9. La Agencia Española de Protección de Datos 1. Introducción La Agencia Española de Protección de Datos (en adelante AEPD), se configura en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) como un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. Antes de proseguir, es conveniente citar la Ley 62/2003, de medidas fiscales, administrativas y de orden social, la cual dedica sus artículos 79 y 82 a la LOPD, introduciendo una serie de modificaciones. Una de ellas es el cambio de denominación de la Agencia de Protección de Datos, la cual pasa a llamarse Agencia Española de Protección de Datos. A continuación, se van a desarrollar algunos de los aspectos más relevantes de la AEPD como son su régimen jurídico, objetivos, estructura orgánica, etc.
1.1 Régimen jurídico Regulación normativa: Se regirá por lo dispuesto en la LOPD (en particular, en su Título VI) y en un Estatuto propio, que ha sido aprobado por el Gobierno a través del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD.
Ejercicio de competencias: En el ejercicio de sus funciones públicas, y en defecto de lo que disponga la LOPD y sus disposiciones de desarrollo, la AEPD actuar y de conformidad con la Ley 30/1992,
CURSO LOPD
1
de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Adquisiciones patrimoniales y contratación: En lo relativo a su régimen patrimonial y a la contratación estará sujeta al Derecho Privado.
Régimen personal: Los puestos de trabajo de los Órganos y servicios que integren la Agenda Española de Protección de Datos serán desempeñados por funcionarios de las Administraciones Públicas y por personal contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo. Este personal este obligado a guardar secreto de los datos de carácter personal de que conozca en el desarrollo de su función.
Régimen presupuestario: La Agenda Española de Protección de Datos contare, para el cumplimiento de sus fines, con los siguientes bienes y medios económicos: - Las asignaciones que se establezcan anualmente con cargo a los Presupuestos Generales del Estado. - Los bienes y valores que constituyan su patrimonio, así como los productos y rentas del mismo. - Cualesquiera otros que legalmente puedan serle atribuidos. La Agenda Española de Protección de Datos elaborará y aprobará con carácter anual el correspondiente anteproyecto de presupuesto y lo remitirá al Gobierno para que sea integrado, con la debida independencia, en los Presupuestos Generales del Estado. Estará sometido a un control externo por el Tribunal de Cuentas y a un control interno por el IGAE (Intermediación General de la Administraci6n del Estado).
CURSO LOPD
2
1.2 Objetivos Entre los principales objetivos de la AEPD se pueden citar: - Garantizar el derecho a la intimidad de los ciudadanos en sus relaciones con la Administración, tutelando los derechos reconocidos en la ley. - Garantizar el cumplimiento y la aplicación de las previsiones de la LOPD y normativa complementaria. - Controlar e interpretar su aplicación. - Proporcionar información, respecto al tratamiento de los datos inscritos en el Registro de ficheros de Datos Personales, la finalidad de los mismos e identidad del responsable. Esta información será pública y gratuita. - Desarrollar una labor divulgativa a través de sesiones, jornadas y convenios con el fin de difundir la normativa vigente sobre la protección de datos.
1.3 Estructura orgánica La Estructura orgánica de la Agencia se configura, de conformidad con lo dispuesto en el artículo 11 del Real Decreto 428/93, por el que se aprueba el Estatuto de la Agencia, en los siguientes órganos: El director de la AEPD Consejo. Consultivo El Registro General de Protección de Datos La Inspección de Datos La Secretaría General de la Agencia En relación a sus principales características estas se comentan a continuación:
CURSO LOPD
3
El director de la AEPD - Generalidades: El Director de la Agencia Española de Protección de Datos dirige la Agencia y ostenta su representación. Nombrado por Real Decreto de entre los miembros del Consejo Consultivo a propuesta del Ministro de Justicia, por un periodo de 4 años. Ejercerá sus funciones de modo independiente y con objetividad y no estará sujeto a mandato imperativo alguno en su desempeño. En todo caso, el Director deberá oír al Consejo Consultivo en aquellas propuestas que este le realice en el ejercicio de sus funciones. El Director de la AEPD tendrá la consideración de alto cargo y quedará en la situación de servicios especiales si con anterioridad estuviera desempeñando una función pública. En el supuesto de que sea nombrado para el cargo algún miembro de la carrera judicial o fiscal, pasará asimismo a la situación administrativa de servicios especiales. - Cese: El Director de la Agencia Española de Protección de Datos solo cesará antes de la expiración del periodo de 4 años en los casos recogidos en la siguiente tabla:
Cese del director de la AEPD A petición propia
Por separación acordada por el gobierno:
CURSO LOPD
- Incumplimiento grave de sus obligaciones - Incapacidad sobrevenida para el ejercicio de su función - Incompatibilidad - Condena por delito doloso
4
- Funciones del director: Dirige la Agencia y ostenta su representación. Entre sus funciones se incluyen las siguientes: Funciones de Dirección (Art. 12 del Estatuto) - Resolver sobre la procedencia o improcedencia de la inscripción de tratamientos en el RGPD. - Requerir a los responsables de los ficheros de titularidad privada para que subsanen las deficiencias detectadas en los Códigos Tipo. - Resolver sobre la procedencia o improcedencia de la denegación, total o parcial, relativa al acceso a los ficheros policiales o tributarios automatizados. Autorizan las transferencias internacionales, en los casos en los que se requiera la misma. - Convocar a los órganos competentes en la materia de las CCAA a efectos de cooperación y coordinación. - Recabar de las Administraciones Públicas (AP) la información necesaria para el cumplimiento de sus funciones. - Tutela de los derechos de los afectados. - Iniciar, impulsar la instrucción y resolver los expedientes sancionadores. - Instar la incoación de los expedientes disciplinarios en los casos de infracciones cometidas por las AP. - Adoptar las medidas cautelares y provisionales que se requieran en el ejerció de la potestad sancionadora. - Autorizar la entrada en los locales en los que se hallen los ficheros, para ejercitar la potestad inspectora.
