Ruta de navegación
Publicaciones
DS. Congreso de los Diputados, Comisiones, núm. 464, de 15/03/2018
cve: DSCD-12-CO-464
PDF
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2018 XII LEGISLATURA Núm. 464
JUSTICIA
PRESIDENCIA DEL EXCMO. SR. D. PABLO MATOS MASCAREÑO VICEPRESIDENTE PRIMERO
Sesión núm. 38
celebrada el jueves,
15 de marzo de 2018
ORDEN DEL DÍA:
Comparecencias en relación con el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Por acuerdo de la Comisión de Justicia. (Número de expediente: 121/000013):
- Del señor Martínez Martínez (expresidente de la Asociación Profesional Española de la Privacidad (APEP). (Número de expediente 219/001076)... (Página2)
- Del señor Plaza Penadés (catedrático de Derecho Civil de la Universitat de València). (Número de expediente 219/001077) ... (Página12)
- De la señora directora de la Autoridad Catalana de Protección de Datos (Barbarà Fondevila). (Número de expediente 219/001078) ... (Página19)
- De la señora presidenta de la Asociación Profesional Española de Privacidad, APEP (Álvarez Rigaudias). (Número de expediente 219/001079) ... (Página30)
- Del señor jefe del gabinete jurídico de la Agencia Española de Protección de Datos (Puente Escobar). (Número de expediente 219/001080) ... (Página43)
Se abre la sesión a las tres de la tarde.
COMPARECENCIAS EN RELACIÓN CON EL PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. POR ACUERDO DE LA COMISIÓN DE JUSTICIA. (Número de expediente: 121/000013):
- DEL SEÑOR MARTÍNEZ MARTÍNEZ (EXPRESIDENTE DE LA ASOCIACIÓN PROFESIONAL ESPAÑOLA DE LA PRIVACIDAD (APEP). (Número de expediente 219/001076).
El señor VICEPRESIDENTE (Matos Mascareño): Buenas tardes, señorías.
Damos comienzo a una nueva sesión de la Comisión de Justicia en relación con las comparecencias destinadas al proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Lo hacemos dando la bienvenida a don Ricard Martínez
Martínez, expresidente de la Asociación Profesional Española de Privacidad, al cual le agradecemos muchísimo su asistencia a esta Comisión. Les pedimos disculpas tanto a usted como a los miembros de la Comisión por el cambio de sala; los
inconvenientes del directo.
Conocen ustedes el procedimiento. En la mesa esta mañana acordamos ser muy concisos en las preguntas que se hacen a los comparecientes con el fin de no retrasar a todos los que vayan viniendo después y hacerles esperar. Muchísimas gracias.
Tiene usted la palabra.
El señor MARTÍNEZ MARTÍNEZ (Expresidente de la Asociación Profesional Española de Privacidad, APEP): Señor presidente, señorías, usaré el espacio de tiempo disponible con la esperanza de poder aportar algún criterio útil a esta subcomisión.
Debo señalar que, además de mi condición de expresidente de la Asociación Profesional Española de Privacidad, concurren en mí la condición de doctorado en esta materia y profesor de Derecho Constitucional de la Universidad de Valencia, donde
soy delegado académico del rector para la protección de datos, ejerciendo funciones de esta naturaleza al menos desde el año 2000. Además, he tenido la oportunidad de colaborar durante el periodo 2006-2011 en la elaboración del Reglamento de
desarrollo de la Ley Orgánica de Protección de Datos y en el área de estudios de la Agencia Española de Protección de Datos. Asimismo, ejercí funciones de jefe de servicios de Transparencia en la Diputación de Valencia en el actual mandato,
diseñando e implementando allí el plan estratégico de transparencia. Actualmente dirijo la Cátedra de Privacidad y Transformación Digital, Microsoft Universitat de València. Creo que es una obligación ética e ineludible para los comparecientes en
procesos legislativos exponer aquello que somos y aquello que hacemos, de modo que sus señorías puedan juzgar nuestra aportación y evaluar la presencia de posibles conflictos de interés.
Durante mi exposición realizaré consideraciones generales de técnica legislativa, abordaré mi visión sobre el impacto de la normativa en nuestro país y analizaré algunos aspectos concretos que creo relevantes. Debo confesarles, en primer
lugar, que la extensión de la norma desborda cualquier expectativa previa que yo pudiera tener. Es cierto que el reglamento de la Unión contiene más de cincuenta remisiones a la legislación nacional, pero a mí, personalmente, me hubiera parecido
prudente apostar por una ley de mínimos en lugar de llevar hasta su límite el margen de apreciación del Estado. Tengan ustedes en cuenta que el reglamento tiene 99 artículos y 173 considerandos la exposición de motivos; esta norma va por las 100
previsiones, a falta del trámite de enmiendas, y se habla de un desarrollo reglamentario. Es decir, fácilmente los profesionales nos podemos encontrar con un código de 400 artículos en un muy breve espacio de tiempo. No es ni bueno ni malo, pero,
al parecer, buscábamos simplificar el régimen europeo de la protección de datos.
Por otra parte, y sin perjuicio de la abundante participación de la sociedad civil en el procedimiento de información pública, el proyecto se ha redactado desde un enfoque muy propio del regulador y esto a veces es un riesgo. No discuto en
absoluto el excelente trabajo la Comisión General de Codificación, pero una vez más se ha tendido a convertir en criterio legal, en ley, criterios interpretativos de la agencia. Cuando esto sucede, a veces pueden adoptarse soluciones alejadas de la
realidad práctica, y creo que no se trata de normativizar informes y resoluciones, sino de ofrecer la mejor ley posible.
Entrando en el contenido de la ley, debo decirles que llevo mucho tiempo en esto y echo de menos la exposición de motivos de la Ley Orgánica 5/1992. Aquella fue una exposición de contenido dogmático de muy alto nivel. El azaroso trámite de
la Ley Orgánica de Protección de Datos vigente dejó una norma sin exposición de motivos y en la actual la exposición de motivos es una relación verdaderamente
circunstanciada y motivada de hechos en relación con el desarrollo reglamentario, pero adolece de algunas posibilidades de mejora técnica. Por ejemplo, se cita alguna sentencia constitucional, pero no las nucleares. No se cita la Sentencia
254/1993 ni la primera que se dictó, la 11/1998, sino una posterior. Con independencia de esto, una exposición de motivos de una ley orgánica es una buena oportunidad para que sepamos qué piensa el legislador de hoy del artículo 18.4 de la
Constitución, qué piensan ustedes de los derechos digitales y qué piensan de la transformación digital.
Esta última reflexión me lleva a mi segundo bloque de argumentos. Mi formación en derecho constitucional me obliga a recordar hasta qué punto el papel de un legislador puede definir las políticas públicas que afectan a un país, y esta no es
una ley meramente técnica ni una ley que se limite a regular un derecho. Entiéndanme. He investigado en esta materia, soy profesor de Derecho Constitucional, he dedicado mi entera vida profesional a aplicar el derecho a la protección de datos y a
su garantía, pero esto no significa que no entendamos que el Reglamento General de Protección de Datos ya desde sus primeros considerandos, además de recordarnos literalmente que el tratamiento de datos personales debe estar concebido para servir a
la humanidad, señale que la integración económica y social resultante del mercado interior ha llevado a un aumento sustancial de los flujos transfronterizos de datos personales. Exactamente lo mismo decía la Directiva 95/46. Tenemos que conciliar
el derecho fundamental a la protección de datos con el flujo transfronterizo de datos en el contexto de la Unión. Esto nos obliga a una relectura en positivo del artículo 18.4.
Regular la protección de datos significa también definir el futuro de la transformación digital en España. Creo que no hemos comprendido hasta qué punto una resolución o un informe de la Agencia Española de Protección de Datos puede afectar
a sectores enteros de nuestra economía y Administración, cómo puede paralizar políticas de publicación de datos por razones de transparencia o reutilización u obstaculizar el uso de la inteligencia artificial en la evaluación de la gestión pública o
retrasar a veces durante años proyectos estratégicos para la investigación en salud.
Al sector privado -hablábamos de ello antes de entrar- esta ley le resulta antipática. A las pymes se les dice que esto es sencillo cuando en realidad no lo es tanto y hasta hace muy pocos años dábamos la espalda a los profesionales
mientras permitíamos que creciera un mercado de buhoneros que asesoraba a las pymes con cargo a los fondos de la fundación tripartita. Mientras tanto, la LOPD, en lugar de ser sentida como una oportunidad para la calidad y la seguridad de los
datos, como una inversión para las empresas, se concibe como un gasto superfluo, como un enemigo al que tememos porque alguien nos dice que las multas son muy caras. Y los jóvenes emprendedores, aquellos a los que yo les doy clase en másteres sobre
Big Data -créanme-, perciben esta norma como un muro y es nuestra obligación -la mía como profesional al menos- convencerles de que esto no es así.
Es mi deber señalarles que es el momento de lanzar un mensaje normativo que convierta a este país en un lugar atractivo para la transformación digital en lugar de en un territorio del que huir. Ello exige no desviarse en exceso de la media
de la Unión y regular muy bien en los ámbitos en los que se nos concedan competencias, lo que me lleva al tercer objetivo. Permítanme que sea gremial. Trabajo en una universidad y la universidad no puede esperar años a que se regule el uso de
datos con fines de investigación. Es cierto que hace menos de una semana se dictó un informe por parte de la Agencia de Protección de Datos que venía a decirnos que todo es posible -hay que reconocerlo-, pero es la misma agencia que en el Informe
438, de 2012, dijo que no era posible sin consentimiento expreso la cesión de datos de un enfermo a la Dirección Provincial de Tráfico para evitar riesgos en la circulación y, por tanto, hizo prevalecer el derecho a la protección de datos del
conductor sobre la seguridad vial. Por tanto, si la agencia ha dicho que esto es posible, como profesional, yo prefiero que esté en una norma, entre otras cosas porque, cuando recibimos un informe de la autoridad de protección de datos,
expresamente se nos dice que no prejuzga el criterio posterior. Desde el punto de vista de la investigación, todo lo que ofrezca seguridad jurídica en una norma con rango de ley no prejuzgará ya ningún criterio posterior; estará normatizado. La
investigación en España necesita seguridad jurídica, necesita un marco regulador actualizado que despeje las incertidumbres del consentimiento del uso masivo de datos personales, de la legitimación para el tratamiento o del uso de datos
seudonimizados, porque no se trata ya solo de ensayos clínicos. Millones de datos pueden ser objeto de análisis retrospectivos. Terabytes de datos se generarán en smart cities, en Internet de los objetos, y debemos saber cómo usarlos para el bien
común, garantizando los derechos, pero para el bien común.
Por otra parte, el proyecto ha perdido la oportunidad de transformar la Agencia Española de Protección de Datos. Los datos y los directores reiteradamente demuestran que la autoridad está al límite de sus
capacidades y necesita reconsiderar su estructura, su dotación de personal y sus recursos. Adicionalmente, la doctrina, al menos la constitucional, ha cuestionado un modelo de nombramiento basado en la propuesta desde un ministerio con una
mera comparecencia ante la Comisión Constitucional. Cada nueva dirección tiene que demostrar su independencia y de hecho sistemáticamente lo ha hecho. No cuestionaré yo aquí la independencia de los directores de la autoridad. No obstante, la
estructura actual, el tipo de nombramiento, hipoteca de algún modo las políticas de protección de datos, porque en protección de datos también es posible la innovación pública. A día de hoy, con un crecimiento exponencial de la tecnología, el nivel
de exigencia es altísimo. La agencia no puede parar, no puede esperar un proceso de aprendizaje, no puede arriesgarse a toma de decisiones no basadas en el conocimiento o, simplemente, no puede esperar a ser gestionada al mismo ritmo por las mismas
personas sin innovar. La agencia ocupa un lugar central en la defensa de nuestros derechos fundamentales, y voy a robar una expresión a José María Lassalle, impulsor del grupo de expertos sobre derechos digitales de los españoles, con el que
colaboro: En el mundo de los derechos 5G, si no garantizamos la privacidad, perderemos la libertad. Pero a la vez la agencia y la norma de protección de datos contribuyen decisivamente a definir el campo de juego sobre el que se construirán big
data, inteligencia artificial, smart cities o Internet de los objetos. El modelo europeo de economía digital debe ser capaz de conciliar estas cosas. Nuestra autoridad ha sido referente mundial y debe seguir siéndolo, pero ahora el futuro digital
de España necesita el sólido apoyo de un comisionado parlamentario puro, escogido con un proceso de alta exigencia en cuanto a sus capacidades personales y profesionales.
Me preocupa también significativamente la regulación del consentimiento de los menores de edad. Esta es una materia peculiar. Todos -creo- nos preocupamos por nuestros niños y niñas y nuestros hijos e hijas son expuestos en YouTube,
Facebook y otras redes sociales por sus padres y madres y por sus centros escolares, a veces desde la guardería. Usamos mensajerías privadas para comunicarnos oficialmente con ellos. En la era del profiling, menores de edad sin formación adecuada
reciben impactos publicitarios directos, a los que probablemente no hagan caso, pero también segmentaciones de la conversación en redes sociales que pueden inducir al consumo de un determinado producto. Esto no es malo ni bueno, simplemente, está
sujeto a unas reglas, actualmente a las reglas del artículo 13 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, parcialmente recuperado -solo parcialmente recuperado- por el proyecto. Y en la reforma lo que se les propone,
señorías, es una operación cosmética consistente en rebajar la edad a los trece años. No voy a discutir el criterio. No soy psicólogo ni sociólogo, aunque hay países donde los expertos han decidido que la edad adecuada son los dieciséis. Y aunque
no me importa en absoluto esa diferencia de edad, sí me importa el estándar de protección, así que si los trece años es el estándar norteamericano, les recomiendo que adoptemos el estándar norteamericano de protección, que está en Children's Online
Privacy Protection Act desde 1998 y que ha consolidado una enorme actividad de la Federal Trade Commission, altamente tuitiva con los derechos de los menores. Por tanto, el estándar de los trece sí y el nivel de protección también. Y permítanme un
ruego. No soy experto en esto, pero el artículo 6 bis de la Ley Orgánica de Educación atribuye al Estado el diseño del currículo básico. Y si este fuera un título habilitante suficiente, a ese currículo le hacen falta habilidades relacionadas con
Internet, privacidad y seguridad.
Por otra parte, me preocupa la regulación de la videovigilancia. Sigo sin saber qué corresponde en materia de videovigilancia a la seguridad privada y qué no. La ley se limita a decir que subsidiariamente se aplicará la Ley de Seguridad
Privada. La Ley de Seguridad Privada por su parte dice que cuando se utiliza la seguridad privada para la protección de personas y bienes hace falta la presencia de personal formado. Sin embargo, el criterio sistemático del regulador ha sido muy
amplio y, honestamente, yo prefiero tener claro y seguro, me caigan bien o no las compañías de seguridad, que mi imagen es visualizada por una empresa especializada que por el presidente de mi comunidad, que es lo que viene ocurriendo.
Por otra parte, aunque pueda sostenerse jurídicamente, el artículo 22.5 del proyecto conduce a una situación un tanto absurda. El artículo viene a decir: si tú eres empresario y necesitas vigilar a tu trabajador, conforme al artículo 20.3
de la Constitución, y no se te ocurrió informarle, la prueba que obtengas será válida aunque no hayas cumplido con la Ley Orgánica de Protección de Datos. Para mí esto no tiene mucho sentido, tendría más sentido acotar aquellos supuestos en los que
se establece una excepción al deber de información del empresario que se complete después con una información inmediata cuando se abra el proceso disciplinario al afectado y al comité de empresa o a la representación sindical. Lo que no parece muy
claro es que los empresarios puedan ser robados, se estén cometiendo delitos o faltas en su
entorno, que haya conductas de acoso sexual o laboral y carezcan de herramientas. Si el empresario tiene que decidir entre -perdónenme la expresión coloquial- pillar al infractor o pagar una multa relativa a la protección de datos, a día de
hoy sigue prefiriendo no pillar al infractor.
Entrando en cuestiones de mera enunciación, no entiendo muy bien por qué se regulan únicamente los sistemas de denuncias internas en el sector privado, cuando constituyen una reivindicación social y profesional también en el sector público.
Aunque comprendo las razones, no entiendo el empecinamiento en mantener una singularidad nacional, el deber de bloqueo del artículo 32. Aunque ya hemos aprendido que este es inasumible en videovigilancia -y por eso se excepciona-, creo que
seguimos sin entender sus implicaciones. Los plazos de bloqueo son muy variables y exigen un esfuerzo de interpretación que debería realizar la agencia. Si mantenemos el bloqueo, al menos que sea público y notorio cuáles son los plazos, las
condiciones y los periodos, y que no lo tenga que interpretar nuestra pyme, que no lo tenga que interpretar nuestra empresa o administración. Por otra parte, debe admitirse la existencia de ficheros específicos de bloqueo, ya que tecnológicamente a
veces programar algo para que bloquee es complicado.
En cuanto al delegado de protección de datos, la regulación plantea una cuestión de fondo particularmente relevante. Es potestad del Estado miembro extender esta figura, y aunque la regulación es extensa no incluye, por ejemplo, a las
federaciones deportivas, que tratan datos de miles de niños. Además, la norma no contempla riesgos asociados al despliegue del reglamento. La primera de ellas tiene que ver con nuestras pymes. El reglamento hace algo muy positivo: rebaja el
nivel de exigencia para las pymes que cuenten con menos de 250 personas y al mismo tiempo hace desaparecer el registro general de protección de datos; ya no hay un deber de inscribir los ficheros. Al no haber esta visibilidad ni ninguna obligación
adicional es altamente probable que esto actúe como un elemento de desincentivación por parte de las pymes a la hora de cumplir con la normativa. Por ejemplo, una farmacia no puede iniciar su actividad sin un permiso para el establecimiento, sin un
informe de un técnico para instalar una caldera e incluso sin contratar a una mutua dedicada a la prevención de riesgos laborales si tiene un par de trabajadores. Sin embargo, en el contexto actual va a poder empezar su actividad en protección de
datos sin un solo informe técnico. Quiero recordarles que una farmacia es un sitio donde se tratan datos de salud, muy abierto a la circulación de personas y con riesgos de seguridad.
Evidentemente, no trato de defender aquí que exista un delegado obligatorio de protección de datos para nuestras pymes, pero sí algún tipo de solución intermedia que garantice que nuestras empresas tengan una información y un asesoramiento
técnico que sirva para garantizar el derecho de los españoles a la protección de datos. Por otra parte, los esquemas de certificación de delegados diseñados por la autoridad apuntan a un delegado de bajo nivel. De nuevo les digo que no discuto el
criterio; analizo la realidad.
El impulso transformador de profesores como Pérez Luño o Miguel Ángel Davara queda oscurecido ante una certificación que solo exige ciento ochenta y cinco horas de formación impartidas en régimen de libre mercado por sociedades limitadas, es
decir, por cualquier S.L. que decida tener esto como objetivo. Es más, como ya hay una entidad certificada, les animo a que vean qué tipo de academias están habilitadas para formar en materia de protección de datos. Y aunque debo decirles que,
como Conferencia de Rectores de las Universidades Españolas, tenemos el compromiso específico de la autoridad de protección de datos de que en la próxima versión de esa certificación se reconocerá la formación universitaria, yo no acabo de estar
satisfecho. No es que yo personalmente o la CRUE, como les he dicho, discutamos esto. Lo entendemos, aunque podamos no compartirlo, pero ¿puede afrontar una persona sin una formación universitaria adecuada el reto de aplicar la normativa en una
administración compleja o en una empresa de alto calado? Y aunque les digo que reivindicamos la autonomía universitaria, creo que la calidad docente y el rigor de los títulos oficiales aprobados por Aneca deberían ser reconocidos por esta ley como
títulos habilitantes para el desempeño de la función de delegado de protección de datos. Créanme ustedes, muchos delegados españoles lideran la banca, las farmacéuticas o las tecnológicas internacionales. Ninguno de estos fue a un cursillo de
academia; todos fueron formados por la universidad española.
Por último, en mi opinión, la previsión de delegados a coste cero para la Administración General del Estado es sencillamente irreal, y me parece absurda la presencia de un representante de los profesionales de la privacidad en el consejo de
la agencia escogido por un ministro. Es el único caso en el que el nombramiento de un miembro del consejo se decide o se tutela por un ministro. No entiendo la razón para esto.
Finalmente, antes de quedar a su disposición, debo señalarles mi preocupación respecto al estándar de seguridad en las pymes y en la Administración. Si en las primeras creo que habría que mantener lo previsto en la normativa vigente, en la
Administración creo que debería generalizarse el esquema nacional de seguridad. Disculpen sus señorías que haya utilizado seguramente algún minuto adicional. Quedo a su entera disposición.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, señor Martínez.
A continuación, pasamos al turno de los grupos parlamentarios. En primer lugar, por el Grupo Parlamentario Mixto, tiene la palabra la señora Ciuró.
La señora CIURÓ I BULDÓ: Muchas gracias, presidente.
Quiero dar las gracias al compareciente por su exposición tan clara. Simplemente quiero preguntarle cómo valora, desde su opinión de experto, la garantía de las competencias existentes entre las distintas autoridades en la materia que hay
en el territorio español. Está la agencia estatal y están las distintas autoridades de las diferentes comunidades autónomas. ¿Considera usted que está preservada su actividad como hasta ahora se ha venido haciendo en función de sus competencias?
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señora Ciuró.
Por parte del Grupo Parlamentario Vasco, tiene la palabra el señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente.
Solo usaré el turno de palabra para agradecer la exposición del compareciente.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señor Legarda.
Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Muchas gracias, señor Martínez, por su comparecencia, muy interesante y fruto de su experiencia y de su amplio currículum. Dado que ha abordado las cuestiones nucleares, voy a hacerle alguna pregunta muy breve y muy
concisa.
En relación con el artículo 19, el tratamiento de los datos de contacto y de empresarios individuales, ¿cree usted que faltaría en su redacción una referencia explícita a los profesionales liberales? Iba a preguntarle también por ese
listado de obligados a tener un DPD y vemos que considera usted incluir a las federaciones deportivas, por lo que no le voy a preguntar más al respecto.
Usted se ha referido al consejo consultivo, y para mi grupo es muy importante la independencia de la agencia y cómo conseguir que esta independencia no solo se dé de facto sino que cuente con un amplio respaldo en el modelo de elección, no
solo de la figura del director de la agencia sino del propio consejo consultivo. Usted ha criticado la designación por parte del Gobierno de los miembros de dicho consejo. ¿Propondría usted algún modelo al respecto?
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señor Gómez Balsera.
Por el Grupo Parlamentario Confederal de Unidos Podemos, tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Gracias, señor presidente.
Señor Martínez, quiero agradecerle la comparecencia y resaltar su perfil técnico, su dedicación vital a esta cuestión. Al menos desde mi grupo parlamentario no ponemos en duda lo más mínimo su capacidad y las opiniones que nos trae hoy aquí
y que nos parecen sumamente interesantes.
Han sido muchas las cuestiones que ha comentado y el tono general ha sido coincidente con el de alguna otra comparecencia, más allá de que esto no sea una cuestión meramente técnica, no estamos ante una cuestión técnica de trasladar a la
legislación española el reglamento europeo, sino que también nos ha planteado la disyuntiva entre oportunidad o limitación al desarrollo de la característica digital de nuestra economía y de muchos otros sectores relacionados con la digitalización
de la economía y del futuro de nuestro país.
De todo lo que ha dicho -y que me ha parecido muy interesante- me gustaría plantearle dos o tres cuestiones. La primera es que ha comentado algo sobre un comisionado parlamentario, por lo que me
gustaría que aclarase un poco esa figura, qué características tendría o cómo la vería usted insertada en esta cuestión. En cuanto a las denuncias internas en el sector público, también me gustaría que ampliase un poco este aspecto.
Compartimos el tema de la formación y tendremos que hacer un esfuerzo en modificar el proyecto que nos trae el Gobierno. Y la tercera cuestión que le quiero plantear -y con esto ya concluyo- es el tema de los consentimientos amplios en la
investigación científica, que ha dado lugar a que bastantes organizaciones relacionadas con la investigación científica, universitaria y no universitaria, nos hayan visitado a todos los grupos parlamentarios para mostrarnos su preocupación al
respecto. Esas son las tres cuestiones que básicamente me gustaría que aclarase.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Sixto.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Le doy las gracias al compareciente. El escasísimo tiempo que tenemos para formular las preguntas nos obliga a ser esquemáticos y por lo tanto a hacer pocos prolegómenos, así que a ello voy, aprovechando la autorizada opinión del señor
Martínez sobre todas estas cuestiones. La verdad es que tengo que reconocerle que prácticamente ha dado respuesta a buena parte del guion de cuestiones que tenía, pero me gustaría confirmar alguno de los extremos planteados, porque he creído
entender que optaba en materia de edad del consentimiento. Para quien no esté familiarizado con el modelo norteamericano de protección de la infancia, la formulación de la posición puede crear una apariencia que no resulte realmente clara, y puede
parecer que hay una opción favorable a la reducción de edad de los trece años sin tener muy claro qué significa y qué implica la normativa anglosajona en esta materia.
Se ha formulado una opinión favorable también en relación con la conveniencia de garantizar por ley la cuestión de la investigación científica y biomédica, aunque queda una duda, una demanda del sector, que planteaba la necesidad de una
regulación global específica en materia de salud que tendríamos que valorar. La opinión manifestada sobre el bloqueo de datos, prevista en el artículo 32, es bastante clara, y espero que otros comparecientes con responsabilidades específicas en
esta materia puedan hacer un contrapunto.
Sobre la cualificación de los delegados de protección de datos y el papel de las universidades, sí me parece de interés, con su experiencia y actividad profesional concreta, que pudiera utilizar su segundo turno para aportar algo más de luz,
al igual que en relación con esa figura prevista en el artículo 37 del proyecto de ley, esa posición otorgada al delegado de protección de datos para intermediar ante las reclamaciones que los particulares puedan hacer ante la agencia. Desde luego
también nos gustaría saber más sobre cómo podemos aprovechar más ese consejo consultivo de la agencia que ha existido durante muchos años y que seguramente puede perfeccionarse mucho, incluso a partir de las previsiones concretas del proyecto de
ley.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Rallo.
Por el Grupo Parlamentario Popular, tiene la palabra el señor De Barrionuevo.
El señor DE BARRIONUEVO GENER: Muchas gracias, señor presidente.
Señor Martínez, le agradezco su presencia ante esta Comisión, así como todas sus explicaciones basadas en su amplia experiencia y currículum, que además de mostrarlo yo había tenido interés en leerlo. Sé que es exdirector del máster
universitario de protección de datos y expresidente de la Asociación Profesional Española de la Privacidad. Le agradezco todas sus aportaciones.
Me he centrado más en esa labor que ha hecho la Asociación Profesional Española de la Privacidad. Independientemente de intentar defender los intereses de las personas que tiene asociadas y de tener una labor divulgativa, una de las
demandas que se tenía desde la asociación es la necesidad de elaborar un código ético.
Aparte de sus explicaciones, que han sido muy enriquecedoras -ha repetido el artículo 19 sobre el tratamiento de datos de los contactos profesionales-, todas las preguntas que tenía ya han sido contestadas, pero quería plantearle dos cosas.
En cuanto a la regulación, ¿considera que está bien regulado el derecho al olvido? Por otro lado, el artículo 38 habla de los códigos de conducta, que después
tendrán que desarrollar las agencias, tanto la estatal como las autonómicas, según su competencia. ¿Qué deberían tener estos códigos de conducta?
Principalmente me he centrado en aquello de lo que usted ha hablado, en la figura del delegado de protección de datos, que es una novedad, y yo creo que todos hemos coincidido en preguntarle al respecto.
Gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, señor De Barrionuevo.
Para contestar a las cuestiones que se le han planteado, tiene la palabra de nuevo el señor Martínez.
El señor MARTÍNEZ MARTÍNEZ (Expresidente de la Asociación Profesional Española de la Privacidad, APEP): Gracias, señor presidente.
Procuraré ser sintético, igual que en la intervención. Respecto de las garantías de las competencias de las autoridades autonómicas este es un entorno complejo, en el sentido de que en estos momentos contamos con tres autoridades
autonómicas, una de ellas además especializada en transparencia, y podría ser un ámbito tendente a crecer. Por otra parte, hay que recordar que la Autoridad Catalana de Protección de Datos, en virtud del Estatut y de su propia ley, extiende su
ámbito de competencia, por ejemplo, a concesiones y a una parte del sector privado, y que incluso la nueva configuración de la declaración como medios propios de fundaciones de interés público o de titularidad pública, etcétera, podría extender
bastante el ámbito competencial.
Respecto de la regulación tengo una observación muy concreta y una idea general. La observación muy concreta es que me resulta extraña la facultad de fiscalización ulterior que se ha concedido a la Agencia Española de Protección de Datos
como una especie de instancia de control de las restantes agencias autonómicas. En principio, en el modelo vigente actual las agencias autonómicas son completamente competentes en el ámbito de las administraciones públicas en su territorio, y esto
cambia el modelo profundamente y establece una tutela, entre comillas, desde la Agencia Estatal de Protección de Datos, y yo no acabo de entender el sentido último que esto pudiera tener. En segundo lugar, lo que sí debería ser estratégica -y venía
sucediendo con más o menos intensidad- es la colaboración entre la agencia estatal y las agencias autonómicas en la fijación de criterios homogéneos. Sin el marco de la regulación general que establece la presencia de un comité a nivel europeo y de
procedimientos de homogeneización de los criterios que se aplican a nivel europeo, parece razonable que se intensifique, e incluso que se normatice de modo claro ese marco de colaboración.
En cuanto a los profesionales liberales es una vieja cuestión, una vexata quaestio. Sistemáticamente los informes de la agencia excluyeron esta figura, pero lo que ocurre ahora es la siguiente situación. Hemos pasado de una exclusión de la
aplicación del régimen normativo de protección de datos, que era lo que les proponía el artículo 2 del reglamento español vigente, a una situación en la que, ya que la norma europea considera que son datos personales, establecemos un principio de
interés legítimo para el tratamiento de estos datos. En mi opinión ese principio de interés legítimo para el tratamiento podría abarcar perfectamente a los profesionales liberales.
En tercer lugar, se ha hablado del modelo de consejo consultivo y en general del modelo de comisionado parlamentario, con lo que responderé a varias de las cuestiones. No les oculto que en más de una ocasión -yo soy una persona que casi
siempre dice lo que piensa y cuando debo ser crítico lo soy- el regulador toma decisiones y emite informes desde su propia perspectiva, que es técnicamente de muy alta calidad, pero no siempre conocedora de las implicaciones prácticas de cómo
ocurrirá eso. Perdónenme, pero soy una persona que vive a pie de obra y que tiene que batallar con investigadores que tienen muchas dificultades o muchas necesidades o con una Administración que tiene que adoptar decisiones estratégicas que no se
compadecen a veces con teorías que se escriben muy cómodamente desde un sillón, pero que después no podemos aplicar. Una protección de datos exigente pero que no podemos aplicar no es protección de datos, porque en el sector público, donde no hay
sanciones, simplemente no se cumple, y en el sector privado, igual te pillan que no te pillan. ¿Qué ocurre con un consejo consultivo de amplio espectro y bien conformado? Que hay un altavoz, que hay un modo de interacción entre el regulador y la
realidad social y tecnológica. Desde ese punto de vista no solo hay que potenciar esa figura, sino que no puede ser alguien o un colectivo de gente a quien se convoca un par de veces al año para una mera dación de cuentas formal. Debería tener
algo de participación, no digo de decisión, porque el modelo está bien como está en ese sentido.
