NUEVAS PERSPECTIVAS EN LA PROTECCION DE DATOS PERSONALES Conferencia impartida por el Director de la Agencia de Protección de Datos, Ilmo. Sr. D. José Luis Piñar Mañas, en Madrid el día 23 de julio de 2003, con motivo de la entrega de los premios Protección de Datos Personales I.- Presentación y agradecimientos. Excmo. Sr. Secretario de Estado de Justicia; Excma. Sra. Consejera de Justicia y Administraciones Públicas de la Comunidad de Madrid; Ilmo. Sr. Director del Instituto Nacional de Administración Pública; excelentísimas e ilustrísimas autoridades; señoras y señores; queridos amigos. Para quien como yo es administrativista y, por vocación, profesor universitario, es siempre una satisfacción encontrarse en el 1
INAP, donde tantas veces, desde hace tantos años, quizá demasiados, he podido colaborar en acciones formativas dirigidas a funcionarios de la Administración del Estado y de las Administraciones Locales. Agradezco, pues, muy de veras al Director del Instituto, mi buen amigo el Profesor D. Fernando Sáinz Moreno, la amabilidad que ha tenido al acogernos en su sede. Agradezco asimismo al Excmo. Sr. Secretario de Estado de Justicia su presencia en este acto. Y aprovecho asimismo para agradecerle el apoyo que siempre ha prestado a la Agencia de Protección de Datos; apoyo, además, desde el más exquisito reconocimiento y respeto a la independencia de la entidad que me honro en dirigir. II.- Presentación de los premios. Pero no sólo he de mostrar mi satisfacción por el motivo que acabo de exponerles, sino porque hace apenas unos minutos 2
hemos tenido la oportunidad de presentar el Premio Protección de Datos Personales, en su convocatoria del año 2002, que ha sido otorgado, como antes veíamos, al magnífico trabajo que sobre Transferencias internacionales de datos personales presentó la Dra. y Profesora Dª Diana Sancho Villa. Así como el accésit concedido muy justamente al trabajo presentado por Dª Noelia de Miguel Sánchez sobre Tratamiento de datos personales en el ámbito sanitario: intimidad versus interés público (Especial referencia al SIDA, técnicas de reproducción asistida e información genética). Ambos trabajos, como digo, son de una gran calidad y demuestran la capacidad investigadora de las autoras. Son además ejemplo de estudios conceptuales que sin embargo tienen un indudable interés práctico. Interés que se proyecta sobre dos de las cuestiones de mayor trascendencia en el ámbito de la protección de datos personales: las transferencias internacionales y el tratamiento de datos personales en el ámbito sanitario. Que las autoras provengan del ámbito universitario nos debe animar a todos pues es imprescindible que la Universidad se implique de forma decidida en la difusión de la cultura de la protección de datos personales. 3
III.- Situación actual y perspectivas de futuro en relación con el derecho fundamental a la protección de datos personales. Con ocasión de la entrega de ambos reconocimientos me van a permitir que les exponga algunas reflexiones sobre la situación actual y algunas perspectivas de futuro en torno al derecho fundamental a la protección de datos personales. 1.- El derecho a la protección de datos personales como derecho fundamental. En el Proyecto de Constitución Europea presentado el pasado día 20 de junio en el Consejo Europeo de Salónica se incluye, como todos Vds. saben, y como parte II de la misma, la Carta Europea de los Derechos Fundamentales, proclamada en NIZA el 8 de diciembre de 2000. La Carta, por el momento, carece de fuerza jurídica vinculante (excepto para las Instituciones Europeas, que 4
voluntaria y expresamente se han sometido a ella), pero en el momento en que la Constitución entre en vigor (y se ha previsto que su firma tenga lugar lo antes posible después del 1 de mayo de 2004, fecha de la adhesión de los diez nuevos Estados miembros de la Unión) pasará a convertirse en pieza clave del Derecho Comunitario, ya sí vinculante, y aplicable a todos y por todos los Estados miembros e invocable, por tanto, por los ciudadanos. Pues bien, el artículo 8 de la Carta recoge expresamente el derecho a la protección de datos de carácter personal, en los siguientes términos: 1.- Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. 2.- Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 3.- El respeto de estas normas quedará sujeto al control de una autoridad independiente. 5
