Memoria 2011 Autoridad Catalana de Protección de Datos Depósito Legal B ISSN (versión CD-ROM) (versión internet)

Transcripción

1 Memoria 2011

2 Memoria 2011 Autoridad Catalana de Protección de Datos Depósito Legal B ISSN (versión CD-ROM) (versión internet) 2

3 1. Introducción La Autoridad Catalana de Protección de Datos La Dirección El Consejo Asesor de Protección de Datos Organigrama y plantilla de personal Recursos económicos Memoria de actuaciones Consejo Asesor de Protección de Datos La función de asesoramiento jurídico y de consultoría La función de asesoramiento jurídico Informes sobre proyectos de disposiciones de carácter general Consultas jurídicas Grupo de coordinación de asesorías jurídicas Representación y defensa de la APDCAT y recursos administrativos Elaboración de recomendaciones Participación en la elaboración de la proposición de Ley de Transparencia y Acceso a la Información Pública El servicio de consultoría del Área del Registro de Protección de Datos La potestad de inspección y de tutela de derechos Informaciones previas y procedimientos sancionadores Supuestos destacados Conculcación del principio de calidad de datos en su vertiente de finalidad Cesión o comunicación de datos personales Cesión o comunicación de datos personales especialmente protegidos Tratamiento ilícito (no cesión) de datos especialmente protegidos Conculcación del principio de consentimiento Vulneración del deber de secreto Falta de medidas de seguridad Procedimientos de tutela de derechos Supuestos destacados Derecho de acceso a datos de salud Derecho de acceso a datos no referentes a la salud Derecho de cancelación Derecho de rectificación Derecho de oposición

4 Coordinación entre las áreas de inspección de las diferentes agencias de protección de datos con competencias en el Estado español Planes de auditoría Datos más relevantes del informe del primer Plan de auditoría Segundo Plan de auditoría El Registro de Protección de Datos de Cataluña Informe de actividad de ficheros de titularidad pública Estado de las solicitudes de inscripción Estado de las inscripciones Evolución de las inscripciones de ficheros de titularidad de la Administración de la Generalitat Evolución de las inscripciones de ficheros de titularidad de entes de las administraciones locales Evolución de las inscripciones de ficheros de las universidades, Corporaciones de derecho público y otros entes públicos Informe de actividad de ficheros de titularidad privada Estado de las solicitudes de inscripción Estado de las inscripciones El Grupo de Registros La atención al público Canales de atención y consultas de información atendidas El portal Divulgación, actividades formativas y documentación Actividades de formación general en materia de protección de datos Actividades organizadas por la APDCAT Actividades en que ha participado la APDCAT Actividades de formación especializada Publicaciones Las relaciones institucionales Acuerdos y convenios institucionales Conferencias internacionales Participación en comités, grupos de trabajo y equipos de apoyo La gestión interna de los recursos Recursos humanos

5 Coordinación tecnológica y servicios informáticos Gestión económico-administrativa Comparecencia de la directora ante el Parlamento de Cataluña para presentar la memoria de

6 1. Introducción Esta memoria recoge las principales acciones llevadas a cabo durante el año 2011 por la Autoridad Catalana de Protección de Datos. Con la prevalencia de las tecnologías y la popularidad de las redes sociales, la noción tradicional de lo que es público y de lo que es privado ha cambiado, así como las expectativas de privacidad. Esto permite a los operadores justificar y proclamar que toda la información debe ser pública y compartida. Ciertamente que internet da unos instrumentos de participación sin precedentes, pero también da un poder sin precedentes a los proveedores y a las corporaciones que controlan su infraestructura. Hay que encontrar un equilibrio entre tecnología, legislación, intereses de los consumidores y formación de los ciudadanos, y debemos actuar de manera proactiva para preservar el entorno de información que las tecnologías han creado de imprevistos aún poco conocidos. No entendemos suficientemente el valor de los datos personales que compartimos y cómo esto configurará el futuro de la sociedad. Lo que se hace y se dice en internet tiene un impacto directo sobre el espacio físico y lo que pasa en la calle se difunde inmediatamente en la web, donde lo que se genera, vuelve otra vez a la calle y ciertamente, no hay separación entre el mundo físico y virtual. Todo es realidad, solo que expresada y gestionada con mecanismos diferentes. En el mundo físico, todo es privado por defecto y si queremos que sea público debemos actuar, ya sea publicando o levantando la voz. En cambio, en el entorno virtual, todo es público por defecto y si queremos que sea privado hemos de actuar, configurar la opción más garantista, y en todo caso, pensarlo bien antes de publicar información personal. Las innovaciones tecnológicas permiten una fácil acumulación de información que hace más difícil olvidar que recordar. De hecho, la tendencia natural de la humanidad a olvidar se ha convertido en una absoluta capacidad de recordar en el entorno virtual. Y así, cualquier pequeño error olvidado por el paso del tiempo ahora se mantiene y puede condicionar excesivamente nuestro presente. Es por ello que, a lo largo del año 2011, la Autoridad Catalana de Protección de Datos ha continuado desarrollando, de una manera especial, el modelo que debe permitir garantizar este derecho de manera preventiva, a través de su difusión e incorporando la prevención en el momento del diseño de las políticas públicas. 6

