tener en cuenta. En definitiva, detrás de ello, evidentemente, hay una decisión estratégica, política, de hacia dónde quiere enfocarse la actuación de la agencia, desapoderando la rama sancionadora, una decisión, por
supuesto, que a mí no me corresponde tomar, pero creo que es conveniente tener en cuenta los riesgos que pueden derivar de ella.
Voy finalizando. Me llama la atención, y de alguna forma no acaba de resultar a mi juicio totalmente convincente, la enumeración ejemplificativa de títulos sancionadores. Se enumeran tipos muy por encima de los tipos actuales y se
establecen a título de ejemplo, lo cual no sé hasta qué punto se concilia con los principios de seguridad jurídica y de tipicidad. Respecto al rol de las agencias autonómicas, el artículo 59, que es el prevé una posibilidad de participación por
parte de la agencia española en caso de inacción o de que se considere que la Administración correspondiente no atiende debidamente sus obligaciones, de alguna forma mimetiza lo previsto en la actualidad en el artículo 42. En ese sentido, no veo
grandes diferencias. Por otra parte, el reglamento europeo contempla algo muy parecido respecto de los países. Esto es, si un Estado incumple, un tercer Estado puede denunciarlo y el comité, que engloba a los veintisiete miembros, puede adoptar
una decisión vinculante obligando al Estado correspondiente. Me llama la atención el artículo 61. No sé si lo estoy interpretando bien, si es una equivocación o si simplemente es lo que se quiere. Según este artículo y la interpretación que yo
hago, se está otorgando en el ámbito internacional, en los procedimientos de cohesión, atribuciones a las agencias autonómicas que no tienen en el ámbito nacional. ¿Por qué? Porque el artículo 61 del proyecto se dice que serán autoridades
principales e interesadas en los casos del artículo 56 del reglamento. Bien, el artículo 57 del proyecto, siguiendo la tradición competencial de las agencias autonómicas, dice que tienen competencia en lo que se refiere a responsables y encargados
de carácter público en su territorio. Sin embargo, al remitirse al reglamento, este no distingue entre privados y públicos. Por lo tanto, da la sensación de que mientras en el ámbito nacional mantiene su reserva competencial a los responsables y
encargados de tratamiento de carácter público, en el ámbito internacional desborda lo que es el carácter público para llegar a lo que es también el ámbito privado.
No quiero extenderme mucho más, pero por supuesto estoy a su disposición para las preguntas que consideren oportunas.
Muchas gracias.
El señor VICEPRESIDENTE: Muchísimas gracias, señor López Calvo.
Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, presidente.
Muchas gracias, señor López, por lo novedosa que ha resultado su comparecencia, ya que hasta ahora habíamos recibido a dos comparecientes que habían participado en la redacción de la ley pero usted es el primero que nos hace llegar alguna
advertencia sobre algún vacío, de lo cual tomamos buena nota y lo tendremos en consideración.
La primera pregunta es obvia. Usted ha estado al fondo de la sala y ha tenido ocasión de oír a los demás comparecientes, por lo que quiero preguntarle si quiere manifestarnos algún desacuerdo o alguna opinión contraria a lo que haya
escuchado; en concreto, acerca de los temas candentes que se han puesto de manifiesto. Por citar algunos, los datos relativos a las investigaciones científicas y biomédicas, los datos relativos a las personas fallecidas, la herencia digital o el
consentimiento del afectado y la posibilidad de que este sea prestado de manera agrupada y por capas.
Dada su condición de DPD, yo le preguntaría sobre el artículo 34 del proyecto de ley. En este precepto se obliga a contar con un delegado de protección de datos a cualquier prestador de servicios de la sociedad de la información cuando
elaboren a gran escala perfiles de usuarios del servicio. Conforme a esta redacción, ¿no podría generarse cierta incertidumbre en torno a ese concepto algo indeterminado de gran escala? Pensamos que podría llegar a darse alguna situación un tanto
absurda. Por ejemplo, un emprendedor que tenga una empresa conformada únicamente por su persona, que empieza a dar sus primeros pasos y que está empezando a trabajar en su casa desde su ordenador, fuera sancionado por no contar con un delegado
porque trata datos a gran escala, cuando no sabemos muy bien cómo se definen estos datos a gran escala. En ese sentido, le preguntaría si usted es favorable a que se establezca algún tipo de definición de qué es lo que ha de entenderse por gran
escala, si facturación, número de clientes, etcétera. Le pediría también, puesto que ha manifestado que le parece correcta la regulación del bloqueo de datos, que ampliara un poco su consideración, porque, a mi modo de ver, el bloqueo de datos
parece establecer como un limbo para los datos rectificados y suprimidos, de manera que supone casi la creación de una nueva categoría de datos; no son datos de tratamiento lícito, pero tampoco son datos suprimidos. En ese sentido, le preguntaría
qué cree usted que puede suponer esta categoría de datos bloqueados para los responsables del tratamiento de los datos y para los DPO, si les va a generar alguna
dificultad en lo que respecta a su adecuación de sistemas informáticos y de medios técnicos con los que deben contar.
Gracias.
El señor VICEPRESIDENTE: Gracias, señor Gómez Balsera.
Por el Grupo Parlamentario de Unidos Podemos, tiene la palabra la señora Carreño.
La señora CARREÑO VALERO: Ante todo, señor López Calvo, quería darle las gracias por su comparecencia, que ha sido magnífica, muy completa y ha marcado una diferencia respecto a los comparecientes previos ya que ha mostrado usted
discrepancias, vacíos, etcétera, que hay en el proyecto de ley y, como ha dicho el compañero de Ciudadanos, porque nos ha hecho partícipes de ello y además ha esgrimido criterios políticos y no solo técnicos que circunscriben, al final, las posibles
enmiendas o inclusiones que se puedan hacer en esta ley. Nosotros hemos estado muy atentos y hemos tomado buena nota de lo que ha dicho aquí, lo cual quedará recogido en el Diario de Sesiones.
Usted ha dicho que hay vacíos o que hay silencios en el proyecto de ley y querríamos preguntarle si todo ello se puede regular desde el Parlamento español o algunos son competencia específica del reglamento europeo y no se puedan modificar.
Nuestra pregunta sería sobre esas discrepancias que ha comentado.
Le agradecemos de nuevo su comparecencia. Gracias.
El señor VICEPRESIDENTE: Gracias, señora Carreño.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Intentaré ser lo más breve posible. En primer lugar, quiero agradecer al señor López Calvo su presencia hoy aquí, cualificada e interesante. Usted ha sido presentado en esta Comisión como delegado de protección de datos del CSIC, pero yo
me veo en la obligación de poner en conocimiento del resto de los miembros de la Comisión que, con anterioridad, ha sido subdirector general de la Agencia Española de Protección de Datos, en concreto con responsabilidad en la inspección e
investigación, lo cual cualifica particularmente las opiniones que pueda ofrecernos en relación con esa esfera. Además, en los últimos años fue también autor de trabajos y estudios específicos sobre el Reglamento de Protección de Datos.
Dicho esto, no quisiera abusar, pero sí quiero recuperar tres cuestiones en las que creo que puede ser de interés su opinión. Usted ha cuestionado -intuyo discrepancias respecto de lo que son criterios que a priori podemos mantener nosotros
y lo que puede ser su opinión- y ha advertido sobre la intermediación judicial prevista en el artículo 52, pero no es menos cierto que en el proyecto de ley esa intermediación judicial para obtener determinados datos de las operadoras de
telecomunicaciones está restringida para aquellos supuestos en los que no medie una denuncia presentada por un afectado. Me gustaría saber qué impacto, respecto de lo que es la actividad de investigación e inspección de la agencia, intuye usted que
queda en este ámbito de la intermediación judicial, teniendo en cuenta que a muchas de las acciones de esta naturaleza les preceden denuncias de interesados. Esto para intentar aclarar ese punto.
Hay un tema sobre el que usted se ha manifestado a favor pero que es motivo de preocupación de bastantes entidades y en el que la directora no ha podido profundizar mucho, que es el tema del bloqueo de datos. Esto, que no está previsto en
el reglamento, sí que lo está en la tradición española de protección de datos pero no acaba de ser suficientemente explicado, al menos en términos de diferenciación con lo que otros países contemplan al respecto. Queda ahí, como mínimo, una falta
de explicación suficiente sobre la necesidad de incorporar esa previsión del bloqueo de datos que, aparentemente, no está recogida en otros países.
En cuanto a la intermediación del delegado de protección de datos, previa a las reclamaciones que se presenten ante la agencia, me consta que su opinión es favorable a las previsiones de la ley, en concreto del artículo 37. Nos preocupa que
el apartado segundo de este artículo pueda acabar configurándose como una especie de supuesto de intermediación que permita aplicar un criterio selectivo de la agencia a la hora de tramitar las reclamaciones de los interesados. Se faculta a la
agencia para que remita al delegado las reclamaciones y no está claro qué alcance va a tener -que no conteste el delegado sí- que sea una respuesta positiva y en qué términos. No está claro hasta qué punto obliga o debe o no obligar a seguir
tramitando a la agencia y por qué no deben seguir tramitando la agencia esas reclamaciones. Nos preocupa que se produzca ahí una puerta falsa de archivos y denegación de derechos de los interesados.