Mi observación respecto del representante de los profesionales de la privacidad es que prácticamente cada sector designa a su representante, excepto los profesionales de la privacidad, no sé muy bien por qué, tal vez es porque somos jóvenes
y a los menores de edad se los tutela, no lo sé; pero nadie dice que el ministro de Comercio, de Consumo, etcétera, va a nombrar a los representantes de los consumidores, ni que el ministro de Industria nombrará a los representantes de la
seguridad, porque si ese es el criterio cada ministro debería proponer a los representantes de su sector, y eso me ha resultado chocante.
Les planteaba la cuestión del comisionado parlamentario en cuanto a la dirección -no sé si en cuanto al consejo- desde el punto de vista de que es un modelo ensayado en Italia, en Francia e incluso en la propia Unión Europea, y que es un
modelo de alta exigencia. Si ustedes miran el procedimiento de nombramiento del supervisor europeo de protección de datos, verán que se somete a la confianza de la Cámara con hirens de alta exigencia. Por tanto es alguien sometido a un examen
parlamentario riguroso. Por otra parte, el 75 % o el 80 % de las tareas de un supervisor o de una autoridad en protección de datos es la garantía de los derechos fundamentales. El comisionado general en materia de garantía de los derechos
fundamentales en este país lo nombran las cámaras. Por tanto parece coherente que si tenemos un comisionado especializado en un derecho fundamental concreto siga la misma lógica. Se lo decía también porque creo que es importante el nivel de
exigencia. El reglamento exige experiencia profesional, el reglamento ya exige capacidad. Por tanto un entorno de debate parlamentario con hirens abiertos es un entorno al menos bastante más transparente y claro que el modelo actual.
Hablábamos de los sistemas de denuncias internas. Esto nace en Estados Unidos con la Ley Sarbanes-Oxley, que responde a ciertos escándalos que se producen respecto de la actuación de determinadas consultoras aparentemente independientes que
después no funcionan bien internamente, y se considera que los propios trabajadores pueden poner de manifiesto disfunciones internas en el funcionamiento de la empresa, desde disfunciones, digámoslo así, graves hasta situaciones de corrupción, y que
para eso hay que protegerlos. Es un esquema de yo he traído aquí porque cuando desarrollamos el Plan Estratégico de Transparencia de la Diputación de Valencia lo abrimos a una consulta abierta, y debo decirles que prácticamente la mitad de las
aportaciones nos pedían desde nuestros funcionarios un sistema de denuncias internas. Por tanto, si esta necesidad existe, si en mi experiencia, en este caso solo territorial valenciana, en el modelo de la creación de una agencia antifraude, esto
tiene algún tipo de relevancia, es evidente que, ya que vamos a desarrollar las condiciones de tratamiento de datos en los sistemas de denuncias internas en las empresas, en el sector privado, ¿por qué no extender y situar una base jurídica cierta
que pueda afectar a la Administración pública, si es que esta Cámara políticamente lo considera relevante, claro está?
Me han planteado las cuestiones del consentimiento amplio en la investigación científica. Es el proyecto de ley el que de algún modo ha abierto este melón. En el momento en que el proyecto de ley ha desarrollado sectores muy específicos,
ha generado las expectativas de otros sectores respecto de esta regulación. Además es muy difícil revertir técnicamente esa situación. Si el proyecto de norma ya se ha abierto enormemente no parece razonable que en el trámite de enmiendas se
dediquen ustedes a podar una ley que a partir de ese momento sería carente de toda sistemática. Esto me parece que técnicamente no es posible. ¿Qué ocurre? Que en el sector de la salud se vive en una permanente incertidumbre. ¿Por qué razón? En
mi opinión, aunque no soy un experto en sentido estricto en esta materia, porque lo que está muy bien disciplinado y regulado es el tratamiento de datos en la investigación biomédica y particularmente en los ensayos clínicos, pero la investigación
científica en salud ha cambiado significativamente. ¿En qué sentido? Ya no se trata solo de investigación orientada a la investigación básica, analizando células, o a la investigación de prueba de un producto farmacéutico, sino que se basa en la
investigación poblacional: grandes volúmenes de datos en el caso de Big Data. Esto plantea situaciones sociales de alta sensibilidad, como demostró el Proyecto Visc en Cataluña, con situaciones de problemas sociales, de reacciones adversas por
parte de la población ante el temor a qué va a ocurrir con sus datos, y de un entendimiento inadecuado de qué se hace cuando se investiga con datos. Por otra parte, les añado un factor adicional. La mayor parte de la investigación en salud en este
país es desarrollada por universidades públicas o por hospitales públicos. No existe una legitimación basada en el interés directo que pueda aplicárseles, porque expresamente la proscribe el Reglamento General de Protección de Datos. No hay
interés legítimo posible para una Administración pública. Eso significa que las condiciones que habiliten algún tipo de interés público en esta materia deben venir señaladas por una norma con rango de ley, al menos para la universidad pública y
para los hospitales públicos, razón por la cual me temo que el sector sistemáticamente les pide a ustedes que esto se clarifique. Es lo que ha
intentado la agencia con su informe. La agencia ha dicho: nuestro criterio hasta hoy, con la legislación vigente, era que el consentimiento debía ser expreso y muy específico; usted autoriza el uso de sus datos para una investigación
sobre cáncer de colon financiada por la Unión Europea para este proyecto. Lo que dijeron los rectores, porque los rectores europeos escribieron a la Comisión, fue que si esto se continuaba regulando así iba a morir la investigación científica en
salud en la Unión Europea. El reglamento ha abierto la posibilidad de consentimientos para finalidades más amplias, incluso de cierta extensión para finalidades cubiertas, compatibles, por decirlo así, y por eso ustedes tienen un informe que dice
que allí donde dije para cáncer de colon interpreten oncología. Lo que yo les pido es que si esto es así y la agencia lo ve bien convirtámoslo en norma. Fantástico, lo verá bien siempre, porque son inversiones en investigación de alto riesgo.
Hablamos de multas de hasta 20 millones de euros y hablamos de un sector de profunda interacción entre lo público y lo privado, donde por tanto el riesgo regulador y el riesgo reputacional pueden frenar la investigación. Esto es lo que justifica el
interés sectorial, pero les insisto, no solo es un interés de las empresas farmacéuticas, no solo es un interés sectorial privado, es un interés de los propios investigadores en el sector público.
Hemos hablado de la edad del consentimiento. Yo no he querido manifestar una opinión beligerante, he querido manifestar una opinión respetuosa, pero la interpretación de la agencia de nuestro Código Civil dice que la edad de madurez son los
catorce años, y debo confesarles que cuando yo les he dicho que trabajé en el desarrollo reglamentario del Reglamento General de Protección de Datos, y en concreto en el artículo 13, trabajé yo. Por tanto no es dudosa mi opinión de que nuestro
marco regulador con catorce años está bien. Lo que les quería decir cuando decidimos que nos vamos a un estándar norteamericano como el de los trece años es que la Children's Online Privacy Protection Act establece expresamente la obligación de las
empresas de verificar la edad de los menores, de tener información clara y transparente. Establece un procedimiento de obtención del consentimiento que se llama Print and Send Form que exige validar la identidad, enviar un impreso al padre, que el
padre firme el consentimiento, que la empresa revise ese consentimiento y que a partir de aquí actúe. La norma americana obliga a revisar las políticas de cumplimiento normativo de Coppa cada dos años. La Federal Trade Commission se reúne cada dos
años con el sector y verifica las posibilidades de la tecnología para proteger a los menores. Si ustedes visitar la página de la Federal Trade Commission verán que existe una guía específica, por ejemplo, para proteger la privacidad de los menores
en el mundo de las aplicaciones móviles. Así que si queremos los trece años, yo los quiero con eso y con todo lo demás, con un régimen jurídico altamente tuitivo. No me quedo solo con los trece años, y puesto que podemos desarrollar medidas
protectoras para los menores porque expresamente el reglamento dice algo, salvo lo que se precise en materia de derecho contractual... Ustedes después van a tener a un experto muy querido y muy amigo en Derecho Civil. Algunos, aunque somos un poco
ácratas, decimos que cuando nos suscribimos a una red social estamos firmando un contrato de pay for privacy. Nuestra obligación sinalagmática no consiste en pagar dinero, sino en pagar con nuestra información. Por tanto, si nos están habilitando
para regular las relaciones contractuales en los servicios de la sociedad de la información con consentimiento, regulémoslos, pero no nos limitemos a los trece años, porque no estamos protegiendo.
Preguntaban ustedes además por la cualificación del delegado de protección de datos. Una cosa es ayudar a la protección de datos en una pyme, y les recuerdo que la pyme está exenta en general, pero resulta que el Reglamento General de
Protección de Datos dice que el delegado debe tener un conocimiento -lo interpreto yo así- profundo del ordenamiento jurídico en la materia y de su realidad técnica. En estos momentos yo me debo enfrentar, en el marco de la investigación
universitaria, a un proyecto en el que se va a hacer investigación retrospectiva con datos personales de pacientes, de ocho millones y medio de pacientes en toda Europa, en el que se deben evaluar las condiciones de anonimización, en el que se debe
evaluar la confiabilidad de los patrones obtenidos con Big Data, y en el que se deben establecer condiciones de privacidades del diseño para aplicaciones móviles que correrán en wareballs que utilizarán los pacientes y las condiciones de aplicación
de los resultados obtenidos en esa materia. ¿De verdad creen que con 185 horas impartidas por una academia yo podría afrontar esto? Esta es la cuestión.
El derecho a la protección de datos además es un derecho instrumental que se relaciona con enteros sectores del ordenamiento. No hay un derecho a la protección de datos en abstracto. Ustedes aquí han tenido expertos que les habrán hablado
de la solvencia patrimonial y el crédito. Yo les estoy hablando de investigación. Otros les hablarán de los seguros. El derecho a la protección de datos está abierto a todo el ordenamiento y en esencia es complejo. Por tanto, aunque podamos
tener un delegado de protección
de datos, entre comillas, primario, que pueda atender a la media de las cosas, a las pyme, tal vez deberíamos reconocer que la formación universitaria de alta calidad sea relevante y nos permita tener otro nivel de delegado de protección de
datos.
Ustedes me preguntaban también por la posición del delegado de protección de datos como intermediario ante los particulares. Todo lo que sea disponer de herramientas que permitan resolver, antes de llegar a una situación contenciosa, los
problemas relacionados con la protección de datos, todo lo que sea tener una figura al servicio de los derechos de los interesados parece positivo. Pero yo de esta norma no acabo de entender la diferencia de trato en los plazos y las
consideraciones que se establecen en función de que uno tenga delegado de protección de datos o no lo tenga. No acabo de entender la estructura de esa figura y la preeminencia que se le da en términos que tienen que ver ya con la tramitación de una
situación contenciosa, honestamente.
También han hablado ustedes del código ético, en concreto citando el código ético de APEP. La verdad es que va a ser muy relevante la existencia de códigos éticos profesionales. Les he dicho que yo soy crítico cuando toca, y en el sector
de la protección de datos en España hay empresas que utilizan fondos públicos para prestar asesoramiento gratuito. En el sector de la protección de datos en España hay empresas que llaman por teléfono para ofrecer sus servicios de asesoramiento
amenazando con denunciar a su futuro cliente. En el sector de la protección de datos en España hay empresas que utilizan denominaciones próximas a la de la Agencia Española de Protección de Datos para hacer creer que son el regulador. Hace falta
una ética profesional rotunda en esta materia, porque nuestra profesión se dirige a la garantía de los derechos fundamentales de las personas. Perdónenme la expresión, nosotros no protegemos datos, protegemos personas. Por tanto debe ser un
ejercicio profesional de una ética alta.
Creo que el presidente me permitirá contarlo, porque él me comentaba una anécdota. Cuando se ejerce esta profesión sin ética, sin una formación adecuada, tenemos empresas que dicen lo que el presidente me estaba comentando antes en privado,
y es: ¿qué es eso de la protección de datos? Es un mamotreto que tengo ahí en el archivador, y un señor que viene cada tres meses a rellenarlo, no sé muy bien para qué, pero yo le pago. Este es el problema. Evidentemente uno está a favor de los
códigos éticos en las profesiones relacionadas con la privacidad; no solo hablamos de delegados o expertos en protección de datos desde un punto de vista jurídico, sino también de expertos en seguridad. Yo esta mañana he estado discutiendo en un
congreso sobre inteligencia artificial, ¿hasta qué punto la ética en el desarrollo de algoritmos va a ser algo crucial para nuestra sociedad en el futuro? Por tanto los códigos éticos me parecen absolutamente relevantes.
El derecho al olvido es un derecho que ha adquirido autonomía propia. Tenemos una regulación en el marco de la normativa de la Unión y tenemos las referencias naturales en nuestro propio reglamento. Yo, la verdad, le tengo mucha fe al
derecho al olvido; no sé si esperanza, fe sí. Me parece que es un derecho absolutamente estructural en la sociedad de la información, y especialmente -como hablábamos antes- en relación con los menores. La referencia del Reglamento General de
Protección de Datos al olvido de los menores es estratégica. Tenemos toda una generación de menores cuya identidad digital está siendo constituida por padres y docentes imprudentes, que van a tener seguramente mucho que olvidar antes de lo que
ellos creen. Por tanto el derecho al olvido es muy relevante porque nos protege frente a la discriminación.
Para acabar, los códigos de conducta. A los códigos de conducta yo no les pondría ni les quitaría ni una coma, solo haría una petición. El papel de la autoridad de datos es relevantísimo en esta materia. En estos momentos tramitar un
código tipo puede costar seis, siete, ocho meses o un año; se eterniza, es un proceso muy largo. Los códigos de conducta son herramientas esenciales, junto con las certificaciones, para llevar sectores enteros al cumplimiento normativo. Yo en
estos momentos tengo el orgullo de coordinar dos grupos de trabajo, uno tecnológico y uno jurídico, para impulsar un código de conducta de toda la universidad española, porque lo creemos estratégico. Porque si un sector tiene un código de conducta
cumplirá la norma, será una norma autorregulatoria, será una norma hecha en positivo y no una actividad desarrollada desde la perspectiva del miedo a la sanción. Por tanto son elementos estratégicos, pero aquí a la autoridad de protección de datos
le toca una labor de impulso determinante y de favorecimiento. Si tramitar un código de conducta se convierte en una carrera procedimental de obstáculos ocurrirá lo que ocurre ahora. Les reto a que vayan a la página de la agencia y vean cuántos
códigos tipos hay. No les diré que se pueden contar con los dedos de dos manos, pero casi.
Creo que he respondido a todo. Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, señor Martínez. Le agradecemos su exposición y le garantizo que va a ser de muchísima utilidad para los ponentes de este proyecto de ley.
Suspendemos la sesión dos minutos. (Pausa).
- DEL SEÑOR PLAZA PENADÉS (CATEDRÁTICO DE DERECHO CIVIL DE LA UNIVERSITAT DE VALÈNCIA). (Número de expediente 219/001077).
El señor VICEPRESIDENTE (Matos Mascareño): Señorías, pasamos a la segunda de las comparecencias, que corresponde a don Javier Plaza Penadés, catedrático de Derecho Civil de la Universidad de Valencia.
Le damos la bienvenida, le agradecemos su presencia y que haya querido colaborar con nosotros en la tramitación de este proyecto de ley. Tiene la palabra.
El señor PLAZA PENADÉS (Catedrático de Derecho Civil de la Universitat de València): Muchas gracias, buenas tardes.
Para mí es un placer compartir esta velada con todos ustedes. Agradezco a Enric Bataller, diputado del Grupo Mixto, la posibilidad que me brinda de comparecer como experto para hablar de una de las leyes más importantes del ordenamiento
jurídico español, posiblemente una de las leyes que va a ser más citada, más estudiada en todos los textos jurídicos como es la Ley Orgánica de Protección de Datos de Carácter Personal, la futura ley orgánica de protección de datos.
Me voy a ajustar al tiempo, quince minutos; es el único límite que me pongo y por tanto voy a ser muy selectivo y muy directo. De hecho no tengo casi ni ponencia presentada, porque voy a ir a aquellos aspectos básicos que me parecen más
relevantes. Sí que quiero aprovechar mi presencia en la Comisión de Justicia para decir que, desde el punto de vista del derecho civil, estamos asistiendo a un cambio de paradigma. Si ha habido una época inicial donde la Unión Europea legislaba a
través de directivas, actualmente estamos asistiendo a una regulación a través de reglamentos. La tendencia empezó con el Reglamento de Sucesiones 650/2012, ha continuado con reglamentos muy importantes para el derecho privado como son los
relativos al régimen económico matrimonial y a los pactos matrimoniales de las parejas de hecho y va a continuar. Frente a ese desafío, todavía no hemos sabido cómo encajar una normativa como la del reglamento europeo, que es de aplicación directa
y que no requiere de trasposición, con nuestro ordenamiento jurídico interno. Desde luego la respuesta que se ha dado a estas leyes del derecho civil es incorrecta en mi opinión. De alguna forma el código de derecho civil deberá hacerse eco de la
existencia de estas normas tan relevantes que no son solo de derecho internacional privado. Afortunadamente, el Reglamento General de Protección de Datos sí que va a tener una acogida en la futura Ley Orgánica de Protección de Datos de Carácter
Personal.
En el ámbito de la tecnología tenemos el Reglamento 910/2014 de firma electrónica que también vive al margen del ordenamiento. Tenemos la Ley 59/2003 básicamente derogada con un 70 % de derecho comunitario que normalmente el jurista español
conoce muy poco o incluso desconoce. Por tanto, integrar la normativa europea, aunque sea por un reglamento, en el derecho español es importante. ¿Cómo debe hacerse? Yo creo que la proyección que ha tenido el Reglamento General de Protección de
Datos en la Ley Orgánica de Protección de Datos no me parece la más correcta, porque la Ley Orgánica de Protección de Datos quiere ser complementaria. Desde esa óptica, tenemos que tener en cuenta que para la mayoría de los juristas y para
cualquier persona la ley es el referente normativo en esta materia. Por tanto, obligar a trabajar conjuntamente tanto al jurista como a la persona que va a tener que aplicar esta ley y al ciudadano con dos textos tan complejos -el reglamento por un
lado y la ley por otro- plantea muchos problemas. Para el futuro creo que lo conveniente sería integrar totalmente el reglamento comunitario -el que sea- y, a partir de ahí, hacer una ley que contenga todos los elementos.
Si ahora empezamos a leer el proyecto de ley orgánica de protección de datos, lo primero que se observa es que falta la estructura típica de disposiciones generales porque se ha delegado en el reglamento, pero el jurista español va a tratar
de buscar las clásicas definiciones, que puede encontrar en el reglamento pero no en la ley. Además, el elenco de definiciones que había por ejemplo en el Real Decreto 1720/2007 que desarrolla la vigente Ley Orgánica de Protección de Datos era muy
completo. Yo creo que la técnica correcta hubiera sido esa: recoger el elenco de definiciones del reglamento y haberlo completado con nuestras definiciones propias. Esto daría una idea de mayor sistematicidad que desde luego la ley no tiene. Son
como dos piezas de un puzzle que no terminan de encajar y las continuas
remisiones al reglamento para un jurista o para alguien que no es experto en la materia son realmente odiosas, pero nos vamos a tener que acostumbrar a manejar el reglamento y la ley, salvo que se corrijan en la medida de lo posible las
remisiones continuas que hace el proyecto de ley orgánica de protección de datos al reglamento y se tenga a bien introducir en la ley el texto del reglamento para que no haya una remisión continua, lo cual hace que sea antipático de leer y de
comprender para alguien que no es experto. Por tanto, mi sugerencia principal es que en el trámite de enmiendas correspondiente las remisiones al reglamento europeo en la medida de lo posible se traten de integrar.
Lo más llamativo es que se dice que ha habido un cambio de modelo, porque desaparece la necesidad de legalizar los ficheros, tal y como ha sido tradicional con la vigente Ley Orgánica de Protección de Datos. Esta contemplaba un doble
modelo: para el sector privado, se hacía a través de un registro en la Agencia Española de Protección de Datos, y para el sector público se hacía con la publicación de una disposición en el boletín o el diario correspondiente, donde se daba noticia
de la existencia del fichero concreto con la titularidad, el responsable, las medidas de seguridad, los fines, etcétera. Ese modelo ahora desaparece, pero cuando leemos la ley no encontramos en ningún sitio reflejado un cambio de modelo, ni tan
siquiera en la exposición de motivos; si eso es así, creo que es suficientemente relevante para advertir que hay un cambio de modelo. Una enmienda que propongo es que en las disposiciones transitorias se diga qué va a ocurrir con aquellos que ya
tienen los ficheros legalizados, bien porque los han inscrito en el Registro General de Protección de Datos, bien porque en su día publicaron una disposición en boletín o diario oficial. Si desaparece el modelo, tenemos que saber si la legitimación
o legalización inicial continúa siendo válida o si va a haber un periodo en el que mantiene cierta validez pero debe adaptarse ya al nuevo modelo más acorde con un seguimiento documentado de cada uno de los ficheros concretos con descripción del
titular, el responsable, el delegado de protección de datos -en su caso-, fines, transparencia, medidas de seguridad, etcétera. Por tanto, es un sistema un poco más americano. Creo que es relevante no darlo por supuesto y visualizarlo para que
quien haya legalizado su fichero sepa si ahora tiene que hacer algo ex novo o no.
Esto también está en relación con una de las figuras que más preocupa, el delegado de protección de datos. Yo me remito a lo que ya se ha dicho, pero es verdad que el reglamento europeo ya mencionaba la necesidad de que hubiese un delegado
de protección de datos y que la legislación española la amplía en muchos supuestos. Son muchos los afectados; por ejemplo, los colegios privados, que con el reglamento europeo en principio no estaban obligados a tener un delegado de protección de
datos, pero con la normativa española sí. Todos los afectados, especialmente en el ámbito del sector privado, están hondamente preocupados, porque lo ven como un gasto más. En ese sentido, tendríamos que establecer un modelo en la propia ley -no
fuera de la ley- y que la ley especificase cuál es el modelo con delegado de protección de datos y también cuál es el modelo sin delegado de protección de datos, que va a ser el más utilizado. El 60 o 70 % del empresariado está preguntando cómo
tiene que legalizar los ficheros si no van a tener delegado de protección de datos -es una pregunta obvia- y si van a necesitar del soporte de algún jurista y organismo externo para poder tenerlos debidamente legalizados. Parece que hay un modelo
de tramitación simplificada de ficheros apuntado por la Agencia Española de Protección de Datos. Me parece muy bien, pero el sitio es la ley y desde la ley se debe proyectar ese desarrollo hacia el exterior. Por tanto, la ley debería preocuparse
mucho por cómo se tienen que legalizar ahora los ficheros con el nuevo modelo de protección de datos.
Me preocupa especialmente el régimen sancionador. Le preocupa a cualquier rector de universidad pública -yo vengo de una de ellas-, porque está obligado a tener delegado de protección de datos, y a cualquier rector de universidad privada.
Les preocupa sobre todo cuando leen el régimen sancionador contenido en el proyecto de ley en los artículos 70 y siguientes. Yo todavía no sé cuál es el régimen de sanciones futuro que tendrá la ley orgánica de protección de datos conforme al
reglamento. Tradicionalmente hemos distinguido entre infracciones leves, graves y muy graves y el régimen sancionador establecía que las infracciones leves iban de tanto a tanto, las graves de tanto a tanto y las muy graves de tanto a tanto. Yo no
he podido leer esto en el proyecto de ley, pero me gustaría que en la futura ley se pudiera leer y que la gente supiese que si incurre en una infracción leve las sanciones van a ir de cero a una cantidad; hay que poner una cantidad. Las graves
podrían llegar hasta 10 millones y las muy graves estarían entre 10 y 20 millones de euros; y entre 10 y 20 millones de euros hay un largo trecho. Hacer un amplio elenco de conductas sancionables y dejar ese margen a discrecionalidad me parece
realmente preocupante. Creo que la ley debe revisarse -ahí hay una importante labor con las enmiendas- para clarificar el régimen sancionador y su aplicación. Si como se ha dicho se quiere apuntar
hacia un régimen que no sea tan sancionador fuera de la ley, eso debería quedar también reflejado en la ley.
Voy agotando el tiempo. Me voy a ajustar a los quince minutos, porque creo que más interesante que lo que les pueda decir yo -que ya se lo habrán dicho- será lo que me quieran preguntar. Hay dos temas que me preocupan mucho. Uno es el
tema del menor. No voy a reiterar lo que ha dicho Ricard, pero comparto su valoración. El problema ya no solo está en la edad -para mí los dieciséis años sigue siendo una edad óptima para estos menesteres-, porque en definitiva es un conflicto
entre redes sociales y adolescentes y no tenemos resuelto el tema de la protección del menor en Internet. Falta una ley de protección del menor en Internet con todos sus predicamentos. ¿Y qué ocurre? Básicamente, que la protección del menor en
Internet no existe, porque si vamos a la Ley de servicios de la sociedad de la información, recae sobre un padre prudentemente responsable que tiene que confiar en la tecnología para que sus hijos no ingresen en redes sociales, pero luego el sistema
está preparado para que el menor, voluntariamente, cuando está fuera del control parental, ingrese fácilmente. Ya sabéis, además, que la Unión Europea ha sancionado a algunas redes sociales porque no cumplen el criterio de control del ADA; es
decir, dan un parámetro que el menor puede manipular fácilmente. En definitiva, yo creo que ese es el juego. Yo sugeriría una revisión de esa edad, por las consecuencias sociales que tiene, pero sobre todo que fuese acompañada de una auténtica ley
de protección del menor en Internet y redes sociales.
Por seleccionar un tema, el de los ficheros de insolvencia me parece muy relevante. ¿Por qué? Porque, tal y como está regulado en el proyecto de ley orgánica, creo que hay una pérdida muy importante de los derechos vigentes que tiene
reconocidos el ciudadano en este decreto que es el reglamento de la Ley Orgánica de Protección de Datos. En mi opinión, el sitio natural donde se tiene que desarrollar un derecho fundamental es la ley orgánica, y este artilugio que se inventó con
el decreto de desarrollo de la ley orgánica, incluyendo ahí muchos aspectos que eran de desarrollo del derecho fundamental, como en su momento la inclusión de la edad del menor, no me parece correcto, ni tampoco el fichero de insolvencia. Es decir,
yo creo que el sitio natural es la ley, porque es un desarrollo importante, pero es verdad que la regulación que contienen actualmente los artículos 37 y siguientes del Decreto 1720/2007 me parece que no deberían de perderse; ese acervo jurídico
que tenemos debería conservarse, sobre todo a favor del ciudadano, de la persona titular de los derechos. Diría más: es en el terreno del fichero de insolvencia donde nos podemos plantear si la persona jurídica en este ámbito merece una protección
idéntica a la de la persona física, puesto que, en definitiva, lo que está en juego es el acceso al crédito, y no tener acceso al crédito realmente es bastante duro. Con lo cual, en mi opinión, la protección de ficheros que se contiene en el actual
Reglamento de Ley Orgánica de Protección de datos es muy superior al nivel de protección que se le da ahora al ciudadano en el precepto correlativo de la Ley Orgánica de Protección de Datos. Que a alguien le cedan sus datos porque los van a
ingresar en un fichero de solvencia me parece que, cuando menos, debe garantizar a la persona cedida el derecho de acceso, rectificación, cancelación, supresión y oposición, junto con la necesaria constancia de si es algo o no discutido, si es
controvertido.
Sí me parece un acierto, por subrayar una bondad del proyecto, que se apunte una cuantía mínima por debajo de la cual nadie debería ingresar en un fichero de morosidad, pero igual 50 euros por el precio del mercado sea una cuantía
excesivamente baja. Quiero decir que, muchas veces, facturas ordinarias de 150 o 200 euros, por las que un consumidor medio puede discutir, son las que le llevan a ingresar en este fichero de morosidad. Pero más allá de la cuantía, creo que
debería haber un criterio de proporcionalidad. No tiene sentido que por que un ciudadano en un momento dado quiera discutir una factura de 150 o 200 euros de un gasto telefónico, que normalmente es de 50 -por eso se niega a pagarlo-, se vea privado
del acceso al crédito. El impago de una pequeña cantidad no puede tener una consecuencia tan desproporcionada. Ahí tendríamos que reaccionar.
Concluyo diciendo que es una ley muy importante. Posiblemente, va a ser la ley más citada en todos los contratos, en todas las hojas de encargo, en las páginas web, etcétera. La futura ley orgánica -no sé cuál será- me hubiera gustado que
fuese con esa técnica legislativa que ha apuntado, aunque esto ya no es posible. Casi pienso que el reglamento europeo no va a tener su encaje en la ley, a lo mejor, requiere de un reglamento decreto para completar esto, pero de cara al futuro y
cuando se presente un proyecto de ley deberían hacer este esfuerzo e integrar el reglamento en la propia normativa, que fuera más sistemático y evitar estas remisiones. Si lo más importante, que yo no lo sé leyendo la ley, es el cambio de modelo,
me gustaría leer la ley, ver ese cambio de modelo y saber cómo ha sido el modelo anterior, cómo va a ser ahora y qué consecuencias tiene si yo legalicé en su momento los ficheros y ahora el sistema ha cambiado.
Este es el tiempo que tenía asignado. Muchas gracias y quedo a su disposición.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, profesor Plaza.
Por el Grupo Parlamentario Mixto, tiene la palabra el señor Bataller.
El señor BATALLER I RUIZ: Gracias, presidente.
Señor Plaza, en nombre de mi formación, Compromís, le doy las gracias por su intervención y le agradezco su presencia hoy aquí. Coincido con muchos de los planteamientos que usted ha esbozado. Entiendo que estamos ante un cambio de
paradigma y que, efectivamente, la problemática que se plantea por tener que combinar el texto que hagamos aquí con el reglamento de la Unión Europea, esta falta de integración, posiblemente hubiera debido motivar que se presentase una enmienda a la
totalidad frente a este texto para que se adoptase una técnica legislativa diferente. Evidentemente, esto no es posible porque el plazo del que se cuenta para que saquemos el producto normativo es muy breve. Esto pasa mucho, como usted sabe, en
nuestro país: llegamos tarde al trabajo normativo y, al final, tenemos que hacerlo de cualquier manera.
Hay algunas cuestiones más concretas del texto que me preocupan. Por ejemplo, la relativa a la regulación que se hace a las autoridades autonómicas de protección de datos, que está contenida en los artículos 57 a 62 del proyecto, en la cual
se lee una estructura jerárquica, tuitiva, y donde parece que la Agencia Española de Protección de Datos más que armonizarse con agencias autonómicas que tienen su ámbito competencial esté tutelando a las mismas. Por tanto, me preocupa que no se
haya querido adoptar una relación entre todas estas agencias de carácter más horizontal, cooperativo, acudiendo, por ejemplo, a algo que ya tenemos en España, por ejemplo, en el modelo de regulación del Registro de la Propiedad Intelectual, lo que
son el Registro Central y los registros autonómicos, que se organizan de una manera, como digo, mucho más horizontal. Me parece sorprendente que a estas alturas, en el año 2018, se traiga este modelo de regulación. No me parece muy acertado. Me
gustaría oír su opinión al respecto.