7 En el año 2011 hemos constatado, en términos generales, un considerable aumento en las actividades de la Autoridad. Respecto de la función de asesoramiento jurídico que lleva a cabo la Asesoría Jurídica se ha producido un incremento significativo derivado del incremento de la actividad de otras áreas y del número de recursos administrativos y recursos contencioso-administrativos. Su actividad también incluye, entre otras actividades, la de emitir informes sobre las disposiciones normativas que tienen incidencia en materia de protección de datos personales, participar en la emisión de dictámenes sobre las consultas remitidas por las entidades que forman parte del ámbito de competencia de la APDCAT, elaborar estudios, y este año 2011 ha asumido la elaboración del Boletín de Actualidad Jurídica, donde se recoge información de actualidad en materia de protección de datos, tanto en lo referente a nueva normativa, como decisiones judiciales y otros documentos que puedan resultar de interés (disponible en la web de la APDCAT). Este año se han elaborado treinta y cuatro informes sobre disposiciones de carácter general, la gran mayoría procedentes de la Generalitat de Cataluña y en menor medida de los entes locales. Según el tipo de disposiciones informadas, la mitad han sido órdenes de creación, modificación o supresión de ficheros que contienen datos de carácter personal. En cuanto a las consultas resueltas (los dictámenes se recogen en los anexos de la memoria) y que se formulan a la Autoridad para plantear casos concretos, se observa que las formuladas por los entes locales son casi la mitad (49%) y las de la Generalitat un 12%, con un pequeño aumento de las consultas procedentes de los consorcios y de las universidades. Estas consultas se refieren al ejercicio del derecho de acceso a la información, la comunicación o la cesión de datos personales, al tratamiento de datos de salud o de datos relativos a los trabajadores, en el ámbito de actuación de la Autoridad, a la difusión de información personal y a la videovigilancia, entre otros. Respecto de los recursos administrativos (veinticinco), dieciséis se han desestimado, uno se ha archivado y ocho han sido inadmitidos, mayoritariamente por falta de legitimación del denunciante para interponer recurso administrativo. Han aumentado los informes respecto a la creación de ficheros de videovigilancia y es relevante destacar, en este ámbito y desde la vertiente preventiva, que la Instrucción que elaboró la Autoridad en 2009 y que prevé que se elabore previamente a la creación del fichero una memoria con justificación y descripción del sistema que se quiere instalar, ha ayudado a realizar una valoración previa de la idoneidad de la medida. Aparte de eso, este año cabe destacar, entre otros, dada la importancia de los ámbitos objeto de regulación, el Proyecto de Decreto por el que se aprueba el Reglamento de la Ley 15/2009, de 22 de julio, de mediación en el ámbito del derecho privado. En este supuesto se recordó que hay que analizar los flujos informativos que se generan y los fines a alcanzar, para determinar la pertinencia de crear nuevos ficheros de datos personales. Respecto a la posibilidad de consultar los datos de los registros, en relación con la difusión de datos a través de internet, la Autoridad ha recordado que hay que tener en cuenta la proporcionalidad del tratamiento, aspecto que recoge la Recomendación 1/2008, sobre la difusión de información que contenga datos de carácter personal a través de internet. También, esta voluntad preventiva se refleja en los informes cuando se recuerda que hay que 7