Funciones de Gestión (Art. 13 del Estatuto) - Adjudicar, formalizar y vigilar el cumplimiento y ejecución de los contratos que se requieran en la gestión de la Agencia.
CURSO LOPD
5
- Aprobar gastos y ordenar pagos, dentro de los límites de los créditos del presupuesto de gastos de la Agencia. - Ejercer el control económico-financiero de la Agencia. - Elaborar el anteproyecto de presupuesto de la Agencia. - Proponer la relación de puestos de trabajo de la Agencia. - Aprobar la Memoria anual de la Agencia. - Ordenar la convocatoria de las reuniones del Consejo consultivo. - (Mencionar que algunas de estas funciones podrán ser delegadas en el Secretario General)
El consejo consultivo - Generalidades: Como su propio nombre indica, el Consejo Consultivo es el órgano colegiado de asesoramiento del Director de la AEPD, cuyos cometidos se centran en emitir informe en todas las cuestiones que le someta el Director y formular propuestas en temas relacionados con las materias de competencia de ésta. - El Consejo Consultivo estará constituido por los siguientes miembros: - Un Diputado, propuesto por el Congreso de los Diputados. - Un Senador, propuesto por el Senado. - Un representante de la Administración Central, designado por el Gobierno. - Un representante de la Administración Local, propuesto por la Federación Española de Municipios y Provincias. - Un miembro de la Real Academia de la Historia, propuesto por la misma. - Un experto en la materia, propuesto por el Consejo Superior de Universidades.
CURSO LOPD
6
- Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente. Un representante de cada Comunidad Autónoma (en adelante CCAA) que haya creado una Agencia Española de Protección de Datos en su ámbito territorial, propuesto de acuerdo con el procedimiento que establezca la respectiva Comunidad Autónoma. - Un representante del sector de ficheros privados, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente. - Régimen de funcionamiento: El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias establecidas, en concreto, en los artículos 18 a 22 del Estatuto de la AEPD.
El Registro General de Protección de Datos - Generalidades: En este registro consta la historia de todas las operaciones de inscripción que se han realizado a lo largo del ciclo de vida de un fichero, desde que se inscribe inicialmente, hasta que, en su caso, se suprime, quedando constancia de cada una de las modificaciones que se han realizado a dicha inscripción. - Consulta: Cualquier persona puede conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento, mediante una consulta pública y gratuita al RGPD según establece el artículo 14 de la LOPD. Estas consultas se corresponden con las realizadas por los ciudadanos que desean conocer esta información para obtener la dirección del responsable del fichero ante el que desean ejercer sus derechos de acceso, oposición, rectificación o cancelación. Para facilitar el derecho de consulta al que hace referencia el artículo anteriormente mencionado, anualmente se publica el Catálogo de Ficheros inscritos en el RGPD en soporte CD-ROM, y mensualmente se actualiza en la página web de la Agencia.