Coincido con usted en todas sus prevenciones respecto al régimen sancionador, a su falta de concreción y, sobre todo, a la falta de modulación en los tramos dentro de lo que son las sanciones leves, graves y muy graves. Coincido en que
deberíamos afinar mucho más aquí. También entiendo que un problema práctico muy evidente es la necesidad de extremar los controles para ser incluidos en los ficheros por morosidad. Al hilo de esto, también debería establecerse un procedimiento
claro y ágil para salir de esos ficheros, porque muchas veces se están produciendo, como usted sabrá, situaciones de abuso prolongando la permanencia de datos de personas en estos ficheros con la coacción indirecta que supone para las personas que
están incluidas en los mismos.
Entiendo que, como usted dice, deberíamos poder contar con tiempo suficiente para hacer un producto mejor, pero es lo que tenemos. Recojo sus apreciaciones. Creo que, a partir de su comparecencia, saldrán de aquí algunas enmiendas, que
intentaremos presentar al texto. Reitero nuestro agradecimiento por su presencia aquí.
Muchas gracias, señor presidente.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Bataller.
Por parte del Grupo Parlamentario Vasco, tiene la palabra el señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente.
Simplemente, para agradecer la intervención de nuestro invitado.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señor Legarda.
Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, señor presidente, y muchas gracias, señor Plaza, por su intervención.
Dada su condición de civilista, le voy a hacer unas preguntas muy concretas respecto al contenido del artículo 3 del proyecto, régimen de los datos de las personas fallecidas o la llamada herencia digital. En concreto, ¿se considera que
esta regulación está bien adecuada a nuestro derecho de sucesiones en nuestro Código Civil o precisa de algún ajuste? Segunda cuestión al respecto. Este mismo artículo, en el apartado tercero, segundo párrafo, se refiere, concretamente, al
fallecimiento de personas con discapacidad y en él se establece para los tutores la facultad de acceder, rectificar y solicitar la supresión de los datos de las personas con discapacidad que hayan fallecido. ¿No cree usted que esto es un
exceso, toda vez que en nuestro ordenamiento jurídico la tutela se extingue con la muerte del tutelado y que supondría una obligación que trascendería a la propia tutela?
Nada más. Gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señor Gómez Balsera.
Por parte del Grupo Parlamentario Confederal de Unidos Podemos tiene la palabra el señor Sixto.
El señor SIXTO IGLESIAS: Gracias, señor presidente.
En primer lugar, quiero agradecerle al señor Plaza Penadés sus apreciaciones, que han sido sumamente claras, y algunas de las cuales desde luego mi grupo comparte. Por empezar por el final, en el tema de los ficheros de insolvencia, la
reforma de la cuantía es una cuestión que hemos planteado a diversos comparecientes, la compartimos y, además, estaremos vigilantes en el tema de la pérdida de derechos que ha comentado que se tiene respecto a la normativa actual. También me han
parecido adecuadas las exigencias de clarificación respecto al cambio de modelo del registro de bases. Si es una demanda que existe, como legisladores deberíamos implementarla y ver qué fórmula le damos en este proyecto de ley.
Me gustaría que entrase en un tema en el que me ha parecido ver una contradicción con el ponente anterior. El ponente anterior decía: se pueden mantener los trece años, por ejemplo, que es el modelo norteamericano, pero yendo a la
normativa norteamericana, Children's Online Privacy Protection Rule, usted, como especialista en civil, dice que no. Me ha parecido entender que mantengamos los dieciséis años, pero al mismo tiempo ha expresado la necesidad de una ley de protección
del menor en Internet. ¿Cómo hacemos esto? La normativa norteamericana tiene una serie de condicionantes a la hora de garantizar esa privacidad del menor en Internet que nosotros no tenemos desarrollada, y que sería contradictoria con elevar la
edad. Ya le adelanto que mi grupo parlamentario, en principio, es partidario de mantener una edad baja, mantener los trece años, pero desde luego también somos partidarios de garantizarle al menor los máximos parámetros de respeto de su privacidad.
Me gustaría que entrase un poquito en esta aparente contradicción entre elevar la edad y elevar las cuestiones legales, las protecciones legales.
Nada más y muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Sixto.
Por el Grupo Parlamentario Socialista tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Muchas gracias al señor Plaza por su comparecencia. Nosotros usamos este turno simplemente para agradecerle que haya podido expresar su opinión sobre distintos extremos. Ha evidenciado algo que es una gran verdad, y es que la técnica
normativa derivada del ejercicio de las competencias normativas de la Unión Europea es algo bastante ajeno a la cultura jurídica española y, por lo tanto, exige un afianzamiento de los conocimientos básicos sobre los que se estructura esa técnica
normativa y de los parámetros que establece fundamentalmente el Tribunal de Justicia de la Unión Europea. Y lo que es más importante, va a exigir un ejercicio de pedagogía que todos los operadores imaginables, desde la Agencia de Protección de
Datos hasta cuantos estén implicados en la materia, deberán hacer en el futuro para trasladar a los operadores prácticos las obligaciones y los mandatos establecidos en el conjunto normativo, que significa no solo el articulado del reglamento que
es, obviamente, parte normativizada, sino lo que es tanto o más relevante, los propios considerandos que también tienen su fuerza jurídica, junto con la normativa nacional que va a contribuir a construir un todo normativo.
El esfuerzo creo que es hercúleo, lo comparto con usted, y en ello debemos todos esmerarnos en el futuro.
Gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Rallo.
Por parte del Grupo Parlamentario Popular tiene la palabra la señora Moro.
La señora MORO ALMARAZ: Muchas gracias, presidente.
Muchas gracias, profesor Plaza, es un gusto encontrarnos aquí después de tantas batallas juntos y a distancia en materia de derecho civil y de nuevas tecnologías. Ha sido muy interesante escucharle y que conteste a algunas de las preguntas.
Voy a incidir en algo que también señalaba ahora el señor Rallo, y
es esta dificultad -usted lo ha apuntado- de cambio de metodología de la Unión Europea en muchos ámbitos, de las directivas de mínimos a las directivas de máximos y después a los reglamentos, casi sin solución de continuidad y, además, en
ocasiones construyendo reglamentos como si fueran directivas de máximos, con lo cual, si ya es difícil seguir esa pedagogía y trasladarla a una correcta regulación en el derecho interno, evidentemente, en materia de protección de datos y con ese
cambio de paradigma, sin duda, es más complicado.
Efectivamente, nos ofrecía una posibilidad, un juicio sobre cómo le parecía que debería de haberse construido la norma. Sin embargo, a este respecto -y me gustaría conocer su opinión- el Consejo de Estado ha dicho que no se puede hacer;
que no cabe trasladar a una ley orgánica un reglamento europeo, en este caso el reglamento europeo que nos ocupa. En algunas otras comparecencias, vinculado a la preocupación de no poder llegar a tiempo en la entrada en vigor de esta ley, también
se ha mostrado preocupación, por parte de entidades del sector, sobre cómo manejar el que el reglamento entre en vigor con una normativa que, evidentemente, no está adaptada. Esa complicación que sin duda ve por las remisiones de la ley, en ese
periodo de no entrada en vigor de esta ley adaptada al reglamento, suscita ese temor. ¿Cómo sugeriría que se puede manejar? Nosotros intentaremos que no ocurra, evidentemente, pero nos gusta estar preparados también con algunas informaciones.
Sobre el tema de los menores, quizá por deformación, a lo mejor puedo decir alguna cosa que no compartan ni siquiera mis compañeros. Hace mucho tiempo hemos abandonado algunos paradigmas que en derecho civil teníamos muy claros respecto a
los derechos de la personalidad y los menores; y la edad idónea para que, respecto al consentimiento en aquellos ámbitos del derecho a la personalidad, cuándo lo puede hacer alguien que no puede ser sustituido ni representado. Creo que quizá en
este ámbito todos tenemos mucha preocupación porque, efectivamente, sabemos el gran drama de desprotección que viven los menores ante su utilización -la utilización por ellos- de las redes sociales, de Internet, etcétera. Pero quizá estamos
mezclando dos planos distintos; uno, el de ese consentimiento que desde un determinado juicio, trece años o podrían ser doce, que hemos utilizado tanto en el derecho español; y, otro, si solos, con doce o trece años o incluso con dieciséis, en el
ámbito de la protección o en el ámbito de qué capacidad tienen a efectos de contratar, etcétera, los tenemos que dejar simplemente con una norma en materia de protección de datos o, como usted ha apuntado antes, tenemos que ir algo más y
preocuparnos de cómo protegerlos: si escuchamos a los jueces de menores, a los fiscales de los tribunales de menores, y también hacer una coordinación entre los mecanismos que tenemos para poder ayudarles y que puedan actuar.
Por lo tanto, me gustaría que desarrollara un poquito más esos dos temas, esa dificultad que nos pone también el Consejo de Estado, y este planteamiento de la dualidad entre las capacidades del menor que no le podemos recortar y, al mismo
tiempo, la protección ante un espacio en el que es más vulnerable.
Muchas gracias, presidente.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, señora Moro.
Para responder a las cuestiones que se le han planteado tiene de nuevo la palabra el profesor Plaza.
El señor PLAZA PENADÉS (Catedrático de Derecho Civil de la Universitat de València): Voy a ser lo más sintético posible, siendo consciente de que son cuestiones importantes y voy a ser ordenado. Mas o menos las tengo aquí apuntadas;
espero no dejarme ninguna, y si es así me lo recuerdan.
Es verdad que mi sugerencia de técnica normativa, casi podemos enlazar el principio con el final, no es por esta concreta ley. Además, yo creo que ha sido un paso adelante tratar de integrar, de alguna forma, el reglamento comunitario con
las leyes españolas. Leyendo y conociendo el reglamento y leyendo lo que dice la ley y pensando que la mayoría de los juristas, la mayoría de los delegados de protección de datos y de los ciudadanos van a ir a la ley, creo que nos tenemos que
plantear que la ley debe reflejar todo lo que dice el reglamento.
Si el criterio del Consejo de Estado es ese, yo creo que a lo mejor también hay una cierta confusión, y es que es verdad que el reglamento comunitario es una norma que por su jerarquía prevalece sobre la ley nacional y que, además, no
requiere de trasposición. Pero que sea así, que sea una norma superior que no requiera de trasposición, también es verdad que requiere de ser conocida; y si lo mismo que dice el reglamento lo incluimos en nuestra ley, le vamos a dar visualización
al reglamento y, además, sobre eso vamos a construir nuestra ley. Porque aun en el peor de los casos, si dijésemos algo contrario al reglamento, ya sabemos que prevalece el reglamento. Por tanto, como técnica legislativa, pero lo sugiero para
siempre y de futuro, creo que no hay ningún impedimento, aunque el reglamento sea una norma
directamente aplicable que no requiere trasposición, que la llevemos a nuestro ordenamiento, que la hagamos nuestra y que sobre ese reglamento construyamos nuestra propia ley porque entonces no quedan vacíos y todas las piezas encajan.
Tiene mucha más sistematicidad y además creo que le hacemos un favor a la Unión Europea porque permitimos que, a través de nuestra ley nacional, se conozca el derecho comunitario. Y, desde luego, creo que el resultado hubiera sido más acabado. El
que hay ahora es de muy especialista y te obliga a tener dos textos. Me veo al abogado con el reglamento y con la ley casando los textos y es muy incómodo. Esa es mi sugerencia. Por favor, corregid. No hagamos remisiones. Ya que hemos hecho no
una trasposición, sino un complemento, que al menos no hagamos remisiones y que lo hagamos cómodo. Porque haciendo esa remisión nos damos cuenta de que no ocurre nada por citar el reglamento, siempre que sea una cita literal, y que si nos
equivocamos no pasa nada porque prevalece el reglamento, pero hagamos visible el reglamento.
De momento creo que hay tres autoridades autonómicas, igual ahora hay diecisiete porque, tal y como está el reglamento, me plantearía si fuera presidente de comunidad autónoma tener mi propia agencia. Lo plantearía con una pequeña maldad y
es que prefiero tener mi agencia nombrada por alguien que más o menos en un momento me puede moderar alguna cuestión que depender de alguien desde Madrid, con todos los respetos, de la Administración Central o del Gobierno. Pero ahí está la
respuesta a cómo tiene que ser la relación, tiene que ser una relación de coordinación, tiene que ser una relación de independencia y, desde luego, no debemos olvidar que la aplicación de los derechos fundamentales tiene que ser por igual en todas
las comunidades y también por igual tanto en el sector público como en el sector privado. No puede ser que la misma conducta en una universidad privada tenga una sanción mucho mayor que la misma en una universidad pública, algo que puede llegar a
ocurrir. Debemos ir a criterios de homogeneización. Y es verdad que nosotros aquí traemos una tradición y es pensar que las agencias solo tienen que limitarse al sector público. Eso es algo que incorporamos en nuestra ley, pero no está dicho en
el derecho comunitario. Las agencias también podrían tener competencias sancionadoras en el ámbito privado y lo hemos impedido por la idea de que el mercado sea unitario, pero, en definitiva, más allá del mercado, creo que el derecho tiene que ser
unitario.
En cuanto al régimen sancionador, tenéis toda mi colaboración si no lo hacéis para, por favor, clarificar porque, aunque es derecho administrativo, no es derecho civil, es muy importante. Además, casi habría que pensar alguna fórmula donde
las indemnizaciones por el daño causado por las infracciones al derecho de protección de datos también tuvieran una cierta participación en ese régimen sancionador. No puede ser que la multa sea de 10 millones y las indemnizaciones por infringir
los derechos fundamentales de las personas que se molestan en ir al juzgado sea de 10 000 o 12 000 euros. Hay una disonancia importante entre la infracción y la indemnización.
Me preguntaba en específico por el artículo 3. Creo que el artículo 3 viene ya precedido de una normativa autonómica que ha hecho una prospección y que ahora se recoge en nuestro ordenamiento sobre la base también de unas opiniones
doctrinales manifestadas en ese sentido. Respecto al derecho sucesorio, yo diría que hay que reformar el Código Civil entero. El derecho sucesorio hoy está en el Código Civil casi muerto, la sociedad requiere de un Código Civil con derecho
sucesorio adaptado a personas que tenemos una cierta longevidad y que más o menos vamos a heredar a los cuarenta o cincuenta años con unos modelos familiares bastante complejos. El sistema de legítimas es muy rígido y respecto a todo lo que decimos
que no vale, decimos no vale el pacto sucesorio, sí que vale porque por vía del reglamento europeo lo tenemos que convalidar si nos viene de Francia, de Alemania o de Italia y, además, por ahí encontraríamos solución para la sucesión en la empresa
familiar. Además, habría que arreglar eso y el impuesto. He conocido estudiantes que no han podido aceptar una herencia en la que eran los únicos beneficiarios porque no podían pagar el impuesto. Esto es un problema social a fecha de hoy y que no
se esté solucionando realmente es alarmante. La solución es muy sencilla y pasa por un período de carencia entre la aceptación de una herencia compuesta de inmuebles y el tiempo razonable que necesita una persona para poder vender y pagar. Habría
más pago y habría un mayor índice de aceptación. Por tanto, que sea una persona que tiene una discapacidad que ha llegado a una red social ya es curioso, pero es posible, y lo que creo que quiere hacer este régimen sucesorio es, algo que ya es
molesto porque no existe y causa dolor, suprimir esa información que, en todo caso, debería quedar amparada por el derecho al olvido. En el caso de los discapacitados puede ser que sean sus tutores, incluso a lo mejor la tutela la puede tener la
Administración y no le veo mayor problema.
Si entramos en la edad, sí que digo que cuidado porque la regla general del reglamento y de la mayoría de los países de la Unión Europea es dieciséis años. Leamos el reglamento. Excepcionalmente
se podrá bajar, eso es lo que dice literalmente el reglamento. Por tanto, deberíamos justificar esa excepcionalidad y no adoptarlo como regla general. ¿Por qué? Porque en el fondo también creo que el sistema es integrado y si perjudica la
dignidad del menor no debemos olvidar que tenemos una Ley Orgánica de Protección del Menor que nos dice que incluso, aun cuando haya consentimiento de los padres porque es un menor, aun cuando fuera la edad que fuese con el consentimiento de los
padres, si objetivamente es perjudicial para el menor, ese consentimiento no es válido. Y yo haría la misma traslación a la norma, que entonces sería una cláusula de salvaguardia. La edad puede ser la que sea, pero si objetivamente el
consentimiento dado por el menor es perjudicial para él, entonces que sea un consentimiento que se entienda no válido, porque, en definitiva, no estoy innovando, sino recogiendo el artículo 3 de la Ley Orgánica de Protección del Menor. En este
sentido, subyace un tema de preocupación social y es que el menor tiene acceso a una información que claramente es nociva para su formación en una sociedad moderna donde muchos de estos menores no tienen un control de parentalidad. Y lo que estamos
haciendo ahora como una idea de modernidad de bajar la edad y favorecer a las redes sociales para que tengan un público adolescente, a lo mejor nos explica por qué hay cosas que me impactan como que haya menores que tienen unas conductas sexuales
desordenadas. ¡Cómo puede ser que un menor de once años agreda a un menor de nueve años! A lo mejor es porque lo que está viendo en Internet, sin ninguna responsabilidad para el que está suministrando esa información, y permitido también por la
normativa de protección de datos, es lo que estamos fomentando. Por tanto, creo que requiere de una reflexión mayor.
En este sentido, coincido con Ricard, de nada sirve si no tenemos una auténtica ley que quiera proteger de verdad al menor en Internet y para eso hay que trasladar la responsabilidad no a los padres ni al menor ni al sistema, sino a los
prestadores de servicios, a los que dan esas informaciones cuando ponen contenidos que objetivamente entendemos como sociedad que pueden ser nocivos para un menor, deberían poner ellos los controles de seguridad en materia de datos. Actualmente
hasta Facebook está sancionado por la Unión Europea y otras redes sociales porque sus controles son claramente vulnerables por cualquier menor poco audaz. Hace un intento, no consigue su ingreso porque le dice que tiene una edad menor porque ha
nacido en tal año y entonces cambia el año e ingresa. Eso no es serio. Ese no es un sistema serio, pero es el mismo criterio que se utiliza para acceder a la pornografía, no nos engañemos. Es una reflexión que debe trascender más allá de lo que
es la Ley Orgánica de Protección de Datos e ir a una normativa de protección del menor en Internet y en redes sociales y ahí sería otra norma. Entonces sí que minimizaría el tema de la edad porque la mayor protección vendría dada por la normativa
de protección del menor en Internet y ahí coincido con Ricard. Entonces no estamos tan dispares. Casi lo importante es el grado de protección más allá de la edad. La edad, al fin y al cabo, sin protección es algo inocuo, aunque la pongamos a
dieciocho.
Creo que he contestado a todo. No sé si me he dejado algo más. Si es así, pido perdón, pero tampoco quiero perjudicarles la sesión.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, profesor Plaza. Le agradecemos su intervención y su presencia y haber querido compartir con nosotros todos sus conocimientos.
Suspendemos dos minutos la sesión. (Pausa).
- DE LA SEÑORA DIRECTORA DE LA AUTORIDAD CATALANA DE PROTECCIÓN DE DATOS (BARBARÀ FONDEVILA). (Número de expediente 219/001078).
El señor VICEPRESIDENTE (Matos Mascareño): Señorías, reanudamos la sesión para seguir con las comparecencias. A continuación va a intervenir doña María Àngels Barbarà Fondevila, directora de la Autoridad Catalana de Protección de Datos, a
quien damos la bienvenida a esta Comisión y le agradecemos su presencia, su intervención y haber querido colaborar con nosotros en el desarrollo y tramitación de este proyecto de ley. Tiene la palabra.
La señora DIRECTORA DE LA AUTORIDAD CATALANA DE PROTECCIÓN DE DATOS (Barbarà Fondevila): Muchas gracias, señor presidente.
Señorías, quisiera comenzar mi intervención agradeciendo la oportunidad que me ofrecen de poder participar en el debate de una norma clave en el inicio de esta nueva etapa que se ha abierto con la aprobación y la próxima plena efectividad
del Reglamento general de protección de datos. También quiero agradecer a la Comisión General de Codificación, y en concreto al presidente de la sección de Derecho
Público de la misma, que haya estimado conveniente la participación de la autoridad que dirijo, aunque haya sido puntualmente en algunas fases de la elaboración del proyecto. De acuerdo con lo defendido en la Comisión, determinadas
cuestiones se han incorporado al proyecto y si hace falta luego puedo complementar esta información. Como voy a intentar ajustarme al máximo a los quince minutos que me han dado de tiempo, voy a hacer un planteamiento básico de lo que atañe
directamente a las autoridades autonómicas de protección de datos, en este caso a la Autoridad Catalana de Protección de Datos, tanto en el ámbito competencial como fuera de este ámbito, temas puntuales a los que hasta el momento no se ha referido
la Comisión. Por descontado, luego estaré a su disposición para cualquier pregunta que quieran hacerme, tanto en relación con la ley orgánica como por lo que se refiere al reglamento.
Ahora nos encontramos en la culminación de este proceso con la aprobación de este proyecto de ley orgánica y aquí quiero hacer una reflexión. Podría pensarse que con un reglamento que por primera vez a nivel europeo contiene una regulación
detallada de un derecho fundamental, que resulta directamente aplicable a todos los Estados miembros, quizá no resultaría necesaria ninguna adaptación del ordenamiento interno, pero, aun siendo cierta dicha afirmación, desde el punto de vista
técnico resulta evidente la necesidad de una norma para completar, que no trasponer, las previsiones del Reglamento general de protección de datos, para que aporte seguridad jurídica y permita incorporar al ordenamiento interno cuestiones que el
reglamento en este caso remite al derecho de los Estados miembros. No se nos escapa que elaborar un proyecto de ley como el que estamos analizando es una tarea ardua y que, por tanto, constituye un indudable reto. Sin embargo, como directora de
una autoridad de control autonómica, debo lamentar que, aunque se haya avanzado en esta cuestión respecto a la redacción inicial del proyecto, este sigue manteniendo en algunos puntos la apariencia de ser solo el proyecto de una agencia estatal. En
este sentido, tengo que manifestar que la redacción actual sigue siendo desde el punto de vista de la técnica legislativa un tanto farragoso, ya que cada vez que el texto se refiere a las autoridades de control cita, por un lado, a la Agencia
Española de Protección de Datos y, por otro, a las autoridades autonómicas de control.
Analizando más el fondo, quizá refleja una concepción del entramado institucional de la protección de datos en España que no se acompasa con lo establecido ni en el bloque constitucional ni en el Reglamento general de protección de datos.
Ciertamente, las referencias a la Agencia Española de Protección de Datos están plenamente justificadas en el capítulo I del título VII del proyecto, dedicado a la Agencia Española de Protección de Datos, así como en alguna otra previsión que deba
referirse exclusivamente a esta agencia. En el resto del proyecto, sinceramente creemos que una referencia común a la autoridad de protección de datos competente podría ser suficiente en muchos casos. El reglamento permite que cada Estado
establezca la creación de una o varias autoridades de control. Ahora bien, en el caso de que el Estado miembro establezca o tome la decisión de crear más de una autoridad, que sería el caso de España, corresponde a cada una de ellas el ejercicio de
la totalidad de las funciones y poderes establecidos en el reglamento general, dentro del ámbito de actuación definido en el estatuto de autonomía correspondiente, eso sí, exceptuando que una de ellas debe ser designada como representante ante el
Comité Europeo de Protección de Datos y que debe establecerse un procedimiento para la aplicación del mecanismo de coherencia del artículo 66 del reglamento general. Así se desprende claramente del primer párrafo del artículo 57 del reglamento
general y de lo establecido en el artículo 156 del Estatuto de Autonomía de Cataluña, que reconoce un determinado ámbito de actuación a la Autoridad Catalana de Protección de Datos, y en este ámbito le corresponde el ejercicio de todas las funciones
necesarias previstas en la normativa de protección de datos para la efectividad del derecho.
Un ejemplo claramente palpable de lo que acabo de exponer lo encontramos en la regulación del ejercicio de las funciones en materia de transferencias internacionales en el nuevo proyecto. De acuerdo con las letras r) y s) del artículo 57.1
del Reglamento general de protección de datos, la competencia para la aprobación de las normas corporativas vinculantes y cláusulas contractuales y disposiciones a que se refiere el artículo 46.3 del reglamento debe corresponder a cada autoridad de
control. Sin embargo, y a pesar de nuestra insistencia muy directamente, tanto en la Comisión como en las reuniones que hemos mantenido con la agencia española durante la tramitación previa del proyecto, en el sentido de la necesidad de reflejar
dicha distribución competencial, que debería traducirse en una mención a todas las autoridades de control, esto no se ha tenido en cuenta ni en la regulación de las transferencias internacionales ni en otros aspectos del Reglamento general de
protección de datos, que en este sentido omite a las autoridades de protección de datos autonómicas en diversos artículos, por ejemplo, el 11.1,
referente a la autorización de la autoridad de control en materia de información al afectado, la llamada información en capas, que además hemos trabajado conjuntamente.
Quiero mencionar el artículo 23, sobre el deber de comunicación, publicidad y deber de consulta de los sistemas de exclusión publicitaria, el artículo 40, aprobación de circulares en materia de transferencias internacionales, el 41.1,
adopción de cláusulas contractuales tipo para transferencias internacionales, el 41.2, sobre aprobación de normas corporativas vinculantes, el 76.4, sobre publicación en el diario oficial de sanciones superiores a un millón de euros, y el 77.6,
sobre publicación en la página web de las sanciones en entidades públicas. A nuestro entender, en todos estos casos se debería sustituir la referencia a la Agencia Española de Protección de Datos por la de la autoridad de control competente.
También en este sentido es necesario hacer mención del artículo 39 del proyecto, en el que se atribuye a la ENAC la acreditación de las entidades de certificación del artículo 43.1 del Reglamento general de protección de datos, lo que priva
a las autoridades autonómicas de control de poder actuar como entidad de acreditación de las instituciones de certificación, pese a que el reglamento general permite expresamente que se les atribuya esta función. Pero tampoco resuelve la forma cómo
deberán participar las diferentes autoridades de control en el establecimiento de los criterios de acreditación y certificación en el caso en que siga siendo la ENAC la designada conjuntamente, ni aclara que la eventual retirada de la certificación
prevista en el artículo 42.7 del reglamento corresponde a la autoridad de control competente por razón del ente certificado.
Señorías, voy saltando en la intervención para poder acabar en quince minutos. Al ver el otro día la intervención de mi compañera del País Vasco, pensé que tendría más tiempo, pero si hay alguna duda sobre lo que estoy diciendo, por favor,
díganmelo para aclararla en cualquier momento.
En su respectivo ámbito de actuación, cada autoridad de control debe ser la autoridad de referencia. Me estoy refiriendo ahora a los artículos 38.5, sobre códigos de conducta, y 34.4, sobre delegados de protección de datos, que prevén
registros conjuntos o interconectados que tampoco se acompasan con la existencia de ámbitos competenciales diferenciados. Precisamente es lo que decía de que en el respectivo ámbito de actuación cada autoridad de control debe ser autoridad de
referencia. Por ello, y sin perjuicio de poder establecer enlaces que permitan acceder fácilmente a los registros y otras autoridades de control, cada autoridad debería tener plena responsabilidad de gestionar el registro de su ámbito respectivo.
Dicho esto, y dado que comparezco como directora de una autoridad autonómica de protección de datos, me voy a centrar ahora en aquellos aspectos que pueden incidir de una manera especial en las autoridades autonómicas de control con la
voluntad de contribuir con este planteamiento a mejorar el texto final. Este era el planteamiento a que nosotros creemos que debería corresponder muchas veces la referencia a cada autoridad en su ámbito competencial, dado que deberíamos referirnos
a cada autoridad indistintamente.
Con relación a las cuestiones referidas a las autoridades de control, quiero, en primer lugar, referirme a lo regulado en el artículo 56 de la Ley Orgánica con relación a la acción exterior. No nos plantea ninguna duda que se designe a la
Agencia Española de Protección de Datos como representante común ante el Comité Europeo de Protección de Datos, pero el artículo 56 añade que además actuará como representante común en los grupos en materia de protección de datos constituidos al
amparo del derecho de la Unión Europea. Es respecto a este planteamiento con lo que no podemos estar de acuerdo, ya que los artículos 51.3 y 68.4 del reglamento solo establecen la necesidad de designar un representante común para la participación
en el Comité Europeo de Protección de Datos. Similares consideraciones deben hacerse respecto a las letras a) y c) del apartado 3 del artículo 56, puesto que la posibilidad de participar en reuniones y foros internacionales establecidos de común
acuerdo por las autoridades de control de ámbito distinto de la Unión Europea, y la colaboración con autoridades, instituciones, organismos y administraciones de otros Estados para impulsar, promover y desarrollar la protección de datos, no parece
que pueda sostenerse que deba ser competencia exclusiva de la agencia española. A nadie se le escapa que en un entorno como el actual, en el cual la información circula fácilmente a través de la red, abordar de una manera eficaz la protección de
datos requiere una actuación que va más allá de las fronteras de los Estados. Por ello, los mecanismos de colaboración, principio aplicable al conjunto de las administraciones, cooperación y asistencia mutua, previstos en el Reglamento general de
protección de datos, o incluso aquellas significativas que superen el ámbito de aplicación del reglamento, son esenciales. Aunque lo establecido en el artículo 56 trate de una cuestión incluida dentro del capítulo I, del título VII, del proyecto
dedicado a la Agencia Española de Protección de Datos, la utilización en el encabezamiento
del artículo 56.3 de la expresión 'corresponde además a la agencia' puede dar lugar a interpretaciones que pretendan excluir a las autoridades autonómicas de dichas actividades.
En segundo lugar, quiero referirme a la cooperación institucional. Como acabo de mencionar, la cooperación entre autoridades de control es un elemento esencial en materia de protección de datos. Por ello, los restrictivos términos en los
que el artículo 58 se refiere a esta cuestión parecen claramente mejorables. Cuando el reglamento se refiere a la cooperación, lo hace en el marco de la cooperación entre la autoridad de control principal y las autoridades interesadas, pero
ciertamente la cooperación debe extenderse más allá de la tramitación de los procedimientos transfronterizos, y no parece sin embargo que deba ser únicamente a través de las convocatorias de la Agencia Española de Protección de Datos realizadas
regularmente. La cooperación entre autoridades, sean todas las autoridades que existan a nivel estatal o algunas de ellas, debería poder producirse también de manera regular o en ocasiones puntuales a iniciativa de cualquiera de ellas. Por eso,
nos permitimos hacer una redacción alternativa muy sencilla que venía a decir exactamente lo mismo que dice el reglamento: Las autoridades de protección de datos cooperarán entre ellas y con la Agencia Española de Protección de Datos, de otros
Estados y de la Unión Europea o de terceros países para la efectiva aplicación del reglamento y la presente ley orgánica. Dicha cooperación puede llevarse a cabo a través de la convocatoria del presidente de la Agencia Española de Protección de
Datos o por otras iniciativas. Así se abría esta posibilidad.