8 realizar la evaluación del impacto de la utilización de medios electrónicos sobre la privacidad, previamente a la implantación de los servicios en cuanto a la tramitación del procedimiento electrónicamente. Así, se han informado disposiciones relativas a la implantación de la administración electrónica y la aplicación de la normativa sobre simplificación de trámites administrativos en la regulación de diferentes registros administrativos, como el Decreto 106/2008, de 6 de mayo, de medidas para la eliminación de trámites y la simplificación de procedimientos para facilitar la actividad económica. Los informes emitidos referidos a disposiciones de creación, modificación y supresión de ficheros que contienen datos personales es una de las actividades de la Asesoría Jurídica que ha permitido constatar de manera reiterada la existencia de carencias en relación con la procedencia de los datos personales, el procedimiento de recogida, y la información sobre el sistema de tratamiento empleado. Todo ello ha demostrado la conveniencia de dotar de herramientas a las instituciones para cumplir con la obligación establecida en el artículo 20 de la LOPD, por lo que se elaboró la Recomendación 1/2011 relativa a la inscripción de ficheros para servir de apoyos a las entidades en la elaboración de las disposiciones generales. En efecto, la Administración recoge muchos datos personales porque los necesita para cumplir sus obligaciones y dar los servicios que le piden. Para evitar un uso arbitrario de estos datos se establece un conjunto de obligaciones reguladas en la Ley orgánica de protección de datos de carácter personal. Algunas obligaciones serían, a modo de ejemplo, facilitar el derecho de información, obtener el consentimiento, en su caso, legitimar las cesiones de datos, e implantar las medidas que correspondan. Una de estas obligaciones, en el caso de los responsables de ficheros de titularidad pública, consiste en la creación de un fichero de datos personales antes de comenzar el tratamiento de los datos. Esta creación o, en su caso, la modificación o supresión de ficheros, se hace mediante una disposición de carácter general. Regular de manera clara y detallada los tratamientos de datos que se llevan a cabo por parte de las administraciones públicas implica dar una mayor transparencia, seguridad y confianza a los ciudadanos, ya que la información se transmitirá de manera mucho más comprensible para ellos. Esto requiere una labor previa de análisis del tratamiento que se quiere llevar a cabo en todos sus aspectos, entre otros, quién será el responsable de aquel fichero, cómo se recogerán los datos personales, de dónde se obtendrán estos datos, qué datos en concreto queremos recoger, para qué fines y usos o qué medidas de seguridad debemos aplicar. Por tanto, en el momento de la elaboración de la disposición ya podemos hacer una primera valoración global del tratamiento de los datos y, por tanto, un análisis de qué puntos pueden ser más conflictivos, es decir, podemos prever posibles riesgos para el derecho y poner de antemano las medidas protectoras que corresponda. En dicha Recomendación, se recogen una serie de cuestiones detectadas a partir de la experiencia de esta Autoridad en el ejercicio de estas funciones, y se ofrecen 8

9 recomendaciones y ejemplos para facilitar la tarea de redacción de estas disposiciones. A finales de año la Autoridad participó en una reunión de trabajo de la ponencia que está redactando la Proposición de ley de transparencia de Cataluña, donde insistió en que había que delimitar unos principios para las políticas públicas de gestión de la circulación de la información, en una ley catalana de la transparencia, y que estos principios sean coherentes con la regulación existente en el ámbito del derecho a la protección de datos. Hace ya más de treinta años que las legislaciones de muchos países superaron la idea tradicional de una privacidad y un acceso a la información como dos derechos que se entorpecen el uno al otro. Se han interpretado de manera coherente y tienen el mismo objetivo, defender una sociedad democrática que respete los derechos y libertades fundamentales. La existencia de una política pública coherente en Cataluña permitirá un análisis integrador favoreciendo una adecuada interpretación en el momento de realizar la ponderación de los intereses en juego en el caso concreto que se presente. La protección de datos no es más que una parte de un sistema que establece con claridad qué información se facilitará y con qué límites. A lo largo de los años, los poderes públicos han acumulado mucha información, siendo de gran utilidad para hacer estadísticas, para crear infraestructuras, para desarrollar políticas públicas en el ámbito de salud, de la educación, etc. Pero uno de los problemas ha sido cómo delimitar la fiabilidad de los datos acumulados, la calidad de los datos. El problema en último término se concentra finalmente en determinar bajo qué condiciones puede darse información y a quién. Y por tanto, cómo se relacionan los dos derechos: el derecho a la privacidad y el derecho de acceso a la información pública. Una transparencia o acceso a la información pública no es tanto un reto a la privacidad como un elemento necesario en el proceso de equilibrar los intereses públicos con las necesidades del ciudadano, con el fin de generar una definición útil y satisfactoria del propio derecho a la protección de datos personales. También, desde la vertiente preventiva, el servicio de consultoría del Área del Registro de Protección de Datos, que se dirige a los responsables de los ficheros y los tratamientos y a los encargados del tratamiento de los ficheros, ofrece su apoyo para adecuar sus instituciones a la normativa de protección de datos personales. Se puede pedir apoyo tanto en el momento de iniciar un nuevo proyecto que afecte al ámbito de protección de datos como en cualquier momento del proceso y el servicio se prolonga a lo largo del proceso de adecuación, en función de las necesidades de la entidad y del tipo de consulta que se plantee. Puede ser respecto al procedimiento de notificación de ficheros, identificando los tratamientos, o respecto a los niveles de medidas de seguridad a implantar. En este ámbito, las actividades han aumentado en un 22% respecto del año anterior. Se trataron cuestiones como la redacción de cláusulas informativas o de consentimiento informado, la identificación de los requisitos de legitimación de las cesiones de datos, la delimitación de las figuras del responsable del fichero y del encargado del tratamiento, los tratamientos de datos sensibles, etc. Así, se han resuelto cuestiones referidas a la identificación de las entidades responsables de los ficheros, la delimitación entre ficheros de titularidad 9

