MEMORIA DE FUNCIONAMIENTO DE LA AGENCIA

Transcripción

1

2 MEMORIA DE FUNCIONAMIENTO DE LA AGENCIA 1. INFORMES SOBRE PROYECTOS DE DISPOSICIONES GENERALES De conformidad con lo establecido en el artículo 36 h) de la Ley Orgánica 5/92 de regulación del tratamiento automati - zado de datos de carácter personal, una de las funciones de la Agencia de Protección de Datos, consiste en informar con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley; por su parte, el artículo 5 en sus apartado a) y b), concreta este precepto estableciendo que la Agencia informará preceptivamente los proyectos de disposiciones generales de desarrollo de la Ley Orgánica, así como cualesquiera proyectos de ley o reglamento que incidan en la materia propia de la Ley Orgánica. El número de informes en este ámbito efectuado por la Agencia, sobre Proyectos de disposiciones, ha sido de 22, cifra ligeramente superior a los efectuados en el año anterior (20). Dentro de los mismos, merecen destacarse: * El informe sobre el nuevo texto del proyecto de Real Decreto por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan datos de carácter personal. * El informe solicitado por el Instituto Nacional de Estadística para una Instrucción sobre la cesión de datos personales obrantes en los Padrones Municipales solicitada por distintas Administraciones Públicas con la finalidad, de poder cumplir, más satisfactoriamente, las competencias que tienen atribuidas. * Informe sobre el proyecto de Reforma del Reglamento Hipotecario. * El informe acerca del Plan para la formación de una Base de Datos Nacional del Catastro en relación a su inclusión en los Anteproyectos de Ley de Presupuestos Generales del Estado y de Medidas Fiscales. * Informe sobre el Proyecto de Real Decreto por el que se aprueba el Reglamento por el que desarrolla el Título III de la Ley General de Telecomunicaciones. * También merecen especial mención los informes relativos al proyecto de reforma de la Ley Orgánica 5/92 para adap - tarla a la Directiva 95/46. En el Anexo I de la Memoria se contiene una relación completa de todos los que fueron objeto de informe. 2. CONSEJO CONSULTIVO * - El Consejo Consultivo, previsto en el artículo 37 de la LO 5/92 de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, y en los artículos 18 a 22 del Real Decreto 428/93 de 26 de marzo por el que se aprueba el Estatuto de la Agencia de Protección de Datos, se configura como órgano colegiado de asesoramiento del Director del Ente Público, cuyos cometidos se centran en emitir informe en todas las cuestiones que le someta el Director de la Agencia y formular propuestas en temas relacionados con las materias de competencia de ésta. * En su composición, está integrada por los siguientes miembros: * Presidente: * D. Juan Manuel Fernández López, Director de la Agencia de Protección de Datos. * Vocales: * D. Carlos Navarrete Merino, Diputado propuesto por Congreso de los Diputados * Dª. Rosa Vindel López, Senadora propuesta por el Senado * D. Álvaro de la Cruz Gil, Vocal de la Administración Local propuesto por la Federación Española de Municipios y Provincias. * D. Eloy Benito Ruano, Vocal propuesto por la Real Academia de Historia * D. Antonio Pérez Prados, Vocal propuesto por el Consejo de Universidades. * Dª. Nuria Díaz Anduiza, Vocal propuesto por el Consejo de Consumidores y Usuarios. * Dª. Elena Gómez del Pozuelo, Vocal del sector de ficheros privados propuesta por el Consejo Superior de Cámaras de Comercio, Industria y Navegación. * Secretaria: * Dª. Sofía Perea Muñoz, Secretaria General de la Agencia de Protección de Datos. * Un estricto cumplimiento de los artículos antes referenciados exigiría la designación de los Vocales que seguida - mente se relacionan: * Un representante de las Comunidades Autónomas, propuesto mediante acuerdo adoptado por mayoría simple de éstas. * Entre los temas objeto de estudio y análisis por el Consejo Consultivo pueden destacarse los siguientes: * Toma de posesión de los nuevos Vocales del Consejo Consultivo como consecuencia de su renovación por expira - ción del mandato del anterior Consejo. * Planes de actuación de la Inspección de Datos y del Registro General de Protección de Datos a lo largo de * Reunión en España de Autoridades de Protección de Datos XX Conferencia Internacional de Autoridades de Protec - ción de Datos en Santiago de Compostela en septiembre de 1998, organizada por la Agencia de Protección de Datos. * Convocatoria de la segunda edición del Premio Protección de Datos Personales, así como fallo del mismo.

3 * Transposición de la Directiva 95/46 CE y consiguiente reforma legislativa de la Ley Orgánica 5/ 92. * Resultado de las inspecciones a las policías locales. * Límites a la cesión de datos entre Administraciones en base al Padrón Municipal de Habitantes. * Medidas a adoptar para una mayor publicidad y conocimiento de la ley y concienciación de la obligación de cumplirla. * Códigos Tipo: Perspectivas de futuro. * Inscripción de Ayuntamientos en el Registro General de Protección de Datos. 3 EL REGISTRO GENERAL DE PROTECCIÓN DE DATOS 3.1. INTRODUCCIÓN El Registro General de Protección de Datos, es el órgano al que corresponde velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, con la finalidad de que los ciudadanos tengan la posibilidad de ejercitar los derechos de información, acceso, rectificación y cancelación de sus datos, pudiendo conocer a tal fin la siguiente información: - la existencia de ficheros automatizados - la finalidad de sus tratamientos - la identidad del responsable del fichero La Ley ha desechado el establecimiento de la autorización previa a la inscripción constitutiva en un registro con la pretensión de evitar una perniciosa burocratización, por lo tanto, la inscripción en el Registro General de Protección de Datos es declarativa. Por otra parte, la consulta es pública y gratuita y serán objeto de inscripción en el mismo, tanto los ficheros automatizados de los que sean titulares las Administraciones Públicas, como los ficheros automatizados de titularidad privada, así como las autorizaciones de transferencias internacionales de datos a países que no proporcio - nen un nivel de protección equiparable al que presta la ley, y los códigos tipo. En el Registro quedan inscritas todas las versiones por las que ha pasado la inscripción de un fichero, con la posibili - dad de consulta automatizada al histórico. Los principios de la inscripción de ficheros en el Registro General se pueden resumir en los siguientes puntos: - El responsable del fichero, deberá efectuar una notificación para su inscripción en el Registro, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos. - La inscripción de un fichero de datos no prejuzga que se hayan cumplido el resto de las obligaciones derivadas de la Ley. - La notificación de ficheros implica el compromiso por parte del responsable de que el tratamiento de datos personales declarados para su inscripción cumple con todas las exigencias legales. - La notificación de los ficheros de datos al Registro, supone una obligación para los responsables del tratamiento que posibilita el ejercicio de los derechos otorgados a las personas. - La notificación de los ficheros de datos personales, tiene como objeto principal asegurar la publicidad de los fines de los tratamientos y de sus principales características LÍNEAS DE ACTUACIÓN A lo largo del quinto año de actividad del Registro General, se han seguido estableciendo las actuaciones precisas para implantar las mejoras necesarias en los sistemas de organización y control con el fin de racionalizar y simplificar los trámites y métodos de los procedimientos de notificación e inscripción de ficheros. La gestión de todo tipo de movi - mientos referentes a la inscripción de ficheros ha sido significativamente fluída, ya que el tiempo medio de respuesta desde que una notificación tiene entrada en el Registro hasta que se emite la correspondiente resolución de inscripción al responsable del fichero no supera los tres días de media. Dentro de las actividades propias del Registro se ha trami - tado la inscripción de nuevos ficheros, se han modificado inscripciones y se han suprimido Las actuaciones puntuales del registro durante el año 1998, se han centrado en las siguientes grandes líneas de actuación: NOTIFICACIÓN DE INSCRIPCIÓN Y ADAPTACIÓN A LA DIRECTIVA 95/46/CE La Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, dispone en la sección IX del capítulo II las obligaciones relacionadas con la notificación de tratamientos. En el artículo 18 se establecen los principios de la obligación de notificación a la autoridad de control. En este artículo se determina que los Estados miembros podrán disponer la simplificación o la omisión de la notificación en determi - nados casos y condiciones.