Quiero llamar la atención acerca de que tal derecho se recoge en el Capítulo II de los VII con que cuenta la Carta, lo que ya de por sí resalta la importancia del derecho a que me refiero. Además, se refuerza la exigencia de que le tratamiento de los datos sea para fines concretos y sobre la base del consentimiento de la persona afectada. En fin, y en cuanto a la Institución que represento se refiere, debo destacar que la aprobación de la Constitución Europea constitucionalizará a nivel europeo la existencia de una autoridad independiente de control. En ningún otro lugar de la Carta y en relación con ningún otro derecho encontramos referencia alguna a una entidad semejante. Pero no sólo es esta la referencia que a la protección de datos personales se hará en la futura Constitución Europea. En la Parte Primera, Disposiciones fundamentales de la Constitución, y denro del Título II, De los derechos fundamentales y la ciudadanía de la Unión, el artículo 50 también se refiere expresamente a la protección de datos personales (utilizo el texto definitivo del 6
Proyecto de Tratado por el que se instituye una Constitución para Europa, publicado el pasado 18 de julio): 1.- Toda persona tiene derecho a la protección de los datos personales que la conciernan. 2.- Se establecerán mediante leyes europeas las normas sobre protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, organismos y agencias de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de una autoridad independiente. Este y no otro, por tanto, debe ser el punto de partida. El del derecho fundamental a la protección de datos personales. Derecho no baladí; derecho fundamental. Derecho que por supuesto está sometido a límites y puede y debe ceder frente a otros derechos. Este es asimismo el punto de partida propuesto por la ya muy conocida Sentencia Constitucional 292/2000, de 30 de noviembre. 7
2.- El actual marco normativo. Y en este escenario debe moverse la Agencia de Protección de Datos. Escenario definido también, como es obvio, por la Ley Orgánica de Protección de Datos y por la Directiva 95/46/CEE, además de por otras normas generales o sectoriales, de rango legal y reglamentario que todos tenemos en la cabeza. No desvelo ningún secreto si digo que la Ley Orgánica 15/1999 ofrece un marco legislativo adecuado en el tema que nos ocupa pero al mismo tiempo resulta un texto que no siempre ha sido bien valorado por quienes han o hemos de aplicarla. En cualquier caso he decir que en el Primer Informe de la Comisión Europea sobre la transposición de la Directiva 95/46/CEE, de 15 de mayo de 2003, España sale, si me permiten la expresión, bastante bien parada, sin perjuicio de algunas consideraciones más concretas. 8
Entre otros extremos llama la atención acerca del hecho de que según la legislación española la información al interesado cuando los datos no hayan sido obtenidos directamente del mismo deberá facilitarse dentro de los tres meses siguientes al momento del registro de los datos (art. 5º.4 de la LOPD), en una interpretación demasiado generosa del art. 11.1 de la Directiva (en contra de lo que ocurre en otros países, en los que tal plazo no está previsto). Por contra, considera que la regulación del balance de intereses, en cuanto principio legitimador del tratamiento de datos, está regulado en España de forma peculiar en cuanto que se reconduce a los supuestos de prestación de servicios de información sobre solvencia patrimonial y crédito, o a los tratamientos previstos en la Ley de Ordenación y Supervisión de Seguros Privados, así como a la posibilidad de obtener datos de las fuentes accesibles al público. También se llama la atención acerca de la falta de transposición formal del artículo 9 de la Directiva, según la cual en lo referente al tratamiento de datos personales con fines exclusivamente periodísticos o de expresión artística o literaria los Estados miembros establecerán exenciones y excepciones sólo 9