10 privada y ficheros de titularidad pública y se han revisado numerosas propuestas de disposiciones de carácter general de creación, modificación y supresión de ficheros. Cabe destacar el número de consultas derivadas de las reestructuraciones de los Departamentos de la Generalitat y la modificación consecuente de los responsables de los ficheros. En cuanto a las actuaciones de investigación llevadas a cabo por parte del Área de Inspección podemos diferenciar el procedimiento sancionador que se inicia en la mayoría de casos a partir de la presentación de una denuncia y la instrucción y propuesta de resolución de los procedimientos de tutela de los derechos de acceso, rectificación, cancelación y oposición, que se inician siempre a raíz de las reclamaciones presentadas por las personas afectadas. Todas las resoluciones se publican en la web de la APDCAT. Durante el año 2011, se modificó el régimen sancionador previsto en la LOPD y eso ha supuesto una revisión de las actuaciones de investigación abiertas y los procedimientos sancionadores en trámite, ya que era obligada la aplicación retroactiva si la nueva regulación favorecía los intereses de los presuntos infractores. Se ha producido un incremento importante en el número de denuncias y reclamaciones con un aumento porcentual de casi el 37%, que atribuimos a un mejor conocimiento de la ciudadanía del derecho a la protección de datos y a la consolidación de la Autoridad como institución de referencia en la defensa del derecho en Cataluña. También hay que poner de manifiesto que la proliferación del uso de internet ha dado lugar a bastantes denuncias, al igual que ya sucedió el año La mayor parte de las entidades investigadas son ayuntamientos y entidades vinculadas a estos entes locales, y, en menor medida, departamentos de la Generalitat y entidades vinculadas. Pero también hay entidades de derecho privado, dada la tendencia de las administraciones públicas a la externalización de servicios. En cuanto a los procedimientos sancionadores resueltos, el entorno más afectado es el de las cámaras de videovigilancia por vulneración de los principios de proporcionalidad y de finalidad. Otras infracciones destacadas han sido la falta de creación del fichero de titularidad pública y la vulneración del derecho de información. En relación con la actividad del Registro de Protección de Datos de Cataluña y atendiendo a la actividad de los responsables de ficheros, el número de notificaciones de ficheros de creación, modificación o supresión de datos, tanto de titularidad pública como de titularidad privada, ha sido de siete mil ciento veinticuatro frente a dos mil ciento setenta y ocho en el 2010, lo que representa un incremento del 227%, aunque hay que poner de manifiesto que un porcentaje muy elevado de notificaciones corresponden al Departamento de Enseñanza. A pesar de este hecho, si no se contabilizan estas, el incremento sería del 16,3%, en relación con el año anterior. Si nos referimos al estado de las inscripciones, el incremento es de un 120% respecto a las del año anterior. 10

11 Con referencia al servicio de atención al público, debemos constatar que se han recibido tres mil ochocientas noventa y cuatro consultas, suponiendo esto un aumento del 17% respecto del año anterior, muy probablemente derivado de un mayor conocimiento del derecho y de la institución que vela para que este derecho se respete. Al margen de las consultas, esencialmente telefónicas, sobre los requisitos exigidos por la normativa, las relativas a la inscripción de ficheros y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, los usuarios del servicio han mostrado preocupación por la difusión de sus datos personales a través de internet y han pedido orientación sobre qué pueden hacer para que esta información no aparezca. También para satisfacer las demandas de información y difundir una cultura y un conocimiento del derecho, la APDCAT tiene un portal donde se destaca la información que se considera relevante, las herramientas, los formularios y los recursos para facilitar el cumplimiento de las obligaciones de los responsables. El portal de la APDCAT ha registrado una media de treinta mil cuatrocientas treinta y nueve visitas al mes. Los documentos del portal más descargados son los materiales de privacidad para jóvenes. Un aspecto en el que la Autoridad ha incidido de manera muy directa en todas sus actuaciones es la difusión del derecho respecto de los niños y jóvenes, para fortalecer su conciencia respecto de lo que hacen cuando utilizan internet y las redes sociales. De la visibilidad permanente de lo que cuelgan y del impacto de esta información en su futuro. Los menores se preocupan de su privacidad aunque no quieran renunciar a su vida social. No son suficientemente conscientes de que el riesgo para la privacidad no es tanto la información que se comparte como lo que se puede deducir o interpretar de alguien basado en sus relaciones sociales y actuaciones diarias. Ante estas innovaciones tecnológicas, las autoridades de protección de datos deben seguir siendo vigilantes de la privacidad y promover que éstas sean analizadas de manera sistemática para medir si cumplen con el derecho fundamental de los ciudadanos, a la protección de sus datos personales. Estas son preocupaciones que comparten todas las autoridades de protección de datos de todo el mundo y en este sentido, hay previsiones en la futura normativa europea y en general, una gran cooperación en la protección de los menores. Además, las autoridades de protección de datos estamos coordinadas no solo en este ámbito sino en diferentes proyectos, como el de la protección de datos en los estados plurinacionales o compuestos donde hay más de una autoridad. Este proyecto lo inició hace cinco años la APDCAT y ha celebrado sus reuniones en Barcelona, Berlín, Montreal y Zurich. La coordinación de las agencias dentro del Estado español también se ha reforzado. Se reúnen regularmente grupos de trabajo de las diferentes áreas, secretarías generales, asesorías jurídicas, áreas de inspección y registro. La Autoridad catalana coordina el grupo de trabajo de asesorías jurídicas por la peculiaridad competencial 11