4 El artículo 19 de la Directiva establece la información que, como mínimo, debe figurar en la notificación, coincidiendo en todos los apartados con la prevista en el artículo 18 de la LORTAD. Además, en este artículo se determina que serán los Estados miembros los que precisarán los procedimientos por los que se notificará a la autoridad de control. En el artículo 20 se determina que los Estados miembros precisarán los tratamientos que pueden suponer riesgos específicos para los derechos y libertades de los interesados y dispone que la autoridad de control los examine antes del comienzo de los mismos. En la ley española no está prevista la autorización previa en este tipo de tratamientos. En el artículo 21 se expone el principio de publicidad de los tratamientos, y se determina que los Estados miembros establezcan que la autoridad de control lleve un registro de los tratamientos notificados con arreglo al artículo 18. Este aspecto coincide plenamente con lo dispuesto en la ley española en relación con el Registro General de Protección de Datos. En este punto sería interesante hacer algunas consideraciones en relación con el concepto utilizado por la Directiva de tratamiento y el utilizado por la ley española de fichero. Tanto en la Ley como en la Directiva existen definiciones de los dos conceptos en idénticos términos. A efectos prácti - cos se puede considerar que: - La creación de un fichero exige, con carácter previo, la realización de diferentes tratamientos de datos personales: grabación, depuración, etc. - Un tratamiento de datos supone la realización de cualquier operación o conjunto de operaciones sobre datos que, requieren que estén estructurados, accesibles y almacenados en ficheros. Idéntica similitud de conceptos puede encontrarse en los modelos que al efecto se publicaron en la Resolución de 22 de junio de 1994, en el B.O.E. nº 149 de 23 de junio de Así, se puede observar que la denominación del cues - tionario aparece como "MODELO DE NOTIFICACIÓN DEL TRATAMIENTO AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL" Creación, Modificación y Supresión de ficheros. En el mismo sentido, en las Instrucciones para cumplimentar el modelo en el apartado de "Glosario de Términos" se define a efectos de comprensión y cumplimentación del modelo de notificación: Fichero automatizado: Todo conjunto organizado de datos de carácter personal que sean objeto de UN TRATAMIENTO AUTOMATIZADO, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Por lo tanto, y en el escenario de la declaración de ficheros, a los efectos de publicidad de los mismos, se puede considerar que el concepto al que se refiere la Directiva en su artículo 21 de Publicidad de los tratamientos, es equi - parable al concepto utilizado por la Ley española en su artículo 36.j) Velar por la publicidad de la existencia de los ficheros automatizados. De lo anteriormente expuesto, se desprende que el término "tratamiento de datos" contenido en la Directiva no difiere, sustancialmente, del término "fichero" de nuestra Ley, siendo el segundo más comprensible y de más larga tradición en nuestro idioma. Además, se realizaron los siguientes análisis y estudios en relación con la obligación de notificación de tratamientos de datos personales al Registro General de Protección de Datos con la finalidad de determinar la adecuación de los modelos de notificación de ficheros actuales al contenido de las notificaciones de tratamientos de datos personales contemplados en la Directiva: - Estudio del impacto de la Directiva en la notificación de ficheros de titularidad pública en el Registro General de Protección de Datos. - Planificación, estudio, desarrollo e implantación de los sistemas de información necesarios para implantar las nuevas medidas legales. - Posibilidad de instrumentalizar la notificación directa de ficheros vía Internet. Estudio de su legalidad y de los recursos tecnológicos necesarios. - Estudio y planificación de la incidencia del Proyecto del Reglamento sobre seguridad en la notificación de tratamien - tos al Registro General de Protección de Datos Como resultado de estos estudios se ha manifestado la necesidad de definir nuevos modelos de notificación de fiche - ros lo que implica el desarrollo de nuevas aplicaciones así como la adecuación de las actuales a las nuevas necesi - dades funcionales y legales. En el apartado 4 de este Capítulo se detallan con más precisión las nuevas necesidades INSCRIPCIONES SECTORIALES El Director de la Agencia ha mantenido diversas reuniones con responsables de determinados sectores para el análisis de su situación específica en relación con la protección de datos personales, y concienciarles sobre las obligaciones y responsabilidades en esta materia, así como de la conveniencia de realizar códigos tipo.

5 Se pueden resaltar por su interés, las mantenidas con el Consejo General de Colegios Notariales y otros colectivos profesionales así como con los sectores de seguros, banca y marketing INSCRIPCIONES DE FICHEROS PÚBLICOS Con el objetivo de concienciar a los responsables de ficheros de las Administraciones Públicas, a lo largo del año se han mantenido diversas reuniones y se han realizado requerimientos a los siguientes órganos: - Administración General del Estado: Reuniones con representantes de las Secretarías Generales Técnicas y unidades informáticas. - Administración Autonómica: Reuniones con representantes de las unidades informáticas responsables de ficheros. - Administración Local: Reuniones con Federaciones de Municipios, Diputaciones, unidades de coordinación de entes locales del Ministerio de Administraciones Públicas. Los aspectos que se han tratado, en líneas generales, son los siguientes: - Revisión de la inscripción actual, - Determinación de sistemas informáticos con datos personales que no han sido inscritos, - Inscripción masiva de ficheros (Colegios, Hospitales,...) - Propuesta de elaboración y distribución de normas y recomendaciones para los usuarios y responsables de sistemas que utilicen ficheros con datos personales TRANSFERENCIAS INTERNACIONALES Se ha analizado el impacto de la Directiva Europea de Protección de Datos en el concepto actual de Transferencia Internacional de Datos, así como las disposiciones que se deberían transponer a la ley española en lo relativo a las Transferencias Internacionales. Las conclusiones que se han obtenido se detallan en el apartado de esta memoria sobre Transferencias Internaciona - les NOTIFICACIÓN DE FICHEROS: DERECHO NACIONAL APLICABLE (Artículo 4 y 18 Directiva 95/46/CE) Con la entrada en vigor de la Directiva 95/46/CE en octubre de 1998, se han producido una serie de consultas y dudas de los responsables de ficheros en relación con la territorialidad de los mismos y su declaración a efectos de inscrip - ción. Es evidente que, los sistemas de tratamiento de datos deben estar al servicio del hombre; y por tanto, deben cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales y, en particular, la intimidad. La libre circulación de mercancías, personas, servicios y capitales, hace necesaria la libre circulación de datos personales y precisamente el avance de las tecnologías de la información facilita considerable - mente el tratamiento y el intercambio de datos. La informática permite almacenar datos en ficheros, pero aún es más importante la facilidad con la que posibilita el acceder a ellos en apenas segundos y tratar la información on-line, por distante que sea el lugar de la ubicación de los ficheros. Estas facilidades tecnológicas no deben menoscabar los derechos de los ciudadanos ante el tratamiento de sus datos. La aproximación de las legislaciones nacionales relativas al tratamiento de datos personales, no debe conducir a una disminución de la protección que garantizan. Los principios de protección de datos deben aplicarse a todos los tratamientos de datos personales y para evitar que una persona sea excluida de la protección, es necesario que todo tratamiento de datos efectuado en la Unión Europea, sea sometido a la aplicación de la legislación de algún Estado. El establecimiento, en territorio español, de una actividad que conlleve un tratamiento de datos, deberá cumplir las obligaciones impuestas por el Derecho español1. El avance de las tecnologías implica, en estos momentos, la posibilidad de realizar tratamiento de datos2, sin que sea determinante la ubicación de los soportes informáticos (ficheros); por lo tanto, podrían quedar sin contenido los dere - chos de los ciudadanos ante un uso indebido en el tratamiento de sus datos. Los procedimientos de notificación tienen por objeto asegurar la publicidad de los fines de los tratamientos y de sus principales características y una de las funciones más importantes de la autoridad de control es contribuir a la transpa - rencia de los tratamientos de datos efectuados en un estado miembro. Por todo lo anterior, se considera necesaria la notificación a efectos de inscripción, en el Registro General de Protec - ción de Datos, de los tratamientos de datos que se efectúen en un establecimiento en España que implique el ejercicio