Llegado a este punto, también quisiera destacar la fluida y eficaz colaboración con la agencia española y la agencia vasca que hemos tenido durante todo este tiempo, a partir de la aprobación de reglamento. La primera noticia de la
aprobación inicial fue en abril de 2016. Como digo, desde ese momento hemos tenido una magnífica relación -hemos tenido reuniones muchas veces mensuales, otras cada quince días-, lo que nos ha permitido establecer criterios conjuntos y además
aflorar una serie de iniciativas conjuntas durante todo este periodo. Esto realmente es como un modelo de lo que podrían ser las relaciones entre todas las agencias que se establecen a nivel estatal.
En tercer lugar, me referiré al control de la aplicación del Reglamento General de Protección de Datos y la LOPD. Llegamos en este momento a una de las cuestiones en que parece más claro que el proyecto no sitúa las diferentes autoridades
de protección de datos que puedan existir en España en pie de igualdad, ya que atribuye a la Agencia Española de Protección de Datos una especie de posibilidad de control de la legalidad de las actuaciones del resto de autoridades. Obviamente ni
del reglamento ni del estatuto de autonomía se desprende ningún sometimiento de ninguna autoridad de control autonómica al control de la agencia española. En cambio, el artículo 59 prevé un mecanismo que parece a todas luces contrario a la
independencia que el mismo reglamento garantiza a todas las autoridades de control, y que supondría una clara infracción del régimen de distribución de competencias que se deriva del estatuto de autonomía.
Tanto el reglamento como el estatuto de autonomía reconocen el carácter independiente de las autoridades de protección de datos, de todas ellas, no solo de la agencia española, siendo este rasgo precisamente, la independencia, un elemento
esencial y definitorio de las autoridades de control. Estas, como administraciones independientes, están sometidas exclusivamente al control por parte de los tribunales. Por ello, los conflictos entre administraciones deben residenciarse en la
jurisdicción contencioso-administrativa, según el artículo 44 de la Ley de Jurisdicción Contencioso-Administrativa. Creo que así lo que debería prever el artículo 59 es que cuando la agencia española, o cualquier otra autoridad de control que se
haya constituido, considere que un determinado tratamiento en el ámbito de actuación de otra autoridad de control incumple con el reglamento o la ley orgánica, puede requerir a dicha autoridad de control y precisamente en el caso en que no se
atienda al requerimiento, acudir a la vía contencioso-administrativa.
Otro punto a considerar en la intervención que estoy presentando ahora es el caso referido a los tratamientos transfronterizos. También en este caso el proyecto parece no tener en cuenta la distribución competencial de la Constitución
española y del Estatuto de Autonomía de Cataluña porque, de acuerdo con el artículo 56.1 del reglamento general, la autoridad de control del establecimiento principal del responsable o encargado del tratamiento será la competente para actuar como
autoridad de control principal en procedimientos transfronterizos, y el artículo 61 del proyecto viene a establecer que en los tratamientos transfronterizos que lleve a cargo alguna de las entidades sometidas a control de una autoridad autonómica,
dicha autoridad no podrá tener la consideración de autoridad de control principal en aquellos supuestos en que la entidad en cuestión desarrollase significativamente tratamientos de la misma naturaleza en el resto del territorio. Como hemos
apuntado en todo el transcurso del proyecto de
ley, el artículo prescinde absolutamente del punto de conexión establecido por el Estatuto de Autonomía de Cataluña para determinar la competencia de la Autoridad Catalana de Protección de Datos, que no es precisamente el territorio sino las
entidades que enumera el artículo 156.
Por otra parte, quiero hacer referencia a una serie de cuestiones vinculadas a aspectos sustantivos del proyecto, y que considero de especial interés, dadas las competencias de la autoridad que dirijo. Un punto importante que afecta de
forma directa al ejercicio de los derechos en el artículo 12 es el concepto de reclamación, puesto que la terminología del reglamento general al referirse a reclamaciones puede conllevar a alguna confusión. Creo necesario que se aclare que el
concepto de reclamación incluye no solo reclamaciones de tutela de derechos, sino también lo que venimos conociendo como denuncias en el ordenamiento jurídico interno, tanto en la LOPD como en la Ley 39, de procedimiento administrativo. Por otro
lado, en el artículo 12.4 el reglamento general hace referencia no solo a la posibilidad de presentar una reclamación, sino también a la posibilidad de ejercer acciones judiciales. Debería aclararse si se trata de una posibilidad alternativa o si
la vía judicial puede entrar en juego exclusivamente en el caso de no atenderse la reclamación ante la autoridad de control.
En segundo lugar, en relación con el artículo 32, que regula el bloqueo de datos, parecería conveniente aclarar que en la ley orgánica sí es posible ejercer el derecho de acceso a la información pública respecto a la información que está
bloqueada. Puede interpretarse que atender las solicitudes de acceso a la información forma parte de las responsabilidades del ente que las conserva, puesto que incluso puede ser sancionado por no facilitarla. Por ello, y teniendo en cuenta los
problemas que ya nos ha suscitado hasta ahora la interpretación de esta cuestión, sería positivo aclararlo en la ley.
Otro punto al que debe prestarse especial atención se refiere al delegado de protección de datos en relación con su intervención en el caso de reclamaciones del artículo 37. Dicha reclamación ante el delegado de protección de datos en mi
opinión hubiera sido deseable, pero tenemos problemas con el reglamento que hubiera sido de carácter preceptivo en el caso de las reclamaciones para tutela de derechos. En este caso, se permitiría vetar tener que acudir a la autoridad de protección
de datos si a través del DPD ya se satisface la reclamación. Esto era un punto unitario y completamente de acuerdo con la agencia española; en cambio, en el caso de las reclamaciones por la comisión de infracciones tipificadas en el régimen
sancionador, dicha reclamación ante el DPD debería tener carácter potestativo, como tiene, para evitar que se retarde la posibilidad de acudir a la autoridad de protección de datos e impedir la adopción de las medidas provisionales que fueran
necesarias, incluso facilitar la desaparición de pruebas. Pero en ambos casos el plazo de dos meses que tiene el delegado de protección de datos para responder parecería excesivo, dado que debe tener un pleno conocimiento de los tratamientos que
realiza la entidad y no es bueno dilatar la posible intervención de la autoridad correspondiente.
Otra cuestión a destacar -finalizaré aquí- es la relativa a la regulación de los procedimientos transfronterizos, puesto que su encaje con la legislación de procedimiento administrativo no siempre va a resultar fácil, y en este punto debo
decir que el proyecto ha dejado un amplio margen a las comunidades autónomas que cuentan con una autoridad propia para regular sus procedimientos. Me parece muy positivo, aunque para compatibilizar esta posibilidad con la legislación sobre
procedimiento administrativo común podría resultar clarificador que se incorporara en el proyecto alguna remisión a la legislación autonómica, para la regulación de las cuestiones procedimentales respecto a los procedimientos tramitados por las
autoridades autonómicas de protección de datos.
Como apuntaba al principio, estoy a su disposición para responder a todo tipo de observación -este es el planteamiento que me corresponde hacer como la autoridad de protección de datos- relacionada con la ley orgánica que estamos tratando.
Dada la brevedad del tiempo de que dispongo, no puedo apuntar nada más y, si es necesario, me remito al escrito de alegaciones que presentamos formalmente el pasado mes de julio en el trámite de audiencia otorgado por el Ministerio de Justicia y que
debe constar en el expediente de elaboración de la norma. Quedo a su disposición para responder a las cuestiones que estimen pertinentes o a la ampliación de los temas que he planteado.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, señora Barbarà.
A continuación, intervendrán los grupos parlamentarios. En primer lugar, por el Grupo Parlamentario Mixto tiene la palabra la señora Ciuró.
La señora CIURÓ I BULDÓ: Gracias, señor presidente.
Moltes gràcies, senyora Barbarà, per la compareixença.
Nosotros presentamos enmienda a la totalidad de este proyecto de ley precisamente por las cuestiones competenciales, porque entendemos que es vital que estas se respeten en toda su extensión para garantizar un buen funcionamiento tanto de la
norma como de su aplicación.
No quisiera dejar de hacerle dos preguntas -dado el tiempo me voy a ceñir a ellas solo- relacionadas con una cuestión que, aunque usted ha apuntado ampliamente, quiero señalar de nuevo. La primera sería si a su entender considera
suficientes las referencias a la legislación autonómica contenidas en el proyecto de ley. La segunda pregunta sería si entiende que esta nueva ley orgánica invade competencias autonómicas también en materia de acción exterior y, por tanto y en
global, si considera que las competencias autonómicas de la agencia están suficientemente protegidas con este proyecto de ley que estamos debatiendo.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señora Ciuró.
A continuación, por el Grupo Parlamentario Vasco tiene la palabra el señor Legarda.
El señor LEGARDA URIARTE: Muchas gracias, presidente, pero no intervendré, aunque aprovecharé la ocasión para saludar a la compareciente.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señor Legarda.
Por el Grupo Parlamentario de Esquerra Republicana de Catalunya, tiene la palabra el señor Tardà.
El señor TARDÀ I COMA: Gracias, señor presidente.
Bona tarda, senyora Barbarà. Gràcies per la seva compareixença.
En consonancia con lo expuesto por la compañera Ciuró, para nosotros también sería importante que la señora Barbarà pusiera un apoco más de énfasis -sería interesante para nosotros- en aquellos temores que nosotros tenemos ante un redactado
que tiene -creo que no se puede negar- una cierta perspectiva centralista. En algún momento usted ha hecho mención de esos temores, nos ha puesto sobre aviso en algunos artículos, de manera que me gustaría que usted pudiera concretar un poco más
cuáles son los ámbitos de actuación de la Autoridad Catalana de Protección de Datos que pueden resultar afectados en sus competencias.
Respecto a la Agencia Española de Protección de Datos, como representante común en el Comité Europeo de Protección de Datos, ¿qué opinión tiene al respecto? Ya ha mencionado que existen ciertos temores, pero sería para nosotros de ayuda,
incluso para ilustrarnos a todos -aquí hay grupos parlamentarios que posiblemente tenemos opiniones distintas y visiones diferentes-, si usted pudiera volver a poner en valor al menos sus reservas.
Muchas gracias por su comparecencia y por supuesto nosotros tendremos muy en cuenta, a la hora de redactar las enmiendas, sus aportaciones.
Gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Tardà.
A continuación, por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Muchas gracias, señor presidente.
Buenas tardes, señora Barbarà. Gracias por su comparecencia. Con relación al tema de las competencias de las autoridades autonómicas de la protección de datos, solo le haré una pregunta genérica: si no considera usted que el artículo 57,
en su apartado C, de algún modo constituye una cláusula abierta que remite a su Estatuto de Autonomía y que salvaguarda así suficientemente las competencias de las autoridades autonómicas. En segundo lugar, una de las cuestiones que preocupa a mi
grupo es precisamente la independencia de las autoridades de protección de datos. Con relación a esa independencia tengo que referirme a ese debate de enmiendas a la totalidad que presentó el PDeCAT, en el que le reconozco que yo fui muy crítico
con algunas actuaciones suyas relacionadas con el referéndum del pasado 1 de octubre, actuaciones que yo consideraba que evidenciaban una falta de independencia de la agencia catalana respecto al Gobierno de la Generalitat. Me estoy refiriendo a su
viaje a China cuando usted había recibido un requerimiento del TC para que hiciera cumplir la ley en aquellos días; me
estoy refiriendo a esa isla caribeña en la que parece ser que se alojó el censo con los datos de miles de catalanes...
Comparece usted hoy como invitada. Yo no quería sacarlo a colación, pero me hacía usted un gesto con la cabeza. Yo entiendo que no es objeto de esta comparecencia, por supuesto, pero precisamente porque usted no participó en aquel debate
me parecía de cierta cortesía darle la oportunidad hoy de que pudiera referirse, si lo estima conveniente, a aquellos días. Insisto, no está en mi función ejercer una labor de control a su actuación hoy, ni muchísimo menos, pero si usted lo
considera conveniente le damos la oportunidad de que se refiera a aquellos días.
Una pregunta más solamente. ¿En qué estado de tramitación se encuentran las veinte denuncias remitidas por la Agencia Española de Protección de Datos con motivo del 1 de octubre? ¿Cuántas actuaciones inició de oficio la agencia catalana?
¿Unas y otras, las remitidas por la agencia española y las iniciadas de oficio por la catalana, se podrían ver afectadas por la tramitación de esta ley? ¿Cómo?
Gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Gómez Balsera, y le agradezco el reconocimiento de que no es objeto de esta comparecencia. Por tanto, le ruego que se ciña a lo que es el objeto de esta comparecencia, que es
el proyecto de ley de protección de datos.
A continuación, por el Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea, tiene la palabra la señora Carreño.
La señora CARREÑO VALERO: Buenas tardes, María Àngels, muchas gracias por su comparecencia y por su aporte. Volviendo al tema del proyecto de ley orgánica de protección de datos, querría decirle que desde nuestro grupo no vimos la
oportunidad de la enmienda a la totalidad porque entendemos que es necesario llevar adelante este proyecto de ley, pero hemos estado muy atentos a todo lo que ha dicho respecto a que el texto es farragoso con el tema de las autoridades de control y,
en nuestro grupo, tenemos la total voluntad de respetar el ámbito competencial, por tanto, estaremos muy atentos a todas las ideas que ha dado y las tendremos en cuenta.
Me ha parecido interesante lo que ha dicho de los aspectos procesales, como incluir las tutelas de derechos y las denuncias en las reclamaciones o el asunto de aclarar si las reclamaciones previas son preceptivas o no. Quería hacerle una
pregunta sobre lo que ha dicho, porque podría no haberlo entendido muy bien. Ha dicho usted que aconsejaba que fuera preceptiva la intervención del delegado de protección de datos en las tutelas. (La señora directora de la Autoridad Catalana de
Protección de Datos, Barbarà Fondevila, pronuncia palabras que no se perciben). No lo entendía. Si no lo hay en los diferentes organismos, ¿puede explicar esto un poco más? Porque nos ha quedado un poco falto de explicación.
Por otro lado, querría preguntarle por algunos aspectos que están resultando un poco más polémicos, y es si puede brevemente darnos su opinión al respecto de la cuestión de la edad, de los menores de trece años, a la hora de prestar
consentimiento, y sobre todo está habiendo -no sé si usted es especialista en estos o no- muchísimas reticencias por parte de las agencias de investigación biomédicas, etcétera, y de la Sociedad Española de Epidemiología, que han lanzado un informe
en el que presentan varias discrepancias. Una de las propuestas que hacen es la posibilidad de emitir consentimientos informados genéricos o amplios para que se pueda investigar con otros fines distintos a aquellos para los que se recogieron los
datos, siempre en el ámbito de la salud. Simplemente querría saber qué le parecería incluir una enmienda al respecto y cómo podría ser en el caso de que usted lo encuentre positivo.
Muchas gracias.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señora Carreño.
Por el Grupo Parlamentario Socialista, tiene la palabra el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente.
Gracias y bienvenida la directora de la Autoritat Catalana de Protecció de Dades. El Grupo Socialista tuvo interés, cuando se ordenaron estas sesiones de comparecencias, en enfatizar la conveniencia de que participaran las agencias
autonómicas de protección de datos que hoy existen -País Vasco y Cataluña-, y tuvo interés porque estamos convencidos de que en lo que es el sistema español de protección de datos la presencia de estas autoridades es una realidad con una foto fija,
pero también móvil, a lo largo del tiempo, absolutamente a considerar. Son autoridades españolas de protección de datos, como lo es la que
así se denomina Agencia Española de Protección de Datos. Tal vez no se sepa, pero la Agencia hoy llamada Española de Protección de Datos no nació como Agencia Española de Protección de Datos, sino como Agencia de Protección de Datos. En un
determinado momento de la historia alguien quiso introducir en una ley de acompañamiento de los Presupuestos Generales del Estado la E de España para enfatizar no sé muy bien qué, y constituye una curiosa anomalía comparativa con el resto de
autoridades independientes que existen en España y que tienen sus homólogas autonómicas el cuño o el adjetivo español o española, porque eso no ocurre ni ha ocurrido en muchos otros supuestos de autoridades asimiladas que han tenido homólogos. No
ocurre con el Consejo de la Transparencia ni con otras muchas autoridades. Es una anécdota, pero significativa, porque -insisto- las agencias autonómicas forman parte del sistema español de protección de datos y, por tanto, es determinante y muy
relevante la opinión que pueda aportar cada una de ellas, así como la de la propia Agencia Española de Protección de Datos.
En ese sentido, empezaré por hacerle notar la notable visión diferente que ha aportado la directora catalana de la que aportó la directora de la agencia vasca. Creo que eso merece también una reflexión compartida, porque se han manifestado
una serie de posiciones discrepantes respecto de la posibilidad de invasión o de falta de respeto en el acotamiento de las competencias atribuidas por el reglamento a las autoridades autonómicas, que no fueron así consideradas por la agencia vasca.
Llama la atención y merece una reflexión, creo que compartida, el porqué de esas diferencias. Compartimos la visión limitada que debe tener el legislador orgánico español a la hora de adaptar el Reglamento Europeo de Protección de Datos para
salvaguardar, precisamente, la esencia y la normatividad del Reglamento Europeo de Protección de Datos sin caer en otro tipo de veleidades que lo que harían sería debilitar esa garantía. Sin embargo, no vemos, y así lo manifestamos -le ruego algún
minuto más, presidente-, esa visión intrusiva, invasora, que podría poner en cuestión el mandato, las competencias estatales previstas en el 149.1.1 para garantizar las condiciones básicas en el conjunto del territorio nacional.
Respecto a las críticas que ha planteado sobre la acción exterior y la cooperación institucional, la verdad es que a usted le consta -así lo señaló también la señora Uría- que la experiencia a lo largo de los años ha demostrado ausencia de
conflicto significativo y, por lo tanto, ha habido un notable grado de lealtad recíproca, en términos generales, entre las autoridades nacional y autonómicas. El reglamento no innova, no modifica limitativamente el estatuto de relaciones; lo que a
lo mejor no hace es introducir otras variables, por lo tanto, si ha funcionado bien el sistema ¿por qué introducir esas otras variables? Nosotros no alcanzamos a compartir esa visión negativa del reglamento en relación con las competencias
autonómicas. Bastaría con decir -hoy no hay ocasión de hacerlo- que son decenas las referencias a las autoridades autonómicas en el reglamento en paralelo con las referencias a la agencia, y eso significa que, obviamente, son bien tenidas en
cuenta.
Solo dos cuestiones finales, presidente. Compartimos, ya lo hemos dicho en repetidas ocasiones, que el artículo 59 tiene unas connotaciones casi ofensivas para el propio legislador orgánico porque no tiene sentido alguno. Nosotros no
compartimos lo que implica y, desde luego, presentaremos nuestra enmienda de supresión, pero tampoco compartimos la reflexión que ha hecho sobre el artículo 61.1 porque, respecto de la presencia como autoridad principal de una agencia autonómica en
los procedimientos transfronterizos europeos, por lo tanto respecto a aquellos tratamientos que se desarrollan de forma significativa en otras partes del territorio nacional -que es la referencia que he entendido yo-, me parece que la dicción actual
del proyecto de ley es perfectamente razonable. En todo caso, sí que le pediría, por si acaso dispone de esa información, una comparativa reguladora respecto de lo que es la única ley hoy vigente de un Estado federal como es Alemania en esta
cuestión, donde sí que los Länder tienen atribuidas determinadas competencias y papeles referenciales y, por lo tanto, sería útil. Creo que usted lo ha dicho aquí en el minidiálogo que ha mantenido: el artículo 37 no permitiría una intervención
preceptiva del delegado de protección de datos ni en materia de derecho de acceso ni de ninguna otra naturaleza. La verdad es que este artículo 37, por alguna de las intervenciones y debates, está evidenciando sus debilidades y la confusión a la
que puede llegar. La semana pasada aquí se hablaba de intermediación, de negociación entre particulares y empresas a través del delegado para algunos supuestos, y desde luego no estaba seguramente en la filosofía de los proponentes del proyecto de
ley, pero lo que sí está haciendo es ofrecer una zona de confusión que convendría -creemos- descartar.
Muchas gracias. Disculpe, presidente.
El señor VICEPRESIDENTE (Matos Mascareño): Gracias, señor Rallo.
Por el Grupo Parlamentario Popular tiene la palabra el señor Martínez.
El señor MARTÍNEZ VÁZQUEZ: Muchísimas gracias, señor presidente. Muchas gracias también a la señora Barbarà por su comparecencia y por habernos ilustrado de manera muy detallada sobre la visión que la autoridad catalana tiene sobre esta
iniciativa. Yo le querría hacer algunas preguntas que usted va a entender que van a compensar las que le han hecho los señores portavoces del PDeCat y de Esquerra Republicana de Catalunya, precisamente para que entre todos podamos formarnos una
imagen fiel de la valoración que usted hace como directora de la autoridad catalana sobre esta iniciativa.
La primera tiene que ver con la colaboración que ha mantenido hasta ahora con la agencia española. Es verdad que de alguna de sus palabras ha parecido deducirse claramente que hay una buena sintonía y una buena colaboración. También es
cierto, coincido con el señor Rallo, que en alguna de sus apreciaciones se ha separado usted un poco del tono de su compañera directora de la agencia vasca. Por eso me gustaría si puede precisar un poco más cómo ha sido esa colaboración y, muy en
particular, cuál ha sido su participación en la fase prelegislativa, en la elaboración del anteproyecto y si ha habido sugerencias y cuáles en concreto, sin necesaria exhaustividad, pero las que haya planteado en esa fase prelegislativa ante la
ponencia en la Comisión General de Codificación o en fases posteriores que hayan sido incorporadas al texto que hoy vamos a debatir.
Dicho todo eso, también me gustaría saber -esta es una pregunta muy sencilla- si usted, como directora de la autoridad catalana, está de acuerdo con la oportunidad, los principios y el espíritu de este proyecto de ley orgánica. Precisamente
porque cuando el PDeCat presentó una enmienda de totalidad es porque no estaban de acuerdo con la oportunidad, los principios y el espíritu -porque eso es una enmienda de totalidad-, ya que recibió solo dieciséis votos y que a muchos nos pareció que
siendo legítimo, por supuesto, presentar enmiendas de totalidad, parciales -¡solo faltaba!- tal vez era excesivo y exagerado. Desde luego, después de escuchar a la directora de la agencia vasca, a mí me quedó claro que no había una posición de
enfrentamiento con los principios, el espíritu o la oportunidad y me gustaría, por tanto, saber su posición ante algo tan sencillo como eso.
Ha hablado usted mucho de las competencias del organismo independiente que dirige. Me pasa un poco como a mi compañero de Ciudadanos cuando dice que lo que no esté expresamente mencionado no quiere decir que esté excluido, y lo decía
también el señor Rallo. En el reglamento hay muchas menciones a las autoridades, y el reglamento es lo que se va a aplicar. Es decir, no sé si el hecho de que no esté expresamente mencionado en muchos de esos preceptos, por ejemplo en el artículo
39 que usted ha citado a propósito de la acreditación de instituciones de certificación, el hecho de que se refiera solo a la agencia no quiere decir que ustedes no lo puedan tener, en el ámbito de sus competencias -entiendo-, y de acuerdo con su
régimen o con su estatuto de autonomía.
Por último, a propósito del artículo 59, ¿este precepto no tiene una cierta similitud con el artículo 42 de la ley orgánica actualmente vigente? La diferencia de que el 59 es un poco más específico. El 42 era un poco más vago porque habla
de impugnar y este habla de impugnar ante la jurisdicción contencioso-administrativa. No es muy diferente de los conflictos entre administraciones públicas que regula la Ley de la Jurisdicción Contencioso-Administrativa de 1998. No es muy
diferente, yo no creo que exista un exceso en este precepto de sobretutela por parte de la agencia con respecto a las autoridades autonómicas. Pero, más allá de eso, en la práctica, el artículo 42 de la ley de 1999, ¿les ha dado muchos problemas?
Es decir, ¿se han encontrado en muchas ocasiones con que la agencia utilizaba ese precepto para tratar de reconvenir o reconducir alguna actuación de la autoridad que usted dirige? Se lo digo porque yo también creo -no lo conozco tanto como el
señor Rallo, ciertamente, que ha dirigido la agencia- que el clima en estos años ha sido de cordialidad y de ausencia de conflicto. Por tanto, hay un precepto que ya estaba en la ley de 1999, no pensemos que porque ahora se vaya a introducir este
artículo 59 se pretende con él hacer un uso desproporcionado. Estoy seguro de que no será así.
Muchísimas gracias, señor presidente.
El señor VICEPRESIDENTE (Matos Mascareño): Muchas gracias, señor Martínez.
Para dar respuesta a las cuestiones que se le han planteado, tiene de nuevo la palabra la señora Barbarà.
La señora DIRECTORA DE LA AUTORIDAD CATALANA DE PROTECCIÓN DE DATOS (Barbarà Fondevila): Intentaré responder a todas y si me olvido de alguna, por favor, presidente, recuérdemelo, pero creo que daré respuesta a todas.
Empezando por las referencias a la legislación autonómica, para dar una respuesta conjunta, es cierto que muchas veces los puntos concretos se refieren a la autoridad española de protección de datos y
también, en casos, a las autoridades autonómicas. Ahora bien, el artículo 57 de la ley orgánica hace una remisión genérica a aquellos poderes y funciones, a los artículos 57 y 58 del reglamento -no me acuerdo ahora exactamente-, en relación
con el ámbito de las competencias. Juntamente con esto, que podríamos pensar que es una referencia genérica, en todos los casos a los que me he referido en mi exposición se hace una referencia expresa a la autoridad española de protección de datos.
En este sentido, se podría interpretar que quedan excluidas en estos casos concretos las autoridades de protección de datos autonómicas, en mi caso, la autoridad catalana. Me refiero, por ejemplo, a los procedimientos transfronterizos o a la
aprobación que prevé el reglamento de las normas BCR y los códigos tipo. En todos estos casos, en las siete referencias que he hecho de los artículos, allí donde pone Agencia Española de Protección de Datos se tendría que hacer una referencia
también a las autoridades autonómicas o bien hacer una referencia a la autoridad de control. Este último es el planteamiento que hemos defendido desde el primer momento cuando estuvimos comentando este tema con la Agencia Española de Protección de
Datos y también en la Comisión, porque creemos que sería mucho más limpio y ordenado y que haría referencia en cada caso a la autoridad competente. Quiero dejar claro también que lo que he expuesto no implica en ningún caso una reivindicación
superior de competencias. No queremos otras competencias que en este momento no tenemos. En su día se reivindicaron competencias en el ámbito privado, pero ahora no estamos pensando en adquirir más competencias. Estamos haciendo solo el
seguimiento de lo que creemos que sería un planteamiento ordenado respetando el ámbito de competencias en cada momento. En este caso, reivindicamos el respeto a las competencias que corresponden a la Generalitat o a la Autoridad Catalana de
Protección de Datos en el marco del bloque constitucional. En el Estatuto de Autonomía de Cataluña la autoridad tiene reconocidas la totalidad de funciones y los poderes que establece el Reglamento general de protección de datos en sus artículos 57
y 58.
Estaba pensando en un ejemplo concreto a raíz de lo que ha dicho el señor Rallo anteriormente. En el punto cuarto que he establecido como característica, cuando hacemos referencia a la autoridad principal, no estamos reivindicando ser
autoridad principal en aquel ámbito que no corresponda a nuestra competencia. El artículo 61 hace referencia a que la autoridad autonómica no podrá ser autoridad principal en cuanto el responsable del tratamiento o la entidad correspondiente
ejerzan competencias en el ámbito general de España, pero hacemos referencia a cuando el responsable del tratamiento está dentro de nuestro ámbito competencial. Por ejemplo, Agbar -estoy pensando sobre la marcha- tiene representación en el resto de
España y puede tener alguna competencia en París. En este caso sería un procedimiento transfronterizo en el que el responsable del tratamiento es de nuestro ámbito competencial y nosotros tendríamos que ser autoridad principal y no autoridad
auxiliar, como prevé el artículo 61 del proyecto de ley orgánica.
Otro tema. A ser posible -porque esto sí podría tener problemas con el reglamento europeo- sería muy útil que fuera preceptiva la presencia delante del delegado de protección de datos en temas de tutela de derechos, porque lo tiene a mano y
facilitaría una serie de expedientes que se tramitarían en las autoridades competentes, siempre dejando alternativas; ahora las dejamos de hecho, porque es potestativo. En cambio, en el tema de las reclamaciones que se presentan ante la autoridad
por otros temas que no son tutelas de derecho consideramos que alargar, aunque sea potestativamente, el término de dos meses es exagerado. ¿Por qué? Porque teóricamente primero se tiene que presentar esta solicitud ante del responsable del
tratamiento. Esto ya dará un tiempo de un mes para poder responder. Si además después se presenta ante el delegado de protección de datos, que son dos meses más, pensamos que sería un tiempo exagerado e incluso al responsable del tratamiento le
podría resultar cómodo no dar respuesta y el delegado tendría dos meses más. Esto sí que aleja un poco de las autoridades de protección de datos esta reclamación directa.
Otro tema. Ya he dicho que la colaboración con la agencia española ha sido magnífica históricamente. He especificado concretamente que a partir de la aprobación del reglamento siempre hemos tenido buena relación y formamos un equipo con
las tres agencias. Nos hemos visto mensualmente durante un tiempo y esto ha podido generar en muchos casos una unidad de criterio, unos planteamientos comunes e incluso colaboraciones. No ha habido ningún tipo de problema. Lo que pasa es que,
como he especificado en la primera respuesta genérica que he querido dar en este caso, una cosa es una cosa y la otra es la otra. Nosotros desde el primer momento estamos reivindicando un concepto objetivo en cada caso, sobre todo cuando nos
encontramos con que la relación que vehicula nuestro ámbito de competencia es con los responsables de nuestro ámbito competencial, para que esto no tuviera agujeros, como hemos planteado
en el caso concreto de la autoridad principal. Esta mañana precisamente he estado comentando alguno de estos temas con la directora de la agencia española y podemos llegar a acuerdos, pero estos son los planteamientos generales que hemos
venido reivindicando en cada momento y no sería justo ni coherente con mi cargo de directora de la Autoridad Catalana de Protección de Datos no reivindicar nuestra propuesta general en este caso.
La oportunidad y el espíritu de este proyecto. Yo creo que usted pregunta en relación con la enmienda a la totalidad. Puedo entender que desde el punto de vista de un grupo parlamentario que está preocupado por las competencias o
reivindicando competencias se pueda plantear una enmienda. Esto no me corresponde a mí, pero lo puedo entender. Lo que quiero dejar bien claro desde el principio es que veo la necesidad de que se apruebe una ley orgánica. Lo creo imprescindible.
No digo que el planteamiento que se había hecho no fuera este, pero lo veo imprescindible por lo que he dicho al inicio de mi intervención. De hecho, se puede plantear, y se ha hecho en algunos casos, que no sería necesario que hubiera una ley
orgánica, pero yo creo que sí. Todos estos temas que estamos tratando son importantes y la ley orgánica lo que hace no es trasponer pero sí aclarar muchos puntos que el reglamento exige que sean tratados y detallados por cada Estado.
