JOSÉ LUIS PIÑAR MAÑAS, Director de la Agencia Española de Protección de Datos
“Hoy en día el sector en el que más denuncias se registran no es el financiero, sino el de las telecomunicaciones”

La Agencia Española de Protección de Datos, en sintonía con el Ministerio de Justicia, ha promovido el proyecto de desarrollo del Reglamento de la LOPD, que se pretende esté listo a más tardar en abril de 2006. Dicho reglamento va a introducir modificaciones importantes en relación con el cuerpo normativo vigente, que atañen muy especialmente a las medidas de seguridad. En la presente entrevista, José Luis Piñar Mañas, director de la AEPD, enjuicia algunos extremos de esta trascendente reforma que se avecina.


En el año 2004, la Agencia impuso multas por cerca de 16,5 millones de euros, casi el doble que en 2003. ¿Cómo hay que interpretar este dato?

– Efectivamente, la cuantía de las sanciones impuestas prácticamente se ha duplicado. Pero el número de expedientes ha crecido más, del orden de entre un 60% y un 70%. ¿A qué se debe esta particular relación entre el crecimiento de expedientes y el de multas? Pues a varias razones, una de las más significativas es que los ciudadanos conocen más lo que es y lo que hace la Agencia, y confían en su labor, lo que trae como consecuencia un incremento en la presentación de denuncias.
No obstante lo dicho, el que haya aumentado el número de sanciones no nos debe hacer olvidar que también lo ha hecho el número de expedientes archivados, es decir, el número de denuncias en las que este organismo no ha encontrado indicios de infracción, una prueba de que los responsables de ficheros y los encargados cada vez cumplen más afinadamente con la legislación de protección de datos.

¿Ha detectado la Agencia cambios dignos de resaltarse en la naturaleza de las infracciones conocidas?

– Este particular va emparejado no sólo con las infracciones y sanciones, sino también con las consultas que se nos presentan y con los informes que se nos piden.
Los asuntos, más o menos comunes, de los que se nos pedía opinión en su momento, como por ejemplo el acceso al padrón, ya están casi superados. Ahora las peticiones se centran en asuntos más complicados y específicos: relación responsable-encargado, datos sensibles, concepto de dato personal, nuevos servicios de TI y naturaleza y tratamiento de los datos...
En lo referente a los temas que se plantean en el ámbito de los procedimientos sancionadores puedo decirle que hoy el sector en el que más denuncias se registran no es el de los servicios financieros (bancos, cajas de ahorros y ficheros de morosidad), sino el de las telecomunicaciones, en parte por el problema del spam.

¿Qué razones han motivado que la AEPD promueva la reforma reglamentaria de la LOPD, cuya resultante será el denominado Reglamento de Protección de Datos de Carácter Personal?

– Desde casi el primer momento en que tomé posesión del cargo de Director de esta Agencia, hace casi tres años, una de mis prioridades ha sido clarificar el marco normativo, no a través de la propuesta de reforma de nuestra Ley orgánica, algo que me parece prematuro, sino a través del Reglamento de desarrollo de la LOPD.
Hay varios motivos para ello: uno porque no hay reglamento de la LOPD, sino de la LORTAD; dos, porque esto mismo implica que el desarrollo reglamentario actualmente vigente es fragmentario, sectorial, parcialmente operativo –porque sólo está en vigor en lo que no se oponga a la LOPD–, y que plantea dudas de interpretación importantes, sin ir más lejos en lo concerniente a la aplicación de medidas de seguridad en los ficheros no automatizados; tres, porque además hay un mandato al Gobierno en la propia LOPD para elaborar un Reglamento de desarrollo de la misma, y cuatro, porque es necesario facilitar a los ciudadanos y a los responsables y encargados un instrumento normativo que contribuya a aclarar las cosas.
Este es el objetivo del nuevo Reglamento que se está preparando, y también el de despejar dudas, dentro siempre del marco de la LOPD, acerca de algunas cuestiones que se han planteado en relación con la Directiva 95/46 y que ya han sido interpretadas por la Agencia en algunas de sus resoluciones.