12 estatutaria en esta materia. Esta coordinación es importante ante las modificaciones hechas en la normativa española y las previstas a nivel europeo, así como por los efectos de las sentencias del Tribunal de Justicia de la UE. Uno de los cambios más relevantes introducidos en la LOPD ha sido la regulación de la figura del apercibimiento como una medida para que, con carácter excepcional, siempre que se trate de infracciones leves o graves y que con anterioridad el infractor no hubiera sido sancionado o advertido, y haya una concurrencia significativa de los criterios de atenuación previstos, en lugar de imponerse una sanción económica, en cuanto a los tratamientos privados, se haga un apercibimiento al sujeto responsable para que adopte las medidas correctoras. También, se realizan conjuntamente con otras autoridades de protección de datos jornadas y seminarios, de las cuales se pueden destacar dos referidos a la privacidad y la seguridad, donde se ha reflexionado acerca de cómo integrar la privacidad en la seguridad, cómo garantizar que cualquier medida de seguridad pública cumpla con la protección de datos, el nuevo paradigma mundial de la inseguridad donde el derecho a ser informado sobre lo que se hace con los datos personales se limita cuando se afecta la seguridad pública y la persecución de los delitos. En particular, cabe reflexionar respecto de las necesidades de la seguridad en el contexto de la cibersociedad para preservar los valores y principios del estado de derecho, las libertades civiles y derechos de los ciudadanos que se han consolidado a lo largo del tiempo. Estamos en un entorno donde no hay fronteras ni población claramente definidas ni hay reglas claras de cibercoexistencia, tenemos que afrontar un espacio de "bits" que debe ser pensado como la próxima sociedad mundial de la información, donde las normas no serán locales y donde hay una colaboración y un acercamiento global al problema y a las soluciones y alternativas menos lesivas para los ciudadanos y donde las medidas sean proporcionales a los riesgos que deben ser identificados previamente. Como autoridad acreditada, la APDCAT ha participado en la Conferencia Internacional de Protección de Datos que este año 2011 ha acogido ochenta autoridades de control de todo el mundo. Se ha abordado la interoperabilidad, los retos de las grandes bases de datos, las dificultades de un consentimiento explícito e informado, la vulnerabilidad de los jóvenes, la evolución de la tecnología condicionando el comportamiento del ciudadano, el derecho a la información y a la libertad de expresión, internet y los motores de búsqueda, y si es necesario un derecho al olvido o un replanteamiento de los principios existentes. Una de las preocupaciones de las autoridades ha sido la urgencia de una armonización legal, nuevos marcos reguladores, estándares, evitar la fragmentación legal y fortalecer la flexibilidad, pero al mismo tiempo se defendió no bajar el nivel de protección de la directiva europea, extenderlo y potenciar los delegados de protección de datos, la privacidad diseñada al inicio de los procedimientos, mejores prácticas, actuar localmente pensando globalmente frente a potentes proveedores de internet, tecnologías y mercado. La prevención en relación con la salvaguarda del derecho a la protección de datos de carácter personal ha sido uno de los ejes principales en el proceso de maduración de la Autoridad Catalana de Protección de Datos, como institución independiente encargada de velar para que se respete este derecho. 12

13 Hemos dedicado esfuerzos a la búsqueda de herramientas para hacer realidad un modelo catalán de protección de datos, basado en un enfoque preventivo. Así, uno de los rasgos fundamentales del carácter de esta institución es la voluntad de ser proactivos y adelantarnos a los retos que supone el paradigma de la sociedad de la información y el conocimiento y la convivencia, no siempre fácil, entre la evolución de las tecnologías de la información y el respeto a la privacidad. La Ley que crea la Autoridad Catalana de Protección de Datos incorpora ex novo la regulación de los planes de auditoría, una actuación iniciada tímidamente pero con convicción, que se ha ido reforzando tanto por la buena respuesta de las entidades auditadas como por el impacto real y medible de esta actuación. Y, en última instancia, por el apoyo definitivo que supone la decisión del Parlamento de Cataluña de incorporar este instrumento, en forma de sistema de control preventivo, en el contexto del derecho fundamental a la protección de datos de carácter personal de las ciudadanas y los ciudadanos de Cataluña. No se trata meramente de un elemento más de una metodología de trabajo sino que el día a día nos ha confirmado la importancia que tiene el hecho de que una persona específica tenga asignada una función relacionada directamente con la protección de datos personales en una institución. Tenemos la certeza que resulta una pieza clave para gestionar eficazmente el cumplimiento proactivo de las obligaciones y los deberes relacionados con los tratamientos de datos personales, y lo conectamos directamente con la figura del coordinador de protección de datos o data protection officer (delegados de protección de datos) que, de acuerdo con las características propias de cada entidad, sin duda debe existir. Importante mencionar, también, que gracias a esta actuación, muchas entidades han descubierto cuál es el papel de la APDCAT y han podido disponer de un canal de acceso directo a los profesionales y servicios de la Autoridad, más allá de las funciones propias de una autoridad de control de protección de datos. Pero también ha sido muy útil para la misma Autoridad, ya que nos ha permitido conocer más y mejor las entidades bajo nuestro ámbito de competencias. Para terminar esta introducción, quisiera hacer mención de la Propuesta de Reglamento europeo que ha sido publicada a principios de Actualmente se está realizando un profundo análisis de la situación del derecho a la protección de datos personales y cuál debe ser el nuevo enfoque que debe darse, que en todo caso debe pasar para tener en cuenta la rápida evolución de las tecnologías y la globalización de nuestro medio. Estos trabajos coinciden de lleno con el camino ya iniciado hace unos años por la APDCAT, la introducción de un modelo basado en la prevención. Intentar minimizar los riesgos para la privacidad haciendo una revisión previa de los tratamientos de datos y determinando los puntos críticos. Conceptos como privacidad diseñada, guías de evaluación de impacto... son conceptos que deben estar cada vez más presentes en el tratamiento de los datos personales y que se irán incorporando a cualquier evolución de las técnicas de tratamientos de información, entendida en su sentido más amplio. 13