En relación con lo que me decía del artículo 42, le diré que no hemos tenido ningún problema, pero el hecho de que no lo hayamos tenido no tiene que ver con el tema que estamos tratando en este momento. En realidad, cuando se aprobó el
artículo 42, la autoridad catalana no tenía asumidas las competencias en el Estatuto de Autonomía de Cataluña; es una situación distinta. En aquel momento ningún estatuto de autonomía recogía las competencias que hoy tenemos nosotros en nuestro
estatuto de autonomía. Tampoco es el mismo caso en el estatuto vasco, ya que muchas de estas competencias no se recogen. Es una situación distinta, partimos de bases distintas. Voy de una cosa a otra e intento hilvanarlas. Si me dejo alguna,
estoy a su disposición para aclararlas.
¿Qué puntos de los que habíamos planteado han sido acogidos por la ley orgánica? Ya lo he dicho: sí que han sido acogidos. Las conversaciones han sido eternas y, además, siempre estamos dispuestos a seguir hablando. Hemos visto el
reconocimiento general de las competencias estatuarias de las comunidades autónomas. Esto se ha recogido y es un tema importante, era la base. No he dicho nunca lo contrario.
La previsión de particularidades en relación con la figura del encargado de tratamiento era un tema que nos preocupaba, sobre todo en los servicios que prestaban los ayuntamientos en los supuestos que estaban sometidos a la legislación de
contratos por parte de las administraciones públicas. El caso típico era el de un ayuntamiento que tenía un encargado de tratamiento en la gestión del agua y, entonces, él adquiría la característica de responsable del tratamiento. Cuando terminaba
esta relación, el ayuntamiento no tenía los datos para pasárselos al siguiente encargado de tratamiento. Esto era importante, fue bien acogido y se recogió también. Asimismo, respecto a la regulación de la publicación del número de DNI, que era
algo en lo que estábamos hace mucho tiempo, nos pusimos de acuerdo con la agencia española. Había otras muchas cuestiones de carácter técnico, pero recuerdo estas que creo que son las más importantes. No sé si me dejo algo más.
Por otro lado, quisiera hacer referencia, si me lo permite el presidente, solo un momento... Creo que también he contestado con lo del artículo 57, básicamente...
El señor VICEPRESIDENTE (Matos Mascareño): No me gustaría abrir un debate sobre cuestiones que sean ajenas al proyecto.
La señora DIRECTORA DE LA AUTORIDAD CATALANA DE PROTECCIÓN DE DATOS (Barbarà Fondevila): No. Solo quisiera decirle que hace dos días nos llegó una pregunta del Grupo Ciudadanos al Parlament de Catalunya referida a este tema, pero nos llegó
por una vía indirecta que no era la correcta. Hablé con el secretario general del Parlamento ayer, porque nos llegaron voces de que había esta pregunta, pero no nos había llegado por la vía correcta. Por favor, diríjanla directamente a nosotros,
que pueden hacerlo -es una solicitud de información-, o a través del Parlamento y les contestaremos inmediatamente.
El señor VICEPRESIDENTE (Matos Mascareño): Muchísimas gracias, señora Barbarà.
Suspendemos dos minutos la sesión. (Pausa.-El señor Vicepresidente, Molinero Hoyos, ocupa la Presidencia).
- DE LA SEÑORA PRESIDENTA DE LA ASOCIACIÓN PROFESIONAL ESPAÑOLA DE PRIVACIDAD, APEP (ÁLVAREZ RIGAUDIAS). (Número de expediente 219/001079).
El señor VICEPRESIDENTE (Molinero Hoyos): Señorías, reanudamos la sesión.
Damos la bienvenida a la compareciente, doña Cecilia Álvarez, que seguro que nos va a ilustrar satisfactoriamente en esta Comisión. Le cedo la palabra para que comience la disertación. Ya sabe que dispone de quince minutos.
La señora PRESIDENTA DE LA ASOCIACIÓN PROFESIONAL ESPAÑOLA DE PRIVACIDAD, APEP (Álvarez Rigaudias): Muchas gracias, señorías, por haberme invitado hoy a comparecer ante ustedes en esta Comisión, que para mí tiene mucha cercanía. Llevo
veintiún años ejerciendo en protección de datos, así que esta norma y las anteriores me importan mucho como ciudadana y desde el punto de vista profesional.
La comparecencia de hoy la hago en mi calidad de presidenta de la Asociación Profesional Española de la Privacidad, que, como quizás sepan, nació en 2009 fruto del interés y la preocupación de grupos de profesionales en protección de datos y
en privacidad en distintas áreas y especialidades. Así que tenemos asociados del sector público, del sector privado, con perfil técnico, con perfil jurídico y con perfil académico. Por tanto, creo que aunamos todos aquellos que se preocupan por la
privacidad desde el punto de vista profesional. Representamos, por tanto, los intereses de esos profesionales. Nos consideramos la asociación representativa de los intereses de estos profesionales en España y, como tal, fundamos en 2011 la
Confederación Europea de Profesionales de la Privacidad con nuestros homólogos dentro de la Unión Europea para promocionar el rol del delegado de protección de datos. Esta es una posibilidad de los profesionales de la privacidad. No son todos,
pero en este reglamento comunitario y también en la futura ley orgánica el delegado o la delegada de protección de datos va a tener un rol muy importante dentro de la responsabilidad proactiva y en la contribución a crear una cultura de protección
de datos en los organismos públicos y privados. Así que esta es en la voz en la cual voy a hacer las consideraciones siguientes.
Mi intervención se va a centrar en dos cuestiones principales: la primera, las consideraciones generales sobre el anteproyecto, algunas de las cuales hicimos llegar a los trámites de consulta pública a través de APEP, y la segunda, las
cuestiones específicas del delegado o de la delegada de protección de datos. He estado leyendo las intervenciones de comparecientes anteriores y he tenido la fortuna de escuchar a algunos en el tiempo que he podido estar aquí, y he visto que hay
una serie de cuestiones que reiteradamente parece que a ustedes les preocupan. Quedo a su disposición por si quieren hacerme preguntas sobre cualquiera de esos temas; si Dios quiere, podré darles la opinión de la asociación o, si no es el caso, la
mía propia sobre el particular.
Entrando en el primer punto, en las consideraciones generales al anteproyecto, creo que la finalidad de una norma como esta no es hacer un traje a medida para el enforcement, sino tratar de tener una norma que sea cumplible. Sacar pecho y
decir que tenemos una norma muy garantista que incumple todo el mundo no creo que sea una gran idea; tener un escenario de incumplimiento generalizado para imponer sanciones no es una buena idea. Lo que es una buena idea es tener normas que se
puedan entender y normas que se puedan cumplir; y entre un nivel de protección de datos teórico magnífico y un nivel de protección de datos razonable, en la realidad me quedo con el nivel de protección de datos razonable y no con uno teórico
inalcanzable.
El segundo mensaje que me gustaría hacerles llegar es que la LOPD ha tenido muchos aciertos y también desaciertos. No necesariamente porque sea conocido y nos dé miedo el cambio tenemos que mirar en la LOPD para mantener todo lo mantenible
de la misma. Hay muchas cosas que estaban mal en la LOPD y que no tenemos por qué repetir. Algunas de ellas, desgraciadamente, han acabado en nuestro texto del anteproyecto. Me refiero al artículo sobre el bloqueo y me refiero también a que el
consentimiento no puede ser ya la pieza angular; no debía serlo en la LOPD y no lo será; no lo es en el reglamento y no debe de serlo en el anteproyecto. No creo que sea necesario regular las cesiones. Sobre los ficheros publicitarios, la
regulación que teníamos en el reglamento de desarrollo 1720/2007 ha sido un fracaso. De verdad, tenemos que aprender de los errores del pasado sobre determinadas cosas.
El tercer mensaje que me gustaría trasladarles es que uno no es más garantista porque lo regule todo en una ley orgánica, ni siquiera porque lo regule todo, y creo que esto es algo importante. Tenemos una norma muy larga. Antes he oído a
uno de los comparecientes que decía que era difícil para los juristas tener el texto del reglamento y luego la ley española. ¡Cómo si fueran dos cosas diferentes! El reglamento
comunitario es una ley española, como es una la ley francesa. La cuestión no es estar repitiendo hasta la saciedad cuestiones que están en el reglamento, que para eso ya están, ni tampoco tratar de innovar por pensar que tenemos una forma
mejor de decirlo. Bastante tenemos con una norma que definitivamente es técnica, es extraordinariamente larga y es compleja. Y tenemos una realidad tecnológica que cambia constantemente. Creo que la directora de la Agencia Española de Protección
de Datos utilizó la palabra cronificación en su comparecencia. Creo que es un magnífico verbo, que da la idea de que tengamos cuidado también con lo que trasladamos en nuestra norma, porque una ley orgánica no se puede modificar con mucha facilidad
y necesitamos tener una capacidad de adaptarnos. La Ley de Protección de Datos es una ley digital, o sea, tiene una incidencia enorme en toda la transformación digital que vamos a estar sufriendo y hay muchas cosas que vamos aprendiendo en
prueba-error y que no podemos ni siquiera anticipar. Así que les rogaría mesura. Seguramente es difícil podar ahora una norma muy larga, seguramente fruto de muchas discusiones y dificultades. No necesariamente cuanto más corta es mejor por ser
corta, pero que tengamos cuidado con tratar de regularlo todo porque nos parezca una buena idea.
El último mensaje en consideraciones generales es procurar no fragmentar el mercado interior. Una de las razones por las cuales hemos tenido un reglamento y no hemos reproducido una directiva modificada es que estamos sufriendo una
desarmonización dentro del mercado interior, y eso es muy relevante, porque quien habla de mercado habla también de cómo se desarrollan nuestros derechos dentro de ese mercado. Así que, aunque pensemos que sea una idea magnifica tener una solución
patria para ciertas cosas, el hecho de que sea una solución distinta del resto de nuestros congéneres dentro de la Unión Europea va a dificultar la expansión de nuestros propios negocios. No podemos seguir pensando que el negocio de los españoles
es España. El negocio de los españoles es Europa y debería ser también el mundo. Tenemos que tener una ambición. Cuando uno está en Internet no solamente está pensando en dar servicios en Albacete; digo Albacete como podía haber escogido
cualquier territorio de España. La cuestión es Albacete y Europa, es Albacete y el mundo, o sea, nuestro territorio no es un territorio patrio, nuestro territorio es el territorio europeo, en primer lugar, y definitivamente un territorio más
global.
Ahora me voy a centrar en los comentarios específicos en relación con el delegado o la delegada de protección de datos; por cierto, tanto que les gusta poner femenino y masculino en todas las normas, el delegado siempre aparece en
masculino. Yo lo dejo caer. (Risas).
El consejo consultivo. La primera reivindicación que la APEP ha tenido desde hace tiempo es que la voz de los profesionales de la privacidad esté representada dentro del consejo consultivo. Nos ha llamado la atención que -aunque se nos ha
citado, con lo cual estamos encantados de que por fin se haya oído esa reivindicación- nuestra designación pase por el Ministerio de Justicia. En consumidores y usuarios el representante lo nombran los de consumidores y usuarios y también es así,
suma y sigue, en las representaciones empresariales y demás. ¿Por qué a nosotros nos toca que nos designe el Ministerio de Justicia? Esto es algo con lo que definitivamente no estamos de acuerdo.
El segundo punto es el sector público. Aquí hay dos cuestiones que me gustaría subrayar. La primera son las sanciones. En nuestra LOPD se ha tratado de forma diferente, a efectos de sanciones, al sector público y al sector privado, y eso
no ha redundado en un mejor cumplimiento por parte de la Administración pública; todo lo contrario. No digo que la Administración sea necesariamente más incumplidora que el sector privado, pero desde luego es una gran incumplidora, quizá a la par
en relación con materias de protección de datos. Todos los asociados que tenemos del sector público en nuestra asociación nos insisten mucho en que sin una sanción económica su papel y su labor es mucho más difícil dentro de la Administración
pública. Obviamente, siempre está el criterio de la unidad de caja -el dinero que entra por aquí sale por allí-, pero eso tiene también su limitación. No me van a decir que si el Estado tiene una responsabilidad patrimonial no se hacen efectivas
las indemnizaciones porque las pagamos todos los ciudadanos ¿verdad? Creo que deberían repensarlo un poco, porque no es lo mismo que el Estado incumpla a que haya un determinado hospital público que no esté haciendo bien las cosas, o una
determinada universidad pública que no esté haciendo bien las cosas, que la Seguridad Social no tenga los controles que tiene que tener, que Hacienda no tenga los controles que tiene que tener. Y si no se les señala con el dedo no lo ven. Creo que
tenemos una experiencia bastante dilatada en el tiempo para ver lo mal que se ha ido haciendo.
Hay una cuestión que es bastante evidente. El sector privado no ha esperado a que viniera ninguna norma a decirle que tenga un delegado o una delegada de protección de datos para tenerlos. En el sector público, ¿cuántos delegados o
delegadas de protección de datos existen? ¿De cuántos ha dicho la directora de la Agencia de Protección de Datos que se ha notificado su existencia? Bueno, pues es
bastante sorprendente que nadie se haya preocupado de protección de datos ¿no? Lo que estoy viendo en el sector público es que todo el mundo está mirando a ver a quién le toca ser el delegado o la delegada de protección de datos, porque no
hay un expertise, porque no ha habido una preocupación real dentro del sector público por que la materia de protección de datos esté integrada. No digo necesariamente que el sector privado tenga que sacar pecho siempre, pero se ha visto constreñido
por otras muchas circunstancias para, al menos, hacer algo más en este particular.
Sin dejar el sector público, hay otro artículo que me gustaría mencionar, que es una disposición que tiene el anteproyecto en relación con una especie de coste cero por tener un delegado de protección de datos en la implementación de la
norma. ¿Cómo puede ser que la Administración pública, que tiene que ser ejemplar en protección de datos también, piense que integrar la norma de protección de datos no le va a costar un euro? ¡Eso es impensable! Alguien que se tome en serio la
protección de datos tiene que invertir, y tiene que invertir, primero, en formación de esos delegados de protección de datos que no tienen información ninguna, porque le va a tocar a gente que tangencialmente es la que más pueda saber sobre el
particular, pero necesitarán formación, formación para empezar y formación en toda su trayectoria. Con esto dejo en paz al sector público y me vuelvo al sector público y sector privado.
Hay una preocupación específica de la Agencia Española de Protección de Datos en relación con prácticas muy dañinas para la protección de datos en general, para los profesionales de la privacidad, pero en definitiva también para la
protección efectiva. Me refiero a prácticas de suplantación de identidad de la Agencia Española de Protección de Datos o de otras autoridades autonómicas o prácticas profesionales donde están utilizando a veces fondos públicos para vender una
formación paupérrima bajo servicios de consultoría que no se están cobrando. Para ese tipo de actuaciones que hemos denunciado en distintas ocasiones nos gustaría que hubiera una enmienda a la Ley de Competencia Desleal al efecto. Son prácticas
extraordinariamente dañinas de las cuales algunas de ellas ha sufrido la Agencia Española de Protección de Datos, porque se presentan los profesionales con nombres además muy sugerentes que parece que es la autoridad o amenazando con que les van a
imponer sanciones a los efectos de vender sus servicios.
El cuarto punto del que me gustaría hablar se refiere a las características del delegado o la delegada de protección de datos. Sé que en las comparecencias ustedes han hecho varias preguntas en relación con los perfiles profesionales, si
podían ser personas jurídicas, sus tareas y definitivamente su intermediación, y creo que casi ningún compareciente se ha librado de alguna pregunta o comentario. En relación con los criterios de designación creo que una ley orgánica no es el sitio
para poner cuándo un delegado de protección de datos es obligatorio o no. Sé que la lista ha tratado de concretar lo que son los criterios del reglamento y creo que lo ha hecho bastante bien, salvo en los servicios de la sociedad de la información,
a pesar de que se ha añadido el 'a gran escala', pero esas listas van a ser evolutivas y por eso no creo que una ley orgánica sea su sitio. No digo que esa lista no deba de existir, pero creo que tiene más sentido para mí que sea una lista que la
Agencia Española de Protección de Datos vaya elaborando y la vaya actualizando según el devenir de los tiempos. Que esté en una ley orgánica no me parece necesariamente una buena idea.
El perfil profesional. Obviamente el reglamento está mencionando unos conocimientos jurídicos y tiene que haberlos, estamos en una norma, pero he visto en mi trayectoria profesional que hay perfiles no jurídicos que pueden perfectamente
realizar esta labor. Al final se trata de un trabajo en equipo. Un delegado o una delegada de protección de datos no trabaja solo. Es más, uno no puede reunir o muy pocas personas pueden reunir todas las características que un delegado o una
delegada tiene que reunir, porque no solamente tiene que tener conocimientos jurídicos, sino que tiene que tener conocimientos técnicos, tiene que tener una capacidad de gestión de proyectos, tiene que tener capacidad de comunicación y tiene que
tener capacidad también, si me permiten, de seducción porque hay que vender el mensaje dentro de las organizaciones para crear una cultura de protección de datos. Y tener una persona, como dicen en francés, que es como una oveja de cinco patas, es
decir, un mirlo blanco en expresión española, no es tan fácil de conseguir. Así que es probable que una única persona no pueda reunir todas las características de un delegado o delegada de protección de datos y que tenga que ser un equipo de
personas, sin perjuicio de que haya alguien que dé la figura o la cara.
Y cuando antes ustedes han preguntado en alguna ocasión si la persona jurídica podía ser un delegado de protección de datos, desde luego el reglamento comunitario no lo impide, lo que sí uno tiene que pensar es que esa persona jurídica va
tener que demostrar, a través de las personas físicas que trabajan en ella, cómo todas estas características existen y existen con una cierta estabilidad y
permanencia, a los efectos de poder garantizar que esos conocimientos, esas aptitudes y capacidades están presentes.
Otro comentario que tengo en relación con el delegado o la delegada de protección de datos es que cuando se habla de la posición, creo que es como se llama así en el anteproyecto, lo primero que se dice y casi lo único es que es el
interlocutor o la interlocutora de la agencia, de la autoridad de control. Sin perjuicio de que lo es, es un buen interlocutor y es el interlocutor por excelencia, porque creo que habla su mismo lenguaje, quien está mejor preparado en la
organización para serlo, lo primero que me viene a la cabeza de un delegado de protección de datos no es su labor para con la autoridad de control, sino para con la organización que le ha nombrado. Eso es lo más importante para crear la cultura de
protección de datos. Un delegado o una delegada de protección de datos no es ni una miniautoridad ni un espía que ha metido la Agencia de Protección de Datos u otra autoridad de control dentro de la organización, ni tampoco es un CEO. No tiene la
capacidad de decidir todo lo que se hace en la organización. Si algo no va bien en protección de datos no es solo porque el delegado o la delegada de protección datos no lo hace bien, sino porque la organización no está haciéndolo bien y quizá el
delegado tenga algo de responsabilidad sobre el particular. Creo que tampoco es necesario regularlo en la Agencia de Protección de Datos, son cuestiones que están en el reglamento, y en el estatuto del delegado de protección de datos está
razonablemente claro.
Otra cuestión en la que creo que el anteproyecto está errando es en relación con algunas de las tareas que se le atribuyen de costado al delegado o delegada de protección de datos. El delegado o la delegada no es necesariamente quien va a
hacer el inventario ni necesariamente quien va a hacer las PIAS ni necesariamente quien va a hacer físicamente las cosas. Va a depender mucho de cómo es la organización. La obligación de tener un inventario es de la organización, no del DPO en un
cuarto oscuro donde se hacen inventarios. Si yo me dedicara a hacer inventarios solamente no podría hacer nada más de mi trabajo en una organización muy grande. Si estoy en una organización muy pequeña probablemente el delegado sí podrá hacer esa
labor. Con esto me refiero a que el delegado o la delegada de protección de datos sin duda tendrá que estar en el diseño de ese inventario, en el diseño de cómo se hacen las PIAS, tendrá que poner elementos de control para que eso se haga, pero o
tiene a la organización trabajando para que se haga eso, o la cultura de protección de datos no es tener a un tipo en un sillón haciendo protección de datos, es que la organización tenga embebido en todos sus procesos protección de datos, y para eso
sirve un delegado de protección de datos: para hacer que esos procesos los embeban, no para hacerlos físicamente él o ella todos y cada uno de ellos, y en particular en organizaciones que pueden ser más o menos complejas.
La última cuestión en relación con el DPO sería en cuanto a esta intermediación en las reclamaciones. Me ha llamado la atención la distinción que algunos comparecientes han hecho sobre tutela de derechos y procedimientos sancionadores, como
si valiese más el procedimiento sancionador que la tutela de derechos. Me parece sorprendente. La tutela de derechos es probablemente lo que se refiere a los derechos auxiliares del derecho fundamental, así que habría que prestarle mucha atención.
Seguramente la razón por la cual esto está en el anteproyecto ha sido para que las autoridades de control se descarguen de ciertas reclamaciones que no tengan mucha importancia o que estén cargándoles en relación con unos recursos escasos que
tienen. Esos recursos escasos también los tienen las organizaciones, pero he de decir que en Cedpo, la confederación europea que les he mencionado antes, estábamos muy a favor de algo así no por las mismas razones, y tampoco por una como hablan
ustedes de negociación o de fuerza falsa. Me ha llamado mucho la atención la visión que tienen del delegado o delegada de protección de datos en esas cuestiones. La razón por la cual tiene mucho sentido que vayan a ver a un delegado es porque el
delegado o la delegada de protección de datos, primero, entiende de qué se le está hablando, cosa que no necesariamente ocurre en el resto de la organización. Segundo, en mi experiencia profesional he visto muy pocas veces reclamaciones que
realmente estén motivadas por protección de datos. La mayoría de las reclamaciones están motivadas por la frustración en la prestación del servicio paupérrimo, y como no consiguen darse de baja de un servicio, después de haberlo pedido siete veces
por siete canales distintos, lo intentan por protección de datos. Eso no significa que no haya cuestiones de protección de datos, que las hay, pero en proporción tienes un porcentaje de gente que se ha ido por el canal equivocado -antes decía la
compareciente anterior que no había recibido directamente-, y esto pasa también en las organizaciones. En vez de plantear la reclamación al servicio que ha puesto la organización al respecto, la plantean en la portería. Si yo hoy decidiera
ejercitar algún derecho de protección de datos aquí, porque no se me ha informado de que me graban o porque no me han informado
de la toma de mi DNI cuando he pasado la puerta, y se lo digo al de la recepción de la garita, ¿no creerían ustedes que es mejor que se dirija primero al delegado, que no tienen todavía, pero el que tengan algún día, de protección de datos
para verlo y dirima aquello antes de que llegue a la autoridad de control a contarles no sé qué batalla? Pues eso tiene bastante sentido. Y por eso tiene sentido un artículo como el que ustedes han puesto, no tanto porque se negocie a ver si no me
ponen la sanción, sino para resolver de forma efectiva un problema. Porque si no se resuelve, irá a la Agencia de Protección de Datos y de eso no tengan ninguna duda. ¿Saben por qué? Porque es un procedimiento gratuito, porque la Agencia de
Protección de Datos no cuesta dinero a los contribuyentes, es decir, nos cuesta a todos, pero el ciudadano no percibe que tiene que pagar a un abogado o a un procurador como cuando va a un tribunal, porque les hacen el trabajo, con lo cual irá
encantado si realmente el problema no se resuelve. Pero si se resuelve será sin duda mejor para el ciudadano, será mejor para la organización, que no estará en un procedimiento, y será mejor para la autoridad de control que estará dedicándose a lo
que se tiene que dedicar.
Mi última consideración en relación con reivindicaciones de APEP sería que se tenga en cuenta a APEP o a las asociaciones de profesionales de la privacidad cuando se hagan normas o cuando se hagan guías que tengan impacto en cómo tenemos que
aplicar las normas de protección de datos. Ustedes siempre consultan con la Agencia de Protección de Datos, y no sé si lo hacen con otras autoridades de control, cuando hay normas que vayan a tener un impacto en protección de datos, y hay un
informe preceptivo que hace la Agencia de Protección de Datos. Nosotros queremos participar en eso. Al final somos nosotros los que estamos en primera línea aplicando, y de la misma manera que cuando ahora las autoridades de protección de datos
por fin por primera vez están mandando a consulta pública los documentos que elaboran antes de hacer un documento final, eso es exactamente lo que creemos que tienen que seguir haciendo en relación con las normas que tengan impacto en protección de
datos o que tengan impacto en cómo los profesionales vayan a ir aplicándolas.
Con esto doy por terminada mi intervención, y estoy abierta por supuesto no solo a contestar sobre las cuestiones que he tratado, sino cualesquiera otras que estimen oportuno dentro del anteproyecto.
Muchas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señora Álvarez, por su capacidad de síntesis y le estoy muy agradecido por su referencia a mi querida provincia, Albacete. (Risas).
A continuación tiene la palabra en nombre del Grupo Parlamentario Ciudadanos el señor Gómez Balsera.
El señor GÓMEZ BALSERA: Muchas gracias, señor presidente.
Muchas gracias, señora Álvarez, por su intervención, plagada de valiosas consideraciones, incluidas las relativas a esta casa, que han sido particularmente interesantes.
Se ha referido ampliamente a numerosas cuestiones que nos preocupan, y realmente ha dejado poco margen para preguntar, especialmente por lo que se refiere al delegado o delegada de protección de datos. Le voy a ceder mi tiempo para que en
su segunda intervención amplíe las partes de esta ley orgánica de protección de datos que a su modo de ver, como profesional en ejercicio, puedan originar litigiosidad -sería nuestra obligación aclararlas en la medida de lo posible-, y para que se
refiera a otras cuestiones a las que han hecho referencia otros comparecientes con anterioridad, como la herencia digital, el consentimiento del afectado, la edad mínima para prestar ese consentimiento o lo relativo a los sistemas de información
crediticia, en particular si usted considera beneficioso incluir los ficheros positivos de solvencia en el texto de esta ley orgánica.
Muchas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Gómez Balsera.
A continuación tiene la palabra el portavoz del Grupo Confederal de Unidos Podemos, el señor Sixto.
El señor SIXTO IGLESIAS: Muchas gracias, señor presidente.
Voy a empezar por donde la señora Álvarez Rigaudias ha terminado su intervención: quieren ser consultados -al menos la Cámara está evacuando esta consulta en este trámite y contamos con su experimentada información y percepción de este
proyecto de ley- y participar en el proceso previo de elaboración del anteproyecto por parte del Gobierno. Así lo ha dicho al principio de la intervención. Me gustaría que valorase si las aportaciones que se hicieron en el trámite previo del
Gobierno se han visto
suficientemente reflejadas en el proyecto final, y quisiera conocer su estimación acerca de esa participación.
Es usted la segunda persona que comparece hoy aquí y trata un tema delicado: las prácticas no profesionales o poco profesionales o poco éticas de determinadas empresas y entidades públicas, semipúblicas o privadas a la hora de presentarse
como si casi fuesen la Agencia de Protección de Datos o como si pudiesen tener capacidad de sanción sobre el comportamiento de determinadas entidades. Al ser la segunda persona que esta tarde alude a esta cuestión me ha resultado sumamente
preocupante.
Compartimos su preocupación por la cuestión de la regulación del bloqueo, que habría que mejorar -también lo han dicho varias personas que han comparecido-, y le rogaría que en su segunda intervención nos aclarase un poco el tema de las
sanciones al sector público. Lo ha mencionado y ha hecho alguna valoración, pero, ¿qué propuesta pondríamos encima de la mesa en relación con la sanción al sector público y a diferentes sectores no solo de la Administración pública, sino también de
otros muchos ámbitos variados, empresas públicas con participación público-privada y demás?
Hablando del trabajo en equipo y de quién da la cara al final en el tema de los delegados de protección de datos -es una cuestión que han comentado varios comparecientes-, nos parece sustancial que en última instancia el responsable sea una
persona física, independientemente de la fórmula que esté trabajando legalmente en esta cuestión. Usted lo ha dicho, alguien que dé la cara. Nos parece una cuestión sustancial.
Muchas gracias, señor presidente.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Sixto.
A continuación tiene la palabra el portavoz del Grupo Socialista, el señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, señor presidente.
Gracias, señora Álvarez, por su comparecencia, que como intuíamos ha sido rica e ilustrativa.
Voy a intentar ser esquemático. En primer lugar, la previsión del bloqueo es un error. Esta pregunta la hago en voz alta para que el siguiente compareciente tome nota y vaya avanzando trabajo. Hoy aquí nos tiene que convencer de por qué
es necesaria o no la regulación del bloqueo, tiene que decirnos cuáles son los argumentos para suprimir esa referencia, a favor o en contra, porque es algo que han planteado muchos sectores empresariales y suscita muchos interrogantes. ¿Por qué en
España tenemos que tener una regulación específica del bloqueo que no existe en otros países y por qué no debemos tenerla? Hay dos opiniones confrontadas y sería bueno que hoy, con tiempo suficiente, nos aclarara este tema, que no creo que sea
menor para el mundo empresarial.
En segundo lugar, en términos generales compartíamos inicialmente -y todavía hoy- que la vocación reglamentarista del proyecto de ley, es decir, la incorporación de previsiones, no de la LOPD, sino del reglamento de desarrollo de la LOPD, de
forma exhaustiva suponía una rigidificación del sistema -la presidenta lo llamó cronificación, pero yo prefiero hablar de rigidificación- poco explicable o justificable, animada seguramente por la mejor de las voluntades: la de aportar claridad y
seguridad a los operadores, pero a la vista está que más bien parece lo contrario. Da la impresión de que es agua pasada y no mueve molino y no tiene solución.
Ha planteado el problema de la armonización a nivel europeo. Ha hablado de regulación patria, etcétera, y esto tampoco tiene solución ni en España ni en otros países. El reglamento tiene lagunas en relación con numerosas cuestiones, y
posiblemente nosotros seamos el país que menos nos hayamos contenido, pero otros también han contribuido a la desarmonización en aspectos concretos.
Quiero hacer una consideración adicional. El tema del sector público -se lo planteaba el señor Sixto- parece que es irresoluble. La hipótesis de trasladar el sistema de sanciones económicas al sector público es difícil de digerir por
muchas razones, pero el modelo vigente de sanción al entorno público no es satisfactorio, no solo en materia de sanciones o no sanciones económicas, sino que incluso yo introduciría otro elemento -son reflexiones para que obviamente las retome si lo
considera conveniente-, la ausencia de reacciones disciplinarias cuando en el ámbito público se producen vulneraciones de la Ley de Protección de Datos. No se conocen expedientes disciplinarios abiertos a responsables públicos, funcionarios, ante
situaciones de esta naturaleza, y cuando menos es otro elemento de reflexión.
En cuanto al artículo 37, la intermediación, es otro aspecto en relación con el cual me gustaría que hoy su comparecencia y a ser posible la siguiente arrojasen luz. Nosotros vemos claro el apartado primero del artículo 37, es decir, la
opción de que se explicite en la ley, algo que por otro lado es una obviedad. Puede contribuir a la pedagogía pública de que el particular se pueda dirigir al DPO para trasladarle su
reclamación y que este pueda actuar, reaccionar. Sin embargo el apartado segundo nos genera innumerable dudas, el hecho de que este procedimiento pretenda aligerar la carga de reclamaciones -tutelas decía la directora, la anterior
compareciente, investigaciones-, los procedimientos que se puedan plantear ante la agencia, a costa de limitar de facto -no de iure, pero sí de facto- la capacidad de reclamación de los particulares.