6 efectivo y real de una actividad, con la finalidad de conseguir los siguientes objetivos: - Transparencia de los tratamientos de datos. - Identificación del responsable o representante en su caso. - Facilitar a los ciudadanos una dirección en España para poder ejercitar sus derechos. - Garantizar al máximo los derechos de los ciudadanos ante un tratamiento de datos, que se verían seriamente mermados si tiene que ejercer sus derechos ante el responsable del fichero en otro país. Las entidades domiciliadas en otro Estado miembro que traten datos en España, deberán cumplir, en los mismos términos que las entidades españolas, todos los preceptos de notificación que exija la Ley Orgánica 5/1992. Por lo tanto, tendrán que notificar la declaración de ficheros. Será indiferente donde se encuentren ubicados los ficheros en los que se almacenan los datos. Únicamente, a efectos de inscripción, tendrán que declarar, en su caso, las transferencias internacionales que efectúen, así como la ubicación del fichero. Las entidades domiciliadas en otro Estado miembro que pretenda tratar datos en España, vendrán obligadas a desig - nar, con carácter previo al comienzo de sus actividad de tratamiento de datos personales en España, un representante o encargado del tratamiento (persona física o entidad establecida en España), para que les represente a los efectos del cumplimiento de las obligaciones de notificación al Registro General de Protección de Datos y de información en la recogida de datos y facilite los derechos de acceso, rectificación y cancelación a los ciudadanos. Las entidades domiciliadas en terceros países que traten datos en España, deberán designar un representante esta - blecido en España, que deberá comprometerse a aplicar y cumplir las disposiciones vigentes en protección de datos. En el caso que los ficheros se vayan a ubicar o se realicen tratamientos de datos en un tercer país, además de cumplir con las notificaciones correspondientes a efectos de inscripción en el Registro General de Protección de Datos, debe - rán solicitar la autorización de transferencia internacional o declarar en su caso dicha transferencia si no fuera necesa - ria la autorización preceptiva. Los derechos de acceso, rectificación y cancelación serán facilitados por el representante establecido en España, para lo que deberá notificar, a efectos de inscripción, la dirección del establecimiento en España3, con la finalidad que el Registro General de Protección de Datos pueda proporcionar dicha dirección a los afectados cuando éstos la soliciten. Cuando se utilicen medios automatizados para el tratamiento de datos personales solamente con fines de tránsito por el territorio español, no será de aplicación lo expuesto en los párrafos anteriores LA NECESIDAD DE ADECUAR EL SISTEMA DE INFORMACIÓN DEL REGISTRO GENERAL DE PROTECCIÓN DE DATOS PARA AFRONTAR EL "EFECTO 2000" Y LA ADAPTACIÓN A LA DIRECTIVA 95/46/CE En la puesta en marcha del Registro General de Protección de Datos se desarrolló un sistema informático que permi - tiera inscribir, modificar, suprimir y consultar los asientos registrales de los ficheros automatizados con datos de carácter personal inscritos en el mismo. La rápida evolución de los equipos informáticos hacia entornos Windows y el abandono de entornos DOS, así como el problema derivado de que esta aplicación sólo permite la introducción de fechas anteriores al año 2000, hace necesa - ria la modificación de este sistema de notificación de ficheros. Por otra parte, la adecuación a la Directiva 95/46/CE conllevará la necesidad de modificar las aplicaciones del sistema de información del Registro para adaptarlo a las nuevas disposiciones legales. Estos cambios legales obligarán a la modificación del contenido de la notificación de ficheros con datos personales. Por otro lado, como la Agencia dispone de una página Web en Internet, que entre otra información incluye los modelos de formularios de declaración de ficheros, y siendo frecuente que los responsables de los mismos que consultan estas páginas, soliciten la declaración de ficheros a través de Internet, es por lo que se ha determinado la conveniencia de esta nueva forma de declarar ficheros. Todo ello conllevará, a lo largo del próximo año, la necesidad de efectuar modificaciones de los modelos normalizados en soporte papel y magnético a través de los que deben efectuarse las correspondientes inscripciones en el Registro, tanto en su entorno tecnológico como en el contenido de las notificaciones de datos, siendo necesario: - Modificación de los modelos de declaración de ficheros en soporte magnético, adaptándolos a los nuevos entornos Windows y eliminación del "Efecto 2000". - Facilitar la declaración de ficheros vía Internet.

7 - Modificación de la estructura de la base de datos del Registro y de las aplicaciones de forma que permita la adapta - ción a los cambios que surjan de la transposición de la Directiva 95/46/CE PUBLICACIÓN DEL CATÁLOGO DE FICHEROS INSCRITOS EN SOPORTE CD-ROM Y EN INTERNET Entre las funciones de la Agencia se encuentra la de velar por la publicidad de la existencia de los ficheros automati - zados de datos de carácter personal, a cuyo efecto publicará periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agencia determine. El Registro General de Protección de Datos, según dispone el artículo 26 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de Protección de Datos, debe publicar la relación de los ficheros inscritos en el mismo. El objetivo de este catálogo es dar publicidad de la existencia de los ficheros inscritos en el mismo, siendo fundamental conocer la dirección ante la que el ciudadano puede ejercitar los derechos de acceso, modificación y cancelación de sus datos personales que la Ley le reconoce. La primera publicación en soporte papel, correspondiente al año 1995, se editó en colaboración con el Boletín Oficial del Estado, resultando excesivamente voluminosa y por tanto poco manejable. Debido a ello, en la publicación del siguiente catálogo, correspondiente a 1996, se optó por un soporte óptico, en el que se podía incluir un software de búsqueda ágil, que permitiese localizar la información en él incluida a través de cual - quiera de los conceptos publicados por cada fichero inscrito en el Registro. Teniendo en cuenta las experiencias precedentes, para la publicación del catálogo correspondiente a 1997, se optó por continuar utilizando el soporte en CD-ROM, y se completó con la publicación del mismo en la red Internet. Asimismo, el ciudadano también puede pedir la información en soporte papel. Los datos publicados en el soporte CD-ROM para el Catálogo 1998, por cada uno de los ficheros inscritos en el Regis - tro, han sido: - Nombre del responsable del fichero. - Dirección en la que se pueden ejercer los derechos de acceso al fichero - Nombre del fichero y su descripción - Tipo, número y fecha del Boletín en el que se ha publicado la disposición de creación del fichero, para aquellos fiche - ros de titularidad pública. - Finalidad y usos del fichero. En la publicación en CD-ROM del Catálogo de ficheros 1998, se mantienen los criterios y facilidades de consulta por uno o varios de los campos que se publican por cada fichero, permitiendo además la consulta por texto libre. Por otra parte, dada la capacidad de almacenamiento del CD-ROM, se ha incluido la siguiente información publicada por la Agencia, que puede resultar de interés para aquellas personas que deseen consultar el Catálogo de ficheros, y que son: * Las memorias publicadas hasta el momento, correspondientes a los años 1994, 1995, 1996 y * Manual de Protección de Datos, incluyendo los modelos que pueden utilizar los ciudadanos en el ejercicio de los derechos que la Ley, les reconoce. * Legislación sobre Protección de Datos. * Ponencias de las Jornadas organizadas por este Organismo en 1995 y 1996, relativos a Seguridad y Derecho sobre Protección de Datos, respectivamente. * Estadísticas de la actividad del Registro General de Protección de Datos. * Utilización y control de datos laborales automatizados. Premio protección de datos * Recomendaciones para usuarios de Internet. Para cumplir con el precepto de dar publicidad a la existencia de ficheros se ha mantenido, con una actualización mensual, el catálogo de ficheros en la Web de la Agencia, lo que permite completar las publicaciones que se vienen realizando en papel y en CD-ROM, permitiendo con este medio que los ciudadanos puedan conocer la situación de los ficheros a efectos de inscripción con una actualización mensual.

