Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Las agencias autonómicas de protección de datos, la autoridad catalana de protección de datos

Las agencias autonómicas de protección de datos, la autoridad catalana de protección de datos
Javier Puyol es abogado y socio de ECIXGroup.
15/7/2015 11:46
|
Actualizado: 13/8/2020 13:33
|

En esta noticia se habla de:

Tal como afirma Antonio Troncoso, no existe en la Constitución una mención expresa a la protección de datos personales ni entre las materias que son competencia exclusiva del Estado –art. 149 CE–, ni entre las materias que podrán ser asumidas por las Comunidades Autónomas –art. 148 CE–.

Esto es lógico ya que, ya que este es un derecho fundamental cuyo contenido tiene un origen principalmente jurisprudencial. Esto hace que la atribución por parte del legislador estatal y autonómico de potestades y funciones de control sobre ficheros a autoridades de carácter estatal o autonómico pueda resultar problemática al no existir una delimitación material y competencial clara.

Esta dificultad no es, como es sabido, característica exclusiva de esta materia sino que entra dentro de la complejidad del sistema constitucional y estatutario de distribución de competencias.

La distribución de competencias entre el Estado y las  Comunidades Autónomas que llevó a cabo la LORTAD –y que continúo esencialmente la LOPD– fue impugnada ante el Tribunal Constitucional, a través de los recursos de inconstitucionalidad interpuestos por el Consejo Ejecutivo de la Generalidad de Cataluña y el Parlamento de Cataluña, al entender que la regulación legal vulneraba el reparto constitucional de competencias al atribuir al Estado, a través de la Agencia Española de Protección de Datos, el control exclusivo sobre los ficheros de datos personales de titularidad privada y sobre los ficheros de los Ayuntamientos, otorgando únicamente a las Comunidades Autónomas, a través de las Autoridades Autonómicas, el control de los tratamientos de datos personales creados por la propia Administración autonómica.

El objeto del recurso era, esencialmente, el art. 40 LORTAD que limitaba las competencias autonómicas a sus propios ficheros, excluyendo el resto de los tratamientos de datos personales.

Es decir, no se cuestiona la competencia legislativa del Estado –la legitimidad de la existencia de una legislación básica de protección de datos personales– sino la atribución al Estado de la práctica totalidad de las competencias de ejecución administrativa en este ámbito. Así, las Comunidades Autónomas, a través de las autoridades de control que creen, deberían tener la competencia de control no sólo sobre los ficheros públicos sino también sobre los ficheros privados que presten servicios en ámbitos materiales sobre los que las Comunidades Autónomas tienen competencias en virtud de lo dispuesto en su Estatuto de Autonomía.

Las competencias administrativas de protección de datos de la Comunidad Autónoma, ejercidas a través de sus autoridades de control, serán la que resulten del bloque de la constitucionalidad, de manera que si la Comunidad Autónoma tiene competencias ejecutivas sobre una materia, también las tendrá ejecutivas en lo que respecta al control sobre los ficheros.

En cambio, será competencia de la Agencia Española de Protección de Datos el control de los ficheros relativos a actividades de titularidad estatal.

Lorenzo Cotino considera  que la inclusión de la materia de protección de datos en los estatutos de autonomía puede ser oportuna y positiva por distintos motivos.

El primero de ellos, resulta del hecho mismo de la adopción de normas y políticas al respecto desde las Comunidades Autónomas, las cuales en su gran mayoría se encuentran actualmente huérfanas de normas y políticas de una legitimidad política y jurídica estatutaria que las refuerce y las inserte en el bloque de constitucionalidad mismo. Igualmente este vacío estatutario permite que estas políticas queden hoy por hoy en mayor medida en manos de la voluntad del legislador estatal.

Complementariamente a ello, debe tenerse en cuenta lo dispuesto en el artículo 41 de la Ley Orgánica 15/1.999, de 13 de diciembre, de protección de datos de carácter personal, con relación a los órganos correspondientes de protección de datos pertenecientes a las Comunidades Autónomas, donde se indica:

«…1. Las funciones de la Agencia de Protección de Datos reguladas en el artículo 37, a excepción de las mencionadas en los apartados j), k) y l), y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 46 y 49, en relación con sus específicas competencias serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración local de su ámbito territorial, por los órganos correspondientes de cada Comunidad, que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido.