CURSO LOPD
7
Por otra parte existe otro tipo de solicitudes bien diferenciado, que se corresponde con el del responsable del fichero, o de un tercero con interés legítimo (como los órganos judiciales). En todos los casos se facilita una copia completa de la inscripción siempre que se acredite un interés legítimo al respecto, excepto el apartado de medidas de seguridad que sólo se facilita al responsable del fichero. - Funciones: El Registro General de Protección de Datos es un órgano integrado en la Agencia Española de Protección de Datos, cuya principal función es la de velar por la publicidad de los tratamientos de datos, con miras a hacer posible el ejercicio del los derechos de información, acceso, rectificación y cancelación de datos regulados en la LOPD. Entre los expedientes que tramita para hacer posible esta función se encuentran:
Inscripción de tratamientos notificados Autorización de transferencias internacionales dé datos Inscripción de Códigos Tipo
- Ficheros inscribibles: Entre los ficheros que serán objeto de inscripción en el RGPD se incluyen: Los ficheros de que sean titulares las Administraciones Públicas (en este caso deben figurar todos los extremos contenidos en la disposición general de creación o modificación del fichero): Administración del Estado, Administración de las CCAA, Administración Local, entidades vinculadas o dependientes de esas Administraciones, Administración 'corporativa' en el desempeño de potestades de derecho público. •
Los ficheros de titularidad privada.
•
Las autorizaciones a que se refiere la LOPD.
CURSO LOPD
8
•
Los Códigos Tipo a que se refiere el artículo 32 de la LOPD.
• Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición. - Contenido de las inscripciones: El contenido esencial que ha de figurar en la solicitud de inscripción es básicamente el siguiente: •
Responsable del fichero, ubicación y existencia de encargados del tratamiento
•
Finalidad y usos
•
Afectados
•
Procedimiento de recogida
•
Estructura del fichero y tipo de datos que contiene
•
Cesiones y transferencias, indicando destinatarios
•
Medidas de seguridad
Si el fichero es de titularidad pública, debe aprobarse una disposición general en que se haga mención a estos extremos. - Procedimiento de inscripción: Por vía reglamentaria, en concreto a través de los artículos 5 a 10 del Real Decreto 1332/1994 de 20 de junio, se regulara el procedimiento de inscripción de los ficheros, tanto de titularidad pública como de titularidad privada, en el Registro General de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.
CURSO LOPD
9
- Efectos de la inscripción: La inscripción es necesaria para que el tratamiento sea licito (no inscribir es contrario a la LOPD), pero la inscripción tiene meramente carácter declarativo y, por lo tanto, estar inscrito no implica una presunción de que el tratamiento es totalmente conforme a la Ley.
La Inspección de datos - Generalidades: La Inspección de Datos es el órgano de la Agencia Española de Protección de Datos al que, como su nombre indica, le corresponde el ejercicio de la función inspectora, así como de diversas funciones instructoras, las cuales se desarrollaran con más detenimiento en los sucesivos apartados. - Organización: La Inspección de Datos se organiza como sigue a continuación: • Inspectores de datos (función inspectora) • Instructores de procedimientos (función instructora): > Tutelas de derechos > Procedimientos sancionadores. Procedimientos de infracción por las Administraciones Públicas - Funciones: • Funciones inspectoras: la función inspectora tiene como finalidad la averiguación de los hechos que hayan concurrido en el tratamiento de los datos de carácter personal. Este órgano de la AEPD podrá tener funciones inspectoras periódicas o circunstanciales, de oficio o a instancia de los afectados, de cualesquiera ficheros, de
CURSO LOPD
10
titularidad pública o privada, en los locales en los que se hallen los ficheros y los equipos informáticos correspondientes. A continuación, se comentan las principales características de los agentes inspectores, así como las principales actuaciones llevadas a cabo para el cumplimiento de su cometido. • Características de los inspectores. Entre las principales características de los agentes inspectores se pueden citar: > Tienen la consideración de autoridad pública. > Deben guardar secreto sobre las informaciones que conozcan en el ejercicio de sus actuaciones inspectoras, incluso después de haber cesado en su ejercicio. > Tienen potestad de entrada en locales donde se encuentren ubicados los equipos lógicos y físicos objeto de inspección. > Podrán actuar ante la denuncia de un afectado, en supuestos de "alarma social" o dentro de un plan de inspección de oficio. - Funciones inspectoras. Entre las funciones inspectoras cabe señalar: • El examen de soportes, equipos, programas, sistemas de transmisión y acceso, documentos etc. •
La realización de auditorías informáticas.