en la medida en que resulten necesarias para conciliar el derecho a la intimidad con las normas que rigen la libertad de expresión. Entendemos sin embargo en la Agencia que tal previsión está sobradamente cubierta por la doctrina que en relación con tal cuestión ha sido ya asentada por el Tribunal Constitucional. 3.- Las funciones de la Agencia hasta finales de 2002. Así las cosas, la Agencia ha desarrollado en los últimos años una ejemplar labor en pro de la garantía del derecho fundamental a la protección de datos personales. Desempeñando una función no siempre justamente valorada y tampoco suficientemente conocida. Conocida quizá a veces sólo de forma parcial. En efecto, la Agencia aparece no tanto como autoridad de garantía del derecho sino como entidad sancionadora. Lo cual, por lo demás, no deja de tener incluso cierta justificación. Pero no se responde a la realidad de las cosas. Déjenme si no, ofrecerles algunos datos, que dado que no son personales y además son fundamentalmente estadísticos, pueden ceder, facilitar o hacérselos llegar tranquila y legítimamente 10
a terceros. Sí querría, sin embargo, que tales datos fuesen algo más que números fríos y distantes, y que expresasen la función que realmente desarrolla la Agencia. El número total de ficheros inscritos en la Agencia a 23 de julio de 2003 es de 367.100, de los que 329.809 son privados y 37.291 públicos. En la actualidad se inscriben una media de 400 ficheros al día. Durante el año 2002 se plantearon ante la Agencia 24.235 consultas. De ellas, 18.870 telefónicas, 2.722 presenciales y 2.643 escritas. El total de accesos a la página web de la Agencia fue de 1.906.070. En cuanto al número de Informes emitido por la Agencia durante el mismo período, se han sometido al parecer de la Agencia (Gabinete Jurídico) un total de 33 proyectos de disposiciones generales. Además, el Gabinete Jurídico ha emitido un total de 415 informes, en relación con la asistencia y asesoramiento a personas 11
y entidades en el cumplimiento de las obligaciones que impone la LOPD. El número de expedientes tramitados en 2002 se acercó a 900. Se iniciaron 148 procedimientos sancionadores frente a responsables de ficheros de titularidad privadas y se incoaron 13 expedientes frente a responsables de ficheros de titularidad pública. A ello se unen 240 Resoluciones de Archivo, 3 Resoluciones en colaboración con la CNIL francesa y, finalmente, 447 procedimientos de tutela de derechos iniciados también en 2002. En cuanto a la cuantía de las multas impuestas, mientras que en 2001 la cantidad ascendió a 1.601.000.000 ptas. (9.622.204 euros), en 2002 descendió hasta 4.257.000 euros. Este panorama en cifras muestra a las claras el volumen de actividad que se desarrolla en la Agencia. 12
Por otra parte, son innumerables las colaboraciones en acciones o iniciativas de difusión y concienciación en el ámbito de la protección de datos, así como las reuniones mantenidas en la Agencia con el ánimo de facilitar el cumplimiento de la Ley. 4.- Perspectivas de futuro. El futuro que desde la Agencia puedo percibir es alentador. En gran medida, debido a la gran profesionalidad de todos cuantos en ella prestan sus servicios, haciendo frente, como digo, al considerable volumen de trabajo, que no falta. Pero ya desde mi comparecencia en la Comisión Constitucional del Congreso, celebrada el pasado día 5 de febrero, me permití adelantar algunos de los planes de futuro que pretendíamos poner en marcha. 13
A.- Normalizar la cultura de la protección de los datos personales. Sin duda la más importantes de las prioridades es difundir y normalizar la cultura de la protección de datos personales. Por muchos motivos, a alguno de los cuales me referiré más adelante, la protección de datos personales no termina de ocupar el lugar que en una sociedad avanzada le debe corresponder. Bien por desconocimiento, bien por infravalorar la importancia que realmente tiene, sigue siendo aún hoy un tema casi de segunda línea. Cuando lo cierto es que día a día alcanza cada vez mayor importancia. La garantía de la protección de los datos personales es al mismo tiempo garantía de seriedad y rigor y se valora también cada vez más por los ciudadanos. Son conscientes de que el uso que se haga de sus datos personales puede afectar de forma real en su vida privada, en su intimidad, y pro ello exigen políticas claras de privacidad y respeto a la legislación de protección de datos. El aumento de las denuncias que se presentan ante la Agencia y de 14