Usted ha tenido buena experiencia sobre las sanciones impuestas en el sector público. La ley sigue manteniendo la tradición de la LOPD de no sancionar económicamente y sustentar las sanciones al sector público exclusivamente en un informe
remitido al Defensor del Pueblo, en un seguimiento de actuaciones, etcétera. Nos gustaría que aclarara un poco este extremo.
Muchas gracias, presidente.
El señor VICEPRESIDENTE: Muchas gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra don Jaime de Olano.
El señor DE OLANO VERA: Gracias, señor presidente. Buenas tardes, señorías.
Señor López Calvo, en nombre del Grupo Parlamentario Popular me sumo a la bienvenida que le han dado los portavoces que me han precedido en el uso de la palabra. Le traslado nuestro agradecimiento por sus interesantes aportaciones, que sin
duda serán de gran utilidad en la tramitación de este proyecto de ley, porque, como decía el señor Rallo, usted tiene una amplia experiencia dentro de la Agencia de Protección de Datos, de la que fue subdirector general.
En su intervención calificaba usted el texto de este proyecto de ley de complicado; una ley técnica, creo que decía el profesor Piñar. Decía usted también que no es fácil obtener un texto de esta complejidad en dos años e incluso llegó a
calificar su tramitación como ingente. Me gustaría saber si conoce en qué situación se encuentra en otros países de la Unión Europea que también están obligados a trasponer este reglamento la tramitación de una ley similar a esta ley orgánica que
estamos tramitando en España.
Le hago solo dos preguntas, porque algunas de las que tenía anotadas ya se las han realizado otros portavoces. Quería tratar el tema del consentimiento de los menores. El proyecto ha optado por rebajar la edad de prestación del
consentimiento a los trece años. Usted conoce perfectamente que el reglamento de 2007 que está todavía en vigor había establecido esa edad en los catorce años, si bien el reglamento de la Unión Europea permite elevarla hasta los dieciséis. El
Gobierno, en el texto que nos propone, ha optado por los trece años y hay una cierta polémica sobre si puede surgir algún tipo de problema en este sentido. Dada su amplia experiencia dentro de la inspección en la propia agencia, quería conocer si
establecer un límite inferior a los dieciséis años supone algún tipo de problema o si en su labor inspectora se ha encontrado con algún problema. Por último, respecto a los DPD, se ha optado en el texto del proyecto de ley orgánica por no requerir
una formación específica a los DPD de las empresas. Quería preguntarle si usted está de acuerdo con este criterio o cree, por el contrario, que deberían tener una formación específica, dado que hablamos de una materia ardua, compleja y que requiere
un alto grado de conocimiento. Sin más, le agradezco de antemano sus respuestas.
Muchas gracias, señor presidente.
El señor PRESIDENTE: Gracias, señor De Olano.
Para contestar a las cuestiones que le han sido planteadas, tiene la palabra el señor López Calvo.
El señor LÓPEZ CALVO (Delegado de Protección de Datos del Centro Superior de Investigaciones Científicas, CSIC, exsubdirector general de la Agencia de Protección de Datos): Muchas gracias.
En relación con las preguntas planteadas por el Grupo Parlamentario Ciudadanos respecto a la investigación, yo soy el delegado de protección de datos del CSIC y me parece muy razonable -la directora también lo ha planteado de alguna forma-
que en los supuestos en los que la situación no está clarificada y no es imprescindible reflejar en el texto una situación o una previsión, no hacerlo. En el caso de la investigación, hay un grupo de trabajo a nivel europeo que se llama Science
Europe cuyo principio es la libre circulación de datos en materia de investigación, que es una especie del carril paralelo al carril de protección de datos. Aunque ambos tratan datos, no siempre van a coincidir; ni siquiera ellos tienen muy claro
cómo van a confluir ambos sistemas. Me parece que he dicho al principio que uno de los problemas que tenemos es que aquí estamos resolviendo a nivel nacional un juego que es europeo o probablemente mundial, y eso es problemático. En el ámbito de
la investigación desde luego el juego es transnacional. Por otra parte, es verdad que el reglamento establece matices en lo que se refiere a las finalidades. Establece una mayor flexibilidad en lo relativo al otorgamiento o al tratamiento de los
datos en función de finalidades específicas -flexibilidad es una de las pocas concreciones, aunque tampoco es una gran concreción específica porque no acaba de establecerse en mayor medida- y un punto diferencial respecto al resto de los
tratamientos. Por lo tanto, la ausencia de una previsión o de una regulación que en cualquier momento puede realizarse me parece razonable.
Respecto a los fallecidos, el reglamento de la LOPD ya introducía en el artículo 24 una previsión respecto a los fallecidos, excluyéndolos de la ley pero introduciendo alguna previsión a los efectos del derecho de cancelación, etcétera. Me
parece razonable la previsión que incluye al respecto el proyecto de ley, aunque algún ajuste técnico sería necesario realizar porque aparecen dos previsiones que probablemente deberían converger pero, en principio, la regulación y el objeto de la
regulación son razonables. ¿Consentimientos agrupados? El reglamento insiste mucho en el tema del consentimiento, rehúye el consentimiento tácito -ya no lo acepta- y especifica que el consentimiento tiene que darse para cada una de las
finalidades. En este punto parece que no hay mucho margen, sin perjuicio de que a la hora de recabarlo, en vez de tener que dar el consentimiento uno a uno, se pueda establecer una acumulación de finalidades siempre que sean específicas, porque lo
que no se permite es un consentimiento genérico del tipo 'y para todos aquellos tratamientos que sean necesarios o convenientes para el objeto para el que se recaban los datos'. ¿Gran escala? Es también una de las preguntas del millón. En el
reglamento de los tratamientos a gran escala derivan consecuencias -una evaluación de impacto sobre la privacidad, entre otras cosas- y el grupo de autoridades ha dictado un documento tratando de especificar y de dar ejemplos de qué se considera
como gran escala. Ya hay un documento del Grupo europeo del protección de datos del artículo 29 y, aún así, como es lógico, son ejemplos, no es absolutamente exhaustivo y va a ser necesaria una interpretación. Respecto al apartado 34 d), lo que me
planteo es más bien un tema de coherencia entre los distintos apartados. Si en el apartado b) se hace referencia a que los centros docentes regulados en la ley orgánica tienen que tener un DPD, ahí se incluyen todos los centros docentes. Si los
centros docentes que tratan menos datos tienen que tener un DPD se supone que los prestadores de servicios de la sociedad de la información, que por su propia naturaleza van a tratar más datos, tendrían que tenerlo. Por otra parte, es verdad que el
sistema no exige un delegado de protección de datos por cada responsable o por cada encargado. Probablemente, como se ha dicho también, ahí se irá a figuras que engloben a varios responsables y a varios encargados.
El bloqueo de datos tiene una tradición en España derivada de la ley de 1999 que, hasta donde yo he visto, no ha causado grandes problemas. Es verdad que tiene que desbordar, a mi juicio, el alcance que se prevé en el artículo de datos
rectificados y suprimidos, pero de lo que se trata es de algo tan sencillo como que se mantengan los datos cancelados a disposición de las autoridades judiciales y de las autoridades administrativas mientras puedan ser relevantes para hacer frente a
eventuales responsabilidades. El problema es cuando surjan esas responsabilidades administrativas o judiciales y los datos no están disponibles porque se han borrado.
Respecto a las preguntas o comentarios del Grupo Podemos, es verdad que el reglamento permite mucho margen. En algún aspecto no lo permite, pero en otros muchos permite margen. Por eso se ha redactado de esta forma, para intentar diseñar
un traje en el que quepan todo tipo de tallas y todo tipo de hechuras, desde los países nórdicos hasta España, donde tradicionalmente a las administraciones públicas no se las ha sancionado, hasta otros países donde el procedimiento sancionador es
llevado a cabo por órganos judiciales. Hay bastante margen; de hecho, una de las críticas o comentarios que se hace sobre el reglamento es lo que un profesor, precisamente un letrado de las Cortes, ha denominado la 'gruyerización' del reglamento
europeo. Hay tantas excepciones del reglamento vía nacional que prácticamente se puede construir uno nuevo que no tendría similitud con el construido por otro Estado miembro. Hay mucho margen, el reglamento da mucho margen y se está demostrando de
alguna forma.
Respecto al comentario sobre las denuncias de los interesados, es verdad que la mayoría de los procedimientos sancionadores se inician como consecuencia de la denuncia de un interesado, pero no hay que olvidar que un procedimiento
sancionador, al final, se inicia de oficio, se tramita de oficio y en muchas ocasiones las actuaciones de oficio lo que suponen es complementar lo que el interesado como tal no activa. En ese sentido, creo que tener los brazos atados no es positivo
y, además, no es imprescindible.