• La obtención de todas las informaciones que precisen para el desempeño de sus cometidos. • La elaboración de los denominados "Planes Sectoriales de Oficio" con finalidad "preventiva". Con ellos se pretende evaluar el grado de cumplimiento de la normativa de protección de datos en el conjunto de un sector de actividad previamente definido. Abarcan a sectores de actividad pública y privada. Concluye con la preparación de unas "recomendaciones" en que se detectan los problemas, las cuales deberán ser observadas por la entidad inspeccionada al objeto de adecuar plenamente
CURSO LOPD
11
los tratamientos automatizados a los principios de protección de datos. Solo se imponen sanciones en casos de extrema gravedad. - Instrucción de procedimientos: Esta despliega sus efectos en una doble orden de procedimientos: Tutela de los derechos de los afectados y Procedimientos por comisión de infracción (tanto de entes privados como públicos). • Tutela de los derechos: se ejercitará la tutela de derechos, cuando a los afectados se les deniegue, total o parcialmente, el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Este procedimiento consta de las siguientes fases:
Reclamación por escrito a la AEPD La AEPD requiero alegaciones al responsable en el plazo de 15 diez Práctica de pruebas o inspección Audiencia del responsable y el afectado Resolución Plazo máximo de tramitación: 6 meses. En caso de silencio, este será positivo
• Procedimiento sancionador: éste procedimiento se iniciará, siempre de oficio (bien por denuncia de un afectado/s o por propia iniciativa por conocimiento de un hecho presuntamente ilícito), por acuerdo del Director de la AEPD. En este procedimiento se designará instructor y, si fuera el caso, secretario, con expresa indicación del régimen de recusación de los mismos. El procedimiento sancionador ha sido establecido por las normas generales de derecho administrativo (RD 1398/1993, de 4 de agosto, en desarrollo Título VI Ley 30/1992). En lo relativo al contenido de la resolución sancionadora, en el caso concreto de los ficheros de titularidad privada recogerá la sanción (multa económica), así como otras medidas sancionadoras complementarias.
CURSO LOPD
12
• Procedimiento por infracción de las Administraciones Públicas: este procedimiento se iniciará cuando las infracciones en materia de protección de datos recogidas en el artículo 44 de la LOPD sean cometidas en ficheros que sean titularidad de la Administraciones Públicas. La resolución, que será notificada al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados (en caso de existir), recopilará la siguiente información: > Declaración de la infracción cometida por la Administración Pública. > Imposición de medidas que procede adoptar, para que cesen o se corrijan los efectos de la infracción. > De proceder, solicitud de medidas disciplinarias para el responsable de la actuación ilícita. En este caso, el procedimiento y sanciones a aplicar serán las recogidas en el Reglamento de Régimen Disciplinario de los Funcionarios de la Administración del Estado, modificado por el Real Decreto1085/1990, de 31 de agosto. La resolución, junto con el resto de actuaciones que se efectúen, ha de ser notificada por el Director de la Agencia, al Defensor del Pueblo.
La Secretaría General de la Agencia El citado Estatuto de la Agencia (Real Decreto 428193, de 26 de marzo) atribuye a la Secretaría General las actividades conducentes a proporcionar y administrar los medios personales, materiales y técnicos para el funcionamiento del Ente, así como las competencias relativas a la atención al ciudadano. - Funciones: De apoyo y ejecución (artículo 30. del Estatuto), como son: • La elaboración de los informes y propuestas que le solicite el Director.
CURSO LOPD
13
• Notificación de las resoluciones del Director. • Ejercicio de la Secretaría del Consejo Consultivo. • Gestión de los medios personales y materiales adscritos a la Agencia. •Atención de la gestión económico-administrativa del presupuesto de la Agencia. • Inventario de bienes y derechos que se integren en el patrimonio de la Agencia. • Gestión de los asuntos de carácter general no atribuidos a otros órganos de la Agencia. Además de estas funciones de apoyo y ejecución, la Secretaria General lleva a cabo otras funciones complementarias (artículo 31 del Estatuto), entre las que cabe destacar: • Mantenimiento del Fondo de documentación. Actualización permanente de la documentación sobre legislación, jurisprudencia y doctrina en materia de protección de datos y en otras materias conexas (gestión de la biblioteca de la Agencia). • Edición de los repertorios oficiales de ficheros inscritos en el RGPD, de las Memoria anuales y de otras publicaciones de la Agencia. • Preparación de conferencias, seminarios y cualesquiera otras actividades de cooperación internacional e interregional sobre la materia. • Dar Información a las personas de los derechos que la Ley les confiere y, a tal efecto, promover campañas de difusión, valiéndose de los medios de comunicación social. Por lo tanto, en base a lo comentado, la estructura de la AEPD se puede esquematizar de la siguiente manera:
CURSO LOPD
14
Mencionar, que el Registro General de Protección de Datos, la Inspección de Datos y la Secretaria General con categoría de Subdirecciones Generales, se constituyen como Órganos jerárquicamente dependientes del Director de la Agenda.