“En lo referente a la retención de datos en comunicaciones electrónicas, es esencial respetar los principios de protección de datos, y además tomar las medidas de seguridad adecuadas para evitar el riesgo de accesos no autorizados a la información”


En relación con los actuales desarrollos reglamentarios, ¿qué grandes cambios va a llevar asociados el futuro Reglamento en lo que se refiere a las obligaciones de los responsables de ficheros con datos de carácter personal?

– En mi comparecencia ante la Comisión Constitucional del Congreso de los Diputados de finales de septiembre, en la que presenté la Memoria 2004 de la Agencia, tuve oportunidad de plantear cuestiones importantes y de futuro, que además fueron luego resaltadas por sus señorías en el debate posterior. Una de esas cuestiones se centró en el Reglamento de referencia. Allí expuse algunas de las líneas del borrador en el que estamos trabajando, líneas que hay que tomar con las reservas lógicas de un documento no definitivo que surge del trabajo de una comisión mixta entre la Agencia Española de Protección de Datos y el Ministerio de Justicia, que se engloba dentro del programa normativo de este Ministerio –que lo ha asumido para 2005– y que, en cualquier caso, está condicionado a la iniciativa de este Departamento ministerial, a la aprobación del texto por el Gobierno y a lo que resulte en su caso de la correspondiente tramitación.
No obstante, creo que las líneas generales de su contenido se pueden mantener en el texto final, ya que se centran principalmente en aspectos tales como aclarar las obligaciones precisas por parte de responsables de información a los ciudadanos y a los usuarios, o de reforzar las garantías en el tratamiento de los datos personales, delimitando los fines determinados y explícitos para los que pueden ser objeto de tratamiento dichos datos; definir en términos amplios el dato de salud...
También vamos a hacer un esfuerzo considerable en lo relativo a las medidas de seguridad, vamos a tratar el asunto de las transferencias internacionales de datos, así como el que atañe a los procedimientos que tramita la Agencia Española (inscripción de ficheros, autorización de códigos tipo, infracción, procedimientos según la LOPD y según la LSSI), vamos a intentar aclarar y regular cómo se tramitan esos procedimientos (plazos, por ejemplo); vamos a abrir la puerta a la simplificación de la notificación y la inscripción de ficheros, y vamos a aclarar el asunto de las transferencias internacionales de datos, y los títulos que habilitarían o permitirían una transferencia internacional.
El objetivo fundamental es contar con un texto a la altura del año 2006 y que sea realmente el desarrollo de la LOPD.

¿Deberían crearse agencias autonómicas de protección de datos en todas la comunidades autónomas? Es más, ¿sería adecuado hoy para los ciudadanos y para los responsables de ficheros el que las agencias autonómicas tuvieran competencias sobre los ficheros de titularidad privada existentes en sus territorios?

– La ley de protección de datos se refiere a la posible existencia de agencias autonómicas con competencias de control de los tratamientos y ficheros de titularidad pública. Existen actualmente tres agencias autonómicas, la de Madrid, la de Cataluña y la del País Vasco, con las que la Agencia Española mantiene excelentes relaciones de colaboración, cooperación y coordinación.
La experiencia es muy positiva, en tanto en cuanto está enmarcada dentro de la doctrina del Tribunal Constitucional, que dejó rotundamente claro en la sentencia 290 del 2000 que la protección de datos es un derecho fundamental y no una actividad instrumental de otras competencias correspondientes a las comunidades autónomas.
La sentencia referida fue fruto de un recurso interpuesto contra la LORTAD, y focalizado sobre todo en la necesidad o no de que existiera una agencia estatal, nacional o española de protección de datos. El Tribunal Constitucional justificó completamente la existencia de esta Agencia y justificó también la existencia de un marco normativo único en materia de protección de datos, que, como queda dicho, es un derecho fundamental. En consecuencia, está plenamente justificada la existencia de una Agencia española con competencia exclusiva en materia de ficheros de titularidad privada.