Como penúltima cuestión ha planteado algo que ha quedado al final un poco confuso. La APEP, es decir, los profesionales de la privacidad, quisiera participar en los procesos de audiencia de -entiendo- las disposiciones de naturaleza
reglamentaria, porque en las de naturaleza legislativa pueden participar a través de los trámites de consulta -ese no es el caso-. No sé si es en la ley o en el hipotético estatuto orgánico de la agencia donde debería o no regularse.
Termino apelando no ya a su condición de presidenta de la APEP, sino a la de profesional específica en un ámbito determinado estrechamente relacionado con la investigación biomédica. Este también es un tema en el que no deberíamos intentar
nadar y guardar la ropa o no contribuir a la clarificación. En las últimas semanas, a través de estas comparecencias y alguna reacción externa, hemos visto que las muchas dudas que se habían planteado en el sector de la investigación médica han
recibido un aldabonazo a través de un informe del gabinete jurídico de la agencia, que ha venido a clarificar el criterio jurídico de la agencia sobre el alcance del reglamento en materia de investigación. En este sentido hemos visto que algunas de
las asociaciones se han quedado satisfechas a medias, otras no, y todavía parece razonable mantener la hipótesis, a pesar de ese informe, de que podría anclarse en la ley una referencia que satisficiera y aportara claramente seguridad jurídica a ese
entorno profesional. Me gustaría que nos ilustrara también en este punto.
Muchas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Rallo.
A continuación, tiene la palabra la señora Esteller.
La señora ESTELLER RUEDAS: Muchas gracias.
Quiero agradecer a la señora Álvarez su comparecencia, en este caso sus valiosas aportaciones basadas en su trayectoria profesional, que han contribuido también a poner en valor la privacidad como derecho fundamental. Ya estamos hablando de
la privacidad como derecho fundamental, algo que ha puesto en valor a lo largo de su intervención, porque como también ha destacado afecta a la dignidad de las personas. Por tanto es muy importante saber que estamos hablando de derechos
fundamentales. Su intervención ha puesto de manifiesto la necesidad de tener una ley que sea clara y efectiva, por encima de algunas garantías o de algunos conceptos. Creo que es fundamental que sea una ley práctica y que se pueda aplicar con
efectividad. En ese sentido quiero agradecerle también la defensa y la clarificación que ha hecho del artículo 37, que el Grupo Popular considera fundamental y necesario, tal y como está recogido en este proyecto de ley.
Me gustaría preguntarle también si considera este proyecto lo suficientemente flexible para adaptarse a la evolución de la transformación digital. Es importante saber si es flexible para poder conseguir a corto y medio plazo esa adaptación
a la transformación digital, y si mantiene el equilibrio entre privacidad e innovación, cuestión tan necesaria para las empresas y para todo el sector económico. En ese sentido es cierto que este proyecto de ley, así como la entrada en vigor del
reglamento, va a requerir de un gran esfuerzo por parte de las empresas y de los profesionales. Usted ha mencionado también al sector público, sobre el que también ha hecho unas valoraciones respecto a lo que considera que tiene que mejorar y qué
se tendría que introducir en el proyecto, cuestiones que usted ya ha destacado. Pero a nosotros nos interesan también especialmente todos los cambios y todas las obligaciones que se van a tener que introducir en las empresas para poder adaptarse y
tomar decisiones sobre temas tan importantes y que entrañan una gran responsabilidad. También las pymes, a pesar de que reciben otro tratamiento, tienen que contar con esa preparación para ser conscientes de los riesgos que tienen en sus manos a la
hora de realizar todo este tratamiento. También nos interesa saber si este proyecto respeta la privacidad a la hora del desarrollo de los negocios digitales, cuestión que también es importante.
Con respecto a los profesionales esta cuestión va a exigir una gran formación a nivel profesional -los perfiles profesionales que nos ha mencionado- para poder ejercer la función de la protección de datos, y que no cree del todo necesario
que consten en la norma, pero sí se ha de relacionar una serie de perfiles que tengan estas competencias a la hora de poder ejercer como delegado de protección de datos. Quiero preguntarle si considera necesaria una mayor exigencia en la
certificación para que los profesionales
adquieran las cualificaciones y las competencias necesarias para ejercer las funciones que tienen asignadas, y si considera que el grado de exigencia es suficiente como para poder desarrollar en este caso dichas funciones.
En esta intervención simplemente quiero agradecerle su exposición y decirle que también valoramos muy especialmente la aportación que hacen las asociaciones a la hora de participar en el desarrollo normativo, aportación que ahora en su caso,
al formar parte del consejo, será mucho mayor.
Gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señora Esteller.
A continuación, para dar respuesta a las cuestiones planteadas, tiene la palabra la señora Álvarez.
La señora PRESIDENTA DE LA ASOCIACIÓN PROFESIONAL ESPAÑOLA DE PRIVACIDAD, APEP (Álvarez Rigaudias): Son un montón de comentarios, así que vamos allá.
La primera pregunta ha sido realmente casi carta blanca para dirigirme a distintas cuestiones. Como dentro de la carta blanca ha citado algunos aspectos, voy a empezar por el de la herencia digital. A mí no me parece que sea necesario en
un anteproyecto, pero que, como tal, los herederos de los fallecidos tengan la capacidad de gestionar, por ejemplo, el cierre de cuentas en una red social me parece algo muy necesario.
En Francia, en vez de hacerlo a través de una ley de protección de datos lo están haciendo con una ley digital, a través de un testamento digital. Igual que haces un testamento con relación a tus órganos vitales para decir qué pretendes que
se haga con ellos, o testamentos vitales en relación con decisiones como que te desconecten de una máquina en determinados supuestos, ellos han hecho lo mismo: regular unas condiciones para hacer un testamento digital, para decidir qué es de tu
vida digital una vez que mueras y dar instrucciones al efecto.
A mí me parece que eso tiene su sentido, pero requiere también de un poco de educación para que la población sepa que eso es algo útil a los efectos de poder gestionarlo. Pero en ausencia de un testamento digital a esos efectos, que la
norma pueda prever o ayudar en este tipo de situaciones no sé si es realmente imprescindible, pero puede llevar a una mayor clarificación. Cuando falleció mi padre lo bueno era que yo era hija única, entonces no había mucho heredero con el que
pelearme. Es decir, se creían que siendo yo la hija, aunque mi padre no tuviera ningún testamento vital, podía ir abriendo o cerrando cuentas o accediendo a las cuentas de redes sociales igualmente, y no me fue tan difícil, pero puedo imaginar
otras situaciones donde no resulte tan fácil.
Puedo contarles el caso de un fallecido reciente, que tiene un hermano gemelo, y del que me ha vuelto a salir un mensaje en una de las redes sociales que voy mirando de esos que te preguntan: ¿Sigues conociendo a menganito? Como sabes que
ha muerto de un cáncer hace poco se te encoge un poco el corazón solo de pensar que su hermano gemelo lo está viendo tantas veces como lo veo yo. Deberíamos facilitar que ese tipo de cosas se puedan gestionar mejor, y probablemente el tipo de
artículo que proponen podría ayudar en esa línea. Ya les digo que esta cuestión no necesariamente tiene que estar en una norma de protección de datos, pero es una preocupación que creo que tenemos todos.
En cuanto a los ficheros positivos de solvencia creo que si uno basa al fichero positivo de solvencia en el consentimiento eso no va a funcionar. Lo que uno tiene que pensar es para qué pueden servir esos ficheros positivos de solvencia,
antes de empezar a pensar si cojo un consentimiento o busco otra causa de legitimación, como podría ser el interés legítimo, que es el que va a justificar los ficheros negativos de solvencia.
¿Para qué sirven los ficheros positivos? Si yo estoy cumpliendo religiosamente mis obligaciones de pago en dos hipotecas y me voy a meter en una tercera hipoteca, es bastante relevante que la entidad que me va a conceder la tercera hipoteca
sepa que hay otras dos hipotecas por ahí pululando, porque probablemente mi capacidad efectiva para poder hacer los pagos va a estar bastante limitada si en realidad tengo otras dos hipotecas, por eso son tan útiles los ficheros de solvencia
positivos. Tiene una razón económica detrás para ayudar a no meterse en un berenjenal, ya no solo porque la entidad, en este caso financiera, no vaya a recuperar el pago, sino también por el propio deudor que va a estar en una situación muy difícil
y que no necesariamente se está dando cuenta de que se está metiendo en un berenjenal, donde su techo de capacidad de repagar sus deudas va a ser muy difícil, y si tiene un descalabro en algún momento con su trabajo o el de su pareja lo va a hacer
también muy difícil.
Los ficheros, tanto positivos como negativos de solvencia, no solamente los tienen que mirar en clave de protección de datos, sino que también tienen que saber para qué sirven desde el punto de vista
financiero. ¿Para qué sirven? Para la estabilidad de los deudores, y creo que deberían consultar con gente de defensa de la competencia, que son quienes regulan los ficheros de solvencia en general, y luego tienen que mirar, cuando eso ya
esté regulado -que es lo que pasa ya en los ficheros de solvencia que actualmente tenemos, que no están regulados por protección de datos, sino por protección a la competencia-, qué tipo de garantías pueden tener sentido tener para evitar que haya
errores, que es lo que más daño hace a los ciudadanos. Ha habido muchos ejemplos de los comparecientes -y, si no, se los doy yo- sobre deudas que son ínfimas y que hacen la vida extraordinariamente difícil o errores. No se trata de que haya esa
deuda generada y tener un contencioso con la entidad, sino de que hay que plantear la batalla en la calidad del dato, más que en el consentimiento. Esta es mi opinión personal y no necesariamente de la agencia a la que represento. Hay un informe
sobre los ficheros positivos de solvencia en Europa que estoy encantada de hacerles llegar, que tuve que estudiar hace mucho tiempo porque me tocó y del que aprendí un poco más para qué servían este tipo de cuestiones.
La edad de los menores. Han discutido mucho sobre los trece, los dieciséis, etcétera. Da la impresión de que a veces pensamos que como hay datos de por medio la Ley de Protección de Datos tiene que resolver todos los problemas, y me temo
que, en cuanto a los menores, como a veces en muchos otros ámbitos, la Ley de Protección de Datos no va a resolver todos los problemas. El reglamento establece los trece años como edad mínima para los servicios de la sociedad de la información,
pero no los establece para todo, a diferencia del anteproyecto, que no ha hecho ninguna diferencia y lo ha hecho para todo, porque dice: servicios de la sociedad de la información, y cuando uno piensa en el día de mañana será todo, pero ahora mismo
todavía hay diferencias entre lo que es servicio de la sociedad de la información y lo que no. Eso no hace que las reglas que tengamos en nuestro ordenamiento jurídico sobre la capacidad vayan a cambiar. Es decir, si uno tiene que tener doce años
para tener una audiencia ante un juez para un procedimiento de divorcio, eso no va a cambiar por mucho que diga la norma de protección de datos lo que diga. Si para poder trabajar, uno tiene que tener dieciocho años y estar emancipado, eso no va a
cambiar porque la Ley de Protección de Datos diga no se sabe bien qué. No tiene ningún sentido fijar una edad específica, pero ya que lo ha hecho el Reglamento General de Protección de Datos -y lo tenemos- y que está haciendo que los Estados
miembros se tengan que pronunciar, tiene más sentido lo que han hecho ustedes, que es coger los trece años. No significa que todos los Estados miembros lo estén haciendo, pero sí hay muchos Estados, que es donde se están generando muchos de los
mercados digitales, y no solo en Europa sino en los Estados Unidos, donde tienen los trece años. Eso puede ayudar a que el negocio digital tenga una mayor uniformidad y, por lo tanto, también las garantías que van asociadas. Si ustedes se leen la
Ley Coppa norteamericana, creo que aprenderán algunos elementos de cómo enfocar el tratamiento de datos de los menores, porque no lo están enfocando por protección de datos, sino de manera más integral y más adecuada. Protección de datos es un
elemento más, pero no es la pieza por la que hay que empezar para regular las cuestiones de los menores. He oído antes a un compareciente decir que el problema no es del Estado ni de los padres, sino de las organizaciones. En primer lugar, es un
problema de los padres. A los hijos se les enseña cuando tienen que cruzar la calle que miren de derecha a izquierda, es decir, hay una labor de educación muy importante. El hecho de que en los colegios no haya educación sobre el uso de Internet
es sorprendente. Eso me parece todavía más interesante que fijar si los trece, los catorce o catorce y medio son la edad ideal. Si tienen que escoger una a efectos de este reglamento, yo escogería los trece, pero no dejaría que eso sea lo que
resuelve el problema, sino que me preocuparía de que haya una ley de protección del menor que mire el conjunto, y a lo mejor no hay que tener una única edad para todo.
En cuanto al consentimiento, no sé si quería referirse, por hacer referencia a cuestiones que han tratado en otras comparecencias, a estos consentimientos con diez casillas o las que sean, por nombrar una multiplicidad que hace que al
usuario le resulte complicado. Obviamente si la norma se interpreta estrictamente, nos llevaría a esas diez casillas, pero el sentido común no debería abandonarnos y sobre todo la protección efectiva, así que seguir pensando en un check-box
compliance, en vez de pensar en la protección efectiva, es de nuevo un error. Vamos a pensar en cómo protegemos mejor al sujeto, y creo que lo protegemos mejor si somos bastante claros en las grandes finalidades, y para eso normalmente hay cuatro o
cinco, no diez. Algunas tienen vinculación con el cumplimiento de la ley, con lo cual no necesitas un tick-box porque no necesitarías un consentimiento. Otras tienen que ver con el interés legítimo, con lo cual tampoco necesitas un tick-box. Hay
muy pocas cosas que realmente necesiten un consentimiento y una casilla. Si se utiliza cada vez más el interés legítimo, que es a lo que cualquier transformación digital nos lleva abocados, es un ejercicio de responsabilidad muy importante. El
interés
legítimo no es un cajón de sastre, donde, como es difícil pedir el consentimiento, uno se va por otro lado. El interés legítimo para mí es el mejor ejercicio de cómo se protegen los datos porque tienes que hacer un asesoramiento responsable
y saber dónde están los intereses de cada uno en este lugar para ponerlos donde tienen que estar y poner las protecciones donde tienen que estar, que no necesariamente significa que convenzas a alguien para hacer un tick-box porque está ya harto de
ver cinco pantallas. ¿Qué efecto ha tenido la regulación de las cookies? Cuántos de ustedes estarán hartos de los banners con la casilla de aceptar, a la que dan para quitársela de en medio porque no la pueden soportar más. ¿Eso hace que tengas
una protección efectiva? Francamente no. Lo único bueno para lo que creo que ha servido la regulación de las cookies es para que la gente se entere de que hay cookies. No sé si saben mucho más, pero por lo menos hasta ahí han llegado, pero no se
ha llegado a una protección efectiva. Por tanto, repensemos de nuevo en los formalismos de tratar de pedir por pedir. No se trata de que cuantas más cosas pido mejor garantizo los datos, sino de que las medidas que pido tengan algún sentido. Un
test muy bueno es ponerse en el lado del usuario. Si ese test lo hacen ustedes como legisladores y piensan que les gustaría dar diez tick-box.... Pensemos de nuevo que el consentimiento no es la pieza angular de este reglamento, y no debe serlo.
El consentimiento está para cosas muy importantes pero no lo es todo para todos los tratamientos de datos que tenemos.
En cuanto a las consultas sobre los proyectos, me refería a que en su momento tuve que trabajar mucho para el sector financiero, así que tuve que trabajar muchísimo en las normas de blanqueo de capitales por la protección de datos; en
particular, las bases de datos en relación con los terroristas y los blanqueadores, así que imagínense el tipo de cosas que tenía que estudiar. En ese tipo de normas, cuando se hizo la actual norma de blanqueo de 2010, hubo un informe preceptivo de
la Agencia Española de Protección de Datos, como tiene que ser, y a eso me refiero. Si se pide opinión a la Agencia Española de Protección de Datos para ese tipo de normas, me gustaría que se pidiera opinión a los profesionales de la privacidad.
Es a ese tipo de normas a las que me estaba refiriendo cuando hablaba de las consultas.
Tenemos varias prácticas poco profesionales del coste cero, y no me extraña que les preocupe porque debería preocuparnos a todos. Están las de suplantación de la agencia, que les preocupa a todos y sin duda a las autoridades de control;
están las de coste cero, que significa dar un precio irrisorio para una formación en protección de datos que debería ser de calidad. Todos ustedes saben que cuando uno quiere algo de calidad no es barato en ningún ámbito de la vida, y en protección
de datos tampoco.
El tercer ámbito que no he mencionado ahora pero que viene a colación con cuestiones que nos han preguntado desde el Partido Popular es el que se refiere a los cursos del DPO exprés que te proponen convertirte en DPO en sesenta horas. Todos
ustedes tendrán algún tipo de expertise en algo. No creo que esa experiencia la hayan conseguido en sesenta horas. Desde luego yo no me he convertido en experta en protección de datos en ningún curso de sesenta horas. Llevo veintiún años
trabajando en esto y creo que ahora me doy cuenta de todo lo que tengo que seguir estudiando, pero sí puedo decir que tengo una cierta expertise, pero en sesenta horas no la consigues, y con hacer un curso teórico, tampoco. Una persona que está en
la práctica de una organización pública y privada para poder cambiar los procesos para conseguir que se cambie dentro de un consejo de administración una decisión para conseguir convencer a los directores de sistemas, aparte de saberse la ley y los
artículos, tiene que tener algún otro tipo de capacitación underground, porque, si no, no lo va a conseguir, así que esto no es cuestión de hacer un cursillo y acabar como un DPO. Este tipo de prácticas también existen, las prácticas del DPO
exprés. He visto uno que ya era sorprendente, que era DPO en dos horas. ¡Y yo tantos años estudiando para nada, pudiendo hacerlo en dos horas! (Risas). Así que creo que algunas de las cuestiones pueden ayudar no a solucionar, pero sí a que haya
más actividad para la sanción en este caso modificando la Ley de Competencia Desleal.
Cuando antes me preguntaba si nuestras aportaciones no habían sido necesariamente oídas, efectivamente, no todas ellas, pero alguna sí, pero una de las que no han sido oídas son precisamente las enmiendas que presentamos a la Ley de
Competencia Desleal. Les invito de nuevo a tomar conocimiento de las mismas. He traído el papel por si acaso no lo encuentran. Así ya se lo dejo aquí y lo tienen a mano.
Pregunta usted por las sanciones al sector público, en qué estaba pensando. En que se le aplique el mismo rasero que al sector privado. Desgraciadamente no es mucho más sofisticado. (El señor Sixto Iglesias: ¿Multas?). Multas también.
El sector privado no solo tiene multas, tiene toda la panoplia. No estemos pensando solo en multas, pero desde luego no es solo apercibimiento. Lo uno con otra pregunta que me han formulado desde el Partido Socialista en relación con la apertura
de acciones disciplinarias. Creo que una ley orgánica de protección de datos no es la que tiene que hablar de las acciones
disciplinarias en el sector de la Administración pública, pero esperaría que eso fuera lo que pasara. No suelo ver, desgraciadamente, mucho expediente sancionador en la Administración pública con los muchos errores que se cometen, ni en
protección de datos ni en otros muchos, pero desde luego este sería un ámbito en el que claramente no puedo estar más de acuerdo, donde se tendrían que abrir expedientes disciplinarios. No sé si puedo trasladar con la suficiente vehemencia y
convencimiento que las normas de protección de datos han nacido primero como límite, como todos los derechos fundamentales de los Estados, de los Gobiernos. Es imprescindible que el sector público esté donde tiene que estar. Nos tenemos que fijar
sin duda en las organizaciones privadas. Ustedes han mencionado muchas organizaciones multinacionales norteamericanas muy presentes en nuestras vidas. Fíjense primero en casa y en nuestros ombligos. Tenemos mucho trabajo que hacer y es
importantísimo. He vuelto a leer hace dos veranos 1984. Es la vida misma de hoy, da mucho miedo, y desgraciadamente tenemos demasiados ejemplos. Tenemos que tener al sector público al día.
El bloqueo, argumentos a favor y en contra. Esta es una pregunta difícil, así que voy a tratar de hacerlo lo mejor posible. Van a ser todos argumentos en contra. A lo mejor hay a favor, pero voy a dar los que son en contra y dejaré que
algún otro compareciente dé los que son a favor. Primero, porque el reglamento establece los derechos de los afectados y establece el derecho de acceso, rectificación, cancelación, limitación y de supresión, pero el de bloqueo no. Es más, hay algo
de bloqueo en el derecho de limitación al tratamiento, algo, que creo que es donde tiene que estar. Así que, primero porque el reglamento no habilita a los Estados miembros a crear otro tipo de derechos, creo que ese es un buen argumento. Segundo,
porque ya tiene una cierta regulación en relación con el bloqueo en un ámbito muy determinado y no es para facilitar que la agencia te inspeccione, que es para lo que parece estar sirviendo ese bloqueo, sino para poder facilitar que esa información
esté disponible durante un tiempo en el que todavía no tienes claro si lo tienes que borrar. Eso es lo que para mí es más importante, seguir pensando que yo no tengo que hacer una norma para hacer un traje a medida a la autoridad de control para
que me sancione mejor, sino para que se protejan lo mejor posible los derechos de los afectados. Para mí esto es una norma para que me inspeccione mejor, y eso no me parece un argumento suficiente. Con esto he dado tres argumentos.
La incorporación del Real Decreto 1720/2007 con la mejor intención. También creo que ha sido con la mejor intención, lo comparto, pero el efecto no es necesariamente ese. Voy a dar un ejemplo concreto. Hay un artículo del reglamento
1720/2007 que se refiere a los encargados de tratamiento. La regla general es que, cuando uno termina la prestación del servicio, uno debe devolver y destruir los datos al responsable del tratamiento. Pero hay veces que hay normas que pueden
obligar al encargado de tratamiento a tener que guardar esos datos. Eso puede ocurrir en multiplicidad de ocasiones. Parto de la base de que sean normas españolas/de la Unión Europea, como si fueran españolas, del entorno nuestro. Lo que no tiene
sentido es que el anteproyecto esté diciendo lo mismo que decía el reglamento, que se los devuelve y que ya el responsable se los guarda él por su cuenta. Eso no tiene ningún sentido. Si el encargado tiene la obligación de guardarlos por ley,
tiene la obligación de guardarlos por ley y los tendrá que conservar durante el tiempo y por las razones que esa ley establece. Lo que no tiene sentido es que el responsable tenga que guardárselos a él en relación con una obligación que no es suya.
Eso es algo heredado en nuestro reglamento 1720/2007 que no deberíamos seguir manteniendo.
Lagunas del Reglamento General de Protección de Datos. Cuando antes hablaba del derecho patrio, obviamente me habría gustado que nuestros Gobiernos -me refiero no solo al español, sino a nuestros Gobiernos dentro de la Unión Europea- no
hubieran hecho lo que hacen siempre, que es estropear las normas de armonización comunitarias y seguir guardando sus trocitos para que el Estado miembro siga pudiendo legislar y seguir teniendo un mercado desarmonizado, que es exactamente lo que
pasó. El reglamento nos obliga en algunas ocasiones a tener que regular, pero no obliga a tantas cosas, aunque las que obliga son importantes, y algunas de ellas no están tratadas aquí. Me refiero a las habilitaciones por ley. La ley actual, la
LOPD, establece dentro de las causas de legitimación que uno puede tratar los datos cuando está autorizado por ley, no cuando está impuesto por ley. Ese cambio es muy importante porque el reglamento ha quitado eso y ha dicho que solo se puede
hacer, en este ámbito me refiero, cuando te lo impone una ley, y no es lo mismo que te imponga una ley o que te lo autorice.
Ejemplo. Si yo tengo que dar los datos a Hacienda es porque hay una ley que me obliga a tener que comunicar esos datos a Hacienda. Eso es un deber. Si yo tengo que comunicar al Sepblac una sospecha de blanqueo de capitales es porque hay
una ley que me obliga a hacerlo. Ahora, si yo cedo un derecho de crédito no me obliga nadie. Pero las cesiones de crédito debería poder hacerlas. ¿Qué es lo que ha hecho
este reglamento? Decir que eso debería estar amparado en el interés legítimo, y tiene todo el sentido del mundo. Si yo hago una titulización, que no deja de ser un derecho de crédito un poco más sofisticado, ¿usted cree que yo tengo que
estar pidiendo consentimientos porque la ley no me obliga a titulizar? Claro que no me obliga a titulizar, igual que no me obliga a fusionarme con nadie. Para eso hay un artículo que habla del interés legítimo. Pero tenemos otras muchas leyes que
autorizan cosas para las que no tienes un artículo en el anteproyecto, porque el anteproyecto tiene un artículo en relación con el interés legítimo sobre las operaciones mercantiles, que son las que acabo citar, sobre ficheros de vigilancia solo
para seguridad pero no para otras cosas -puede ser para formación de los empleados, para mejorar la calidad-, tiene para whistle-blowing, que no se sabe muy bien si es por interés legítimo o por otra cosa porque no lo dice -además quizá debería
repensar que puede no ser por el interés legítimo-, y tiene los datos profesionales, que también sería por interés legítimo. Pero hay otras muchas cuestiones en las leyes que no se imponen, sino que se autorizan. Tienen ustedes que pensar en ello.
En Alemania han hecho un recuento de cuatrocientas leyes que tienen que modificar -cuatrocientas leyes- por el reglamento. O bien se dedican a hacer ese mismo trabajo, que es ingente y no acabarán nunca, o bien piensan en otra cosa, y una de las
cosas que les hemos propuesto desde esta asociación ha sido que piensen que si la ley autorizó en un momento dado un determinado tratamiento fue quizá porque había un interés legítimo detrás. Eso quizá lo podrían escribir. Tienen una redacción
propuesta por la asociación a ese respecto, pero les aconsejaría que lo volvieran a leer para que se hicieran una composición de lugar.
El señor VICEPRESIDENTE (Molinero Hoyos): Señora Álvarez, por favor, le agradecería que fuera terminando.
La señora PRESIDENTA DE LA ASOCIACIÓN PROFESIONAL ESPAÑOLA DE PRIVACIDAD, APEP (Álvarez Rigaudias): Es que mire todas las preguntas que me han hecho. Voy una por una.
El señor VICEPRESIDENTE (Molinero Hoyos): Seguro que la capacidad de síntesis suya es mucho mayor.
La señora PRESIDENTA DE LA ASOCIACIÓN PROFESIONAL ESPAÑOLA DE PRIVACIDAD, APEP (Álvarez Rigaudias): Entonces ya me voy a la investigación biomédica y trataré del negocio digital lo más que pueda, que son las dos que creo que no he tocado y
que pueden ser más relevantes.
El Reglamento de Protección de Datos europeo está estableciendo con mucha claridad una apuesta por la investigación biomédica y creo que eso se refleja no con mucha claridad, pero es lo que yo leo del informe de la Agencia Española de
Protección de Datos recientemente sobre el particular. El reglamento está partiendo de la base de que la investigación biomédica es un interés público. Lo cita en distintos considerandos del reglamento y, aunque no lo citara, tenemos varios
artículos del Tratado de Lisboa y del tratado de funcionamiento de la Unión Europea que así lo establecen. Para no irnos tan lejos, la Constitución española, en su artículo 44, también establece la necesidad del sector público de promover la
investigación científica. El artículo 13 de la Carta de Derechos Humanos de la Unión Europea también establece que las artes y las ciencias no deberían tener restricciones. Es decir, tenemos elementos de interés público más que de sobra en
relación con la investigación biomédica. Para ello, el reglamento ha establecido varios elementos que ayudan a la investigación biomédica y uno de ellos, y el más importante, es el artículo 9.2.j) del reglamento, que establece que se pueda hacer
investigación biomédica sin consentimiento siempre que haya salvaguardas al respecto, y esto es extraordinariamente relevante. A lo mejor presumo, pero me enfrento muchas veces a audiencias que piensan que el consentimiento es la única o la mejor
forma de garantía. Piensen ustedes que para hacer proyectos de investigación por parte del sector público, con los datos que tenemos de la asistencia primaria, para poder mejorar la eficiencia del sistema de salud, por ejemplo, tendrían que estar
pidiendo consentimientos a toda la población española. Eso no tiene ningún sentido. ¿Eso significa que los datos se traten de cualquier manera? No, eso significa que tiene que haber medidas de seguridad, que tiene que haber controles de acceso,
que se tiene que ver quién está entrando y quien no, y si hay terceros que haya contratos. Hay una serie de multiplicidades, de salvaguardas desde el punto de vista ético, estatutarias, contractuales, técnicas que ayudan a que los datos se traten
como tienen que tratarse para la finalidad que tienen que tratarse. Pero el consentimiento no es precisamente lo que nos va a ayudar para poder hacer eso.
Antes estaban hablando de que el consentimiento pueda ser amplio. Sí, pero nunca será tan amplio como todas las cuestiones en las que uno pueda pensar que pueda ayudar. Decían: Hemos pasado del
cáncer de colón al cáncer en general; eso ya es un avance. Sin ninguna duda, pero ¿y si ese dato puede ser relevante en vez de para el cáncer en general para una enfermedad cardiovascular? La ciencia es mucho más amplia de lo que uno
puede imaginarse cuando uno está redactando un consentimiento, y todavía el tener un consentimiento amplio ayuda para el consentimiento de los datos que yo cojo ahora para el futuro. ¿Qué pasa con todos los datos que tiene el Sistema Nacional de
Salud? ¿Cómo los utilizo? ¿Cómo utiliza el investigador, dentro del sistema público esos datos? Para eso no necesitas cambiar la Ley de Protección de Datos, lo que necesitas es cambiar la Ley de Investigación Biomédica y la Ley de Autonomía del
Paciente, donde tienes normas que están cortocircuitando la capacidad que tienes de poder utilizar esos datos para las finalidades de investigación científica y siempre con salvaguardas. Porque no es solo la finalidad, es cómo lo estás haciendo.
El reglamento te está obligando a hacer PIA, te está obligando a poner salvaguardas; tienes todos los elementos. ¿Qué es lo que ha hecho Alemania, en lo que creo que ustedes se deberían inspirar? Alemania lo que ha hecho es dejar muy claro que la
investigación científica se puede hacer sin consentimiento, con salvaguardas; ha regulado de una forma extraordinariamente genérica las salvaguardas, porque como vayas al detalle de que tienes que codificar de esta forma, rompes los proyectos de
investigación; y además ha hecho uso de la facultad que da el reglamento en el artículo 89.2 para limitar los derechos de los afectados en este caso. ¿Por qué hay que limitarlos? Les voy a poner dos ejemplos.