1.4 Órganos correspondientes en las CCAA Generalidades: Con la derogada LORTAD, las Comunidades Autónomas (en adelante, CCAA) podían ejercer las competencias de la Agenda de Protección de Datos Estatal, en relación a los propios ficheros creados o gestionados por cada Comunidad. Sin embargo, la LOPD cambia el alcance de las competencias de los Órganos equivalentes a la AEPD en las CCAA, ampliándolas a los ficheros de las
CURSO LOPD
15
Administraciones Públicas Locales ubicadas en el territorio de la CCAA (los cuales en la LORTAD no estaban incluidos entre las atribuciones de los Órganos correspondientes de las Comunidades Autónomas). En concreto, la LOPD amplió las competencias de las Agencias Autonómicas regulando en su Art. 41.1 que las funciones de su competencia "serán gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada comunidad, que tendrán la consideración de autoridades de control, a los que garantizará plena independencia y objetividad en el ejercicio de su cometido". Sin embargo, es importante mencionar que los ficheros de titularidad privada quedan excluidos de este precepto porqué las funciones que la ley ha contemplado a este respecto sólo pueden ser ejercidas por la Agencia de Protección de Datos de ámbito estatal, es decir, por la AEPD. Por tanto, la LOPD realiza en el citado artículo 41.1 un reparto competencial, de tal modo que los órganos correspondientes de las Comunidades Autónomas (que tendrán la consideración de autoridades de control) ejercerán la función de inspección y resolverán las quejas y reclamaciones de los ciudadanos, entre otras funciones, en la medida en que exista la habilitación legal autonómica correspondiente. Sin embargo, este reparto competencial se ha criticado duramente, postulándose mayores competencias de las CCAA en la materia. Así, el Parlamento y el Gobierno de Cataluña presentaron un recurso de inconstitucionalidad contra los preceptos recogidos en la derogada LORTAD y presentes en la LOPD, por entender que dichos preceptos vulneraban lo recogido en la Constitución Española y en el Estatuto de la Generalitat, recurso que fue resuelto por el Tribunal Constitucional en la Sentencia 290/2000. Se puede concluir, en base a lo comentado, que los ficheros de titularidad privada han de inscribirse en el RGPD junto con los ficheros de titularidad pública de ámbito estatal, pero en lo relativo a los ficheros de titularidad pública de las CCAA y de las Administraciones Locales en las que se hayan asumido competencias en la materia, éstos habrán de inscribirse en el Registro de la Comunidad de que se trate y en el RGPD (requisito previo indispensable para que pueda llevarse a cabo el tratamiento), sin que ello suponga una doble inscripción registral) dado que la naturaleza de ambos registros es totalmente diferente. Así, la LOPD dispone en su artículo 41.2 que las CCAA “podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se le reconocen sobre los mismos", no obligando a su constitución. Por lo tanto, si la Agencia de la
CURSO LOPD
16
CCAA no constituye su propio registro, sus competencias serán ejercidas por la Agencia Española de Protección de Datos. En base a lo anterior, se puede concluir que las Agencias de Protección de Datos de las CCAA, son entes de Derecho Público, con personalidad jurídica propia y plena capacidad de obrar, que ejercen las funciones que por Ley tienen atribuidas (se citarán a continuación) sobre los ficheros de titularidad pública creados o gestionados por: • Las Comunidades Autónomas correspondientes. • Los entes que integran la Administración Local del ámbito territorial de dicha CCAA. • Las Universidades públicas y demás Corporaciones de derecho público representativas de intereses económicos y profesionales de la misma (como los Colegios Profesionales). Hasta el momento, solo algunas Comunidades Autónomas han creado los órganos correspondientes en sus respectivas Comunidades Autónomas, en concreto, Madrid, Cataluña y el País Vasco. De este modo, las competencias de dichas Agendas Autonómicas se regulan a través de la publicación de sus propias leyes de protección de datos autonómicas, así, la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid ha ampliado el ámbito de aplicación en previsión del art. 41.1 de la LOPD "a los ficheros de la Administración Local de su ámbito territorial y corporaciones de derecho público representativas de intereses económicos y profesionales del ámbito territorial de la Comunidad de Madrid". - Funciones: Entre las funciones de la AEPD que asumen las CCAA se incluyen, en base al artículo 41 de la LOPD: 1. "Las funciones de la Agenda Española de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los siguientes apartados: j), k) y l), j) Velar por la publicidad de la existencia de los dichos de datos con carácter personal, a cuyo efecto publicara periódicamente una relación de dichos ficheros con la información adicional que el Director de la Agenda determine.