¿Hay perspectivas de cambio del modelo actual de financiación de la AEPD?

– El modelo actual de financiación está fijado en la Ley de Presupuestos Generales del Estado, dentro de un programa del Ministerio de Justicia referido a protección de datos de carácter personal. La Ley establece que el presupuesto de la Agencia se incluirá de modo diferenciado en la Ley de Presupuestos Generales del Estado. Para el año 2006 se ha previsto un presupuesto de unos 9,5 millones euros, lo que supone un incremento del 35% respecto al 2005, ejercicio en el que el presupuesto asignado creció en un 30% en relación con el de 2004; es decir, que en dos años, la Agencia Española habrá pasado de un presupuesto de 5 millones de euros a casi 10 millones de euros.
Creo que esto demuestra la sensibilidad del Gobierno y de las Cortes hacia este organismo.
Ese presupuesto se nutre en parte con transferencias del Estado y en parte con cargo al remanente de tesorería del que dispone la Agencia y que se produce por los ingresos generados por las sanciones impuestas. Pero la utilización de este remanente no es algo que quede a nuestra libre decisión, sino que está determinado y aprobado en la ley de presupuestos. ¿Qué significa esto? Pues que técnicamente no es verdad que nos financiemos con cargo a sanciones.

Eduardo Calvo Rojas, Presidente de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, indicó en la excelente conferencia que pronunció en el curso de la UIMP, titulado “Hacia un nuevo Reglamento de la LOPD”, organizado por la AEPD a finales de junio, que en su opinión, a una misma conducta no se le pueden poner dos varas de medir. Quería manifestar así el magistrado su disconformidad con el hecho de que la LOPD (y antes la LORTAD) sólo permite imponer sanciones con multa a los responsables de ficheros de titularidad privada, y no a los de titularidad pública. ¿Qué opina usted de este asunto como jurista?

– El que sólo se impongan sanciones con multa a los responsables de ficheros de titularidad privada es una decisión del legislador, y en mi opinión no es descabellado que éste no haya previsto la imposición de multas a las administraciones públicas, porque, en definitiva, el pago de esas sanciones repercutiría en el bolsillo del contribuyente. Esto se notaría de una forma especialmente directa en las entidades locales.
Lo cierto es que hay dos regímenes distintos en este sentido previstos en nuestra ley, y es evidente que el legislador ha considerado, en lo referente a las administraciones públicas, que la declaración de infracción y la notificación al Defensor del Pueblo suponen ya una consecuencia lo suficientemente gravosa para la administración pública infractora como para no ser necesario imponer sanción económica.

“En la comisión mixta Ministerio de Justicia-Agencia Española de Protección de Datos hemos hablado de que quizá algunos puntos del futuro Reglamento de la LOPD debieran entrar en vigor de inmediato”
¿Qué se cuece en la UE? Dicho de otro modo: ¿hacia dónde camina el modelo europeo de protección de datos?

– La Agencia tiene un papel muy reconocido y el modelo español de protección de datos es punto de referencia en la UE y también fuera de ella, ya en otros países de Europa, ya en Hispanoamérica. Participamos muy activamente en el Grupo de Autoridades de Protección de Datos –fijado por la directiva 95/46– del cual soy vicepresidente.
¿Qué dilemas se están planteando hoy en la UE? Pues aquellos centrados en la tensión entre seguridad y protección de datos. A raiz de los brutales atentados terroristas en Nueva York, y después en Madrid y Londres, ha estallado este aparente debate entre seguridad y protección de datos. Y digo aparente porque la protección de datos no obstaculiza la puesta en práctica de medidas y de medios que en el marco de una sociedad democrática sean o puedan ser eficaces para luchar contra el terrorismo y contra las muy graves formas de delincuencia organizada. Lo que sí queremos es que cualquier medida que se adopte sea respetuosa con los derechos fundamentales, y en particular con la protección de datos. Y en este sentido hay algún asunto específico que se está planteando, y que es polémico: me refiero a la retención de datos de tráfico. Como se sabe, hay en estos momentos dos iniciativas, la Decisión Marco del Consejo y la propuesta de Directiva de la Comisión. El Grupo de Autoridades de Protección de Datos, la española entre ellas, prefiere una directiva, y exige un respeto escrupuloso con los derechos fundamentales, y especialmente con los principios de la protección de datos: finalidad, proporcionalidad, calidad, seguridad...