8 Asimismo, se han publicado los modelos de declaración de ficheros en la página Web de la Agencia, facilitando de esta forma la obtención de los impresos establecidos como modelos normalizados en la Resolución de 22 de junio de 1994 publicada en el B.O.E. nº 149 de 23 de junio de La publicación en Internet se incluye como una opción mas dentro de la Web institucional de la Agencia, donde se puede encontrar en primer lugar, información con carácter general. También se facilitan las instrucciones necesarias para inscribir nuevos ficheros en el Registro, pudiendo obtenerse el modelo normalizado de inscripción tanto de fiche - ros de titularidad pública, como de titularidad privada y el catálogo de ficheros propiamente dicho. En el catálogo de ficheros a través de Internet, se incluye de cada inscripción de fichero el nombre del responsable y/o encuadramiento administrativo, en función de la titularidad, dirección en la que se pueden ejercer los derechos de acceso al fichero, nombre del fichero y su descripción y el tipo, número y fecha del Boletín en el que se ha publicado la disposición de creación del fichero, para los ficheros de titularidad pública. La consulta de ficheros en Internet puede realizarse a través de un formulario que presenta todos los campos publica - dos por cada fichero, introduciendo en uno o varios de ellos el texto por el que se desea efectuar la búsqueda. Opcio - nalmente, indicando un texto libre, es posible localizar todos los ficheros que contengan dicho texto en cualquiera de los campos del formulario de búsqueda. Además, para los ficheros de titularidad pública se ha establecido una consulta que reproduce la estructura jerárquica de los diferentes tipos de Administración, permitiendo navegar y desplegar sus ramas (Organismos, Centros Directivos y Unidades), hasta localizar el responsable buscado. Con cualquiera de las opciones de búsqueda se obtiene la relación de ficheros que cumplen los criterios establecidos, pudiendo ampliar la información detallada declarada en su inscripción en el Registro, y publicada para un fichero concreto. Del análisis de las estadísticas de acceso a la página web se observa un número creciente de accesos a la misma, con una media cercana a accesos mensuales a las páginas. De éstas, aproximadamente, el 20% corresponden a accesos a la información del Registro General de Protección de Datos, tanto a los apartados en que se indica la forma de realizar la declaración de ficheros, como a la consulta del Catálogo de ficheros o a los modelos de formularios para la declaración de los mismos. De ellos el 70%, acceden a la herramienta de consulta del catálogo de ficheros, bien sea a través de las pantallas de consulta general o a través de la consulta de búsqueda jerarquizada para los ficheros de titularidad pública. Otro 15% accede a los formularios de inscripción de ficheros. El número de detallado de accesos, distribuido por meses, se recoge en el siguiente cuadro:

9 TOTAL ACCESOS PAGINA WEB AGENCIA ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC REGISTRO GENERAL PROTECCION DE DATOS NORMAS INSCRIPCION FICHEROS USO DE LA INFORMACION CONTENIDA CONSULTA DE FICHEROS FORMULARIOS FORMULARIOS DE TITULARIDAD PRIVADA FORMULARIOS DE TITULARIDAD PUBLICA FICHEROS DE TITULARIDAD PRIVADA EXPEDIENTES DE INSCRIPCIÓN, MODIFICACIÓN Y SUPRESIÓN Corresponde al Registro General de Protección de Datos instruir los expedientes de inscripción de los ficheros automa - tizados de datos de carácter personal. Asimismo, le corresponde instruir los expedientes de modificación y cancelación del contenido de los asientos y rectificar de oficio los errores materiales de los mismos. Los trabajos referentes a los movimientos en los asientos registrales constituyen el núcleo de la actividad diaria del Registro. Pueden distinguirse tres grandes apartados, los movimientos de inscripción de ficheros, los de modificación de la inscripción y los de supresión Inscripción de ficheros * Cifras generales. A lo largo de 1998 se han tramitado solicitudes de inscripción de ficheros de titularidad privada, de las que se han derivado al final del ejercicio ficheros, lo que supone un 1,1 % de las inscripciones que constituyen, al cierre del año, la cifra total de ficheros privados inscritos en el Registro. Si contrastamos la cifra de operaciones de alta de ficheros privados de 1998 con las altas de 1997, las altas de 1996, las de 1995 y las de 1994, se observa la tendencia decreciente de este tipo de operaciones en relación con los primeros años de inscripción. Este resultado es lógico porque el mayor número de ficheros se inscribió en el proceso masivo inicial que comprendió la inscripción del año 1994 y que también influyó en parte en la inscripción de En el último año se ha producido un aumento en la inscripción respecto al año anterior, originado en parte por el progresivo aumento del conocimiento de la Ley, que tienen los responsables de ficheros, debido a las campañas de información que la propia Agencia de Protección de Datos realiza y en parte a la coyuntura económica favorable a la creación de nuevas empresas.

10 El gráfico que se presenta a continuación muestra la evolución de la inscripción en porcentaje a lo largo de los cuatro últimos años. Por otra parte, el número de entidades que ha solicitado inscribir ficheros en 1998 es de 1.150, lo que supone una media de inscripción de prácticamente dos ficheros por empresa, cifra que coincide con la relativa a 1997, 1996 y 1994 y que supera ligeramente a la del año 1995 (1,5 ficheros por empresa). * Modelo de notificación. Es de resaltar que el 61,5% de las operaciones de alta de ficheros privados del año 1998 se ha notificado en soporte magnético, con lo que la tendencia a utilizar este tipo de sistema sigue siendo superior al modelo del cuestionario en soporte papel, al igual que en años anteriores (en 1997 el porcentaje de operaciones de alta por disquete fue del 57, 6%, en 1996 fue del 53,6%, en 1995 fue del 76,2% y en 1994 fue del 56,1%). La tendencia a utilizar como modelo de notificación el soporte magnético más que el soporte papel, es una característica que se mantiene a lo largo del tiempo. En cuanto a este punto, la evolución de la tecnología con la aparición de nuevos sistemas operativos, así como el efecto 2000, han provocado la obsolescencia de la aplicación actual, lo que hace necesario un nuevo modelo que permita realizar las notificaciones en soporte magnético y a través de Internet. Esta aplicación estará operativa en el año 1999 solucionando los problemas anteriormente citados. * Tipos de datos. En cuanto a la tipología de datos declarados en los ficheros privados inscritos en el ejercicio de 1998, aparte de los datos de carácter identificativo que aparecen lógicamente en el 100% de la inscripción, predominan los datos de características personales (54,2% de la inscripción) y los económico-financieros (44,4% de la inscripción), seguidos de los datos de detalles de empleo (34,3%), los de circunstancias sociales (18,3%), los académicos y profesionales (18, 3%), los de transacciones (18,2%) y los de información comercial (15,3%). En una escala inferior (9%) se encuentran las declaraciones de ficheros que contienen datos de salud, vida sexual y origen racial, encuadrados bajo la denomi - nación de "otros datos especialmente protegidos". Por último los "datos especialmente protegidos" de ideología, creencias y religión afectan a un 0,4% de la inscripción del ejercicio. Si analizamos los datos sobre tipología de todos los ficheros que se encuentran inscritos en el Registro, se obtienen resultados similares (el 51,3% han declarado datos económico financieros, el 40,2% datos de características persona - les, el 31,7% datos de características de empleo, el 25,5% datos de transacciones, el 19% datos de información comer - cial, el 12,7% datos académicos y profesionales, el 10,3% datos de circunstancias sociales, el 1,7% otros datos espe - cialmente protegidos y el 0,15% datos especialmente protegidos). En la gráfica siguiente se comparan los datos sobre tipología en la inscripción total de ficheros con los relativos al año 1998 observándose una tendencia similar, excepto en la declaración de ficheros que contienen datos de salud, vida sexual y origen racial, significativamente más alta este año por las razones que se analizan en el siguiente apartado.