CURSO LOPD
17
k) Redactar una memoria anual y remitirla al Ministerio de Justicia. l) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñarlas funciones de cooperación internacional en materia de protección de datos personales. , y en los apartados: f) y g) en lo que se refiere a las transferencias internacionales de datos f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de ésos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de la LOPD y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones. g) Ejercer la potestad sancionadora en los términos previstos por el Título Vil de la presente Ley. , así como en los artículos: 46 y 49, 46. Infracciones de las Administraciones Públicas. 49. Potestad de inmovilización de ficheros. , en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido” 2. A su vez, las CCAA podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. 3. A efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación el Director de la AEPD podrá convocar regularmente a los órganos correspondientes de las CCAA También podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones, el Director de la
CURSO LOPD
18
Agencia Española de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas". Por tanto, según el artículo 41.1 las funciones de los órganos correspondientes de las CCAA son las reguladas en el artículo 37 (con las excepciones comentadas), así como las funciones reguladas en el artículo 46 y 49 (señalar que lo marcado en cursiva y subrayado ha sido adicionado del artículo 37 y de los artículos 46 y 49. de la LOPD). En cuanto al contenido del artículo 41.3 de la LOPD, éste se contempla de forma general en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, la cual dispone en su artículo 4.1 que las Administraciones Públicas actúan y se relacionan de acuerdo con el principio de lealtad institucional y en consecuencia deberán respetar el ejercicio legitimo por las otras Administraciones de sus competencias (letra a) y facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias (letra c). A su vez, la letra d) establece que se prestaran en el ámbito propio la cooperación y asistencia activas que las otras Administraciones pudieran recabar para el eficaz ejercicio de sus competencias. - Control de los ficheros de las Comunidades Autónomas: A su vez en el artículo 42 de la LOPD (Ficheros de las Comunidades Aut6nomas en materia de su exclusiva competencia) se establece un control estatal contundente, al establecer: 1. "Cuando el Director de la Agenda de Protección de Datos constate que el mantenimiento o use de un determinado fichero de las Comunidades Autónomas contraviene algún precepto de esta Ley en materia de su exclusiva competencia podrá requerir a la Administración correspondiente que se adopten las medidas correctoras que determine en el plazo que expresamente se fije en el requerimiento". 2. "Si la Administración pública correspondiente no cumpliera el requerimiento formulado, el Director de la Agenda de Protección de Datos podrá impugnar la resolución adoptada por aquella Administración".
CURSO LOPD
19
De ese modo, cuando el Director de la AEPD constate que por parte de una CCAA se infringe algún precepto de la LOPD podrá requerirla para que se adopten las medidas oportunas correctoras en el plazo que se determine en el procedimiento. En el supuesto de que la CCAA hiciese caso omiso al requerimiento, el Director podrá impugnar la resolución adoptada por la CCAA requerida (ante la jurisdicción Contenciosoadministrativa en base al artículo 2. de la Ley 29/1998, de 13 de Julio).
2. Funciones de la Agencia Española de Protección de Datos Las funciones de la Agencia Española de Protección de Datos se regulan en el artículo 37 de la LOPD, en concreto, las que siguen: 37.1 "Son funciones de la Agencia de Protección de Datos: a) Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. b) Emitir las autorizaciones previstas en la Ley o en sus disposiciones reglamentarias. c) Dictar, en su caso, y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos a los principios de la presente Ley. d) Atender las peticiones y reclamaciones formuladas por las personas afectadas. e) Proporcionar información a las personas acerca de sus derechos en materia de tratamiento de los datos de carácter personal. f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones.
CURSO LOPD
20
g) Ejercer la potestad sancionadora en los términos previstos por el Título VII de la presente Ley. h) Informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollen esta Ley. i) Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones. k) Redactar una memoria anual y remitirla al Ministerio de Justicia. 1) Ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos personales. m) Velar por el cumplimiento de las disposiciones que la Ley de la Función Estadística Pública establece respecto a la recogida de datos estadísticos y al secreto estadístico, así como dictar las instrucciones precisas, dictaminar sobre las condiciones de seguridad de los ficheros constituidos con fines exclusivamente estadísticos y ejercer la potestad a la que se refiere el artículo 46. n) Cuantas otras le sean atribuidas por normas legales o reglamentarias". Antes de proseguir con este articulo, es necesario señalar que la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y de orden social, la cual dedica sus artículos 79 y 82 a la LOPD, ha incorporado una serie de modificaciones. Una de ellas es la introducida por el artículo 82, de tal forma que se añade un nuevo apartado, el 2, al artículo 37 de la LOPD, de tal modo que este queda con la siguiente redacción: 37.2 "Las resoluciones de la Agenda Española de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados. La publicación se realizara preferentemente a través de medios informáticos o telemáticos. Reglamentariamente podrán establecerse los términos en que se lleve a cabo la publicidad de las citadas resoluciones. Lo establecido en los párrafos anteriores no será aplicable a las resoluciones referentes a la inscripción de un fichero o tratamiento en el Registro General de
CURSO LOPD
21
Protección de Datos ni a aquellas por las que se resuelva la inscripción en el mismo de los Códigos Tipo, regulados en el artículo 32. de esta Ley Orgánica". Para entender de un modo más sencillo las funciones de la AEPD, astas pueden clasificarse como se muestra en la siguiente tabla:
Generalidades
Velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, es especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.