El reglamento dice -es algo que creo que tendría que recogerse en el proyecto- que si una vez que se desvía -es una de las posibilidades que da- al DPD o el órgano correspondiente creado en el código de conducta no hay un acuerdo, el
afectado siempre tiene derecho a presentar una denuncia frente a la agencia, por eso decía que puede haber un problema de prescripción, al menos puede haber una cuestión de prescripción. Si es rápido el DPD y se establecen plazos cortos no tiene
por qué prescribir pero es verdad que el período de prescripción se acorta. Pero sobre todo esa fase inicial DPD código de conducta frente a afectado hay que tenerlo en cuenta, ya que es una fase de transacción, una ruptura del paradigma. Se
privatiza el problema, se reenvía a un ejercicio de debate entre particular y responsable -al
responsable probablemente no le interese que el afectado acuda a la agencia- y en esa transacción se crean unas nuevas reglas que habrá que ver en qué derivan y habrá que ver cómo funcionan, pero desde luego son radicalmente diferentes a las
que existen en la actualidad.
Respecto del sector público, de nuevo el dilema es, por una parte, el sistema actual, ya que al sector público no se le sanciona, tradicionalmente se dice que no hay que sancionar al sector público porque una sanción económica al sector
público supone un trasvase económico de un presupuesto a otro, pero, por otra parte, hay sanciones económicas en el sector público y es indudable que hay un elemento estético que no deja de ser llamativo. Cuando se activan procedimientos en un
sector determinado como puede ser el de hospitales y se constata que hay infracciones en medidas de seguridad, por ejemplo, no deja de ser llamativo, sobre todo para los privados, que a los hospitales privados se les sancione económicamente y a los
hospitales públicos se les declare la infracción. Es verdad, insisto, que la infracción es realmente lo que más daño va a hacer al sector público, al hospital público, pero esa dicotomía, esa contradicción, los privados lo subrayan en muchas
ocasiones y vienen a decir: ¿por qué? Hay que explicar que por razones históricas, esa es la justificación, pero no siempre es comprendido.
En relación con las consideraciones o preguntas del representante del Grupo Popular, desconozco el estado en que se encuentra la tramitación en el resto de países; sí conozco, como se ha dicho, que la ley únicamente ha sido aprobada en dos
países, en Austria y en Alemania, y reitero que, a mi juicio, es un éxito teniendo en cuenta que la Memoria de análisis sobre el impacto normativo está disponible y es verdaderamente abrumadora en el sentido del trabajo que se ha realizado y la
rapidez con que se ha trabajado. En ese sentido, reitero que hay que subrayar el esfuerzo que se ha realizado por parte de todas las instancias y el hecho de que ya haya un proyecto de ley en estos momentos en las Cámaras.
Menores. Respecto de los menores, yéndome del tema de la edad, que es un tema sobre el que yo puedo tener mi opinión, creo que es uno de los aspectos sobre los que más se ha debatido y ha habido opiniones de todo tipo. La solución a la que
se ha llegado es la edad de trece años para homologarse con el requerimiento de edad en las redes sociales principalmente en los países anglosajones, es una opción. Lo que querría subrayar es que es un tema abierto, por lo tanto, es posible que se
revise a medio plazo, porque en Europa se trabaja hacia un consenso en ese sentido. El Grupo de trabajo del artículo 29 ha instado a que se adopte una decisión consensuada al respecto. Por otra parte, ¿cómo se controla? Se dice que el
consentimiento tiene que constar para los mayores de trece años. ¿Y eso cómo consta en Internet? Es difícil y la respuesta desde luego no se deriva de una forma evidente del proyecto; probablemente es uno de los elementos trascendentes sobre el
que hay que trabajar.
Por mi parte, nada más. No sé si me he dejado alguna pregunta sin contestar. Les agradezco a todos ustedes su amabilidad, su interés y sus preguntas y quedo a su disposición.
El señor VICEPRESIDENTE: Muchísimas gracias, señor López Calvo, le agradecemos su comparecencia en esta Comisión.
Suspendemos de nuevo la sesión durante dos minutos. (Pausa).
- DEL SEÑOR VILLAVERDE MENÉNDEZ, CATEDRÁTICO DE DERECHO CONSTITUCIONAL DE LA UNIVERSIDAD DE OVIEDO. (Número de expediente 219/001035).
El señor VICEPRESIDENTE: Señorías, continuamos con la sesión, y lo hacemos dándole la bienvenida al cuarto compareciente, a don Ángel Ignacio Villaverde Menéndez, catedrático de Derecho Constitucional de la Universidad de Oviedo, al cual
agradecemos su presencia y que haya querido compartir con nosotros sus reflexiones en torno a esta ley orgánica de protección de datos. Tiene la palabra.
El señor CATEDRÁTICO DE DERECHO CONSTITUCIONAL DE LA UNIVERSIDAD DE OVIEDO (Villaverde Menéndez): Muchísimas gracias, presidente, y muchas gracias a la Cámara por honrarme permitiéndome venir a esta Comisión para darles mi modesta y humilde
opinión sobre el proyecto de ley orgánica sobre protección de los datos personales.
En primer lugar, como han hecho quienes me han precedido en el uso de la palabra, creo que es de justicia reconocer el trabajo encomiable de las personas que han hecho el esfuerzo ímprobo de redactar este proyecto de ley en un tiempo
relativamente récord, y que, como ya se ha mencionado aquí, nos coloca, junto con Alemania y Austria, si finalmente el proyecto se aprueba, dentro del grupo en cabeza de
los países europeos que han adaptado el Reglamento General de Protección de Datos de la Unión Europea en sus legislaciones.
Dicho esto, les pido disculpas por dos razones: primero, por mi visión como constitucionalista, ya que seguramente me quedaré muy por encima y no bajaré a cuestiones técnicas muy concretas y muy precisas, y segundo, porque yo soy muy
crítico con este proyecto de ley, y quiero decirlo de antemano. Soy muy crítico porque a mí me gustaba la anterior Ley Orgánica de Protección de Datos, que creo que cumplía perfectamente su misión y era perfectamente adaptable, con alguna
modificación puntual, a lo que establecía el Reglamento de la Unión Europea y no era necesario, a mi modesto entender, crear una nueva ley orgánica de protección de datos, y menos con este resultado. Intentaré explicar por qué en breves minutos.
¿Por qué digo esto? Primero, porque yo tengo muchas dudas sobre el alcance del Reglamento de la Unión Europea. Yo en esto no me dejo llevar por la perplejidad ante la Unión. Yo creo que en este asunto la Unión excede sus competencias
ampliamente. Este reglamento debería afectar únicamente al desarrollo del artículo 8 de la Carta Europea de Derechos Fundamentales, y punto. ¿Por qué? Porque en el caso español afecta a un derecho fundamental contenido en el artículo 18 de la
Constitución española y, por tanto, yo no acabo de ver muy bien el encaje de un reglamento europeo desarrollando el derecho fundamental de la Constitución española, habida cuenta además de la tendencia del Tribunal de Justicia de la Unión Europea no
a decir que lo que haga la Unión Europea respecto de su Carta de Derechos Fundamentales establece un estándar mínimo, sino a decir que es el estándar único, y esto ha dicho en el caso Melloni con una enorme claridad.
Eso nos puede generar algún contratiempo y algún problema en asuntos como el derecho al bloqueo; es decir, en la obligación de bloqueo de datos, que no está contemplada en el reglamento, corremos el riesgo de que el Tribunal de Justicia de
la Unión Europea nos diga que aunque la legislación española sea más garantista, tiene que someterse al estándar uniforme del derecho europeo, y como en ese estándar no está contemplado -al menos de esa manera-, considerar que, efectivamente,
vulneramos el derecho de la Unión Europea, cuando en realidad lo que hacemos es ofrecer un plus de garantía a los interesados en la protección de sus derechos fundamentales.
Por tanto, como ven, soy muy crítico, y además soy muy crítico también con el propio modelo de la Unión Europea. Aquí se ha mencionado en varias ocasiones que hay un cambio de paradigma, y así es; un cambio muy profundo y a mi juicio
preocupante desde el punto de vista al menos de la visión con la que el Tribunal Constitucional construyó este derecho fundamental en los años dos mil. Es decir, el modelo europeo -si me permiten la expresión- es un modelo de compliance y
asignación de responsabilidades. No es un modelo de desarrollo de un derecho fundamental ni de un derecho humano, es un modelo en el que se crea un paradigma donde se regulan mecanismos de trazabilidad de las decisiones, sobre todo en el seno del
sector privado, en relación con el uso de los datos de los individuos, de las personas físicas.