El derecho de acceso. A lo mejor ustedes han visto Anatomía de Grey. Yo ahí aprendí grandes cosas. (Risas). Una de ellas es que en los ensayos clínicos en muchas ocasiones se tienen dos grupos de pacientes, los que toman la medicación de
verdad y los que toman el placebo. Imagínense que el paciente ejercita el derecho de acceso en medio de su ensayo clínico, ¿qué creen que pasaría? Sería un desastre, para el paciente en particular porque sabría si le ha tocado una u otra cosa,
para los resultados en conjunto de ese ensayo, para la investigación de esa enfermedad; sería un desastre. ¿Eso significa que el derecho de acceso tenga que desaparecer? No, lo que tiene que hacerse es posponerse, de forma que sea cuando ese
derecho de acceso ya no hace daño al interés público que se está defendiendo en esa investigación científica. Ese es el ejemplo uno. Ejemplo dos. Cuando alguien se da de baja en un ensayo clínico es, fundamentalmente, por un motivo de salud,
porque no le está haciendo bien ese tratamiento. Casi siempre es porque el médico, el investigador principal, le está aconsejando que se dé de baja porque no está funcionando bien y le está haciendo daño a su salud, y otras veces porque el paciente
se encuentra fatal, está derrengado y no puede con su alma. ¿Qué es lo que haríamos si aplicamos tal cual la norma de protección de datos? Pues nos damos de baja, lo que significa que habría un desistimiento del consentimiento, se acaba la causa
de legitimación y entonces tenemos que destruir los datos, salvo bloquearlos para la Agencia Española de Protección de Datos. Pero, si no los bloqueáramos, allá que los destruimos. ¿Eso tiene algún sentido?
El ensayo clínico tiene que tener una integridad de los datos que se tienen porque es muy importante saber que hay cinco pacientes que no han soportado ese tratamiento para los resultados de ese tratamiento. Es importante saber que ese
tratamiento no ha funcionado en ese paciente porque ese paciente tenía no sé qué características, porque así es como mejoras tu investigación. Y, además, porque hay reglas clínicas que están ya incorporadas en normas con rango de ley comunitarias
que te obligan en las reglas de práctica clínica a mantener la integridad. Tienes que tener un audit de todas las cosas que ocurren en ese dataset porque, como te equivoques, la investigación que tienes de tu medicamento es muy grave en la salud de
esos pacientes y luego de la población en general. Porque una vez que ese medicamento sale tú lo has estudiado solo en tres o cuatro pacientes; cuando llega a la realidad de la vida es cuando llega a la población en masa, que es cuando tienes a
millones y empiezas a ver cómo funciona de verdad ese medicamento. ¿Qué pasa? ¿Qué todo el pasado lo vas a borrar no vaya a ser que..., porque como ya se terminó el ensayo clínico? Eso no tiene ningún sentido y es un peligro muy grande.
Por eso estos derechos tienen que limitarse en el ámbito de la investigación científica, porque hay muy buenas razones, y las razones las da el propio reglamento porque dice que sea en la medida en que impida seriamente lo que son los fines
de la propia investigación científica. Y ustedes no han hecho ese trabajo -no todos ustedes- y el texto, tal como está, desde mi punto de vista, requeriría una enmienda que trate de gestionar ese tipo de cuestiones. Tienen un ejemplo magnífico en
la legislación alemana que es de las pocas que está aprobada y creo que ninguno de ustedes considera que a Alemania no le preocupa la protección de datos.
¿Si creo que este anteproyecto ayuda y es suficiente para dotar a la transformación digital? No, no lo creo, pero no creo tampoco que el reglamento lo haga; no creo que sea solo un defecto de este
anteproyecto. Creo que una norma tan prescriptiva como el reglamento es difícil para gestionar el mercado digital, pero eso nos pone la vida mucho más interesante porque significa que necesitamos perfiles innovadores también en el ámbito de
lo jurídico. Así que auguro mucho trabajo para el sector de la privacidad, sin ninguna duda.
Muchas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señora Álvarez. La verdad es que le han planteado demasiadas cuestiones y las ha resuelto de manera magnífica. Creo que a la Comisión va a servirle muchísimo la opinión experta que
usted ha dado.
Se suspende la sesión por dos minutos. (Pausa).
- DEL SEÑOR JEFE DEL GABINETE JURÍDICO DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (PUENTE ESCOBAR). (Número de expediente 219/001080).
El señor VICEPRESIDENTE (Molinero Hoyos): Señorías, se reanuda la sesión.
Comparece don Agustín Puente Escobar, jefe del Gabinete Jurídico de la Agencia Española de Protección de Datos, al cual le doy la bienvenida y desde este momento le cedo la palabra.
El señor JEFE DEL GABINETE JURÍDICO DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Puente Escobar): Muchas gracias.
Primero, quiero agradecer la oportunidad y el honor que se me concede de comparecer ante esta Comisión y poder aportar mi opinión sobre el proyecto de ley orgánica de protección de datos. Ser el último tiene sus ventajas y sus
inconvenientes. El mayor inconveniente es que a estas alturas ustedes han oído tantas comparecencias que tienen que estar queriendo marcharse a casa. (El señor Rallo Lombarte: No.-Rumores). Por aquí hay algún portavoz que dice que no. Intentaré
abreviar todo lo posible para no aburrirles, aunque también dependerá del número de preguntas que me hagan. También un inconveniente es que ponerme ahora a contarles una opinión general y abstracta sobre el proyecto de ley les va a aburrir, porque
han oído ustedes opiniones y aproximaciones muy autorizadas antes que la mía, que es otra aproximación más. Además, como saben, participé muy activamente en la ponencia de la sección de derecho público de la comisión de codificación que elaboró el
primer borrador, con lo cual probablemente mi juicio sería muy generoso y no sé si eso a ustedes les puede interesar. La ventaja de ser el último es que he oído a todos los que han comparecido antes que yo, con lo cual puedo intentar aportar mi
opinión sobre aquellas cuestiones que a ellos y sobre todo a sus señorías les han podido preocupar más.
Lo primero que quiero decir -esto es algo que se ha comentado en varias comparecencias- es que creo que es fundamental que se apruebe una ley orgánica de protección de datos y que esa ley no puede ser una mera declaración programática
-incluso recuerdo que en una comparecencia se hablaba de un folio- porque, queramos o no, el reglamento hace más de cincuenta remisiones, bien para que se adopten expresamente disposiciones o bien para que se puedan tomar decisiones por parte de los
Estados miembros, con lo cual es bastante difícil trasladar todo eso a un folio. Pero también creo que no se puede trasladar o adaptar el ordenamiento español al reglamento -porque no es el reglamento al ordenamiento español, sino el ordenamiento
español al reglamento- mediante una modificación del régimen actual. Algunos de los argumentos los ha dado la compareciente que me ha precedido.
¿Por qué no se puede tomar el modelo de la ley orgánica de 1999? Yo me lo he planteado muchas veces y el primer motivo es porque el modelo de protección de datos de 1999 es completamente distinto al del reglamento. Se parte de un principio
que aparecía en la ley orgánica de 1999 que era sacrosanto, que todo lo podía y todo lo permitía, que era el consentimiento. Todo gira en torno al consentimiento. Los demás principios -si el tratamiento es adecuado para la finalidad, si la
finalidad justifica el tratamiento de datos, etcétera- son irrelevantes. Lo importante es tener el consentimiento. Si se tiene el consentimiento, se pueden tratar los datos. Todos los principios se desvían y el foco está solo en el
consentimiento. Ese modelo en el momento en el que estamos ya no puede ser válido. ¿Por qué? Porque, como también ha dicho la compareciente anterior, hay otras cinco causas de legitimación, otras cinco bases legales del tratamiento, y todas están
en pie de igualdad. Esto me conducirá a alguna conclusión que quisiera aportarles un poco más tarde. El consentimiento es solo una de las bases legales; hasta el punto de que el reglamento en muchas ocasiones dice que no se deben basar en el
consentimiento determinados tratamientos de datos. En todos los foros nacionales y, sobre todo, internacionales a los que he asistido -y llevo trabajando en la Agencia Española de Protección de Datos desde 1999- siempre hay una
pregunta, sobre todo promovida por los representantes alemanes: ¿cómo puede dar un trabajador el consentimiento a un tratamiento cuando su relación laboral depende de ese consentimiento? En el ámbito del sector público ocurre igual. El
sector público sobre todo debería tratar los datos porque existen obligaciones legales o porque existen misiones de interés público o potestades públicas que cumplir, pero no porque la Administración pueda pedir el consentimiento a los ciudadanos o
dejar de pedirlo. Es decir, en principio el consentimiento como núcleo no puede valer y en muchos casos estaría viciado por esa situación de desigualdad que puede haber entre quien lo pide y quien lo otorga. Por eso el modelo de 1999 que habla de
consentimiento y excepcionalmente de cualquier otra cosa ya no nos vale. No sirve la base legal de 1999 en el modelo del reglamento. Tampoco valía en el de la directiva, pero la ley de 1999 se hizo de ese modo aunque el Tribunal de Justicia de la
Unión Europea en el año 2011 nos dio un tirón de orejas.
Tampoco es posible adaptar el modelo de 1999 a donde estamos ahora porque las reglas que rigen el cumplimiento en materia de protección de datos también han evolucionado. No se puede basar la protección de datos en este momento en una
simple lista de cumplimientos, en una checklist: tengo estas medidas de seguridad -además la ley me dice una por una cuáles tengo que implantar-, he implantado mi documento de seguridad, he inscrito los ficheros... Ese modelo no sirve. ¿Por qué?
Porque el reglamento ha optado por un principio de responsabilidad adoptiva y ese principio implica que yo tengo que decidir qué es lo que tengo que hacer para respetar el derecho fundamental -porque hablamos de un derecho fundamental- y no solo lo
tengo que hacer en el minuto uno, sino que lo tengo que hacer continuamente, lo tengo que hacer de un modo dinámico y que se prolongue en el tiempo. El modelo tampoco sirve si tenemos que partir de no establecer una lista de obligaciones, sino de
establecer criterios o elementos que permitan o faciliten a quien trata datos cumplir las reglas del juego.
El tercer elemento tiene bastante relación con cuestiones que se han planteado aquí. El tercer cambio del modelo es que también cambia el modelo de supervisión. No solo cambian los principios y no solo cambia el cumplimiento, sino también
la supervisión. No es que se dote a las agencias de más potestades, no es que se establezcan sanciones -me atrevería a decir inconmensurables en algunas ocasiones-, sino que las autoridades de protección de datos tienen un papel que no tenían
antes. Su papel no se tiene que focalizar única y exclusivamente en lo sancionador, sino también en el control permanente y en el carácter tuitivo de la actividad de la autoridad de protección de datos. ¿Eso qué supone? Por una parte, que no solo
hay sanciones. Hay una amalgama de posibles acciones que caben adoptarse -y no solo por las autoridades- en caso de que exista una lesión del derecho. Se habla de resolución extrajudicial de conflictos; se habla de medidas coercitivas como la
advertencia o el apercibimiento; se habla de las responsabilidades civiles, a las que quizá no se ha dado suficiente importancia en España hasta este momento; o se habla incluso en un considerando de que se tiene que buscar llegar a situaciones y
a soluciones amistosas. Hasta ese punto llega el reglamento. Por ese motivo en el proyecto se incluyen algunos mecanismos que permiten garantizar de la forma más rápida posible el derecho de la persona que ha podido verse lesionado. ¿Eso es un
desapoderamiento, una privatización, una rebaja o una intermediación? Yo entiendo que no, porque aquí lo que se pretende es garantizar la indemnidad de la persona cuyo derecho se ha podido ver afectado como consecuencia de una determinada conducta
de un responsable. Si la posible vulneración se ha producido de forma excepcional y, además, el responsable del tratamiento tiene mecanismos que permiten garantizar dejar indemne al afectado e incluso resarcirle económicamente si procede -no como
consecuencia de una negociación, sino porque reconoce que se ha podido producir un perjuicio-, ¿lo importante es que se ha producido un error puntual o que se tienen esos mecanismos?
¿Qué resarce más rápidamente el derecho al interesado, acudir a la agencia para que sancione -eso no le va a reportar ningún resarcimiento- o poder dirigirse a la propia entidad para comunicarle que se ha producido esa vulneración, pedir que
deje de causarle la lesión y le resarza si procede? Yo entiendo que más lo segundo, porque además eso tampoco implica que la autoridad de control deje de actuar. La autoridad de control va a poder conocer cómo ha actuado la empresa y si ha
remitido la reclamación al delegado de protección de datos. Esto es potestativo, nunca obligatorio. El reglamento no nos permitiría jamás que la autoridad de control remitiera obligatoriamente una reclamación al delegado de protección de datos y
creo que a nadie se le escapa esto. Esa respuesta del responsable del tratamiento ante una posible vulneración va a permitir a la autoridad de control saber efectivamente cómo se están implantando esos mecanismos, cómo se da cumplimiento realmente
a las obligaciones que genera el reglamento y todo ese modelo de cumplimiento y le indicará cómo actuar en caso de que realmente lo que exista no sea una posible lesión o un posible error en el tratamiento de los datos, sino una situación que
sistemática o
estructuralmente está causando un perjuicio a un derecho fundamental. Por eso entiendo que en el reglamento las sanciones sean tan elevadas, porque lo importante no es acudir al modelo de una inclusión en un fichero de solvencia, 20 000
euros, que he llegado a oír en una de las comparecencias. Aquí se trata de decir: ¿Ha habido un error o es que los sistemas que ha establecido esa entidad para remitir los datos a los ficheros de solvencia son tan poco fiables que hay setenta
vulneraciones? En ese caso, aunque no haya setenta denuncias, lo que procedería es actuar con toda la fuerza de la ley. Pero es que el modelo ha cambiado. Lo que hay que hacer es resarcir el derecho de la forma más rápida posible y, además, en
caso de que no se cumplan realmente las garantías del derecho fundamental, hay que actuar con todo el peso de la ley, no mantener el modelo de tal conducta, tal sanción, en una cuadrícula en la que corresponde esto. Eso no es ni derecho sancionador
ni el esquema del reglamento. Esa es mi opinión.
¿Qué quiere decir todo esto? Pues que no podemos partir de lo que había. Hay que hacer una ley nueva. ¿Esa ley debe reproducir el reglamento? No puede reproducirlo. El derecho de la Unión no se puede reproducir por el derecho de los
Estados miembros. Tenemos una mínima habilitación que permite que la ley interna pueda reproducir parcialmente alguna previsión si a efectos interpretativos es necesario, pero nada más. ¿Eso qué hace? Pues que haya personas que consideren que el
texto es muy fragmentario, que haya que trabajar con dos textos. Pues sí, va a haber que trabajar con dos textos. Lo que se intenta en ese segundo texto nacional interno es dar una mayor seguridad jurídica o clarificar los conceptos que pudieran
ser más dudosos o ver cómo se pueden adaptar esos conceptos al derecho interno, cómo se puede adaptar el derecho interno a esos conceptos en el sentido de que sean inteligibles para quienes llevan operando en este sistema desde in illo tempore.
Tampoco me parece que ese proyecto -van ustedes a perdonarme la generosidad con la que hablo del proyecto- sea muy reglamentista. Creo que el proyecto recoge aquellas cuestiones que los Estados miembros tienen que recoger, opta en algunos
casos en que el reglamento dice a los Estados miembros que opten y procura dar seguridad jurídica donde no la había o donde podía no haberla. Es cierto, por ejemplo, en el caso de las habilitaciones legales y el interés legítimo. En España hemos
funcionado como segunda causa de legitimaciones: o el consentimiento o, si no, que haya una ley, y como hay una ley pues ya está. Eso solo se podía interpretar como interés legítimo o porque existía la obligación legal o el interés público.
Tenemos cientos de habilitaciones legales, algunas de ellas promovidas desde la agencia cuando informaba preceptivamente los proyectos. Todas esas habilitaciones legales deben seguir constando en las leyes, a menos que se puedan mejorar. Y, al
mismo tiempo, había habilitaciones legales, incluso en la ley de 1999, por eso existe un régimen de los ficheros de solvencia. Había otras habilitaciones legales o explicaciones que figuraban en normas de desarrollo o en instrucciones de la
agencia, por eso se habla de la videovigilancia, que además se había visto afectada por la Ley de Seguridad Privada. Pero es por esos motivos por los que existen esas especialidades. O había problemas generados por la legislación anterior, por el
reglamento, en cuya elaboración también participé, que había que resolver, como la regulación de los datos de contacto. Los datos de contacto son datos personales; yo tengo un nombre y apellidos, aunque vayan unidos al cargo donde yo trabajo, pero
es verdad que si esos datos son para comunicarse conmigo en mi condición de persona que está trabajando en la agencia, puede haber un interés legítimo que justifique tratar esos datos. Por eso se huye de excluir, porque no se puede, pero sí se
reconoce el interés legítimo para dar seguridad jurídica y que se conozca esa situación.
Sé que me estoy extendiendo, pero voy a intentar ser breve e ir a algunas de las cuestiones que se han ido planteando. La primera que ha generado más controversia en esta Comisión, por lo que yo he ido siguiendo de las comparecencias y por
las que he seguido hoy mismo, es cómo afecta la normativa de protección de datos a la actividad investigadora. ¿La actividad investigadora se ve perjudicada por este texto? Entiendo que no, como también ha dicho quien me ha precedido, que me ha
pisado algunas de las ideas. Tenemos una normativa sanitaria que puede ser un corsé más o menos prieto, pero es la normativa sanitaria la que puede encorsetar el tratamiento en el ámbito de la investigación, no el hecho de que se regule el
consentimiento de una determinada manera en la ley orgánica. El reglamento, en el artículo 9.2, reconoce la validez o la licitud de la legislación de los Estados miembros en todos los campos relacionados con la sanidad, en la sanidad laboral, en la
sanidad asistencial, en el control del Sistema Nacional de Salud, en la investigación biomédica, en los ensayos sobre medicamentos y en la investigación en general. Todas esas causas en la salud pública están reconocidas en las letras g), h), i) y
j) del artículo 9.2. No es necesario tocar nada, y si es necesario tocar algo será la normativa sanitaria, pero eso exige una reflexión que va más allá de una mera enmienda de la Ley Orgánica de Protección de Datos, a mi entender; no sé si estaré
equivocado o no. Pero es que además, por si había dudas, es verdad que en la Agencia Española
de Protección de Datos -y no es que hayamos cambiado de criterio, como también he oído- se nos pidió un informe acerca de cuál era esa incidencia y se puso de manifiesto que el reglamento, reconociendo las finalidades de la investigación y
sus beneficios para la sociedad, lógicamente extiende y amplía el ámbito del consentimiento. El consentimiento ya no puede limitarse. No sé si simplemente se pasa de investigación de una determinada forma de cáncer a la investigación oncológica o
se va más allá, pero lo que es clarísimo es que el reglamento deja un margen mucho más amplio, que debería tenerse en cuenta cuando se va a hacer investigación y un margen mucho más amplio que deberán tener en cuenta los comités éticos cuando
permitan excluir del consentimiento el tratamiento de los datos con fines de investigación. También el reglamento tiene un considerando que habla de recogida de datos de registros públicos y asimismo considera que existe una base legal para ello,
para completar el modelo que se ha ido perfilando a lo largo del día de hoy.
Otra cuestión a la que quería también referirme es la del consentimiento. Vuelvo a lamentar que mi antecesor me haya pisado la opinión. La pasada semana se hablaba en la comparecencia de cláusulas de consentimiento con trece casillas cada
una con su cláusula informativa y que esto era peor que el modelo de las cookies. No es cierto. Quizá parta del hecho de que se está tomando como modelo el de 1999. Es que el consentimiento no es la base del tratamiento. La base del
planteamiento va a ser el contrato, va a ser en algunas ocasiones un interés legítimo que prevalezca, va a ser en otras el cumplimiento de una obligación legal. Cuando yo celebro un contrato con un banco, el banco tratará los datos para lo que sea
necesario para el contrato. El banco tendrá que tratar unos determinados datos míos y, además, comunicar, sin informarme y sin que yo tenga acceso, determinados datos al Sepblac si sospecha que hay blanqueo de capitales. Además, el banco podrá
tener que guardar determinada información a disposición de Hacienda. Además, el banco podrá ofrecerme productos o servicios que se parezcan a aquel que he comprado, y eso sí se puede basar en interés legítimo. Eso lo ha dicho la agencia en un
informe. Vuelvo a decir que la agencia no cambia de criterio, pero si cambian las normas y permite una interpretación más extensa, se puede hacer esa interpretación más extensa. Cuando el derecho de protección de datos en España estaba encorsetado
en una determinada regulación, no se podía ir más allá, y esto creo que lo recordará el portavoz del Grupo Socialista de la época en que era director de la agencia. A veces era muy difícil habilitar cosas que el sentido común consideraba que había
que habilitar. Por tanto, ese consentimiento no tendrá trece cláusulas. A lo mejor, después de lo que acabo de decir, las trece se convierten en cuatro y, encima, de esas cuatro dos son tan conexas entre sí que no hacen que el consentimiento deje
de ser específico ni deje de ser inequívoco; o, a lo mejor, estamos en dos, y eso a lo mejor es todavía más limitado en cuanto a número de casillas, número de boxes, que el modelo que teníamos antes. En el modelo que teníamos antes, he visto
contratos con muchísimas casillas que me pedían consentimiento hasta para tratar los datos para facturarme. Es que eso no hace falta, pero si lo reducimos al absurdo podemos llegar a conclusiones... No voy a decirlo.
Otra cuestión es la edad. Yo creo que la decisión respecto a la edad les corresponde totalmente a ustedes. En este momento tenemos la de catorce años y en el proyecto aparece la edad de trece. A mi juicio, y para tener también en cuenta
lo que se ha dicho, el 25 de mayo de 2018 la edad sigue siendo catorce, no va a ser dieciséis. El reglamento se remite al derecho de los Estados miembros, no a las leyes formales; con lo cual, no cambia el modelo. Ahora tenemos catorce y
seguiríamos teniendo catorce si esta ley no está adoptada el 25 de mayo de 2018. Tampoco se puede ir a las condiciones de madurez, porque bloquearíamos la justicia si hubiera que pedir a un juez que valorara las condiciones de madurez de cada menor
que quisiera darse de alta en una red social. Eso no se puede hacer; que también he oído aquí que habría que ver las condiciones de madurez en cada caso concreto.
Por eso, en su momento, ya en la agencia se pensó en la edad de catorce años, antes de que se aprobara el reglamento de 2007. También aquí coincido con que lo que quizá haya que hacer es adoptar medidas que eduquen a los menores en el uso
de las nuevas tecnologías y nos eduquen a nosotros; porque a mí, mi hijo de nueve años, me da mil vueltas. Este es un hecho notorio que creo que todos los que tenemos hijos pequeños, no nativos digitales, sino postnativos digitales, podemos
perfectamente coincidir en él; nos tienen que educar a nosotros, y nosotros tenemos que educarles a ellos. Es el símil de la seguridad vial que se ha usado varias veces y me parece magnífico, que es que la primera vez que mi hijo se suelta de la
manita le digo: mira a los lados antes de cruzar. Pues la primera vez que mi hijo vaya a hacer determinadas cosas en Internet, primero tendré que saber yo qué recomendarle sobre cómo utilizar esas nuevas tecnologías. Es ahí donde está el reto, no
en si son trece o catorce. Esa es una decisión que corresponde a sus señorías y que en ambos casos me parecerá aceptable; el proyecto dice
trece, pero la opción de catorce sería posible en su caso. Lo que creo que no debemos olvidar es que hay otras normas que permiten tener en cuenta unas edades distintas. La ley orgánica no pretende solucionar todo; pretende dar seguridad
jurídica en una edad para el tratamiento de datos, cuando no hay otra. Si en el ámbito sanitario son dieciséis años, son dieciséis años; no es que la ley pretenda resolverlo todo; es que pretende dar seguridad a quien va a tratar los datos y dar
seguridad a los padres de cuándo sus hijos no tienen que pedirle permiso también, dicho sea de paso.
Lo que se ha manifestado complejo, al menos en la experiencia que tengo yo trabajando en la agencia, es el que haya que adoptar medidas para saber cuál es la edad de la persona que se está relacionando conmigo. Eso que está en el reglamento
de 2007 me resulta sumamente complicado, y siempre nos han planteado: ¿cómo demonios hago eso? Porque materialmente es muy difícil de llevar a la práctica y, generalmente, esa dificultad implica que voy a tener que tratar más datos adicionales
para hacer un análisis semántico del niño o para otras cuestiones. Entonces, ese punto que el reglamento omite, y yo creo que hace bien en omitir, lo único que hace es que hay que adoptar esfuerzos razonables para que el padre sea el padre, pero no
para valorar la edad del niño, me parece bastante adecuado.
Se ha hablado también de que este proyecto otorgaría a las autoridades de control, no solo a la agencia, unas potestades exorbitantes que implicarían la intromisión en derechos fundamentales. Sinceramente, yo entiendo que no. ¿Por qué?
Porque lo que hace el proyecto es recoger lo que lleva haciendo la agencia los últimos veinticinco años que tiene de existencia. Cuando en una investigación, siempre previa denuncia que levanta el secreto de las comunicaciones conforme a
jurisprudencia del Tribunal Europeo de Derechos Humanos, es necesario identificar quién me ha producido la lesión, desde qué IP se me ha producido la lesión, y luego identificar quién es el titular de esa IP o del teléfono desde el que se me ha
producido esa lesión, la agencia ha actuado. Y esto no es porque la agencia haya considerado que tiene una potestad exorbitante, sino porque se ha hecho, los operadores y los prestadores de servicios han atendido la solicitud, cuando el
procedimiento ha terminado en una resolución sancionadora, se ha confirmado por la Audiencia Nacional y se ha confirmado en casación, y nadie se ha planteado en ningún momento que existía una vulneración del secreto de las telecomunicaciones.
Lógicamente, lo que se deja claro es que no se puede acceder a los datos que solo se mantengan con fines de cumplimiento de la Ley de conservación. Pero es que un operador puede tratar los datos solo por Ley de conservación o puede
tratarlos por otros fines distintos. Puede tratarlos para facturar; puede tratarlos para hacer perfiles; puede tratarlos para hacer marketing, y esos datos no están limitados a las autoridades competentes, como dice la Ley de conservación, al
margen de cuáles sean las consecuencias de la sentencia del Tribunal de Justicia. Y como no están limitados, es posible el acceso a esos datos, y nadie se ha planteado que existía una vulneración del secreto de las comunicaciones.
También se ha manifestado alguna preocupación con los llamados planes de auditoría preventiva. A lo mejor el nombre asusta, por eso de preventiva. No se trata más que de lo que la agencia lleva haciendo veinticinco años, que son
inspecciones sectoriales de oficio, que lo único que hacen es ver cuál es la realidad de un sector, ver cuáles son los puntos fuertes y débiles de un tratamiento, y siempre, sin sancionar y sin que se sepa quién ha sido aquella muestra del sector
que se ha investigado, se dictan unas conclusiones y unas recomendaciones que son las que el sector debe seguir. En ningún momento estamos hablando de un plan de inspección como los del ámbito tributario, sino de la posibilidad de pulsar cuál es la
situación de un determinado sector y recomendar cómo arreglarlo; es una función tuitiva, nunca coercitiva.
Y la última cuestión, por alusiones casi, porque ya he sido interpelado con anterioridad sobre esta cuestión, es la relacionada con el bloqueo. Obviamente, yo no estoy en contra del bloqueo. Creo que eso va de suyo, se supone. Me imagino
que saben que trabajando en la agencia no voy a estar en contra del bloqueo. Pero es que además, primero, el Consejo de Estado en ese dictamen... (El señor Rallo Lombarte pronuncia palabras que no se perciben). No, ya iré más adelante, no se
preocupe su señoría. El Consejo de Estado, en ese dictamen en el que el artículo que hablaba de la habilitación legal, que a mí me parecía fundamental en la ley, obligó a que fuera suprimido como observación esencial, y por eso no está el artículo
7.3 del texto, en ese mismo dictamen -repito- decía que, según el reglamento, los Estados miembros tienen que adoptar las medidas necesarias para garantizar la observancia del reglamento. Ya me imagino que esto a ustedes les parecerá poco, pero
dice el Consejo de Estado que esa es la base legal, y yo no digo nada más que eso.
Otra cosa, el bloqueo no es un derecho. El bloqueo se regula en la ley como obligación. Es cierto que en el anteproyecto aparecía en los derechos y eso era un error y tenía que aparecer como una obligación
de responsabilidad activa. Esa obligación ¿es igual que el derecho a la limitación del tratamiento? Pues vamos a ver cuál es la esencia del bloqueo. La esencia del bloqueo es que se produce una lesión del derecho, una infracción de la
normativa. Si el responsable es suficientemente listo, probablemente borrará el dato antes de que haya aflorado aquello; y como no ha aflorado aquello, si luego, por el motivo que sea, aflorara, ni la autoridad de control podrá decirle que lo ha
hecho mal ni, peor aún, el interesado, al que a lo mejor ese afloramiento posterior le ha causado un daño resarcible económicamente, quedaría en una responsabilidad civil, tampoco va a poder actuar, porque ha perdido las evidencias para probar que
existe una conducta lesiva. Eso es así. Yo he encontrado dos artículos del reglamento que, además de este que dijo el Consejo de Estado, darían pie a entender que el bloqueo, que en la práctica totalidad de los Estados, aunque no tiene una
regulación como esta, sería necesario.
Primero, el artículo 24.1 del reglamento dice que el responsable o el encargado tienen que estar en condiciones de poder demostrar que el tratamiento de datos se ha llevado a cabo conforme al reglamento. Si borro el dato, ya no estoy en
condiciones de demostrar absolutamente nada. Es más, si puedo, evito que se sepa que he llevado a cabo el tratamiento conforme o en contra del reglamento, me da lo mismo. Segundo, el artículo 17, cuando habla del derecho de supresión y del derecho
al olvido, dice que ese derecho no opera cuando sea necesario para la formulación, el ejercicio y la defensa de reclamaciones. Si la persona cuyos datos son tratados los necesita para poder formular una reclamación contra el responsable, si se ha
eliminado el dato, yo ya no puedo formularla. No puedo demandarle, porque no puedo aportar pruebas; ¡es una prueba diabólica poder probar el daño si no puedo probar la conducta! Entonces, creo que el bloqueo es necesario no solo para la actuación
del supervisor, sino también y más importante para la garantía del derecho del afectado. También, la siguiente respuesta que he oído en otros foros es que eso se solventa con la limitación del tratamiento. El interesado siempre puede decir: oiga,
como yo quiero usar el dato en su contra, guárdelo. No olvidemos la premisa, y la premisa es que lo ha borrado antes de que el afectado sepa el daño que se le ha causado. ¿Cómo voy a pedir la limitación del tratamiento de un dato que ya no se está
tratando? ¡Ya no lo puedo pedir!
Entonces, sinceramente, son ustedes los que tienen que tomar la decisión, pero entiendo que eliminar la regulación del bloqueo de la ley no solo creo que no resulta ajustado con lo que exige el reglamento, sino que supone en la práctica un
perjuicio para la persona a la que se le haya lesionado algún derecho como consecuencia del tratamiento ilícito de datos.
Y como ya me he extendido muchísimo más de lo que me había pedido la Presidencia, lo siento sinceramente, quedo a su disposición para cualquier duda que me quieran plantear y yo sepa responder.
Muchas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Puente.
Se abre el turno de preguntas por parte de los grupos parlamentarios. Tiene la palabra el representante del Grupo Ciudadanos, señor Gómez Balsera.
El señor GÓMEZ BALSERA: Gracias, presidente.
Muchas gracias, señor Puente, por su intervención y no solo por su intervención, sino por su contribución personal a este proyecto de ley orgánica de protección de datos. No voy a insistir en esa pregunta en diferido que hábilmente
introdujo mi compañero Rallo en la intervención anterior, simplemente quiero manifestarle que nosotros consideramos que esto de los datos bloqueados es crear una categoría ex novo de datos que no gusta a casi nadie, que a nosotros tampoco nos gusta
y que estamos a favor de que no aparezca en este proyecto de ley.