En relación a los Atender a sus peticiones y reclamaciones. Información de los derechos reconocidos en la Ley. Promover interesados campañas de difusión a través de los medios. En relación a los: que tratan los datos
Emitir autorizado previstos por la Ley. Requerir medidas de corrección. Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos. Ejercer la potestad sancionadora. Recabar ayuda e información que precise. Autorizar las transferencias internacionales de datos.
En relación a la elaboración de normas
Informar los Proyectos de normas de desarrollo de la LOPD. Informar los Proyectos de normas que incidan en materias de protección de datos. Dictar instrucciones y recomendaciones de adecuación de los tratamientos a la LOPD. Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.
En materia de
Tutelar los derechos y garantías de los abonados y usuarios en el
CURSO LOPD
22
telecomunicacio- ámbito de las comunicaciones comerciales no solicitadas realizadas a través de correo electrónico o medios de comunicación electrónica nes equivalente.
Otras funciones
Velar por la publicidad en los tratamientos, publicando anualmente una lista de los mismos (CD). Cooperación Internacional Representación de España en los foros internacionales en la materia. Control y observancia de lo dispuesto en la Ley reguladora de la Función Estadística Pública Elaboración de una Memoria Anual, presentada pro conducto del Ministro de Justicia a las Cortes.
3. Potestad de inspección La potestad de inspección es un aspecto poco detallado en la LOPD, la cual sólo le dedica un artículo, el 40, es por ello por lo que se va a ampliar su contenido con lo establecido en el Estatuto de la Agencia (Sección 5a La Inspección de Datos). En concreto, el artículo 40 de la LOPD establece lo siguiente: 1. "Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente Ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. A tal efecto, podrán solicitar la exhibición o e/ envió de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados". 2. "Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendr6n la consideración de autoridad pública en el desempeño de sus cometidos.
CURSO LOPD
23
Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas". Por lo tanto, en el citado artículo 40, se establece la obligación de que los responsables de los ficheros (tanto de los públicos como de lo privados) faciliten cuantas informaciones les sean requeridas por la Autoridad de Control y, a su vez, incluye una referencia a la posibilidad de realizar inspecciones "in situ", pudiendo el inspector personarse en los locales o en las dependencias de los inspeccionados, de los responsables del tratamiento de datos, y a la posibilidad de inspeccionar los equipos lógicas y físicos con los que se estén tratando los datos personales.
3.1 Tipos de inspecciones - Las inspecciones sectoriales: Como su nombre indica, se caracterizan por tratar de analizar en un sector de actividad, o en determinadas actividades de un determinado sector, como se están cumpliendo el conjunto de principios y de derechos contemplados en la normativa de protección de datos personales. Por consiguiente, son una especie de auditoría general (no se trata de una inspección referida a una situación concreta, limitada a aspectos puntuales) que se realiza en ese sector con la finalidad de tratar de apreciar las deficiencias que se puedan producir. Se trata pues de inspecciones de naturaleza preventiva que se encuentran habilitadas jurídicamente en las previsiones del Estatuto de la Agenda, previsiones que hacen referencia a la posibilidad de realizar funciones de auditoría. Estas inspecciones concluyen con unas recomendaciones que son de obligado cumplimiento en la medida en que manifiestan el criterio del Director de la Agenda. En cuanto a su ejecución, se han realizado tanto en ficheros públicos (Instituto Nacional de Administración Pública) como en ficheros de titularidad privada. Las inspecciones consecuencia de la reclamación, denuncia de los ciudadanos o de las decisiones del Director de la Agencia cuando éste tiene conocimiento por cualquier medio de que puede producirse una infracción de la Ley.
CURSO LOPD
24
Estas inspecciones están dirigidas a constatar los hechos denunciados y aquellos otros conexos, conforme a una regla de proporcionalidad con los que han sido objeto de investigación inicial, para apreciar si de ellos puede deducirse la apertura de un procedimiento administrativo sancionador. Se trataría, por lo tanto, de inspecciones de naturaleza correctiva.
3.2 Características generales Principales problemas detectados
de
la
inspección.