14 Todo ello debe ir acompañado de elementos de transparencia, es decir, herramientas que permitan a las personas conocer de manera sencilla y clara qué se hace con sus datos personales, no solo se debe ser transparente respecto de los tratamientos principales sino que habría que facilitar información de las posibilidades de tratamiento que incorporan las tecnologías empleadas por las entidades, tanto públicas como privadas, que gestionan nuestra información. El contenido esencial del derecho a la protección de datos que no es otro que la posibilidad de controlar lo que los demás hacen con mis datos personales y, por tanto, hay que reforzar la información transparente. Y dentro de este marco, surge también el principio de responsabilidad (accountability) que, a pesar de no ser nuevo, ahora toma nueva fuerza. Este es un término anglosajón que tiene difícil traducción, aquí se ha traducido como "rendir cuentas". De hecho podríamos decir que lo que establece es la existencia de entidades responsables (diligentes) en el tratamiento de los datos personales. Este principio conlleva el establecimiento de medidas adecuadas y eficaces para garantizar la eficacia de los principios materiales de protección de datos y la necesidad de poder demostrar, si se es requerido, que se han adoptado estas medidas. Este principio encaja perfectamente con un modelo preventivo, ya que algunos de los ejemplos que se han puesto de medidas adecuadas son los coordinadores de protección de datos, la realización de evaluaciones de impacto y formación del personal. Así, para terminar volvemos al principio, la mejor manera de proteger el derecho es no vulnerarlo y esto solo se puede realizar (cuando menos minimizar los riesgos de vulneración) a través del establecimiento de mecanismos que ayuden a determinar de antemano los puntos de riesgo de los tratamientos de datos personales. Una memoria no puede ser exhaustiva, ni es suficiente para medir la actividad de la institución que la produce, sin embargo me gustaría mencionar en el 2011, la firma de convenios con colegios profesionales y con el Instituto de Estadística de Cataluña, así como también un acuerdo marco de colaboración con la Universitat Oberta de Catalunya (UOC), la organización de la III Jornada sobre protección de datos y seguridad en internet entre los menores, nuestra participación en el Salón de la Enseñanza y en el Salón de la Infancia y la Juventud en Manresa. Queremos dar instrumentos para que todos los ciudadanos y en especial los jóvenes, puedan asegurar su derecho en línea. Hay que decir, finalmente, que todas estas actuaciones, y muchas otras que no es posible reseñar con detalle en esta memoria que presentamos, son reflejo del trabajo ilusionado y profesional de muchas personas que confían en que, con su esfuerzo, pueden contribuir de alguna manera a difundir el derecho a la protección de datos personales. Esther Mitjans Perelló Directora de la Autoridad Catalana de Protección de Datos 14

15 2. La Autoridad Catalana de Protección de Datos La Autoridad Catalana de Protección de Datos (de ahora en adelante, APDCAT), según lo que establece el artículo 1 de la Ley 32/2010, de 1 de octubre, es el organismo independiente que tiene por objeto garantizar, en el ámbito de las competencias de la Generalitat, los derechos a la protección de datos personales y de acceso a la información vinculada a ellos. El artículo 2, referido a la naturaleza jurídica, califica a la APDCAT como una institución de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, con plena autonomía orgánica y funcional, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones. La APDCAT se relaciona con el Gobierno por medio del departamento que se determine por reglamento. La disposición transitoria tercera de la ley prevé que, mientras no entren en vigor los estatutos de la APDCAT, sigue siendo aplicable, en todo lo que no se oponga a esta ley, el Estatuto de la Agencia Catalana de Protección de Datos, aprobado por el Decreto 48/2003, de 20 de febrero. El artículo 1.2 de este Estatuto determina que la APDCAT se relaciona con el Gobierno de la Generalitat por medio del Departamento de Gobernación y Relaciones Institucionales. La APDCAT tiene la sede en la dirección siguiente: Llacuna, 166, 7ª Planta Barcelona Tel Fax apdcat@gencat.cat 15