Le voy hacer solo un par de preguntas. En cuanto al término afectado, ¿qué opina usted del término afectado? ¿No sería conveniente cambiarlo dadas sus connotaciones negativas por el de titular de los datos, ya que el término interesado
también podría llevar a confusión o a equívocos con la figura del tercer interesado?
Una pregunta que creo que nadie ha formulado todavía a ninguno de los comparecientes, y se lleva usted la primicia, es sobre la Directiva policial 2016/680; si considera usted que los artículos referidos al tratamiento de datos por parte de
las autoridades con fines de prevención e investigación de delitos regulados en este proyecto de ley orgánica cumplen con esa directiva y, si debemos entender que la adaptación de esa directiva queda subsumida en este proyecto de ley o requerirá de
una regulación propia.
Nada más.
El señor VICEPRESIDENTE (Molinero Hoyos): Gracias, señor Gómez Balsera.
A continuación, tiene la palabra la representante de Unidos Podemos, señora Carreño.
La señora CARREÑO VALERO: Buenas tardes.
Muchísimas gracias por su aportación a esta comparecencia. Ante todo, debo decirle que estamos de acuerdo con lo que ha dicho respecto al cambio del modelo anterior al actual. El cambio anterior giraba en torno solamente al consentimiento
y este parece mucho más proteccionista de la persona, de la intimidación y del honor, por lo que nos parece positivo y tomamos nota de todo lo que ha dicho.
Quería hacerle simplemente unas cuestiones muy rápidas. Por ejemplo, usted ha dicho sobre los temas polémicos que no cree que perjudique a la investigación biomédica y que habían publicado desde la propia agencia un informe, etcétera. Ese
informe ya ha sido objeto de crítica por las asociaciones de investigación y, en concreto, una sugerencia que ellos hacen es que se permitan los consentimientos amplios como existen para los biobancos, creo saber. Quería preguntarle si esto le
parece correcto o no.
Por otro lado, en cuanto a lo que ha dicho de adoptar medidas que enseñen a los niños en protección de datos, parece muy correcto porque los niños desde muy pequeñitos, desde los dos o tres años, cogen el móvil y se meten en Youtube -eso es
algo que ve cualquiera que esté rodeado de niños-, y quería preguntarle si usted cree que sería oportuno elaborar una ley de protección del menor en Internet similar a la que existe en Estados Unidos, a la Children's Online Privacy Protection Rule.
Por último, quería preguntarle qué opina sobre una reivindicación de los profesionales, de hecho la compareciente anterior la nombró, respecto al hecho de que puedan elegir a su representante en el consejo consultivo, en lugar de que lo
nombre el ministro, como refleja el proyecto.
Sin más, muchísimas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchísimas gracias, señora Carreño.
A continuación, tiene la palabra el representante del Grupo Socialista, señor Rallo.
El señor RALLO LOMBARTE: Muchas gracias, presidente y muchas gracias al compareciente.
Voy a ser casi diría abrupto en la formulación de mis cuestiones a fuerza de sintético y espero que el compareciente no me lo tenga en cuenta, entre otras cosas, porque creo que es más interesante lo que usted pueda decir que lo que yo añada
como prolegómenos.
Primera pregunta. -Esta pregunta no ha salido todavía y es trampa-. ¿Qué necesidad hay en el proyecto de ley de regulación del artículo 4 sobre inexactitud de los datos? ¿En qué se justifica esa regulación? Esta era trampa, pero las
otras no. La opinión que ha manifestado sobre la conveniencia o no de que este proyecto de ley incluya algún tipo de regulación relativa al consentimiento para la utilización o reutilización de datos para investigación médica es muy importante; su
opinión es muy importante, su opinión no es una opinión más de las muchas que hemos oído, su opinión es casi, entre comillas, ley. Creo que no falto a la verdad si digo que la opinión jurídica de una persona que se traduce en informes jurídicos que
luego permiten sostener interpretaciones determinadas, es extraordinariamente relevante. Desde luego, la opinión que ha expresado aquí sobre la no necesidad en el marco actual de las cosas de modificar el marco normativo porque entiende que el
reglamento en sus disposiciones y considerandos ampara suficientemente las prácticas de investigación médica amplias, etcétera, es muy relevante, pero no deja de ser su opinión personal que, en su caso hipotético, podría ser sustituida por otra
opinión, que yo no lo deseo. Lo que quiero decir es que, segunda cuestión, ¿en última instancia garantiza u otorga esa seguridad jurídica, que un entorno tan sensible como este merece, introducir una disposición que clarifique suficientemente y
aporte seguridad jurídica?
Tercera cuestión. Confieso que no me he quedado todavía satisfecho sobre el bloqueo y espero que podamos tener ocasión de aportar más datos, porque anclar esa previsión en la adopción de medidas en el mandato del reglamento para que se
adopten las medidas necesarias para garantizar el cumplimiento del reglamento, en términos genéricos, le lleva a uno a formularse muchas preguntas. Es decir, ¿España tiene que contemplar un artículo específico que regule el bloqueo de datos cuando
no lo hacen otros países? ¿Eso significa que los otros países nadan en el mundo de la impunidad? Usted ha añadido que en otros países europeos en la práctica sí se hace. No sé muy bien qué significa hacer eso, en la práctica, si no hay un amparo
normativo que recoja ese derecho de bloqueo como aquí sí que se pretende. ¿Me explico? Me gustaría tener claro la comparativa con otros países porque nosotros no vamos a participar en una estrategia que debilite las capacidades de la agencia para
garantizar el derecho fundamental, pero eso tiene que estar más y mejor explicado, justificado y ejemplificado en otros elementos.
La compareciente anterior, inevitablemente, le ha dejado a usted una pregunta que yo le reitero porque al hacer una entusiasta defensa de los ficheros positivos de solvencia, creo que le toca ahora a usted dar las razones por las que el
proyecto de ley no prevé, contempla o ampara los ficheros positivos de solvencia.
Termino celebrando esa referencia que ha hecho a la razonabilidad, creo que ha dicho, de la posibilidad de que la edad de consentimiento fuera a los catorce años y no a los trece, porque lo ha dicho, ¿verdad?
Nada más y muchas gracias.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Rallo.
A continuación, tiene la palabra el representante del Grupo Popular, señor Martínez.
El señor MARTÍNEZ VÁZQUEZ: Muchas gracias, señor presidente.
Muy brevemente un triple agradecimiento al señor Puente, al señor compareciente. Primero, por su larga trayectoria en la Agencia de Protección de Datos en la cual ha prestado un gran servicio público que mi grupo le agradece; segundo,
obviamente por el trabajo en la elaboración del anteproyecto que estamos hoy tramitando en esta Comisión y, tercero, por su contribución muy concreta al trabajo de esta Comisión, donde es de agradecer que usted haya cerrado esta lista de
comparecientes, larga ya, en la cual de alguna manera va a terminar de resolver algunas dudas que quedaban pendientes y que lo haya hecho además sabiendo lo que han dicho los comparecientes anteriores, que siempre ayuda.
En cuanto a las preguntas concretas, sobre el bloqueo -ya se lo ha preguntado el señor Rallo-, yo creo que efectivamente es útil que conozcamos esa experiencia de otros Estados porque nos ilustrará antes de tomar una decisión de la cual nos
podamos arrepentir.
Se ha referido también a la edad. No sé si el señor Rallo y yo hemos entendido lo mismo, porque entre catorce y trece, francamente, no veo tanta diferencia. Está bien que lo aclare para que... (El señor Rallo Lombarte: ¡Lo ha dicho!) Sí,
sí y está bien que lo aclare, me sumo a la pregunta del señor portavoz. En línea con esto, usted ha dicho que si el día 25 de mayo no está aprobada la ley orgánica -desde luego, todos trabajaremos para que lo esté-, la edad sería catorce y no
dieciséis. Tal vez se ha hablado poco en términos -digamos- de seguridad jurídica de qué va a pasar si la ley no estuviese aprobada el día 25 de mayo y lo estuviese el 26. Quizá podría arrojarnos algo de claridad en este sentido.
A propósito de los aspectos más procedimentales del proyecto, quiero preguntarle si cree que es completo, suficiente y coherente con el resto de normas de nuestro ordenamiento jurídico en aspectos de procedimiento el texto que vamos a
tramitar, y si nos puede ilustrar sobre alguna posibilidad de mejora. Se ha suscitado en las comparecencias anteriores, concretamente en la de la directora de la Autoridad Catalana de Protección de Datos un debate sobre el artículo 59. Me gustaría
conocer su opinión sobre el artículo 59, si es el hermano mayor del artículo 42 de la vigente ley y cuál es su finalidad; si, efectivamente, cree que puede prestarse a ese exceso de tutela, que en ningún caso creo que sea el espíritu del texto que
estamos tramitando.
Sobre la videovigilancia, me gustaría conocer si es compatible el texto que estamos tramitando con la reciente sentencia del Tribunal Europeo de Derechos Humanos sobre el caso López Ribalda.
Por último, un asunto que ha preocupado al señor Sixto y que a mí también me ha suscitado preocupación es esta cosa -permítame que se lo diga así- de los piratas, que de alguna forma de manera abusiva e incluso fraudulenta están suplantando
a la agencia o están haciendo labores sin tener la necesaria cualificación.
Si me permite, señor presidente, voy a emplear cinco segundos para decirle a la señora Carreño que no todas las opiniones sobre el informe que elaboró la agencia han sido críticas. Es importante que sepa que la Federación de Asociaciones
Científico Médicas, Facme, lo ha valorado muy positivamente. (La señora Carreño Valero pronuncia palabras que no se perciben.-El señor Rallo Lombarte: Y propone introducir una modificación en la exposición de motivos). Bien, pero eso no quiere
decir que no lo haya valorado positivamente. (El señor Rallo Lombarte: Y todos). Lo digo porque la señora Carreño -lo digo con la máxima cordialidad- ha manifestado que las asociaciones habían sido críticas. Bueno, algunas no lo han sido y esta
desde luego es muy importante y significativa.
Muchas gracias, señor presidente.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Martínez.
La señora CARREÑO VALERO: Pido la palabra por alusiones, por el artículo 71.
El señor VICEPRESIDENTE (Molinero Hoyos): Tiene la palabra.
La señora CARREÑO VALERO: Voy a ser muy rápida porque no quiero alargar la Comisión. No he dicho que solo haya recibido críticas, sino que había recibido algunas críticas y pregunté en concreto por una propuesta que nos hacían, nada más.
Desde luego, no pretendía decir que solo recibía críticas.
El señor VICEPRESIDENTE (Molinero Hoyos): Gracias, señora Carreño.
A continuación, para dar cumplida respuesta a las cuestiones planteadas, tiene la palabra el señor Puente, rogándole, por favor, dada la amplia exposición que ha hecho al inicio, que sintetice sus respuestas. Gracias.
El señor JEFE DEL GABINETE JURÍDICO DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (Puente Escobar): Muchas gracias, señor presidente. Intentaré ser breve, pero me lo han puesto casi más difícil que a Cecilia. Haré todo lo posible.
Voy a dejar para el final alguna cuestión que ha sido suscitada por varios portavoces, y empezaré por las cuestiones que ha planteado Ciudadanos. En primer lugar: afectado, interesado o titular del dato. Titular del dato me suena
patrimonial. Es el dueño del dato, pero titular del dato suena me patrimonial. Interesado es la palabra que se utilizó al principio, pero llegamos a las normas de procedimiento y dijimos: ¿Cómo vamos a llamar interesado al interesado que no es
interesado? Pues la hemos hecho buena. Como en francés se decía persona afectada y, en español se ha dicho afectado toda la vida, se dejó la palabra afectado. Ese es el motivo por el que está escrito: la persona afectada. Titular no me termina
de convencer, pero puede ser un prejuicio mío.
La directiva. La directiva no se traspone con esta ley. Yo he participado en este proyecto y no se traspone con esta ley; al contrario, lo que se hizo en esta ley, viendo que no había en el momento en que se adoptó el proyecto una norma
de trasposición de la directiva, fue decir: Pues si no hay trasposición de la directiva y derogamos expresamente la LOPD, hemos dejado huérfano al antiguo tercer pilar. Por eso se hizo una disposición transitoria que hasta que no se trasponga la
directiva sigue vigente la Ley Orgánica de Protección de Datos, porque algo tiene que seguir aplicándose ahí, y no se le puede aplicar ni el reglamento ni la ley que adapta el derecho español al reglamento. Ese es el motivo de la disposición
transitoria.
La investigación. Se me ha adelantado el portavoz del Grupo Popular. Efectivamente, ha habido alguna opinión buena y también conozco esas opiniones negativas. Lo que pasa es que dichas opiniones negativas -a lo mejor esto también es una
percepción- van más por lo que se dijo antes, porque es necesaria una reforma en profundidad de la normativa reguladora de investigación biomédica, de la Ley de autonomía del paciente, de muchas normas sectoriales. Aquí lo que se pretende es
reformar la normativa sanitaria y, si lo que se pretende es reformar la normativa sanitaria, acúdase a una reforma de la normativa sanitaria. Sin embargo, aquí se ha llegado a hablar de que el artículo que regula el consentimiento, que es una de
las bases legales del tratamiento, se ve alterado para reconocer la investigación biomédica. Efectivamente, el informe de la agencia es mío. -Quiero decir que lo he hecho yo y es mío y es mi opinión. Bueno, mi opinión no, porque mi opinión luego
fue validada por la directora de la agencia, así que ya son dos opiniones-. Además, como lo he redactado yo, pienso que tengo razón y que el reglamento hace una interpretación razonable y extensa del concepto del consentimiento en el ámbito de la
investigación biomédica. No voy a decir yo que no, que lo he dicho. Facme habla de dejar clara la importancia de la investigación biomédica en la exposición de motivos. Pues vale, pero si lo que se quiere es reformar la normativa sanitaria, no
creo que sea este el momento de hacerlo. Si hay que retocar la Ley de Investigación Biomédica, que es del año 2007, que se retoque, pero lo que se decía en un primer momento la agencia es que la ley orgánica que adaptara el derecho español al
reglamento derogaba la Ley de Investigación Biomédica. ¿Pero dónde?, ¿dónde la deroga? No la deroga. La regulación de la investigación biomédica va ser igual el día antes y el día después de que se adopte esta disposición, en caso de que sus
señorías tengan a bien aprobarla. No va a cambiar. A lo mejor hay que revisar la normativa sanitaria, pero no es este el momento, creo yo. Además, puede interpretarse en un sentido amplio. Es verdad que es una interpretación, pero creo que es
bastante razonable y que está en los considerandos del reglamento y eso no se puede cambiar.
Los menores. No he dicho ni trece ni catorce. He dicho que la decisión recae sobre sus señorías, que puede ser trece o puede ser catorce. No he dicho que puede ser catorce, sino que puede ser trece o catorce. Hombre, entiendo que más de
catorce no tiene mucho sentido con el régimen que tenemos ahora, pero puede ser trece o catorce. Lo importante son todas las medidas complementarias que hay que adoptar, y la decisión es suya.
Profesionales en el consejo consultivo. Me planteaban que si podían ser designados por las asociaciones de profesionales. ¿Cuáles? En este momento, que yo recuerde, hay tres asociaciones de profesionales y aquí no tenemos lo de los
sindicatos ni lo de las asociaciones empresariales, aquí no hay las más representativas ni las menos. ¿Cuál elige? ¿Por insaculación? Que ponga un representante cada una y llega una mano inocente, saca la bola y dice: Le ha tocado al de APEP.
(La señora Carreño Valero: Por un procedimiento). Por un procedimiento, ¿pero cuál? Para eso habría que regular cuáles son las asociaciones profesionales de protección de datos más representativas, como se hace con los sindicatos. Parar esto
para que esperemos a regular las asociaciones de protección de datos más significativas va a ser complicado. Lo elegirán entre ellas, pero tampoco sabemos cómo. No existe un foro donde se unan las asociaciones, por lo que es muy difícil buscar una
solución a este tema. Creo que con esto he contestado a las preguntas de Unidos Podemos.
En cuanto a las del Grupo Socialista -no sé cómo es esto de ser el último y que pregunten por primera vez al último-, me han preguntado por el artículo 4. Ya sé que el artículo 4 trae un precedente, que es el artículo 8.5 del reglamento,
que trataba de proteger a quien le habían facilitado deliberada o involuntariamente un dato erróneo. Es decir, si yo quiero defraudar a la compañía de telecomunicaciones y le doy mal el dato de mi cuenta corriente para que no me pueda cobrar,
lógicamente el supervisor de la agencia no puede ir al operador de telecomunicaciones y decirle que ese dato no es exacto, como consecuencia del fraude o del error de quien me lo ha dado. Se decía: se presumen exactos. Señorías, que se presuma
exacto lo inexacto es convertir el agua en vino, y entonces tampoco parece que sea lo razonable. Lo que se dice ahora en este texto es que en ese caso no se imputará la inexactitud, porque no es culpa de quien trata el dato, sino del tercero al que
se le da.
A partir de ahí, en el trámite de información pública se planteó la posibilidad de extender esto a dos supuestos más, primero, ejerciendo el derecho de portabilidad, un interesado decide trasladar los datos de un operador de telefonía a otro
operador de telefonía y hay datos erróneos. ¿De quién es la culpa, de este, de este otro o del afectado? Desde luego, de este no, que tiene que recibir los datos que han sido portados. Ese es el caso C. Y el caso B puede ser un poco más
complicado. En este caso estamos hablando de los sectores de actividad en los que por ley -legalmente- está regulada la existencia de intermediarios. Una de las prácticas que se han planteado en España -en la agencia- es que nos hemos encontrado
con que a veces esos intermediarios -estoy hablando del sector de seguros- no facilitan a la compañía aseguradora los datos que reciben del tomador, de su cliente, sino que, por ejemplo, en vez de decir que el domicilio del tomador es el del
tomador, dicen que el domicilio del tomador es el suyo. En este momento, con la ley en la mano, eso implica evidentemente una infracción del que da el dato erróneamente, pero también de la aseguradora, que no tiene ninguna culpa. Lo que se
pretende es que no se le achaque a la aseguradora esa inexactitud.
En la agencia, cuando informamos el anteproyecto de distribución de seguro privado, también se dijo: El corredor no deberá facilitar su domicilio, sino el que le diga el tomador que facilite. De momento, esto puede darse en otras
profesiones en que exista un intermediario, pero ya no partimos de una presunción de exactitud, sino de una no imputabilidad del dato que sea inexacto.
En cuanto al consentimiento en la investigación biomédica, ya he dicho que mi opinión es una opción nada más. Yo creo que existe suficiente seguridad jurídica, no con la opinión que he dado, sino con el propio reglamento. No obstante, creo
que este tema ya lo hemos comentado.
Por lo que respecta al bloqueo, ¿resulta una base suficiente el artículo 24 del reglamento? Estamos hablando de la obligación del bloqueo, no del derecho de bloqueo, que es completamente distinto. No estamos hablando de un derecho, estamos
hablando de una obligación que tiene que ver con la responsabilidad activa, pero que tiene más que ver con que los datos no se pueden suprimir cuando son necesarios para el ejercicio de defensa de reclamaciones en juicio, y esa no me la han
discutido.
Respecto a si esto se lleva a cabo en otros países, por lo que se nos dice en la práctica no existe una regulación legal, pero sí se lleva a la práctica. No obstante, el grupo de autoridades del artículo 29, cuando hizo las recientes
directrices de consentimiento, venía a dar a entender que el responsable está obligado a mantener la prueba de que efectivamente estaba tratando bien los datos, aunque se hubiera cumplido
la finalidad que justificaba ese tratamiento. Es decir, aplicando esos principios de los que se habla y que se mencionan en el documento de directrices de consentimiento, cabe extrapolar que esa obligación de bloqueo es una derivada y una
consecuencia necesaria del propio reglamento, porque es imposible probar el cumplimiento -como se dice para el consentimiento en ese documento del 29- si se ha intentado hacer desaparecer todo vestigio del tratamiento. Es imposible acreditar el
cumplimiento. No sé si con esto he dado una respuesta mínima, o no he dado ninguna respuesta, o no he logrado convencer a sus señorías.
Con relación a los ficheros positivos, en el anteproyecto de ley había una disposición sobre ficheros positivos. Se regulaban los ficheros negativos y no se regulaban los positivos más que para decir que solo con consentimiento. Ahí lo que
se seguía es que el Tribunal Supremo había dicho solo con consentimiento en el año 2011 me parece recordad, y se consideraba que eso estaba bien, pero esa cláusula debería replantearse. A mi juicio -además la Comisión nos lo dijo-, decir en un
artículo que un tratamiento solo se puede llevar a cabo con consentimiento implica que el responsable no puede valorar si lo puede hacer o no; le estás prohibiendo hacerlo, salvo con consentimiento. Eso dio lugar a que desapareciera la referencia.
¿Habría que regular los ficheros positivos en el texto? El problema es que no tenemos experiencia de ficheros positivos que no se basen en el consentimiento. Igual que de los ficheros negativos hay una aquilatada experiencia sobre los
requisitos que tienen que tener y las cuestiones que son mejorables o no respecto del régimen anterior, para los ficheros positivos no tenemos ninguna experiencia. En España existen ficheros positivos, pero se basan en el consentimiento -como en el
75 % de los países en los que existen, dicho sea de paso-, pero el reglamento no permite entrar a valorar. Habría que valorar cuáles son las garantías necesarias para acreditar un interés legítimo, pero eso nos llevaría a otra crítica que se ha
hecho en otras comparecencias, que es que en lo que nosotros colaboráramos desde la agencia o el prelegislador, habría empezado a analizar cómo funciona un sector que en España no existe para imponerle las reglas. Creo que sería un poco arriesgado
regular los ficheros positivos.
El hecho de que no lo estén ahora, ¿qué quiere decir? que si un responsable adopta determinadas medidas que permiten ponderar que prevalece el interés legítimo de los ficheros positivos, el control del sobreendeudamiento sobre el derecho
fundamental de los deudores o de las personas que contraen distintos créditos, aunque los estén satisfaciendo, y adopta una serie de garantías de responsabilidad activa suficientes, podrá hacerlo; del mismo modo que puede crearse un fichero
negativo que no sea exactamente como el de la ley, siempre y cuando esas garantías permitan considerar que una evaluación de impacto implica que no se produce una lesión o un riesgo no asumible. Por eso no están regulados, porque creo que es muy
osado regular un sector que no existe en este momento.
En cuanto a la edad, ya lo he comentado, por lo que voy a pasar a responder a las preguntas del Grupo Parlamentario Popular. ¿Qué pasa si la ley no está aprobada? Yo creo que es necesario que la ley esté aprobada cuanto antes. No sé si se
llega al 25 de mayo de 2018, pero es necesario. En algunas cuestiones porque el reglamento es una norma -me da reparo decirlo, aunque no se me ocurre otra expresión- en algunos aspectos muy abstrusa y creo que este texto facilita la interpretación
del reglamento. Y si facilita la interpretación del reglamento, cuanto antes esté a disposición de quienes ven garantizado su derecho fundamental y quienes operan en el mercado, mejor.
Por otra parte, yo presto mis servicios en la agencia y en la agencia nos es fundamental, lo cual quizá se vincularía con el régimen de los procedimientos. Es imposible la aplicación de la Ley 39/2015 respecto a los procedimientos que
tramita la agencia. Lo dijo la directora de la agencia: hay siete modalidades de procedimientos. -Si quieren, se los enumero, pero creo que la Presidencia me expulsaría de la sala-. Hay siete modalidades de procedimientos, según sea
transfronterizo, tenga o no relevancia local, seas interesado, seas principal, etcétera. Por eso la ley dice que la aplicación de la Ley 39/2015 es subsidiaria, no supletoria. Se intenta regular íntegramente el procedimiento en este texto. Si no
tenemos ese procedimiento -me parece que la directora de la agencia española puso este ejemplo-, la primera vulneración del derecho al olvido, del derecho a no figurar en los índices de Google, es transfronteriza. De eso no me cabe la menor duda, y
encima la autoridad líder no es España. Bueno, de esto sí me pueden llegar a cabe dudas, pero desde luego es transfronterizo; de eso no les quepa ninguna duda.
Si se presenta una reclamación de un ciudadano español el 26 de mayo, ¿qué hacemos? Pues intentaremos lidiar con la ley 39/2015, pero ese traje a nosotros no nos sirve, a la agencia no le sirve. Creo que eso es bastante importante, aparte
de toda la seguridad jurídica que yo creo que sí aporta este texto.
Ya digo que en los procedimientos se establece un principio de subsidiariedad. Hay siete modalidades de procedimientos. Dentro de los procedimientos, como también en algunos casos, sí puede distinguirse entre cuando no se atiende el
derecho previamente solicitado y los demás casos en los que hay una vulneración flagrante. Todas las normas de procedimiento se pueden mejorar, pero siempre teniendo en cuenta que hay que conseguir establecer un régimen no que complete sino que
sustituya al de la Ley 39/2015, porque ese no se puede aplicar en el ámbito de la protección de datos. No existe otra área del derecho de la Unión en la que se hable de un procedimiento transfronterizo de esa manera. Se habla del reconocimiento
mutuo, de lo que es competencia de los Estados o de la Comisión. Aquí no, aquí todos nos tenemos que poner de acuerdo; y si no, vamos a Bruselas y nos ponemos de acuerdo; y si no, el Tribunal de Justicia de la Unión Europea nos corregirá. Esto
es nuevo, pero no para quienes sepan de protección de datos, sino para cualquiera. Esto no se ha dado nunca, es la cuadratura del círculo. Todo es mejorable, efectivamente, y las disposiciones se podrían mejorar en algunos puntos.
Ya sé que el artículo 59 levanta entre algunas de sus señorías serias dudas. El artículo no es nuevo, como he oído decir esta tarde a algún compareciente, sino que es lo que decía el artículo 52 de la Ley Orgánica de Protección de Datos de
1999, con una sola diferencia: se reconoce expresamente que la agencia autonómica, cuando la hubiera, actuará. Esa es la diferencia. ¿Esto supone una excepción a algún principio general? Entiendo que no. Ya dijo la directora de la Agencia Vasca
de Protección de Datos que ese artículo nunca se había aplicado; también lo ha dicho la directora de la agencia catalana, lo que pasa es que la directora de la agencia vasca no consideró que fuera reprochable, simplemente, como no se había
aplicado, no consideró que se tuviera que dejar. Aquí se trata de lo siguiente. En caso de que cualquier administración vulnere el reglamento, la responsabilidad recae sobre el Reino de España como miembro de la Unión Europea; no recae sobre una
comunidad o un ayuntamiento, sino sobre el Reino de España. Luego, tiene cierto sentido que la autoridad que representa a todo el territorio pueda plantearle a la autoridad correspondiente que hay un órgano de una administración que no está
cumpliendo; si no actúa, que se lo diga al órgano de la administración; y si el órgano de la administración no actúa, que no adopte medidas o le imponga una sanción, que vaya al contencioso. La Ley de la jurisdicción contencioso-administrativa da
esa posibilidad ya. Si una administración tiene interés legítimo para recurrir los actos de otra, lo puede hacer directamente. Aquí, no; aquí tiene que haber una primera inactividad de la autoridad autonómica; una segunda actuación, que es un
requerimiento al órgano autonómico, que también aparece en la Ley de la jurisdicción contencioso-administrativa, y una tercera, que es la inactividad del órgano autonómico. Esto es casi más garantista que la Ley de lo contencioso; a lo mejor estoy
exagerando, pero creo que sí. En todo caso, es el modelo que había. ¿Que no se ha usado nunca? Dios quiera que nunca se use. Desde luego, la colaboración entre las tres autoridades de protección de datos no la voy a poner yo de manifiesto,
porque afortunadamente la han puesto de manifiesto las dos directoras de las agencias autonómicas de protección de datos que tienen competencias en esta materia. Pero el hecho de que, afortunadamente, nunca se haya aplicado -y esperemos que nunca
haya que hacerlo- no sé si es motivo suficiente para eliminarlo de la ley, porque ya estaba en la ley de 1999; era el artículo 42, no es un artículo nuevo.
En cuanto a videovigilancia -sé que me estoy extendiendo mucho y lo lamento, pero prometo ser breve- y la sentencia del Tribunal Europeo de Derechos Humanos, es cierto que el proyecto habla del valor probatorio de las imágenes. A lo mejor
no es necesario hablar del valor probatorio. En todo caso, la sentencia del Tribunal Europeo de Derechos Humanos lo que deja claro -aparte de decir que esas imágenes tenían valor probatorio, pero eso es otra cosa- es que si hay una información,
aunque sea genérica, valdrá; que si se informa a los trabajadores específicamente, entra dentro de las competencias del derecho laboral, pero si no se informa específicamente pero hay un cartel de videovigilancia y te pillan robando de la caja,
como a estas personas, eso no debería resultar contrario a la legislación de protección de datos. En el anteproyecto se redactaba de esa manera, no se hablaba del valor probatorio. A lo mejor podemos buscar alguna solución que se adapte más a la
sentencia.
Con respecto a los piratas, lo pensamos todos los que nos dedicamos a la protección de datos desde todos los campos. Es verdad que existen determinadas entidades -no públicas; privadas todas- que se hacen pasar por expertos de protección
de datos, que dicen tener toda la razón, que dicen ser los únicos expertos, y además, por un curso de dos tardes, como decía mi antecesora en las comparecencias, te dicen que tienes toda la capacidad del mundo para ser delegado de protección de
datos. ¿Esa es una práctica desleal? No sé si es abusiva, si es agresiva, si es fraudulenta o qué es, pero yo creo que sí es una práctica que vulnera la legislación de competencia y que debería ser tenida en cuenta. Hay conductas
de lo más variado. Alguna de ellas implica suplantación de identidad del personal de la agencia, y no exagero. Yo me he visto suplantado en algún escrito en el que se amenaza diciendo: como he visto que no cumple la ley, llame a este
teléfono. Y firmaban con mi nombre; no con mi firma, afortunadamente, pero sí con mi nombre. Se puede adoptar alguna medida tendente a evitar eso para que además las pymes no se vean perjudicadas por esos pirateos. Pero esto no solo vale en
protección de datos, existe igual en prevención de blanqueo de capital. Un ejemplo: Me pagas cuarto y mitad de curso de la Fundación Tripartita y yo a cambio te hago el manual de procedimientos y la auditoría de experto, no te preocupes. Se hace
igual en compliance penal. Por ejemplo: tienes un buzón de denuncias que cumple totalmente los criterios de la fiscalía a cambio de dos cursos de la Fundación Tripartita. Eso se hace en muchos ámbitos. Por tanto, sería necesario adoptar una
medida, y si se puede hacer aquí, muchísimo mejor.
Con esto creo que he contestado a todas las preguntas. Si me he dejado alguna, lo lamento sinceramente. Muchas gracias y perdón.
El señor VICEPRESIDENTE (Molinero Hoyos): Muchas gracias, señor Puente, por las aportaciones que ha hecho a esta Comisión. Servirá de mucho su experta opinión para la elaboración del proyecto de ley en curso.
Se levanta la sesión.
Eran las ocho y diez minutos de la noche.