¿Tiene el Grupo alguna idea prefijada en lo que se refiere a la duración de la retención de los datos?

– Hay que hacer en este sentido algunas precisiones. Primera, en la Agencia Española consideramos que la retención de datos puede ser un instrumento útil y necesario para las investigaciones de los Cuerpos y Fuerzas de Seguridad del Estado en relación con la lucha antiterrorista. Creemos, por tanto, que debe regularse esa retención de datos, pero de acuerdo con los principios que justifiquen esa retención. Por ejemplo, el de proporcionalidad (qué datos se van a retener); en ningún caso el contenido de las comunicaciones. ¿Durante cuánto tiempo? La Decisión Marco pretende que la retención pueda ampliarse hasta tres años. Y en España ya la LSSI prevé doce meses, que es el mismo plazo que se indica en la propuesta de Directiva, y que en nuestra opinión es razonable, ya que cumpliría con los principios de finalidad y proporcionalidad.
Pero el asunto no termina en saber si se pueden retener datos, qué datos y durante cuánto tiempo, sino en determinar quién tendrá acceso, por qué y cuándo, y posteriormente, tomar medidas de seguridad y protección de la información muy rigurosas que impidan o palien el riesgo de accesos no autorizados. En esa línea se enmarca la aportación de la Agencia Española al Grupo de Autoridades de Protección de Datos de la UE.

– Acaba de mencionar usted las palabras mágicas: “medidas de seguridad”, y me pone la pregunta en bandeja para volver a España y retomar la reforma reglamentaria en curso. ¿Cuál ha sido la intención de la AEPD al proponer cambios en las medidas de seguridad actualmente vigentes en el Reglamento?

– El principio de seguridad es uno de los más importantes en la protección de datos personales, y le estamos dando un protagonismo especial en la reforma reglamentaria. Si no olvidamos lo más sencillo de la protección de datos, es decir, que el responsable del fichero trata datos ajenos, y que debe hacerlo informando, con consentimiento..., es absolutamente capital que a las medidas de seguridad le demos el valor que realmente tienen, que es total; valor que, además, ha sido tradicional en nuestro derecho de protección de datos, pues de todos es sabido que en pocos países existe un Reglamento de medidas de seguridad como el hoy vigente aquí.
La intención con la reforma es aclarar el panorama, el régimen y las obligaciones en esta materia de los responsables y encargados, desde la perspectiva de que concretando las medidas de seguridad debe necesariamente abaratarse su implantación.
Por otra parte, hay algo paradigmático en la reforma prevista: que por fin se van a aclarar las medidas de seguridad de aplicación a los ficheros no automatizados. La Agencia Española tiene el criterio de que las medidas de seguridad se aplican ya a los ficheros no automatizados creados a partir de la entrada en vigor de la Ley, y según la Audiencia Nacional, también a los ficheros anteriores pero en los que se incorporen datos con posterioridad a la entrada en vigor de la Ley.
En suma, la intención es la de aclarar y concretar sin producir un encarecimiento en la toma de medidas. Esto no depende sólo de la norma, sino además de los avances en la aplicación de las tecnologías de la información y las comunicaciones, y de los esfuerzos que se hagan desde todas las instituciones y sectores.

Sin embargo, muchos responsables de seguridad consideran que, globalmente, las medidas de seguridad del futuro Reglamento de protección de datos –hasta donde se conocen– suponen un endurecimiento de las existentes. Un botón de muestra: la obligación de que exista un registro de accesos en las medidas de seguridad de nivel medio (hoy sólo se pide en el alto). Su implantación, según los responsables de seguridad de grandes organizaciones, es compleja y acarrea un gasto económico elevadísimo.