- Características generales de la inspección: A diferencia de otras inspecciones, como la Inspección Tributaria o la Inspección de Trabajo, las inspecciones en el ámbito de la protección de datos están estrictamente dirigidas a la constatación de hechos y no a la realización de valoraciones de tipo jurídico. De la realización de estas inspecciones se deriva el levantamiento de un acta de inspección, la cual goza, conforme a las sentencias de la Sala de lo ContenciosoAdministrativo de la Audiencia Nacional, de una presunción de veracidad, "iuris tantum", presunción que de no ser revocada a lo largo del procedimiento, se considera suficiente para destruir el principio de presunción de inocencia. Además de esta presunción de veracidad, el ejercicio de esta potestad se ve reforzada al ser tipificada en la LOPD la obstrucción al ejercicio de la labor inspectora como un infracción grave. En lo relativo al ejercicio, por parte de las Autoridades de control, de la potestad inspectora en operadores tanto de naturaleza pública como privada, mencionar que existe una colaboración en el procedimiento de actuación (según el citado artículo 41.3 de la LOPD), de tal modo que la AEPD inspecciona la actuación de los responsables privados y de los públicos de ámbito estatal, y la Agencia Autonómica inspecciona la actuación de los responsables públicos de su competencia, pudiendo solicitarse mutuamente toda la información que sea necesaria para el desarrollo de esta función.
CURSO LOPD
25
- Principales problemas detectados: En el ejercicio de la labor inspectora en el ámbito de los ficheros tanto de titularidad pública como privada, se han detectado una serie de problemas que se citan a continuación: • Ficheros de titularidad pública: en base a que la Administración sea de ámbito local, autonómico o estatal. 1. Administración Local: - No realizar la notificación e inscripción registral de los ficheros creados por la Administración Local, en muchos casos por desconocimiento de la normativa en la materia y, en otros, por falta de medios humanos y materiales para el ejercicio de esta obligación. - El problema relacionado con los ficheros de las policías locales, en las que existe una tendencia a la conservación de informaciones de carácter personal que nada tienen que ver con la investigación de actuaciones de carácter criminal, así como la conservación de datos personales de ciudadanos, por si algún día pudieran ser necesarios para una investigación criminal. - El incumplimiento del artículo 12 de la LOPD relativo al acceso a datos por cuenta de terceros, ya que es muy frecuente en las Administraciones Locales la internalización de determinados servicios (suministro de agua, retirada de vehículos, etc.), por lo que sería necesario incorporar todas las garantías previstas en el citado artículo (normalmente a través de la inclusión en los contratos de cláusulas especificas). - Por último el incumplimiento de la obligación de informar a los ciudadanos y de dirigirse a ellos para finalidades ajenas al ejercicio de competencias municipales (como la utilización de los datos del Padrón Municipal para finalidades no relacionadas con el ejercicio de competencias municipales: felicitación del cumpleaños). 2. Administración Autonómica; se han detectado fallos relacionados con: - La no adopción de medidas de seguridad en los tratamientos de datos personales.
CURSO LOPD
26
- Y la falta de mecanismos seguros de autenticación en el acceso a los sistemas de administración electrónica empleados en los servicios públicos de salud (como es el acceso a datos de salud mediante la identificación por el DNI). Este último problema se va a rectificar con la futura puesta en marcha del Documento Nacional de Identidad, el cual llevará incorporada una prestación de firma electrónica. 3. Administración Estatal: en el ámbito de la Administración Estatal han surgido problemas relacionados con: - La falta de adopción de medidas de seguridad. - La vulneración del deber de secreto. - La obtención de datos para una finalidad y su posterior empleo para fines diferentes. Los cuales ya han sido comentados en anteriores apartados. • Ficheros de titularidad privada: La deficiencia que con mayor frecuencia se ha detectado en los ficheros privados y que ha suscitado una mayor polémica, es la relativa al incumplimiento de lo preceptuado en el artículo 12 de la LOPD, en base al cual cuando exista un acceso a los datos personales por cuenta de terceros se deben incorporar las siguientes garantías en el contrato: - Identificar la finalidad de la prestación y advertir que los datos no podrán tratarse para finalidades distintas. - Devolución o destrucción de los datos en el momento de finalizar la prestación del servicio. - Obligación por parte del tercero de implantar las medidas de seguridad que serían exigibles al responsable del fichero. Sin embargo, es muy frecuente que entre las partes no se lleve ni siquiera la suscripción de un contrato por escrito, alegándose que en el ámbito del Derecho Privado español rige un principio antiformalista en su formalización y que, por tanto, la acreditación de que se prestan las garantías antes señaladas no necesariamente tiene que figurar en un documento por escrito.
CURSO LOPD
27
Sin embargo, la Audiencia Nacional ya se ha manifestado a este respecto, señalando la obligación de acreditación, bien por escrito o a través de nuevas tecnologías, como puede ser la ya mencionada firma electrónica.
¡Fin del Tema 9!
CURSO LOPD
28
CURSO LOPD
29