los procedimientos de tutela de los derechos de acceso, rectificación, cancelación y oposición así lo demuestran. En este sentido, tenemos previsto reforzar los servicios de atención al ciudadano, al objeto de facilitar al máximo y de forma gratuita el cumplimiento de la Ley. Como luego señalaré, estamos asimismo rediseñando la página web de la Agencia con el fin de hacerla mas útil para los ciudadanos. El objetivo, como digo, es claro: resaltar las bondades del derecho de protección de datos personales, cuyo respeto debe pasar a ser algo absolutamente normal en la vida cotidiana; llamando la atención acerca de que conseguirlo ni es tan difícil ni es tan caro como se pretende. El esfuerzo debe ser de todos y por ello la Agencia se pone una vez más a disposición de los ciudadanos y de las empresas. En este sentido vamos a redoblar los esfuerzos para que la sensibilidad en materia de protección de datos esté cada vez más 15
presente en la sociedad. Este es, por ejemplo, el objetivo del reciente Protocolo firmado el pasado mes de junio con la Conferencia de Rectores de las Universidades Españolas, que permitirá impulsar el estudio y conocimiento de tan importante derecho fundamental en las Universidades, desde todas las perspectivas posibles: técnica, económica, sociológica, jurídica. También este es el objetivo que nos ha llevado a analizar conjuntamente con el Ministerio de Administraciones Públicas y con el INAP, que tan generosamente ahora nos acoge, la necesidad de incluir la protección de datos en los programas de oposiciones y los programas de formación de funcionarios. La semana pasada se impartía, por primera vez (en la historia), un módulo específico de protección de datos en el Curso de Formación de la última promoción del prestigioso cuerpo superior de Administradores Civiles del Estado. 16
B.- Llevar a cabo el desarrollo reglamentario de la Ley. En cualquier caso, soy consciente de que una de las máximas preocupaciones de quienes se mueven en el ámbito de la protección de datos personales y por tanto también de la Agencia tiene que ver con el desarrollo reglamentario de la LOPD. La Ley carece de normas reglamentarias que específicamente desarrollen lo en ella regulado, sin perjuicio de la vigencia, según su disposición transitoria tercera, de los Reales Decretos 428/1993, 1332/94 y 994/99, en lo que no se opongan a la misma. Esta situación, unida a la ausencia de Exposición de Motivos (me permito recordar que la Directiva 95/46/CEE tiene hasta 72 Considerandos a modo de Preámbulo explicativo e interpretador de su contenido), exigen que ya sin demora se acometa la elaboración del Reglamento de la LOPD. De hecho, ya estamos trabajando en ello en la Agencia y hemos recibido asimismo todo el apoyo del Ministerio de Justicia, de modo que no creo que sea aventurado afirmar que finalmente podremos contar con tal Reglamento. Su elaboración, evidentemente, excede de las competencias de la Agencia, pero 17
vamos a ofrecer toda nuestra colaboración para que cuanto antes, sin prisas pero sin pausas, el reglamento pueda ser una realidad. C.- Incrementar los medios personales y mejorar los medios materiales de la Agencia. Para cumplir los objetivos propuestos es imprescindible incrementar los medios personales y materiales de la Agencia. Y debo decir que en este sentido hemos obtenido una respuesta muy receptiva por parte de los Ministerios de Justicia, Hacienda y Administraciones Públicas. En estos momentos, y en tiempo record, se ha presentado ya una propuesta de reforma de la Relación de Puestos de Trabajo de la Agencia que esperamos pueda permitir hacer frente a los nuevos retos que tenemos planteados con la misma eficacia y rigor que siempre han caracterizado su actuación. Ello nos va a permitir seguir atendiendo las demandas de los ciudadanos y prestar un servicio mas cercano y eficaz. 18