16 2.1. La Dirección El artículo 7 de la Ley 32/2010, de 1 de octubre, prevé que el director o directora dirige la institución y ejerce su representación. El mismo precepto prescribe que el director o directora, con sujeción al ordenamiento jurídico, con plena independencia y objetividad y sin sujeción a ningún otro mandato imperativo ni instrucción, ejerce las actividades que establece el artículo 8 y las que se establezcan por ley o por reglamento. Y el artículo 8, por su parte, enumera las funciones del director o directora, ya sea a la hora de dictar las resoluciones y las instrucciones y aprobar las recomendaciones y los dictámenes que requiera el ejercicio de las funciones de la APDCAT, como también las derivadas del ámbito específico de sus competencias y las que tienen que ver con los ámbitos económico, de contratación y de recursos humanos. La directora actual es la Dra. Esther Mitjans Perelló El Consejo Asesor de Protección de Datos La Ley 32/2010, de 1 de octubre, contiene varias previsiones relativas al Consejo Asesor de Protección de Datos (de ahora en adelante, el Consejo Asesor), que es el órgano de asesoramiento y participación de la APDCAT. Lo constituyen los miembros siguientes (artículo 9.1): a) El presidente o presidenta, que es nombrado por el Consejo de entre sus miembros, una vez efectuada la renovación ordinaria de los miembros designados por el Parlamento. b) Tres personas designadas por el Parlamento, por mayoría de tres quintas partes. Si no obtienen la mayoría requerida, deben someterse a una segunda votación, en la misma sesión del Pleno, en que se requiere el voto favorable de la mayoría absoluta. c) Tres personas en representación de la Administración de la Generalitat, designadas por el Gobierno. d) Dos personas en representación de la Administración local de Cataluña, designadas por el Consejo de Gobiernos Locales. e) Una persona experta en el ámbito de los derechos fundamentales, designada por el Consejo Interuniversitario de Cataluña. 16

17 f) Una persona experta en informática, designada por el Consejo Interuniversitario de Cataluña. g) Una persona designada por el Instituto de Estudios Catalanes. h) Una persona en representación de las organizaciones de consumidores y usuarios, designada por el Consejo de las Persones Consumidoras de Cataluña. y) El director o directora del Instituto de Estadística de Cataluña. j) Un funcionario o funcionaria de la Autoridad Catalana de Protección de Datos, que actúa de secretario o secretaria del Consejo. La Ley dispone que la renovación de los miembros del Consejo Asesor se lleve a cabo cada cinco años, de acuerdo con los estatutos de la APDCAT (artículo 9.2). Determina, también, sus funciones y las cuestiones de las cuales el Consejo Asesor tiene que ser informado (artículo 10). En concreto, según dispone la ley citada, el Consejo Asesor tiene las funciones siguientes: Proponer al Parlamento la persona o las persones candidatas a ocupar el puesto de director o directora de la APDCAT. Emitir informe sobre los proyectos de instrucciones de la APDCAT que le sean sometidos. Emitir informe sobre el anteproyecto de presupuesto anual del APDCAT que el director o directora proponga. Asesorar al director o directora de la APDCAT sobre cuantas cuestiones le sean sometidas. Elaborar un informe preceptivo previo a la aprobación de la plantilla del personal de la APDCAT. Elaborar un informe vinculante sobre el número máximo de trabajadores de la plantilla de personal eventual de la APDCAT. Elaborar estudios y propuestas en materia de protección de datos de carácter personal y pedir al director o directora el establecimiento de criterios en la materia. Asimismo, el director o directora tiene que informar el Consejo Asesor de la actividad de la APDCAT, de manera periódica, de la memoria anual de la APDCAT y de los criterios objetivos de los planes de auditoría a que hace referencia el artículo 20 de la Ley. En relación con el régimen de personal, la Ley dispone que corresponde al Consejo Asesor fijar el número máximo de puestos de trabajo de confianza o de asesoramiento especial (artículo 27.4). La composición del Consejo Asesor es la siguiente: Presidente: Sr. Josep Amat i Girbau 17