11 * Datos especialmente protegidos. Respecto a los datos especialmente protegidos relativos al apartado 1 del artículo 7 (ideología, creencias o religión), se han inscrito seis ficheros que declaran datos de ideología, un fichero con datos de creencias y cuatro ficheros con datos de religión. Los ficheros que declaran datos de ideología son los que contienen información relativa a la afiliación sindical de los empleados de las empresas, información que se recoge y gestiona según lo dispuesto en el artículo 11 de la Ley Orgánica 11/1985 de 2 de Agosto, de Libertad Sindical, con el consentimiento del afectado y con el fin especí - fico de la recaudación de cuotas de los afiliados por pertenencia a un sindicato y control de horario de trabajo con fines sindicales. Los ficheros que declaran datos de religión tienen como finalidad la gestión automatizada de la declaración del Impuesto sobre la Renta de las Personas Físicas, y señalan el dato de religión debido a la opción que se debe reflejar en la declaración relativa a la cuota destinada por el Estado a sufragar las necesidades de la Iglesia Católica. Asimismo, contempla datos de religión un fichero inscrito por Cruz Roja Española cuya finalidad es la atención social a inmigran - tes para la tramitación de la solicitud de asilo o refugio y para la regularización de su situación documental en España. Se declaró también un fichero con datos de ideología, creencias y religión correspondiente a un archivo que contiene información sobre investigación histórica relativa a la Guerra Carlista. En relación a los datos de salud, origen racial y vida sexual enumerados en el artículo 7.3 de la Ley, se observa un incremento en la declaración de ficheros que contienen este tipo de datos. Se han inscrito 202 ficheros que declaran datos de salud, correspondiendo una parte considerable de los mismos a ficheros cuya finalidad es la gestión de recursos humanos de empresas que mantienen políticas de prevención de riesgos laborales y vigilancia de la salud de sus trabajadores. También incluyen datos de salud los ficheros de entidades del sector asegurador que ofrecen segu - ros de vida y salud o que gestionan pólizas de asistencia sanitaria o decesos. Así mismo, responsables del sector sanitario, como hospitales, clínicas y médicos declaran datos de salud en sus ficheros de historiales clínicos, seguimiento de pacientes y proyectos de investigación. Otras entidades que declaran ficheros con datos de salud son los laboratorios químicos, farmacéuticos y ópticos que tratan este tipo de datos con la finalidad de realizar ensayos clínicos. También declaran datos de salud asociaciones y entidades cuya actividad es la prestación de servicios sociales. Mención aparte merecen los ficheros que contienen datos de salud con la finalidad de la atención farmacéutica y seguimiento del uso de medicamentos, cuya inscripción se ha derivado del proyecto TOMCOR (Treatment Out Mainte - nance Coronary) y que ha influido decisivamente en el aumento de este tipo de datos en la inscripción de Prácticamente un tercio de la inscripción total de ficheros con datos de salud declarada durante el año 1998 proviene de responsables del sector farmacéutico adscritos a este proyecto. TOMCOR es un proyecto de investigación cuya fina - lidad consiste en realizar un seguimiento de productos farmacéuticos en enfermos coronarios. El proyecto está finan - ciado por la Asociación Red Española de Atención Primaria (REAP), asociación sin ánimo de lucro, que se dedica a fomentar y financiar proyectos de investigación en las áreas de Farmacia y Medicina. Para la ejecución del proyecto la REAP ha dotado de una aplicación informática a un grupo de oficinas farmacéuticas colaboradoras con el proyecto. Estas farmacias envían a la REAP periódicamente la información sobre los medicamentos que se suministran a los pacientes donde se centraliza la información del colectivo en estudio. En estos ficheros, se declaran los datos de salud amparándose en el consentimiento expreso del afectado. Por otra parte, existen dos ficheros notificados en 1998 que declaran datos de origen racial, uno de los cuales refleja como finalidad la atención social a inmigrantes y el otro contiene datos demográficos y analíticos de personas partici - pantes en ensayos clínicos. Dado lo sensible de estos datos, se requirió a los responsables para que justificaran y