En esa medida, construye todo un universo en relación con la protección de datos que tiene más que ver con la regulación de un mercado que con la protección de un derecho fundamental. Eso casa muy poco, o nada, con el paradigma que
construyó el Tribunal Constitucional, que creo que sigue siendo el vinculante de nuestro ordenamiento jurídico, un paradigma que va en una dirección muy distinta; va en la dirección de que el Tribunal Constitucional entiende que en el juego
conjunto de los apartados 1 y 4 del artículo 18 de la Constitución hay un nuevo derecho fundamental a la protección de los datos personales, y lo construye a través de un sinalagma que es muy sencillo pero muy potente desde el punto de vista
jurídico. Es decir, el derecho a la protección de datos consiste -y perdón por la redundancia- en consentir, saber y controlar. Y a partir de ahí, el tribunal construye todo un esqueleto sobre la protección de datos al cual se adaptaba muy bien
como músculo a ese esqueleto de la Ley Orgánica de Protección de Datos del 1999, que yo creo que ha dado sus frutos y sus rendimientos en todos estos años. Desde luego, es un modelo muy distinto al modelo que plantea la Unión Europea, y a mi juicio
eso se pone de manifiesto en dos cuestiones que a mí me suscitan zozobra. Por ejemplo, respecto a la regulación de los datos de los fallecidos. Si tiramos del hilo del modelo del Tribunal Constitucional, la solución es muy simple. No digo que en
los casos prácticos no sea compleja, pero la solución técnica es muy simple. La solución es que, una vez fallecido alguien, queda extinguido el consentimiento en el uso del dato y, por tanto, nadie puede utilizar lícitamente los datos de un
fallecido, salvo que concurra alguna de las causas que recoge la propia Ley Orgánica de Protección de Datos y que el propio Tribunal Constitucional atisbaba en sus sentencias como causas legítimas del uso de esos datos.
¿Cuál es el papel de los herederos? El papel de los herederos es el de los que tienen legitimidad para preservar la garantía del derecho fundamental de un fallecido, una vez que haya muerto, y eso el Tribunal Constitucional, por ejemplo, lo
ha aplicado con gran normalidad con relación al derecho al honor de los fallecidos, donde no ha tenido inconveniente en reconocerles legitimación a los herederos del fallecido para instar la protección jurisdiccional respecto del derecho al honor de
la persona muerta.
En el caso de los menores, francamente creo que la ley, como el Reglamento de la Unión Europea, se mete en un berenjenal de cuidado. Primero, porque es un problema irresoluble en el campo de la titularidad de los derechos fundamentales. No
cabe duda de que uno es titular de un derecho fundamental, también de la protección de datos, desde que nace, pero tampoco cabe duda de que hay condiciones en la evolución biológica y de madurez mental de las personas que plantean serios problemas
desde el punto de vista del ejercicio del derecho fundamental. La dogmática de los derechos fundamentales había llegado a un cierto acuerdo, en el que ligaba la posibilidad de ejercer sin necesidad de la asistencia o el concurso de un tercero los
derechos fundamentales por un menor en ciertos casos en los que ante la jurisdicción se acreditaba la madurez mental de la persona para poder ejercerlos y además se ponía especial cuidado en ciertos derechos fundamentales que implicaban un cierto
riesgo añadido en el caso de ejercerlo por un menor, como pueda ser la libertad de asociación o el derecho a la integridad física y moral en los supuestos de los menores.
En cierto modo, la Ley relativa a la protección de menores y adolescentes del año 1999 establecía una serie de criterios y de elementos de garantía que ayudaban a encontrar ese punto medio entre el legítimo ejercicio de un derecho
fundamental por parte de un menor y la concurrencia de terceros, en el caso de que este menor no tuviera la madurez suficiente como para que el ejercicio no le provocara graves daños. La opción del reglamento partiendo de edades y que se hace en el
proyecto de ley orgánica creo que al final va a generar graves problemas, porque no olvidemos además que el asunto no es solo a qué edad se puede consentir el uso del dato, sino que después hay que ver qué sucede cuando se quieran ejercer los
derechos de oposición, de rectificación y de cancelación. Un menor de trece años, ¿está realmente en disposición de saber lo que está haciendo y de ejercer ese conjunto de derechos? Al final el que va a intervenir va a ser aquel que tenga la
patria potestad o el que tenga la tutela, porque un menor de trece años, salvo casos muy excepcionales -eso en los ordenamientos jurídicos europeos siempre se ha solucionado a través de una comparecencia judicial de jurisdicción voluntaria o a
través de la técnica de emancipación de menores a partir de los dieciséis años-, va a generar graves problemas y no creo que sea el mecanismo de mejor y mayor garantía para la protección de los datos personales de un menor de edad. Además, habría
que cohonestar todo esto con las distintas normas sectoriales que regulan la intervención de menores de dieciocho años en ciertos negocios jurídicos del tráfico público o privado y, por tanto, el reconocimiento de la edad penal o el reconocimiento y
la regulación de la emancipación de menores a partir de los dieciséis años en el Código Civil; es decir, una serie de normas que ya en nuestro ordenamiento jurídico delimitan el espacio en el que el menor de edad tiene capacidad para obrar por sí
solo y al cual tampoco es ajeno el mundo de los derechos fundamentales.
Todo esto lleva también a una modesta reflexión sobre la enorme complejidad que tiene esta ley. El Tribunal Constitucional puso mucho empeño en definir un derecho fundamental sencillo en su expresión y que contrasta mucho, creo yo, con lo
enormemente prolijo que es el proyecto de ley. Hay procedimientos de una dificultad extraordinaria, por ejemplo, toda la cuestión relativa a la circulación internacional y la transferencia internacional de datos. Si ya con la anterior ley era
tremendamente difícil, con la actual es absolutamente incomprensible. Lo he leído varias veces y sigo sin entender cómo se regula y procedimentaliza una transferencia internacional de datos. Me da la impresión de que además olvidamos el efecto que
puede tener la doctrina Schrems, la última sentencia del Tribunal de Justicia de la Unión Europea en relación con la demanda que hacía este ciudadano a Irlanda con ocasión de la negativa a garantizar sus derechos por la comisión o por la autoridad
independiente irlandesa en materia de protección de datos a partir de la definición de Estados Unidos como puerto seguro, donde tenía radicado su domicilio Facebook. Creo que el proyecto de ley acusa un carácter muy reglamentista. Si me permiten
la expresión, me recuerda más un reglamento de desarrollo que no una ley orgánica de desarrollo de un derecho fundamental.
Quiero acabar mi intervención haciendo una serie de consideraciones sobre cuestiones que, a mi juicio, producen especial inquietud en relación con la ley; por ejemplo, lo relativo al ámbito de aplicación de la ley. Todo gira en torno al
concepto fichero y la pregunta es si cuando no hay un fichero ya no hay protección de datos. La respuesta que daría un constitucionalista y que siempre hemos dado es que el
derecho fundamental no queda agotado por el desarrollo que hace la ley orgánica y es que en este caso es todavía más urgente hacer esta afirmación; no puede quedar agotada la protección del derecho fundamental a la protección de datos con
un reglamento europeo y una ley que al final lo condiciona a la existencia de un fichero, porque los datos no solo viven en los ficheros, los datos viven también fuera de los ficheros y merecen una protección.
Por decir algo positivo, es verdad que el gran cambio cualitativo es el consentimiento. Los problemas que generaba la anterior legislación en relación con los consentimientos tácitos parece que se resuelven tanto en el reglamento como en el
proyecto de ley, porque pasamos a un modelo de consentimiento explícito y creo que todos los especialistas han coincidido en la necesidad precisamente de transitar esa senda y evitar fórmulas de reclamamiento del consentimiento que pudieran generar
dudas sobre el alcance real y sobre todo sobre la conciencia que tenía el ciudadano cuando consentía, sobre el alcance del saber del ciudadano sobre lo que realmente estaba consintiendo. En esto es verdad que el reglamento y el proyecto de ley
hacen un enorme esfuerzo, pero el esfuerzo se queda ahí porque el resto del reglamento y el resto del proyecto de ley, en vez de ir colgando todo el sistema de protección de derechos fundamentales a partir del consentimiento, lo cuelgan, sin
embargo, a través de un remedo de compliance en el que lo importante es la trazabilidad de las decisiones que se tomaban con los datos y no sobre el alcance de ese control jurídico que tiene que tener el ciudadano sobre sus datos personales a partir
de su consentimiento, en este caso explícito, a que un tercero los use. Eso se pone de manifiesto en que, por ejemplo, se ha perdido un elemento vital, a mi juicio, en el régimen de protección de datos que es la finalidad. Ni el reglamento ni el
proyecto de ley hacen un análisis y un desarrollo sobre la finalidad en el uso de los datos. Eso es absolutamente clave, algo en lo que ha venido insistiendo la jurisprudencia y la propia Agencia Española de Protección de Datos, y es que cuando
usted consiente lo importante es que usted consiente para que los datos se usen para determinados fines; usted tiene que saber quién los usa y para qué los usa y usted consiente para unos para qué determinados. En este modelo parece que ese para
qué pierde su importancia y se diluye.