18 El Sr. Josep Amat es vocal en representación del Instituto de Estudios Catalanes y ocupa la Presidencia desde la sesión del 7 de junio. Con anterioridad, la Presidencia la ocupó el Sr. Josep Cruanyes i Tor. Vocales designados por el Parlamento: Sr. Enric Colet i Petit Sr. Josep Oriol Ferran i Riera Sr. Lluís Sanz i Marco Representantes de la Administración de la Generalitat, designados por el Gobierno: En la sesión de 22 de marzo: Sra. Maria Teresa Aragonés i Perales Sr. Josep Cruanyes i Tor Sr. Joan Guanyabens i Calvet En las otras sesiones, por el Acuerdo GOV/93/2011, de 31 de mayo: Sr. Joan Bassas i Mariné Sr. Joan Guanyabens i Calvet Sr. Àlex Pèlach i Pàniker Representantes de la Administración local de Cataluña, propuestos por las entidades asociativas de entes locales: Sra. Ángela Acín i Ferrer Sr. Ramon Ferrer i Mormeneo Persona experta en el ámbito de los derechos fundamentales, propuesta por el Consejo Interuniversitario de Cataluña: Sra. Anna Sánchez i Urrutia Persona experta en informática, propuesta por el Consejo Interuniversitario de Cataluña: Sr. Remo Suppi i Boldrito Vocal en representación de los consumidores y usuarios, propuesto por las organizaciones de consumidores más representativas: Sra. Montserrat Torrent i Robledo El director del Instituto de Estadística de Cataluña: Sr. Frederic Udina i Abelló 18

19 Hay que tener en cuenta que los miembros mencionados fueron designados -con las excepciones señaladas- de acuerdo con las previsiones de la Ley 5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos, diferentes de las que hace la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos. La presencia de la Dirección del Instituto de Estadística de Cataluña, la recogen tanto una como otra leyes Organigrama y plantilla de personal Estructura En el capítulo V del Estatuto de la APDCAT, se establece su estructura en las áreas de Secretaría General, Asesoría Jurídica, Inspección y Área del Registro de Protección de Datos. Sin embargo, ha sido necesario crear la Coordinación de Auditoría y Seguridad de la Información. Así, el organigrama actual es el siguiente: Dirección Esther Mitjans Perelló Secretaría General Jordi Ferreres Jovaní Asesoría Jurídica Santiago Farré Tous Área de Inspección Carles San José Amat Área del Registro de Protección Datos Isabel Travesset Clavaux Coordinación de Auditoría y Seguridad de la Información Ramon Martín Miralles López Secretaría General El artículo 17 del Estatuto de la APDCAT recoge las funciones de la Secretaría General. Corresponde a esta unidad la gestión de los recursos humanos de la APDCAT. Es decir, la ordenación de la plantilla y la actualización de la relación de 19

20 puestos de trabajo, la provisión de éstos, la propuesta de medidas que permitan adecuar los efectivos a las necesidades de la APDCAT, la elaboración de planes de formación dirigidos al personal y la prevención de riesgos laborales. Se le atribuye, también, la gestión de los recursos materiales adscritos a la APDCAT, que comprende la elaboración del anteproyecto de presupuesto y el control del gasto correspondiente, la contabilidad, la gestión patrimonial y la contratación administrativa. También corresponden a la Secretaría General la organización de los servicios generales de apoyo logístico y la coordinación de las actuaciones en el ámbito de los sistemas de información, esto último en colaboración con Coordinación de Auditoría y Seguridad de la Información. Además, tiene a su cargo el Centro de Documentación y las actividades de difusión y divulgación que la APDCAT lleva a cabo en materia de protección de datos, así como la elaboración de la memoria anual. El Grupo de organización, modernización, comunicación y formación, que agrupa a las secretarías generales de las autoridades del Estado, ha mantenido dos reuniones: una presencial, celebrada en la sede de la APDCAT el 28 de febrero, y una por videoconferencia el 29 de junio. En el transcurso de estas reuniones se han tratado varias cuestiones. De entre ellas hay que destacar las referidas a la elaboración de materiales informativos y formativos para niños y jóvenes y a promover la introducción del derecho fundamental a la protección de datos de carácter personal en los planes de estudio. Concretamente, se ha trabajado en la adaptación y edición del recurso Sign up, log in opt out Protecting your privacy & controlling your data, de la Oficina del Comisionado para la Protección de Datos de Irlanda. Asesoría Jurídica La Asesoría Jurídica se configura de acuerdo con el que establece el artículo 18 del Estatuto del APDCAT. Corresponde a esta unidad el asesoramiento en materia jurídica y la función de emitir informes, con carácter preceptivo, sobre los proyectos de disposiciones de carácter general de la Generalitat de creación, modificación o supresión de ficheros de datos de carácter personal, sobre las disposiciones que afectan a la protección de datos de carácter personal, y, con carácter potestativo, sobre los proyectos de disposiciones de carácter general de los entes locales de creación, modificación o supresión de ficheros, y sobre las disposiciones que tengan impacto en materia de protección de datos de carácter personal que los entes locales sometan a consideración, como también responder las consultas que formulen las entidades de su ámbito de actuación sobre la protección de datos de carácter personal en poder de las administraciones públicas. Área de Inspección La APDCAT ejerce la potestad sancionadora que le atribuye el artículo 5.k) de la Ley 32/2010, de 1 de octubre, a través del Área de Inspección, con objeto de cumplir los objetivos de velar por el cumplimiento de la legislación vigente sobre protección de datos de carácter personal y de resolver las reclamaciones de tutela formuladas por 20