12 aclararan la necesidad del tratamiento automatizado de estos datos. En el primero de los casos, nos informaron que su finalidad era la de atención social a la inmigración con el objeto de tramitar la solicitud de asilo o refugio y la consi - guiente regularización de su situación en España. En el segundo de los casos, la finalidad del fichero declarado es la creación de una base de datos de voluntarios para investigación científica, el responsable del fichero justificó el trata - miento del dato de origen racial, en razón a la necesidad descrita en los protocolos de investigación dado que hay distintos polimorfismos genéticos en las distintas razas, lo que conlleva un distinto comportamiento del organismo tras la toma de determinados fármacos, pudiendo influir también en los resultados, el régimen dietético y otros hábitos de ciertas culturas. Se han inscrito también seis ficheros que consignan el tipo de datos relativos a vida sexual amparán - dose en las finalidades de investigaciones científicas y médicas e historial clínico. No se procedió a la inscripción en un caso que se notificaban otros datos especialmente protegidos de vida sexual en un fichero del sector asegurador, cuya finalidad era el control y la gestión de la cartera de seguros. Se requirió al responsable del fichero para que aclarara la necesidad del tratamiento de este dato comunicándose la decisión de no grabar ni tratar este tipo de datos, dado que podría suponer un acto de discriminación. Por imperativo legal los datos especialmente protegidos de ideología, creencias y religión, se declaran con consenti - miento expreso y por escrito del afectado. Con otros datos especialmente protegidos (origen racial, salud y vida sexual), prácticamente la totalidad de los responsables declaran el consentimiento expreso del afectado, salvo en porcentaje insignificante que declaran datos de salud amparándose en la Ley General de Sanidad. En todo caso, los responsables de los ficheros que declaran cualquier tipo de dato especialmente protegido son requeridos para que justifiquen y aclaren la necesidad del tratamiento de los mismos y su adecuación a los usos y fines legítimos de los ficheros. * Finalidades y usos En cuanto a los usos declarados en los ficheros inscritos en 1998 destacan aquellos que declaran como finalidad del tratamiento la gestión contable, fiscal y administrativa (33%), la gestión de clientes (30%), obtención de estadísticas diversas (28%), gestión de cobros y pagos (25,6%), publicidad propia (22,7%), gestión de personal (21,2%), seguridad y control interno (13,6%), históricos de relaciones comerciales (13,5%), prospecciones de mercado (10,2%), encuestas de opinión (6,8%), selección de personal (6,1%) y publicidad para terceros (5,7%). Estas cifras ponen de manifiesto el aumento continuado de creación de ficheros cuya finalidad declarada es la contabilidad, gestión de cobros y pagos, gestión de clientes, fiscalidad, gestión de personal y nóminas. Estas cifras son lógicas ya que la mayoría de las enti - dades están informatizando la gestión interna de la empresa. Hay finalidades como la solvencia patrimonial y el crédito que presentan un descenso considerable respecto a años anteriores debido a la consolidación del sector. En cuanto a las finalidades y usos referidos a la inscripción total de ficheros predominan aquellos que han declarado como finalidad la gestión contable, fiscal y administrativa (65,6%), la gestión de cobros y pagos (43,2)%, la gestión de clientes (31,6%), la obtención de estadísticas diversas (26,8%), la gestión de personal (26,1%), históricos de relaciones comerciales (15,7%), publicidad propia (9,6%), asesorías y servicios relacionados (6,6%), seguridad y control interno (5%) y prospecciones de mercado (3,4%). Si comparamos la inscripción por finalidades de los ficheros notificados durante el año 1998 con la inscripción total por finalidades en la base de datos, se observa un aumento significativo en la finalidad de selección de personal, debido en su mayor parte a las declaraciones de inscripción de ficheros por parte de las empresas de trabajo temporal. También experimenta un aumento significativo la finalidad de seguridad y control interno, debido a la tendencia actual de utilizar este tipo de servicios, que implica la declaración de ficheros realizados desde este sector. También ha influido la declaración del sector de Actividades Recreativas tales como Salas de Bingo o Casinos, que declaran los ficheros de acceso, amparándose en el Reglamento de Casinos y Juegos de las distintas Comunidades Autónomas. Mención aparte merece el aumento que presentan en el año 1998 las declaraciones de inscripción de ficheros con finalidades de encuestas de opinión, prospección de mercado, publicidad propia y publicidad para terceros. Este aumento puede estar basado en el desarrollo de nuevas técnicas en el ámbito del tratamiento de la información como, datawarehouse, data mining, data mart, sistemas de ayuda a la decisión (DSS), etc., relacionadas con los sistemas de ayuda a la dirección y que pretenden ofrecer soluciones en los procesos de negocio para la toma de decisiones en general y en el ámbito del marketing en particular. Estas técnicas surgen por la necesidad de hacer más operativa la enorme cantidad de información almacenada en distintas bases de datos. El desarrollo de las nuevas tecnologías de la información, aplicadas al marketing, están comenzando a introducirse en nuestro país, lo que exigirá analizar su incidencia en la intimidad. Desde la perspectiva de la Agencia de Protección de Datos, es importante en primer lugar, que el ciudadano tenga conocimiento de la existencia de estas nuevas técnicas a la hora de proporcionar sus datos y el consentimiento para su utilización en los principios que especialmente protege la LORTAD, sobre todo el principio de finalidad que podría resultar conculcado con el uso de estas técnicas. La Agencia de Protección de Datos ha tomado conciencia de su irrupción en el marcado español y permanece vigilante ante el mal uso potencial en el que se podría incurrir en el tratamiento de datos de carácter personal. A continuación, se definen brevemente en concreto las técnicas en las que se basan estos tratamientos automatizados:

13 - datawarehouse: con este nombre se aglutinan una serie de diseños de bases de datos que tienen en común que son una agrupación de un gran volumen de datos. Estos datos provienen de diversas áreas funcionales de la empresa y pueden guardar datos históricos y/o acumulados para facilitar una determinada consulta. Pueden tener un grado mayor o menor de desfase con respecto a los sistemas on-line. Estos diseños de datos pueden realizarse una vez que el usuario conoce el tipo de consulta que va a realizar o puede que se realice sin conocer lo que se va a pedir, con lo cual se convierte en un gran almacén de datos para su posterior consulta. - data mining: se basa en el uso de los algoritmos estadísticos de análisis multivariante para descubrir sutiles relaciones, o relaciones ocultas entre elementos que constituyen la información de las bases datos, así como la generación de modelos predictivos basados en ellos. En lo relativo al marketing, las técnicas de data mining derivan en un marketing inteligente aplicado al cliente individual que tiene como finalidad esencial el adquirir una visión integral del mismo en todas sus facetas (económica, de relación con la entidad, perfil socioeconómico, historia detallada, entorno, etc.) y desde un gran número de perspectivas. En particular, la técnica de redes neuronales, puede identificar los patrones de comportamiento de los clientes a partir de complejas interacciones entre variables de cuya información se dispone en las bases de datos, permitiendo extraer la información de las mismas de forma dirigida, construir muestras y analizarlas, y finalizado el proceso, extender los resultados a toda la base de datos en tiempos muy cortos. Una vez identificados perfiles y patrones de comportamiento, se puede realizar publicidad dirigida y marketing inteligente en general. - data mart: diccionario de datos al que acceden los usuarios finales y contiene información correspondiente a una sola área o un solo tema funcional de una empresa. - sistemas DSS (Decision Support Solutions): término general que describe aplicaciones para el análisis de grandes cantidades de datos y la realización de gran variedad de cálculo y proyecciones. * Origen y procedencia de los datos En cuanto a la procedencia de los datos declarados en los ficheros inscritos en 1998, destacan aquellos que declaran que los datos grabados en sus ficheros provienen del propio interesado o su representante legal (91,5% de los ficheros declarados), seguido de aquellos que declaran el origen a través de entidades privadas (13,6%), fuentes accesibles al público (9,3%), otras personas distintas del afectado o su representante legal (6,8%) y administraciones públicas (4,7%). En la mayoría de los casos es el propio interesado el que aporta la información, lo cual concuerda con la elevada cifra de ficheros inscritos cuya finalidad declarada puede estar amparada en la existencia de una relación contractual que implica necesariamente que el dato lo aporte el propio interesado; tal sería el caso de la gestión de la contabilidad, fiscalidad, gestión de personal y nóminas constatados en el apartado anterior. Por otra parte, la cifra referente a la procedencia de los datos de las administraciones públicas no resulta demasiado fiable, debido a la dificultad de interpretación de este concepto por parte de los declarantes, produciéndose confusión con fuentes accesibles al público. Si analizamos la información de todos los ficheros inscritos en relación a este apartado, nos encontramos que el (90% de ficheros declaran como procedencia de sus datos el propio interesado o su representante legal. El 12,6% que proceden de entidades privadas, el 4,4% que proceden de fuentes accesibles al público, 2% de otras personas distintas del afectado o su representante y 1,7% que su origen estaría en las Administraciones Públicas). Se observa en los años 1997 y 1998 un aumento significativo de los ficheros que declaran como origen de sus datos la procedencia de fuentes accesibles al público, de Administraciones Públicas y de otras personas distintas del afectado, originado posiblemente por la utilización creciente de las bases de datos accesibles al público en Internet. Así mismo, se puede observar, que para el resto de apartados de procedencia de los datos, las cifras que se recogen del año 1998 son bastante coinci - dentes con las cifras de las inscripciones que configuran el Registro.