Creo que es particularmente rígido en los datos especialmente protegidos. El propio reglamento permitía a los Estados establecer excepciones al uso de los datos sobre etnia, raza o ideología y aquí el proyecto de ley creo que es
injustificadamente rígido cuando el modelo de los artículos 8 y 9 de la Ley Orgánica de Protección de Datos de 1999 funcionaba perfectamente y era un ámbito donde no se generaban especiales dificultades en su aplicación y además permitía el uso de
esos datos porque, sin duda, hay ocasiones en las que efectivamente debe hacerse uso de ellos, en particular los datos en materia de salud. Luego, me llama la atención que no acabamos tampoco -aunque hemos tenido oportunidad- de resolver los
problemas que plantea el uso científico e histórico de los datos. Tradicionalmente hemos excluido ese uso para fines de investigación científica e histórica de la protección de datos y una idea que la realidad demuestra que es equivocada es que no
hay un riesgo para el interesado en el uso de datos para esas finalidades. Y lo cierto es que lo hay y que los investigadores siempre se preguntan qué hacen con esos datos porque en muchas ocasiones los datos que manejan no son datos anonimizados,
sino que son datos con nombres y apellidos y que permiten una identificación del individuo. Además, son datos especialmente sensibles porque a veces el estudio científico se adentra en el terreno de la salud o de datos muy íntimos de la persona y
lo mismo en el terreno de la investigación histórica. Creo que no habría que perder la oportunidad de establecer unas reglas básicas, sobre todo para que se permita a los investigadores orientar su trabajo y el uso de esos datos personales que hoy
por hoy no cuentan al menos con una referencia normativa clara.
Voy concluyendo. Me parece excesivamente complejo el mecanismo de información al interesado. Echo de menos la claridad del artículo 5 de la Ley de 1999. El Reglamento de la Unión Europea es sumamente complejo y va a generar unas
dificultades en el proceso de reclamamiento de datos ingentes y además lo encuentro especialmente complejo no desde el punto de vista de quien tenga que llevarlo a la práctica, sino desde el punto de vista del ciudadano que tenga que leer toda esa
información y enterarse, con toda esa cantidad de información tremendamente difícil, de qué es realmente lo que está consintiendo y si realmente queda debidamente informado. Echo en falta también la regulación de la cesión. En protección de datos
ha habido siempre dos talones de Aquiles: la cesión y los fines. La identificación de los fines, porque eso justifica la circulación del dato y el consentimiento sobre fines concretos, específicos e inequívocos, pero también la regulación de las
cesiones de datos, la transmisión de datos del que lo recaba a otros. Yo creo que eso ha desaparecido. Desapareció del Reglamento de la Unión Europea y ha desaparecido del proyecto de ley; y es importantísimo hacer una buena regulación de los
fines pero
también una regulación muy clara de los procedimientos y de las garantías que deben adoptarse en la circulación de esos datos. Porque, si no, al final estamos frustrando el núcleo central del derecho fundamental a la protección de datos que
es el control: que el ciudadano sepa en todo momento dónde están sus datos, quién los está usando y para qué los está usando.
Tampoco hay una referencia y un análisis o una regulación jurídica precisa y necesaria de los límites. Es decir, hay muchas ocasiones en las que estamos imponiendo límites a un derecho fundamental, a la protección de datos. Y la
enumeración, justificable en un reglamento europeo que trata de uniformar varias culturas y varias legislaciones, muy genérico en esos límites, no puede llevarnos a nosotros al mimetismo de reiterarlos en la ley, sino que tenemos ya jurisprudencia y
la tiene la agencia sobrada y profunda como para hacer un análisis y una regulación jurídica de los límites al derecho fundamental a la protección de datos más acabada, que desde luego es lo que tiene que hacer una Ley orgánica de desarrollo de un
derecho fundamental. Eso no se puede dejar al futuro desarrollo reglamentario de la norma.
El abuso de conceptos en blanco: interés público, interés general, poderes públicos. Eso lo menciona el Reglamento europeo, que, insisto, tiene que utilizar conceptos muy abiertos porque tiene que conciliar culturas jurídicas muy
distintas. Pero nuestro ordenamiento jurídico no puede utilizar de esa manera ese tipo de conceptos que tienen un significado muy difícil de precisar. ¿Qué es un interés general? Sobre todo cuando el Tribunal Constitucional ha dicho en reiteradas
ocasiones que no hay ningún interés general superior que el de la protección de los derechos fundamentales. Por lo tanto, el propio Tribunal Constitucional dice que el concepto de interés general no es un instrumento hábil para limitación o
regulación de un derecho fundamental. Poderes públicos. ¿Exactamente, con poderes públicos, a qué nos referimos? ¿Al poder público con pe mayúscula, al órgano, a la función, a la potestad, a la competencia?
Concluyo. Yo creo que se ha perdido la oportunidad de regular de una manera más adecuada a nuestro sistema de distribución competencial entre Estado y comunidades autónomas el papel de las agencias autonómicas. No es conforme con nuestro
sistema constitucional de distribución limitar las agencias autonómicas de protección de datos única y exclusivamente a los ficheros que maneja su sector público. Las agencias autonómicas tienen competencia para ejercer las funciones y potestades
que el proyecto de ley prevé y el reglamento contempla con carácter general en todas aquellas materias respecto de las que esa comunidad autónoma tenga competencias, sean actividades públicas o sean actividades privadas. Por lo tanto, no encuentro
fundamento constitucional -desde luego, no lo dice la sentencia 290/2000, del Tribunal Constitucional, en absoluto- para limitar de esa manera la función de las autoridades autonómicas en materia de protección de datos allí donde la comunidad
autónoma regule este tipo de agencia.
Muchísimas gracias, y me pongo a disposición de sus señorías.
El señor VICEPRESIDENTE: Muchísimas gracias, profesor Villaverde.
Por los grupos parlamentarios, en primer lugar el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, presidente.
Gracias, señor Villaverde, por su comparecencia, especialmente porque era este grupo el que le había propuesto. Permítame que discrepe con su primera afirmación. Decía usted que por su carácter constitucionalista no iba a resultar una
comparecencia interesante y tengo que decirle que no solo ha sido didáctica en algunos aspectos, sino muy enriquecedora en algunos de los temas que más han preocupado a esta Comisión a lo largo de la tarde.
Aprovechando precisamente su carácter de constitucionalista, le voy a formular unas preguntas. La primera es relativa a la independencia de la agencia. El reglamento establece que las autoridades de control deben ejercer su actividad con
plena independencia de los poderes públicos y, sin embargo, vemos que en este proyecto de ley se establece: por una parte, que su presidencia sea nombrada por el Gobierno, quedando el papel del Congreso relegado a emitir un dictamen de idoneidad y,
por otra parte, que el consejo consultivo queda postergado para una regulación posterior y, por lo tanto, no tenemos ahora conocimiento de lo que van a ser ni su régimen, ni sus competencias ni su funcionamiento en detalle, ni si este consejo
consultivo va a tener un carácter meramente consultivo o puede que algunas de sus decisiones sean vinculantes para la presidencia. Todo esto hace que nos cuestionemos si esta es la mejor regulación o la más apropiada para establecer esa
independencia de la agencia. De ahí nuestra pregunta acerca de cómo mejorarla y, en concreto, qué opinión le merecería a usted establecer un sistema
de concurrencia en el que se pudieran medir el mérito y la capacidad de varios candidatos en un proceso público y transparente para acceder a la presidencia o a la dirección de la agencia.
En segundo lugar, me gustaría saber su opinión acerca de los amplios poderes que parece que ahora va a atesorar la agencia a tenor de lo que disponen los artículos 53 y 54 del proyecto de ley. En concreto, el artículo 53 se refiere al
alcance de la actividad de investigación, de la que solo parece preservarse la inviolabilidad del domicilio. Y el artículo 54, referido a los planes de auditoría preventiva. Son planes que se pueden establecer para sectores concretos, pero que lo
son a voluntad de la presidencia. Quisiera conocer qué opinión le merecen a usted, entre comillas, estos amplios poderes.
Finalmente, se ha referido usted a las autoridades autonómicas de protección de datos. En el apartado c) se establece que tendrán competencia estas autoridades autonómicas -creo que con ello respondemos de alguna manera a su temor- en
cuanto a los tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos estatutos de autonomía. Es como una amplia cláusula de cierre, pero esta amplia cláusula de cierre a mí me genera alguna inquietud acerca de si no
dará lugar a algún conflicto de competencias. Y como lo mejor cuando se quiere ilustrar algo es poner un ejemplo, le voy a poner uno. Nuestra Constitución y nuestro ordenamiento jurídico establecen el principio de caja única de la Seguridad
Social; en cambio, los estatutos de autonomía del País Vasco y de Cataluña les otorgan competencias en materia de recaudación, de gestión y de abono de las prestaciones de la Seguridad Social. Parece que estos estatutos de autonomía -digo parece y
lo remarco- quiebran ese principio de caja única. Por eso le pregunto: ¿Cree usted que esta cláusula de cierre, que es bastante amplia en tratamientos que se encuentren expresamente previstos en los respectivos estatutos de autonomía, puede
provocar algún conflicto de competencias con la agencia nacional?
Y hasta aquí mis preguntas. Muchas gracias.