D.- Inspecciones sectoriales. El incremento de plantilla nos permitirá, entre otras cosas, seguir impulsando la realización de Planes Sectoriales de Inspección. Y en este sentido me interesa mucho llamar la atención acerca de la naturaleza de tales Planes, al objeto de aclarar posibles malentendidos y salir al paso de ciertas interpretaciones no siempre certeras y a veces no siempre leales que nos consta en la Agencia que se han producido y planteado. Los Planes Sectoriales son fundamentalmente una suerte de auditorías preventivas que tienen como objetivo verificar la situación real en cuanto al cumplimiento de la legislación de protección de datos en un determinado sector. Son por tanto iniciativas que favorecen y facilitan el cumplimiento de la Ley. No son en absoluto inspeccione dirigidas a descubrir infracciones, sino muy al contrario actuaciones dirigidas a prevenirlas. Nadie, por tanto, debe temer una inspección de este tipo, sino más bien agradecerla, y utilizo 19
esta expresión siendo plenamente consciente de ello. De hecho, en más de una ocasión se nos ha propuesto desde diversos sectores la posibilidad de llevar a cabo inspecciones sectoriales que, como digo, faciliten la correcta aplicación de la Ley. Tales Planes Sectoriales culminan con la elaboración de un Documento de Conclusiones y Recomendaciones en el que, tras analizar y valorar la situación real del sector, se proponen las medidas que deben adoptarse para regularizar en su caso la situación. Nada hay por tanto de coactivo en tales Planes; nada hay de represivo. Más bien todo lo contrario. E.- Potenciar los códigos tipo Las recomendaciones derivadas de los Planes Sectoriales pueden encontrar un complemento inmejorable en la elaboración de los Códigos Tipo a que se refiere el artículo 32 de la Ley. La experiencia alcanzada en la efectividad de los Códigos Tipo hasta ahora elaborados e inscritos en la Agencia es muy positiva y 20
estamos dispuestos a seguir colaborando en la elaboración de otros Códigos que permitan, desde la autorregulación y las buenas prácticas profesionales, facilitar el cumplimiento de a legislación sobre protección de datos. F.- Cuantía de las sanciones No creo, sin embargo, que sea ya el momento de revisar la cuantía de las sanciones. Se trata de sanciones claramente disuasorias, que pretenden impulsar más rápidamente el cumplimiento de la Ley. La Agencia aplica con cierta frecuencia el artículo 45.5 de la LOPD, que como saben dispone que si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, se establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la 21
considerada en el caso de que se trate. Y aplica prácticamente siempre el artículo 45.4, al objeto de graduar la sanción correspondiente al objeto de imponerla en su cuantía más baja. Además, no tiene inconveniente en considerar la suspensión de la ejecución de la sanción cuando se alega perjuicio de imposible o difícil reparación derivado de la ejecución y/o se presta garantía suficiente. G.- Potenciar la presencia internacional de la APD Apenas fue constituida, la Agencia de Protección de Datos alcanzó un reconocimiento internacional que siempre ha ido en aumento. Estamos dispuestos a seguir por esta línea y potenciar todavía más la presencia internacional de la Agencia. Al menos en tres ámbitos bien definidos: - En el ámbito de la Unión Europea mediante la participación activa y siempre enriquecedora de la Agencia en el Grupo de 22
trabajo de autoridades de control constituido en base al artículo 29 de la Directiva 95/46/CEE. - En relación con los países candidatos a ingresar en un futuro ya muy breve en la Unión Europea mediante el fortalecimiento de los lazos ya de por sí estrechos con tales países. Quiero en este momento destacar las magníficas relaciones existentes con las autoridades de control de Polonia y la República Checa. - En fin, con los países de Iberoamérica hemos reforzado una muy importante labor a través de la creación, el pasado mes de junio, de la Red Iberoamericana de Protección de Datos, presidida por la Agencia Española de Protección de Datos, en la que también radica la Secretaría Permanente. No es fácil adivinar la importancia que tal Red está llamada a tener, dadas las importantes inversiones de numerosas empresas españolas en Iberoamérica y teniendo en cuenta que en estos momentos está generalizándose un importante movimiento normativo en materia de protección de datos, y la Agencia está colaborando estrechamente con varios países en la 23