14 El gráfico siguiente presenta las cifras de inscripción total en el Registro en relación con la procedencia de los datos y las compara con las relativas al año * Soporte utilizado en la recogida de los datos El 80% de los ficheros que se han notificado al Registro durante el año 1998, declaran que el soporte utilizado en la recogida de los datos ha sido a través de cuestionarios y métodos convencionales. Los datos que se han grabado o recogido directamente en soportes tecnológicos (directamente desde el teclado del ordenador o a través de medios telemáticos) alcanzan la cifra del 35,6% los primeros y el 16,2% los segundos. Si analizamos todos los datos de los ficheros que constan inscritos en el registro y comparamos con las cifras de este año, destaca el aumento durante los años 1997 y 1998 de las nuevas tecnologías en la recogida de los datos. Esto es debido sobre todo a la fuerte incidencia de nuevos medios de acceso a la información, como es el caso de la red Internet, lo que también está en consonancia con los datos reflejados en el apartado anterior. El gráfico siguiente presenta las cifras de inscripción total según el soporte de recogida de los datos y las compara con las relativas al año * Procedimiento de recogida. En cuanto al procedimiento de recogida de los datos de los ficheros inscritos en 1998 predominan aquellos que consignan como medio de recogida las declaraciones o formularios (54,2%) seguido de encuestas o entrevistas (24, 4%), transmisión electrónica de datos (11,3%), directorios telefónicos y comerciales (7,2%) y registros públicos (4%) y otros procedimientos de recogida (27,6%). Estas cifras concuerdan con las cifras sobre soporte de recogida de la información, con las cifras de inscripción por finalidades, y con las cifras declaradas en relación al origen de los datos cuando se consigna el propio interesado, ya que los datos de los ficheros de contabilidad, fiscalidad, gestión de personal y nóminas, que son los predominantes, suelen recogerse inicialmente en formularios en papel o mediante entrevista directa con el afectado. En relación a la comparación con los datos totales del Registro se puede resaltar

15 también en este caso, el aumento de los procedimientos que implican el uso de vías telemáticas y soportes informáticos. El apartado "otros procedimientos de recogida" engloba distintos procedimientos de obtención de información que no están normalizados en el modelo de notificación de ficheros. En este apartado se contemplan distintas formas de obtención de datos, en la mayoría de los casos facilitados por el propio interesado, pero a través de nuevos medios de captación de la información, como los cupones respuesta y testigos de compra, catálogos y cuestionarios, campañas publicitarias, "buzoneo", recogida de currículos, encuestas telefónicas, fax, sistemas audiotext. Alguno de estos proce - dimientos a su vez implica la utilización de las nuevas tecnologías como medios de transporte. Si analizamos los datos de procedimiento de recogida referidos a la inscripción total el 42,1% del total de ficheros declaran que los datos se han recogido con procedimientos que implican rellenar declaraciones o formularios. El 34,1% no especifica los procedimientos de recogida. El 21,7% a través de encuestas o entrevistas, 4,5% de directorios telefó - nicos, comerciales, catálogos y memorias, 1,9% de registros públicos y 1,8% de transmisión electrónica de datos y compararlos con los relativos a 1998, se observa un aumento de recogida de datos de registros públicos, directorios telefónicos y comerciales y por transmisión electrónica de datos, lo que viene motivado en parte por la fuerte irrupción de las nuevas tecnologías de la información y la comunicación, datos que están en línea con las cifras de los apartados anteriores. El gráfico siguiente presenta las cifras de inscripción total según el procedimiento de recogida de los datos y las compara con las relativas al año * Cesiones de datos. En cuanto a las cesiones de datos, en 1998 se han inscrito 649 ficheros que declaran este apartado, lo que supone un 28,4% del total de ficheros inscritos en el ejercicio. El mayor porcentaje de cesiones se justifican por la existencia del consentimiento de los afectados (66,8% del total de ficheros inscritos con cesiones en el ejercicio), seguido por la exis - tencia de una norma reguladora que las autoriza (49,7%), la existencia de una relación jurídica cuyo desarrollo, control y cumplimiento implica necesariamente la conexión del fichero con ficheros de terceros (33,7%) y los que realizan la cesión amparándose en que los datos cedidos fueron recogidos de fuentes accesibles al público (13,2%). El consentimiento de los afectados como justificación de la cesión se refleja en ficheros de gestión de clientes, históri - cos de relaciones comerciales y publicidad a los propios clientes. La inscripción de ficheros que justifican las cesiones por la existencia de una relación jurídica cuyo desarrollo, control y cumplimiento implica necesariamente la conexión del fichero con ficheros de terceros está en consonancia con la inscripción de ficheros que declaran como finalidad pagos de nóminas, transferencias bancarias, domiciliación de recibos, gestión de tarjetas de crédito, correduría de seguros y todo tipo de relaciones de intermediación. A su vez, la cifra de cesiones basadas en la existencia de una norma que las autoriza es acorde con la existencia de ficheros de nóminas y gestión contable, fiscal y administrativa, que son cedidos a la Agencia Tributaria y a la Tesorería de la Seguridad Social en virtud de Ley. Los ficheros que justifican las cesiones amparándose en la procedencia de los datos de fuentes accesibles al público son aquellos cuya finalidad corresponde con el uso para servicios de marketing, envíos de publicidad, prospección de mercados y fines relacionados con este sector de actividad. En cuanto a las cifras referentes a la inscripción total de ficheros y relativas a los supuestos legales en los que se amparan las cesiones de datos, el 56,7% del total de ficheros inscritos con cesiones las justifican por la existencia de una norma reguladora que las autoriza, el 49,8% se basan en el consentimiento de los afectados, el 36,9% las justifican por la existencia de una relación jurídica que implica conectar el fichero con ficheros de terceros y el 6,6% se basan en la recogida de datos de fuentes accesibles al público.

16 El gráfico siguiente compara los datos de cesiones declaradas en el total de la inscripción con las cifras de ficheros que declaran cesiones durante el año 1998, distribuyendo los ficheros entre los supuestos legales en los que se amparan. En este gráfico se observa un aumento de cesiones amparadas en fuentes accesibles al público durante el año 1998, lo que está en consonancia con el aumento de la inscripción de ficheros que declaran finalidades relacionadas con la publicidad y el marketing durante ese año. También se observa un aumento de las cesiones declaradas con consenti - miento del afectado motivado por el mayor conocimiento y cumplimiento de la LORTAD por parte de los responsables en lo referente a cesiones de datos. * Inscripción de ficheros privados por ámbito geográfico. En cuanto a la distribución geográfica de las cifras de inscripción de ficheros más representativas durante el año 1998 por Comunidades Autónomas, se observa que la Comunidad de Madrid ha inscrito el 41% del total de ficheros del ejercicio, seguida de Cataluña con una inscripción del 27,3% del total, Andalucía el 6%, Comunidad Valenciana el 4, 5%, País Vasco el 4%, Aragón el 3,7%, Extremadura el 3,6% y Principado de Asturias con el 2,6%. Es de destacar la estabilización de las altas cifras de inscripción de Madrid y Cataluña, ya que son los grandes núcleos industriales y de servicios. Las cifras de estas dos comunidades son muy semejantes en los dos últimos años e indican una posible evolución paralela en el tiempo. El gráfico siguiente muestra las cifras de inscripción de ficheros durante el año 1998 por Comunidades Autónomas. Si comparamos las cifras de inscripción de ficheros por Comunidades Autónomas con la inscripción total del Registro y la declarada en 1998, se observa un cierto paralelismo, excepto en el aumento de inscripción en los últimos años en Madrid (aumento que se ha acentuado desde 1996) y Extremadura y Principado de Asturias y la disminución en la declaración de Comunidades como la Valenciana, Gallega y Castilla-León debido al elevado número de notificaciones

17 presentadas en los años anteriores. * Distribución temporal de la inscripción. En cuanto a la distribución temporal de la inscripción en 1998, se observa que la mayoría de los meses presentan cifras similares, salvo Agosto que contempla la cifra más baja y Mayo que contempla la más alta. Puede constatarse que las épocas de mayor inscripción son el segundo y último trimestres del año, seguido del primer trimestre que también presenta cifras altas. En el tercer trimestre se nota una bajada acentuada en la inscripción. Los cierres de ejercicio en las empresas originan las altas cifras de inscripción en el último trimestre, y la época vacacional es la causa de que la inscripción en el tercer trimestre sea menor. Hay otros factores aleatorios en el tiempo que también inciden sobre la evolución temporal de la inscripción, como pueden ser la publicidad institucional en los medios de comunicación, los artículos en prensa relativos a la intimidad y protección de datos, y los requerimientos que realiza la propia Agencia demandando información a determinados sectores. Resumen de operaciones realizadas durante 1998 sobre ficheros de titularidad privada inscritos en el RGPD (A solicitud del responsable del fichero) ENE FEB MAR ABR MAY JUN JUL AGO SEP OCT NOV DIC TOTAL ALTAS MODIFICACIONES SUPRESIONES TOTAL