El señor VICEPRESIDENTE: Muchas gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea, tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Muchas gracias, señor presidente.
Señor Villaverde, su intervención ha sido sumamente interesante y la he escuchado con sumo placer. En la evolución de las comparecencias que hemos tenido esta tarde, la suya supone un contrapunto total. Usted prácticamente ha hecho una
enmienda a la totalidad del proyecto de ley que ha traído el Gobierno a la Cámara; una enmienda a la totalidad que ninguno de los grupos parlamentarios lo vio, excepto en el Grupo Parlamentario Mixto, el PDeCAT por cuestiones relacionadas con el
último de los temas que usted ha tratado, el tema competencial de las agencias de protección de datos de comunidades autónomas, no exactamente orientado en la cuestión competencial sino más en la representación internacional, algo que ningún grupo
parlamentario compartió; creo que o lo votamos en contra o reunió abstenciones por parte de todos.
La verdad es que ha sido muy interesante su intervención porque ha sido usted el contrapunto a toda una tarde en la cual se nos ha mostrado desde que era un proyecto de ley prácticamente técnico a un proyecto de ley que tenía bastantes
faltas -en la intervención anterior a la suya-, a un proyecto de ley que, francamente, bajo su punto de vista, debería haberse devuelto al Gobierno y éste debería haber traído una modificación de la Ley Orgánica de Protección de Datos actualmente en
vigor. Han sido muy interesantes todas las aportaciones que ha hecho, toda su crítica. Yo he tomado buena nota de todas ellas y darán lugar a la presentación de las enmiendas correspondientes.
Solo me queda agradecerle la intervención y decir que quizás hubiese sido positivo para el grupo parlamentario proponente de comparecencias conocer su opinión antes de que se cerrase el plazo de presentación de enmiendas a la totalidad,
incluso para haber preparado alguna en su momento.
Nada más y muchas gracias.
El señor PRESIDENTE: Gracias, señor Sixto.
Por parte del Grupo Parlamentario Socialista tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Le damos la bienvenida al profesor Villaverde y le agradecemos que nos haya regalado una intervención brillante y sugerente en muchos aspectos. Desde luego, el último al que ha hecho referencia el compañero de Podemos no deja ser de lo más
estimulante. Me refiero a esta afirmación de que la
sentencia del año 2000 no impide que las agencias autonómicas puedan tener competencias en relación con tratamientos de entidades privadas. Podría ser objeto de amplia discusión por parte de sectores profesionales y de la academia. Desde
luego, desde el punto de vista político, celebramos el contrapunto interesante de criterio porque enriquece, sin duda alguna, el debate. En todo caso, es un debate que resuelve el artículo 57 del proyecto de ley, en los términos en que lo ha leído
el compareciente hoy.
Su intervención ha sido muy sugerente y también ese contraste notable en relación con otras intervenciones que hemos oído hoy, en las que se ponía un énfasis especial -no sé por qué ni para qué, desde luego innecesario- en la dimensión
técnica de proyecto de ley, cuando, obviamente, lo que resulta relevante aquí ahora es lo contrario, es decir, es la dimensión política que le ha dado el compareciente hoy al poner en valor el origen de aquello de lo que estamos hablando y que tiene
mucho que ver con los pronunciamientos también en el año 2000 del Tribunal Constitucional, en los que el compareciente participó intensamente en un momento determinado de su vida profesional. Por eso seguramente se produce -intuyo- esa
reivindicación de la naturaleza constitucional del derecho y se cuestiona esta inevitable e inexorable europeización que se ha producido con el derecho a la protección de datos, parece que inevitablemente desplazando la dimensión constitucional del
mismo. En todo caso, ahí hay un interesante debate pero me temo que más en el terreno doctrinal que en otro.
Nosotros también coincidimos bastante con esas críticas que se han planteado, que no sé si son muy útiles a estas alturas, pero que nunca vienen mal porque si no, se da todo por hecho. También vienen bien esas críticas a la opción no del
legislador, porque aquí el legislador nos ha dado un plato servido, determinado, que difícilmente se puede revertir ni devolver, especialmente cuanto se nos dice que en tres meses hay que aprobar algo de las dimensiones de las que estamos hablando.
Este plato nos ha venido servido así y ya no tiene mucho sentido hablar de lo que habrían sido otras opciones posiblemente más razonables, con las cuales este proyecto de ley podría haberse resumido en una página, resolviendo cuestiones concretas y
determinadas. Es verdad que se ha tenido la tentación de incorporar masivamente toda una regulación que tiene que ver con la búsqueda de la seguridad jurídica o de la seudoseguridad jurídica por parte de muchos sectores implicados, y no solo la
seguridad jurídica de sectores sino también la necesidad de legitimarse la propia agencia en determinadas acciones que venían pautándose a lo largo del tiempo, pero a lo mejor sin ese amparo jurídico suficiente. Algún ejemplo hemos visto hoy al
hablar de la intervención judicial y de otros aspectos, como, por ejemplo, el evidente procedimentalismo del que abusa el proyecto de ley, que lo que hace es buscar más de lo mismo.
Como usted nos ha regalado una serie de consideraciones altamente sugestivas, yo también me he permitido compartir otras para, en todo caso, provocar ese contraste. Si le parece conveniente reaccionar a ellas, se lo agradeceremos.
Nada más y muchas gracias.
El señor PRESIDENTE: Muchas gracias, señor Rallo.
Por parte del Grupo Parlamentario Popular tiene la palabra el señor Martínez.
El señor MARTÍNEZ VÁZQUEZ: Muchas gracias, señor presidente.
Muchas gracias, profesor Villaverde, por su comparecencia y por haber compartido ciertamente una visión muy crítica con el proyecto de ley que estamos tramitando y que es verdad que marca un contrapunto con lo que hemos oído en las
intervenciones anteriores. Tengo la sensación de que usted ha excitado un poco el celo crítico de mis compañeros en los grupos parlamentarios de Unidos Podemos y Socialista. No me parece mal, pero también comprenderá que me corresponde a mí hacer
una defensa del proyecto de ley remitido por el Gobierno. En lo que no estoy en nada de acuerdo con usted es en que pida disculpas por abordar el tema desde la perspectiva de un constitucionalista, porque creo que es un ambiente en el que nos
movemos cómodamente en esta Comisión.
Si no he entendido mal al señor Sixto, interpretaba de sus palabras una enmienda a la totalidad de devolución del proyecto de ley. Yo creo que usted ha una enmienda de devolución del Reglamento europeo más que el proyecto de ley, y ahí sí
que poquito margen tenemos nosotros. Es verdad, a todos nos llama la atención -y en su caso, con su trayectoria profesional, yo lo entiendo especialmente- que el desarrollo de un derecho fundamental se efectúe a través del Reglamento europeo.
Nosotros no estábamos acostumbrados a eso, pero tal vez tengamos que ser un poquito más ambiciosos y un poco más amplios de miras y empezar a acostumbrarnos. Porque, fíjese, estamos hablando de un derecho que, efectivamente, nuestra Constitución de
una manera muy avanzada y muy visionaria por parte del constituyente introduce en el artículo 18.4, sobre el que el Tribunal Constitucional en el año 2000 teoriza
-y algo tiene usted que ver con el asunto-, y que de alguna forma nosotros incorporamos en nuestro catálogo de derechos fundamentales, pero que ahora, en el siglo XXI, no sé si le podemos dar solo dimensión nacional. Me temo que
necesariamente tiene una dimensión transnacional y que por eso en el ámbito europeo se llega a la conclusión de que es necesario un reglamento y no es suficiente una directiva. Usted dice que se regula un mercado en lugar de proteger un derecho
fundamental. A mí me gustaría que en esta Comisión fuésemos capaces de regular un derecho fundamental en un mercado. Evidentemente, hay un mercado; un mercado que, además, ha convertido los datos en objeto de intercambio comercial muy
significativo. Y no creo que nos debamos quedar fuera de ese mercado, pero sí proteger, indudablemente, el derecho fundamental en ese mercado. Ojalá seamos capaces de hacerlo.
En cuanto a que la norma, el reglamento, es reglamentista -valga la redundancia-, coincido plenamente con usted. Ya simplemente el número de considerandos, que son ajenos a nuestra cultura jurídica, cuesta. Vamos a tener que adaptarnos a
un modelo de aplicación de un reglamento y una ley orgánica, y eso ciertamente también es complejo. Pero a mí no me preocupa a priori que haya innovaciones de la ley orgánica con respecto al reglamento como, por ejemplo, en el derecho al bloqueo
que usted ha citado, que vayan a plantear problemas en el ámbito europeo. Espero que no sea así, de hecho, cuando eso se planteó en la fase prelegislativa ante la Comisión, esta no puso problema, no puso objeción, y tampoco lo puso el Consejo de
Estado, lo cual me da cierta tranquilidad.