formulación y elaboración de sus respectivas leyes sobre protección de datos. H.- Mayor transparencia y cercanía de la Agencia. Publicación de las Resoluciones. Rediseñar la página web, en cuanto a imagen y contenidos. La accesibilidad de la Agencia, la transparencia en su actuación está plenamente garantizada. No obstante, somos conscientes de que quizá es necesario hacer un esfuerzo adicional para incrementar el conocimiento de su doctrina más allá de lo que deriva de la publicación de su por lo demás reconocida Memoria anual. Por ello estamos ya ultimando los mecanismos que puedan hacer posible la publicación de la doctrina contenida en las resoluciones dictadas en los procedimientos sancionadores y de tutela de derechos, y más adelante la publicación de la totalidad de tales resoluciones, una vez notificadas a los interesados y con las debidas garantías. 24
Por otra parte, el propio ámbito en el que se mueve la Agencia impone el conocimiento y uso de las nuevas tecnologías. Tecnologías que a menudo que vayan convirtiéndose en tecnologías cotidianas y que en consecuencia no supongan ningún tipo de diferenciación o exclusión, deben ser aprovechadas al máximo por las entidades públicas en sus relaciones con los ciudadanos. En esta línea, está ya casi ultimado el nuevo diseño de la página web de la Agencia no sólo en cuanto a imagen, sino, lo que es más importante, en cuanto a contenidos. Inmediatamente después del verano estará a disposición de los ciudadanos la nueva página web, que por cierto será plenamente accesible a personas con minusvalías, para lo que hemos contado con la estrecha colaboración de la Fundación ONCE. Asimismo, será presentado el nuevo logotipo de la Agencia, elaborado por uno de los más reconocidos diseñadores gráficos españoles. 25
I.- Alerta frente a quienes pretenden aprovechar el temor generado artificialmente frente a la Agencia. Por otra parte, debo señalar que desde la Agencia hemos podido apreciar, no sin preocupación (y quiero alertar especialmente sobre ello), que en no pocas ocasiones se están lanzando mensajes, desde determinados ámbitos, que tienen un contenido gravemente equivocado y/o desconcertante para los destinatarios. Mensajes que, amparándose en el contenido técnico de la Ley, advierten de forma interesada de los hipotéticos riesgos que de ella derivarían. Mensajes, porque no decirlo, atemorizantes que encuentran sobre todo en las PYMES y en los profesionales un caldo de cultivo inmejorable para quienes pretenden sacar provecho de la LOPD. En este sentido, además de la colaboración ya en marcha con el Consejo de Cámaras, hemos iniciado en la Agencia una línea de colaboración con la Secretaría de Estado de Energía, Desarrollo industrial y de la Pequeña y Mediana Empresa, del Ministerio de 26
Economía cuyo titular, José Folgado, ha sido inmediatamente receptivo frente a la situación descrita. J.- Conclusión. Termino ya. Estoy dispuesto a seguir manteniendo las puertas abiertas y abrirlas más si es necesario para todos aquellos que busquen el apoyo y la colaboración de la Agencia en orden a un mejor conocimiento y aplicación de la legislación de protección de datos. Repito que la aplicación de la Ley ni es tan difícil ni es tan cara. Seguiremos conversando con quienes se mueven en al campo del marketing directo, de la actividad aseguradora, de los servicios de solvencia patrimonial y crédito, de las telecomunicaciones, de la sociedad de la información, con las Administraciones Públicas, con quienes prevén transferencias internacionales, con representantes de consumidores y usuarios, con representantes del sector sanitario, del comercio electrónico, del sector hotelero, con representantes de profesionales, de 27
pequeñas y medianas empresas. Con todos aquéllos que, como digo, estén dispuestos a respetar el derecho a la protección de datos personales. Pero la Agencia será inflexible con quienes se muevan en el campo de la mala fe y pretendan aprovecharse de los datos ajenos y de la ambigüedad que sin duda presenta la Ley en algunos extremos. Todos nos movemos entre islas de certeza en un mar de incertidumbres, utilizando la frase de Edgar MORIN. Y todos debemos ir de la mano para que las certezas sean cada vez mayores. Muchas gracias Excmo. Sr. Secretario de Estado. Muchas gracias Ilmo. Sr. Director del INAP y muchas gracias a todos Vds. por su atención. 28