– La implantación del registro de accesos dentro de las medidas de nivel medio es un mecanismo esencial para garantizar la seguridad, y creemos que el coste de implantación de estas medidas está disminuyendo considerablemente, fruto de la normalización de las aplicaciones informáticas. Si estas medidas se prevén en la fase de diseño del sistema de información, tampoco tienen por qué suponer una barrera tecnológica insalvable si se hace bien, y menos plantear problemas de futuro.
Además, los supuestos en los que se exigen las medidas de nivel medio implican la existencia de datos muy importantes: datos financieros, Hacienda Pública..., ahora, también, de tratamiento de menores o de víctimas de violencia de género...

Sin duda. Pero, por poner un ejemplo, a muchas entidades, el que los ficheros o tratamientos con datos relativos a menores de 14 años deban incorporar, además de las medidas de nivel básico, las de nivel medio, les crea un problema significativo en ficheros y tratamientos de personal en los que hay hijos de empleados que piden beneficiarse o se benefician de ofertas de campamentos, actividades deportivas, lúdicas... ¿No hay posibilidad de que en la tramitación de la reforma se tenga en cuenta dar un régimen especial a este tipo de supuestos concretos, que podrían dar lugar a situaciones desproporcionadas?

– La Agencia organizó un curso el pasado verano en la UIMP, que usted ha mencionado, y está participando en diversos foros y encuentros sobre las medidas de seguridad. Ustedes en SIC van a organizar uno a finales de noviembre con nuestra participación. La idea es escuchar a todos los sectores afectados. Tenemos conocimiento del asunto que plantea y también de otros, y estamos valorando la posibilidad de encontrar fórmulas que no planteen disfunciones.
No obstante lo dicho, en toda reforma hay novedades, y las mismas pueden suponer el rediseño de sistemas y aplicaciones. Somos conscientes de este extremo, y eso es algo inevitable. En fin, quizá en la tramitación gubernamental se articulen periodos transitorios de adaptación, fases paulatinas de implantación de las medidas..., pero hay que ser conscientes de que va a haber un cierto coste de adaptación.– La Agencia organizó un curso el pasado verano en la UIMP, que usted ha mencionado, y está participando en diversos foros y encuentros sobre las medidas de seguridad. Ustedes en SIC van a organizar uno a finales de noviembre con nuestra participación. La idea es escuchar a todos los sectores afectados. Tenemos conocimiento del asunto que plantea y también de otros, y estamos valorando la posibilidad de encontrar fórmulas que no planteen disfunciones.
No obstante lo dicho, en toda reforma hay novedades, y las mismas pueden suponer el rediseño de sistemas y aplicaciones. Somos conscientes de este extremo, y eso es algo inevitable. En fin, quizá en la tramitación gubernamental se articulen periodos transitorios de adaptación, fases paulatinas de implantación de las medidas..., pero hay que ser conscientes de que va a haber un cierto coste de adaptación.

“El que se nos notifique la fecha del informe y si la auditoría la ha realizado un auditor interno o externo, creemos que redundará en una mayor transparencia en la actividad y la gestión de los responsables de ficheros”
 

¿Qué plazos se barajan para que esté listo el Reglamento?

– El borrador actualmente no es un texto cerrado, aunque quiero señalar que la intención de la Agencia Española y del Ministerio de Justicia es contar para antes de que termine este año con un texto ultimado, que sea el que el Ministerio, dentro del ejercicio de sus competencias, lleve a trámite formal de elaboración del futuro Reglamento, en el que habrá que dar audiencia a los interesados, al Consejo de Estado y a la propia Agencia Española al objeto de que esté aprobado, si es posible, dentro de los primeros cuatro meses de 2006.

¿Se tiene idea del periodo transitorio que convendría a los efectos de la adaptación a lo que se disponga en el futuro Reglamento? Se habla en los mentideros del año 2007.