Por otra parte, no coincido con usted en que hubiese bastado con una mera reforma de la ley orgánica vigente. El señor Rallo ha dicho que tal vez se podría haber incluido en un solo folio, me ha parecido entender eso. Son cincuenta y seis
los aspectos que el reglamento permite al legislador nacional desarrollar. Creo que eso en un solo folio, profesor Rallo, no cabe. Además, hasta hoy, usted había sido bastante elogioso con el texto del proyecto, con ánimo crítico también -y lo
entiendo-, pero no me diga que bastaba con hacer un folio para adaptar el reglamento. Yo pienso que no. Por otro lado, hemos escuchado hoy mismo a otros profesores desde otra perspectiva académica, como es el derecho administrativo, decirnos que
la vigente ley es sencillamente incompatible con el reglamento, que hay cuestiones como el régimen sancionador, los ficheros, que, efectivamente, podían ser el objeto de la regulación anterior, que son incompatibles y que, por tanto, era necesario
un texto nuevo. Por tanto, aquí hemos escuchado y son perfectamente posibles y perfectamente legítimas dos perspectivas diferentes.
Sobre los datos de los fallecidos, entiendo sus objeciones, pero le pregunto: ¿Cómo tendríamos que regularlo para permitir, por ejemplo, solicitar la cancelación o conocer por parte de los herederos quiénes son o cuáles son los datos en
redes sociales?
Sobre la cuestión de los menores, que yo creo que nos va a ocupar en el trabajo en ponencia y en Comisión, usted también ha sido muy crítico, pero ¿de verdad piensa que hay tanta diferencia entre la edad de catorce años, que establece la
actual reglamento de desarrollo de la ley orgánica y la edad de trece años que permite el Reglamento europeo y establece la ley vigente? Tendremos que hacer un esfuerzo para que el concepto de ficheros y de la inscripción de ficheros, que es una
obligación que desaparece, no sea el centro de la regulación. Si ahora mismo lo parece, tendremos que regularlo mejor porque creo que lo que pretende el reglamento es que sea la finalidad en el tratamiento de los datos lo que constituya el objeto
de toda la regulación y por eso mismo esa finalidad es lo que justifica todo el régimen del interés legítimo que establece la ley, donde efectivamente a todos nos preocupa que el uso de datos para la investigación o para la salud esté
suficientemente regulado. Si lo está en el reglamento, debemos conseguir que lo esté suficientemente en la ley orgánica y creo que ese es el trabajo que debemos hacer en ponencia.
En cuanto a esa información tan compleja, ciertamente lo es y por eso tratamos de establecer un sistema de información por capas, eso es lo que pretende el proyecto y, por supuesto, estamos a tiempo de introducir todas las mejoras y
priorizar la información de la primera capa para que no sea incomprensible o farragoso para los usuarios.
En última instancia, creo que, a propósito de la crítica que hacía a las competencias de las agencias autonómicas, coincido con lo que ha señalado mi compañero de Ciudadanos a propósito de lo que permite el considerando 119 del reglamento y
desarrolla el artículo 57 del proyecto, remitiéndose a los respectivos estatutos de autonomía. Realmente esta es la única cuestión que hasta ahora hemos debatido porque fue objeto de una enmienda de totalidad que fue rechazada, solo contó con 16
votos a favor. Por tanto, tenemos una opinión bastante sólida en la Cámara acerca de que no hay tal invasión de competencias. Fue rechazada la enmienda de totalidad con un amplio número de votos en contra y muy pocos votos a favor.
En todo caso, le agradezco su visión crítica, siempre es enriquecedora y además nos da un contrapunto con respecto a lo que habíamos oído hasta ahora que nos animará a trabajar en la ponencia y en la Comisión.
Muchísimas gracias.
El señor PRESIDENTE: Gracias, señor Martínez.
Para dar respuesta a las cuestiones que se han planteado tiene la palabra de nuevo el profesor Villaverde.
El señor VILLAVERDE MENÉNDEZ (Catedrático de Derecho Constitucional de la Universidad de Oviedo): Muchas gracias, presidente.
Muchísimas gracias a todos porque son ustedes muy generosos con mis palabras y siento que yo haya sido el reverso tenebroso del proyecto de ley. A lo mejor es que, fruto de esa participación más o menos intensa que tuve en el proceso de
nacimiento lo siento un poco como un hijo mío y me genera cierta preocupación cuando el hijo va creciendo y veo que empieza a tener una autonomía y un carácter que no es el que yo pensaba que le habíamos dado en su momento.
Por no aburrirles más y ser muy rápido, en relación con las preguntas que me hacía el Grupos Ciudadanos e insisto en mi enorme agradecimiento a todos por su generosidad y sus palabras tan elogiosas, sobre la independencia de la agencia, ese
es un problema. Es otra cosa a la que me he rendido también. En este país nos hemos quedado absolutamente hipnotizados por el modelo anglosajón de agencias independientes y yo ya no voy a entrar en eso, ya doy por perdida esa batalla, el modelo de
agencia. El profesor Artemi Rallo discrepa mucho de mí en eso. Soy más alemán, soy de formación germánica y, por tanto, creo en la administración del modelo germánico y no creo en las agencias independientes. Pero, puestos en el paradigma de la
agencia independiente, hay que construir una apariencia de independencia. Creo que en uno de los últimos libros de sobre la importancia de la legitimidad institucional en los sistemas democráticos Pierre Rosanvallon insiste mucho en la necesidad de
dotar de apariencia o de legitimidad a ciertas instituciones para que cumplan debidamente sus funciones y la importancia además de que existan estas instituciones cuya legitimidad no viene de la deriva de un lazo representativo, y perdón por esta
digresión más académica que otra cosa. Evidentemente, el modelo de presidencia no creo que sea el más adecuado para que nos creamos la independencia de la agencia, aunque es verdad que las agencias y, entre ellas, la Agencia Española de Protección
de Datos, que ya tiene una larga tradición, han demostrado una enorme independencia en su funcionamiento. Pero la mujer del César tiene que parecerlo y no solo tiene que serlo. Me sentiría más cómodo con un modelo donde la dirección o la
presidencia de la agencia fueran de origen parlamentario y que fuera el Parlamento el que tuviera un papel no solo de informante del candidato elegido por el Gobierno sino el que eligiese a la presidencia de la agencia. ¿A través de un modelo de
concurrencia pública? Ahí discrepo porque esto no son unas oposiciones a policía local. Entiendo la lógica de la concurrencia de mérito y capacidad hasta un punto, pero a partir de ese punto no tiene ningún sentido y me remito a las palabras del
libro de Pierre Rosanvallon que lo explica muchísimo mejor que yo. Hay que aceptar que hay ciertos puestos donde tiene que jugar la lógica de la política porque es normal. Es que, si no, es aceptar que la política es mala y que todo lo que decide
la política es terrible y eso es franquismo sociológico. No, el Parlamento representa al conjunto de los ciudadanos, hay un juego político y, por tanto, hay que presumir que va a tomar una decisión racional y va a elegir a la persona más capaz y
para eso están las mayorías reforzadas y una serie de cuestiones.
No veo lo de la concurrencia pública. No veo abrir un concurso público en el Boletín Oficial del Estado para presentar la candidatura. Francamente no. Creo que no es la lógica de esto. Pero, por ejemplo, soy muy crítico con la
composición de los órganos consultivos de este tipo de instituciones. En realidad es puro corporativismo. Sigo sin entender qué hacen los consumidores y usuarios ahí, qué hacen las organizaciones empresariales, me extraña que no estén los
sindicatos y la federación de municipios. ¿Y por qué no la asociación de Boy Scouts? Perdón por la caricatura. Creo que convertimos un órgano consultivo que debe ser un órgano fundamentalmente de perfil experto, donde haya un expertise, donde
haya un grupo de expertos con una trayectoria acrisolada y acreditada de conocimiento en esa materia y materias afines, que ayude a la agencia en el desempeño de sus funciones. Lo otro no es más que lobismo institucional porque lo que van a hacer
los empresarios, los sindicatos, la FEMP, el uno y el otro, es lobismo, intentar arrimar el ascua a su terreno y que la agencia funcione según los intereses del lobby
que en definitiva representa. Por tanto, ahí soy muy crítico y creo que hay que cambiar el modelo de órganos consultivos en este tipo de agencias e ir a un modelo mucho más profesional y más de expertos.
Respecto de las comunidades autónomas, el 57 es una trampa. Eso de los tratamientos están previstos en el estatuto... Ningún estatuto prevé tratamientos y creo que ni el catalán ni el andaluz. (El señor Martínez Vázquez: Sí). Bueno
alguno sí en la relación de derechos, pero la clave no está en eso porque si yo tengo competencia en transportes ¿por qué mi autoridad autonómica no va a ser la que controle y supervise el cumplimiento de la Ley de Protección de Datos por la
asociación de transportistas? Aunque mi estatuto diga que no tengo competencias sobre ese tratamiento, sino que tengo competencias en materia de transportes. Por tanto, cuando regulo el transporte en mi ámbito autonómico, regulo y atribuyo a mi
autoridad autonómica la supervisión del respeto a la ley en ese ámbito, como lo hago en otros ámbitos, y no nos genera ningún problema. Por tanto, el artículo 57 es un guiño, pero es un guiño también con un reverso tenebroso. Me hubiera gustado
más lo que en su momento se propuso e insisto en que la sentencia 290/2000 nos permite ir a una comprensión más ligada a la competencia con carácter genérico. ¿Qué competencias tiene el estatuto? Estas. ¿Tiene usted competencia en transporte?