18 * Inscripción por Sectores Económicos. En cuanto a la inscripción de ficheros en el año 1998 por sectores económicos de actividad, predomina el sector de la intermediación financiera con un 10,6% del total de ficheros inscritos en el ejercicio. Le siguen el comercio al por menor con un 10,3%, otras actividades empresariales (que incluye las actividades jurídicas, de contabilidad, auditoría, asesoría fiscal, estudios de mercado, encuestas de opinión y asesoramiento sobre dirección y gestión empresarial) con un 10,3%, las actividades recreativas, culturales y deportivas con un 8%, telecomunicaciones con un 5,3%, las activi - dades de edición, artes gráficas y reproducción de soportes grabados con un 4,5%, el comercio al por mayor e inter - mediarios del comercio con un 3,2%, la industria de productos alimenticios y bebidas con un 3,1% y las actividades de venta, reparación y mantenimiento de vehículos de motor, con un 3%. Estos datos se resumen en el gráfico siguiente: En cuanto a la inscripción total de ficheros en el Registro General de Protección de Datos por sectores económicos de actividad, predominan los sectores encuadrados en el título de otras actividades empresariales con un 11,2 % del total de ficheros inscritos y el comercio al por mayor e intermediarios del comercio con un 10,5%. Le sigue el comercio al por menor con un 6,5%, las actividades de venta, reparación y mantenimiento de vehículos de motor con un 5,6%, la construcción con un 4,8%, la intermediación financiera con un 3%, la industria de productos alimenticios y bebidas con un 2,9%, los seguros y planes de pensiones con un 2%, las actividades de edición, artes gráficas y reproducción de soportes grabados con un 1,9% y las actividades recreativas, culturales y deportivas con un 1,6%. Estos datos se reflejan en el siguiente gráfico.

19 Si comparamos las cifras de inscripción por Sectores Económicos para la inscripción total y la de 1998, se observa un aumento de la inscripción en el último año en los sectores de intermediación financiera, actividades recreativas, cultu - rales y deportivas, telecomunicaciones y actividades de edición, artes gráficas y reproducción de soportes grabados. Este aumento está directamente relacionado con la depuración de la inscripción de estos sectores realizada el año anterior y con los requerimientos a los responsables derivados de los resultados del análisis de la inscripción. El aumento de la inscripción en los sectores de las telecomunicaciones debido a la liberalización de mercado y la edición y reproducción de soportes grabados puede deberse al desarrollo continuo de estas ramas de actividad en la actuali - dad derivado del aumento de uso de la red Internet, de los soportes ópticos y de otros avances de las nuevas tecnolo - gías de la información y la comunicación. La gráfica siguiente presenta la comparativa de las cifras de inscripción de ficheros por Sectores Económicos para la inscripción total y la de Modificación de inscripción de ficheros Se han modificado, a solicitud del responsable, mediante recepción de notificación en tal sentido (en soporte papel o en disquete), un total de inscripciones de ficheros, que suponen cerca del 1% del total de la inscripción de ficheros privados inscritos en el Registro. A diferencia de la inscripción de altas, el mayor porcentaje de modificaciones se ha solicitado a través de soporte papel (70%), mientras que el 30% restante solicitó la modificación a efectos de inscripción en soporte magnético. Las cifras de modificaciones de los dos últimos años son inferiores a las de años anteriores debido a que el procedi - miento de inscripción de nuevos ficheros se está notificando por responsables con un conocimiento superior de los principios de protección de datos y la interpretación de la Ley ofrece menos dificultades para los declarantes a medida que aumenta su difusión y su puesta en práctica. No obstante, la cifra de modificaciones realizadas durante 1998 supera a la de 1997, hecho que está en línea con el ya citado aumento de las notificaciones de altas que se ha produ -

20 cido en este ejercicio. El porcentaje más alto de modificaciones son aquellas que están relacionadas con los cambio que se producen en las entidades. Estos cambios suelen estar relacionados con los avances tecnológicos y la actualización de los sistemas de información, cambios de denominación social o forma jurídica. El siguiente gráfico refleja la evolución de las operaciones solicitadas por los responsables para modificar la inscripción de sus ficheros. En cuanto a las cifras de modificaciones relativas a la inscripción total de ficheros en el Registro General de Protección de Datos, se han modificado hasta la fecha inscripciones de ficheros, lo que supone el 7,8% del total de los ficheros inscritos en el Registro General de Protección de Datos. El 84,6% de las modificaciones se han solicitado en soporte papel, y el 15,4% restante, en soporte magnético. Se observa que, el apartado que ha sufrido mayores modificaciones como consecuencia de errores producidos en la notificación de ficheros, ha sido el de cesiones, quizá se deba a la dificultad que supone la interpretación de los supuestos legales que amparan las cesiones de datos a terceros o por las dificultades que en la práctica supone justi - ficarlas legalmente. Le sigue en importancia el apartado de procedencia de los datos, motivado bien por errores en la interpretación de los tres subapartados de los que consta el modelo de los formularios, o bien por la dificultad de plasmar en la notificación la procedencia real de los datos que originan los ficheros automatizados. En el apartado de responsable se producen errores materiales en relación al Código de Identificación Fiscal y en el Código Nacional de Actividad Económica (CNAE). La Agencia de Protección de Datos es consciente de estas deficiencias que no se aprecian en una primera lectura de la Ley. La experiencia obtenida de los primeros años de aplicación de la LORTAD obliga a la Agencia, en primer lugar, a corregir estos comportamientos, y, en su caso a sancionar las conductas que conculquen los principios de la LORTAD. El apartado de responsable también ha generado confusión en la declaración de los ficheros, debido a que desde la perspectiva de los propios declarantes, han existido interpretaciones erróneas derivadas de situaciones como la falta de delimitación clara entre las figuras de responsable y encargado del tratamiento, la confusión entre el domicilio de la entidad donde se ubica físicamente el fichero y el del responsable del mismo, las incorrecciones en el código de identi - ficación fiscal y el desconocimiento del código nacional de actividad económica. En todo caso, no hay que olvidar lo ya manifestado explícitamente en el apartado de introducción, en el que, claramente se ha puesto de relieve el carácter meramente declarativo de la inscripción de los ficheros, sin que de ésta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias. Sin perjuicio, de que en su caso, comportará por su propia naturaleza, el que puedan ser sancionadas conductas contrarias a los principios que la misma tiene en la protección de la intimidad de los ciudadanos. Otro problema adicional se presenta cuando se solicitan modificaciones del apartado de responsable del fichero origi - nadas por cambio de titular, absorción por otra empresa, fusiones de empresas o cambios en la denominación de la razón social. En estos casos, además de producirse un problema en relación a la información preceptiva que debe contener la notificación y su comunicación, a efectos de inscripción, se requiere al responsable del fichero para que aporte garantías suficientes que justifiquen la situación jurídica que alegan y de esta forma informarles de las exigen - cias legales que en estos casos debe cumplir el responsable del fichero, en particular, sobre la comunicación de la identidad del nuevo responsable a los afectados Supresión de ficheros El artículo 24 apartado 3 de la Ley Orgánica 5/1992 y el artículo 8 apartado 2 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla determinados aspectos de la Ley en relación a la modificación y cancelación de la