– En la comisión mixta Ministerio de Justicia-Agencia Española aún no se ha decidido nada al respecto. Pero sí hemos hablado de que, quizá, algunas partes del Reglamento tengan que entrar en vigor de inmediato.
Por ejemplo, lo que vayamos a establecer acerca de la simplificación de notificaciones, o aspectos de procedimiento de la propia Agencia; además, hay que tener en cuenta el propio régimen transitorio de la LOPD.

– ¿Y esto podría afectar a algunas medidas de seguridad?

– Sí, podría.

– Que se sepa, no han considerado oportuno hacer mención específica alguna en las medidas de seguridad al correo electrónico, un servicio de tratamiento de información hoy hegemónico y fuente de notables incumplimientos de la legislación sobre protección de datos. ¿Por qué?

– El reglamento es de protección de datos, y solo de desarrollo de la LOPD, y, en alguna medida, también de regulación de la actividad de la Agencia Española en el ejercicio de sus funciones. Este organismo, hoy, tiene dos competencias muy diferenciadas, la que deriva de la Ley Orgánica de Protección de Datos, y la que deriva del marco normativo constituido por la Ley General de Telecomunicaciones, la LSSI y la Ley de Firma Electrónica.
Todo aquello que en relación con el correo electrónico tenga que ver con protección de datos, sí estará en el nuevo Reglamento; lo que sea específico del correo electrónico y del spam, y que no tenga que ver sólo con protección de datos, debería ser objeto de otro texto normativo.
No es un secreto que en la Agencia hay gran preocupación con el fenómeno del spam, asunto en relación con el cual tenemos en torno a cien procedimientos abiertos.


– ¿Por qué se ha modificado el artículo correspondiente a la Auditoría del modo en que se ha hecho, es decir, con obligatoriedad de notificar a la AEPD la fecha del informe y de si éste lo ha realizado un auditor interno o externo?

– La auditoría es un instrumento sumamente útil para garantizar el cumplimiento correcto de la LOPD, por eso consideramos de interés que se haga mención del hecho de que se ha pasado la auditoría y de la fecha del informe, algo que, posiblemente, refuerce la calidad de la inscripción en el Registro y redunde en beneficio de los ciudadanos.
El que estemos interesados en que se nos informe de si la auditoría la ha realizado un auditor interno o externo, que es el otro punto novedoso en este capítulo, se debe a nuestro convencimiento de que ese hecho implicará una mayor transparencia en la actividad y la gestión de los responsables de ficheros.


– ¿Sería interesante que algún organismo que pudiera ser competente en la materia (por ejemplo, el Ministerio de Justicia) estudiara la posibilidad de crear un registro de auditores de protección de datos personales y de regular el acceso a dicha actividad?

– Esto es algo que en la Agencia Española de Protección de Datos no se está pensando, ni se encuentra en su agenda.

– ¿Y crear en la Agencia un registro de auditorías?


– Debemos garantizar el cumplimiento de la Ley y garantizar que las auditorías sean rigurosas. De ahí las modificaciones en este apartado contenidas en el borrador; pero, ciertamente, la creación de un registro de auditorías no es algo que tengamos como prioridad en estos momentos.

– Una última pregunta: ¿cuáles son los grandes retos que tiene hoy sobre la mesa el Director de la AEPD?


– Normalizar la protección de datos y hacer ver que no es sólo una carga para responsables y encargados, sino algo bueno y necesario en cualquier sociedad democrática y competitiva; disponer de un Reglamento de la LOPD, que facilite el cumplimiento de la propia Ley y aumente la seguridad jurídica, y avanzar en los aspectos de gestión interna de la Agencia.
Tengo el honor de contar con el reconocimiento del Gobierno y de las fuerzas políticas del arco parlamentario, como pude comprobar en mi comparecencia ante la Comisión Constitucional del Congreso de los Diputados el pasado mes de septiembre, en cuyo marco disfruté de su apoyo a mi gestión –gracias, sin duda, al excelente equipo de profesionales del que dispongo–, y a que el organismo sea dotado con más medios personales y materiales.

Texto: José de la Peña Muñoz
Fotografía: Jesús A. de Lucas
 

<volver