Pues tiene usted también competencia en materia de protección de datos en el ámbito del transporte respecto de que su estatuto le atribuye a usted los poderes de regulación y ejecución correspondientes. Esto dicho de sopetón, si me permiten la
expresión.
Agradezco mucho las palabras de la señoría de Podemos. No era mi intención hacer una enmienda a la totalidad ni de devolución, pero sí aportar la visión crítica que desde la academia algunos al menos tenemos de este proyecto. Y agradezco
también al Grupo Socialista sus elogiosas palabras. No cabe duda de que hay un proceso de europeización de los derechos fundamentales es imparable y desde luego no seré yo quien intente poner vallas al campo. Es indudable; lo que pasa es que en
todo ese proceso hay alguna cuestión que me preocupa. Ahí me sale mi alma alemana. Es importante la defensa de las identidades constitucionales de los ordenamientos y en particular las que se acrisolan en los derechos fundamentales. El problema
es que la Unión Europea en esto tiene una visión muy mercantil, muy de empresa, muy de compliance, de asignación de responsabilidades en un sector económico enorme y pierde de vista algo que es muy importante a mi juicio en este terreno, que es la
defensa de los derechos de los individuos. Prueba de ello es que el reglamento y el proyecto de ley dan más la impresión de ser la norma que regula un mercado determinado y no la norma que regula un derecho fundamental en un mercado determinado. A
mí eso me genera una zozobra consciente de mi derrota. Asumo que soy un constitucionalista derrotado por la historia y que uno lucha contra corriente casi de forma romántica. Eso enlaza con algunas de las cuestiones que amablemente me ha planteado
el Grupo Popular. No cabe duda de que hay una dimensión transnacional, así que vamos a ver cómo enfoca esto el Tribunal de Justicia de la Unión Europea. Perdón porque insista en la preocupación, pero me preocupa que el Tribunal de Justicia lo
enfoque en la dirección del caso Melloni y que el reglamento, pese a las habilitaciones de las regulaciones estatales, no sea un estándar de mínimos, sino el estándar y por tanto que cualquier cosa en la que se vaya más allá de lo establecido en ese
estándar sea contraria al derecho europeo. Eso nos puede generar algún problema, no en el caso del derecho al bloqueo, porque el derecho al bloqueo de datos puede encajar perfectamente, puede entenderse como un desarrollo de algunos aspectos del
reglamento, como la limitación al uso de datos. En fin, hay algunos aspectos de los principios europeos de protección de datos que darían amparo perfectamente a la obligación de bloqueo de datos en ciertas circunstancias.
El Grupo Ciudadanos me preguntaba por los poderes de la agencia. En realidad, siempre los ha tenido; lo que pasa es que antes los llamábamos inspección. Siempre tuvo unas funciones de inspección muy duras y yo tampoco entiendo por qué
tenemos que huir de la terminología administrativista -y esto se lo dice un constitucionalista- clásica: los poderes de inspección de una agencia. De hecho, aquí se ha comentado que una de las quejas del Consejo de transparencia es que ya no tiene
esos poderes que inspección y por tanto no tiene aparejadas potestades de sanción. Eso en cierto modo dificulta su labor, sobre todo en los primeros momentos. A mí eso no me genera especial preocupación. Es verdad que el funcionamiento de la
agencia -hay que ver también el reglamento que regule el funcionamiento y el desarrollo de esas potestades de inspección y sanción-, como es esperable, debe adecuarse a las exigencias del artículo 25 de la Constitución y por tanto a la legalidad
sancionadora administrativa. En eso ya tenemos experiencia probada y no es algo que me genere especial preocupación. La agencia tiene una tradición de buena práctica que no creo que cambie ni el artículo 53 ni el 54, pero insisto en cosas como las
auditorías. Eso no es una auditoría, sino un plan de inspección sectorial. Ahora no queremos hacer
auditorías en el sector público -de hecho, ya no se hacen-, pero resulta que las agencias independientes, que velan por el cumplimiento de esto, hacen auditorías y no son auditorías, sino una inspección de toda la vida. Me parece bien que
la agencia -encaja perfectamente en el Reglamento europeo- tenga esa potestad de inspección.
Concluyo rápidamente. Sinceramente, esto se podría haber resuelto con una buena reforma de la Ley de 1999. Reitero que no era necesario elaborar una nueva Ley orgánica de protección de datos, pero bien está si se ha optado por un nuevo
proyecto de ley. Es verdad que la ley vigente tiene algunos aspectos incompatibles, como la regulación del consentimiento, pero eso se podría haber modificado.
Fallecidos. ¿Qué sucede si no se regula? ¿Cómo resultan los derechos de cancelación? Es un problema de interés legítimo en el ejercicio de los derechos de una persona que ha fallecido. Insisto en que el Tribunal Constitucional nunca ha
tenido inconveniente en admitir ese interés legítimo de sus herederos para ejercitar los derechos del fallecido y la agencia tampoco se ha planteado grandes problemas con esto. Forma parte de la lógica de la protección de estos derechos. Es decir,
el sistema en esto funcionaría solo, sin necesidad de hacer una regulación complementaria que incluso puede complicar más las cosas, como ese registro de últimas voluntades digitales, por decirlo así. Burocratiza y oscurece cuando el propio
ordenamiento tiene mecanismos generales que permiten que funcione de una manera más o menos adecuada.
Estoy totalmente de acuerdo con lo siguiente. No encuentro ninguna diferencia entre un niño de catorce años y uno de trece, pero también estaba en desacuerdo con que el reglamento de 2007 estableciera la edad en catorce años y lo he
discutido en muchísimas ocasiones con quienes decidieron esa opción. Sencillamente, es un problema de moda. Se ha puesto de moda reducir la edad -en el régimen electoral a los dieciséis años- y eso merece que se le dé una vuelta en la que un
constitucionalista no tiene opinión. Son otros, especialistas y expertos, los que tienen que dar una opinión sobre esto, que debe estar fundada en la madurez mental y en la responsabilidad que puede tener un menor medio, como el buen padre de
familia, pero reducido a los catorce años. Yo, como constitucionalista, salvo por la experiencia que tengo un padre, poco más puedo decir, pero desde luego es importante que el sistema tenga coherencia interna. Es decir, si la Ley del menor, la
legislación penal, la legislación civil y la legislación administrativa reconocen potestades y capacidades de obrar a ciertas edades, que todo eso sea un conjunto coherente y que sea la misma edad para todo, por decirlo de una manera muy gráfica y
rápida.
De todo lo que han planteado, me queda solo hablar de un asunto, el relativo a la información al usuario. A mí me gustaba mucho el artículo 5 de la Ley de 1999 porque era muy claro y operativo. Establecía una enumeración de informaciones
muy precisas y específicas, que servían para la finalidad que tiene: que el ciudadano sepa en qué consiste la protección de sus derechos fundamentales, que el ciudadano sepa quién tiene el dato, para quién lo tiene y qué está haciendo con él. Para
eso no hace falta la enorme complejidad del reglamento. Y luego está lo de las capas. Como soy de la época analógica, esto no lo entiendo. Desde el punto de vista constitucional, si yo tuviera que dictar una sentencia, diría: No me cuente usted
cosas. Dé la información de una vez; no puede ir por capas y depender de la voluntad y del tiempo que tenga el usuario para ir haciendo clics en diferentes links. ¿A qué conduce eso? Al final al fraude. El hábil que sepa poner capas conseguirá
que el final el ciudadano se pierda y finalmente no sepa qué está consintiendo. Lo eficaz es lo simple y lo que se hace en un clic. La información la tienes ahí; que a lo mejor es un folio y no son tres líneas, pues es un folio y ya es
responsabilidad del ciudadano leerse el folio. Además, hay mecanismos que establecen algunas empresas, como el scroll de página, que no te permiten cliquear en acepto si el sistema no detecta que te has movido por la página. Que se lea o no es
responsabilidad del ciudadano. El ciudadano tiene que asumir la responsabilidad respecto de sus datos y de lo que hace con ellos, pero que sea en un golpe de vista o por lo menos en un movimiento de ratón y no obligar al ciudadano a rastrear de
link en link lo que va a afectar al uso de sus datos.
Creo que he contestado a todo. Muchísimas gracias y quedo a su disposición. (Aplausos).
El señor VICEPRESIDENTE: Muchísimas gracias, profesor Villaverde. Estamos en una Comisión donde la contradicción jurídica y la controversia nos gustan y hemos disfrutado con su intervención.
Muchísimas gracias. No habiendo más asuntos que tratar, se levanta la sesión.
Eran las siete de la tarde.