  1. Las Comunidades Autónomas podrán crear y mantener sus propios registros de ficheros para el ejercicio de las competencias que se les reconoce sobre los mismos. 3. El Director de la Agencia de Protección de Datos podrá convocar regularmente a los órganos correspondientes de las Comunidades Autónomas a efectos de cooperación institucional y coordinación de criterios o procedimientos de actuación. El Director de la Agencia de Protección de Datos y los órganos correspondientes de las Comunidades Autónomas podrán solicitarse mutuamente la información necesaria para el cumplimiento de sus funciones…».

López Román y Juan S. Mora señalan como este precepto tiene sus raíces en el artículo 13 del Convenio núm. 108 del Consejo de Europa, de 28 de enero de 19814 ya disponía la creación de una autoridad de ayuda mutua como método de Cooperación entre las partes. No obstante, no hacía referencia a una autoridad de control específica de protección de datos.

Es la LORTAD la que encomendó las tareas de control a una autoridad independiente que a día de hoy es la Agencia Española de Protección de Datos (en adelante, AEPD). El artículo 16 del Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la AEPD5 (BOE núm. 106, de 4.5.1993) reitera el mandato de independencia de la AEPD.

La independencia de la AEPD tiene la finalidad de garantizar la defensa del derecho fundamental a través de las potestades administrativas que le han sido otorgadas: potestad de inspección, sancionadora, de resolución reclamaciones de los afectados y potestad normativa.

Además de la Directiva 95/46 CE, del Parlamento y el Consejo, de 24 de octubre de 1995, la Carta de los Derechos Fundamentales de la Unión Europea (2000) en su artículo 8.3 también establece la necesidad de creación de una autoridad independiente de control en protección de datos.

En el plano autonómico se han ido constituyendo otras autoridades de control con ámbito de actuación o de control establecido por el reparto competencial de la propia CE. Actualmente existen 2 Agencias Autonómicas de Protección de Datos: la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos. Hubo una tercera, que pertenecía a la Comunidad Autónoma de Madrid, pero que fue suprimida por su Gobierno regional.

Ana González Murua ha indicado que el marco legal por el que la Agencia Catalana asume competencias en materia de inspección, sanción y puede atender las reclamaciones pertinentes derivadas de la denegación del ejercicio del derecho de acceso, rectificación, cancelación y oposición es el citado artículo 41 LOPD. En virtud de este artículo la Ley 5/2002, de 19 de abril, crea la Agencia Catalana de Protección de Datos y el Decreto 48/2003, de 20 de febrero aprueba el Estatuto de la Agencia. Así se establece que la Agencia Catalana establece su autoridad de control sobre los tratamientos de datos personales llevados a cabo por la Generalidad de Cataluña, por los entes locales y entes que integren la Administración local, por sus organismos y entidades autónomas, por los consorcios de los que formen parte, por las universidades en el ámbito territorial de Cataluña. Así por ejemplo la Ley catalana incluye los ficheros de las Universidades privadas.

Asimismo también son de su competencia los ficheros creados por la Generalitat de Cataluña, o por los entes que integran la administración local y que son gestionados:

a). Por entidades públicas o privadas en la prestación de los servicios públicos.

b).Por las asociaciones, fundaciones, sociedades civiles o mercantiles en las cuales la Generalitat o los entes locales tengan la participación mayoritaria del capital cuando llevan a término actividades por cuenta de una Administración pública.

Con la aprobación del Estatuto de Autonomía de Cataluña del año 2006, se inicia una nueva etapa para la protección de datos en Cataluña. No sólo porque se reconoce de forma expresa el derecho a la protección de datos en una norma que forma parte del llamado bloque de constitucionalidad (art. 31 EAC), sino porque se recoge a nivel estatutario la necesaria existencia de una Autoridad de Protección de Datos en Cataluña, designada por el Parlamento que, en todo caso, debe tener competencia respecto :

» a) La inscripción y el control de los ficheros o los tratamientos de datos de carácter personal creados o gestionados por las instituciones públicas de Cataluña, la Administración de la Generalidad, las administraciones locales de Cataluña, las entidades autónomas y las demás entidades de derecho público o privado que dependen de las administraciones autonómica o locales o que prestan servicios o realizan actividades por cuenta propia a través de cualquier forma de gestión directa o indirecta, y las universidades que integran el sistema universitario catalán.

  1. b) La inscripción y el control de los ficheros o los tratamientos de datos de carácter personal privados creados o gestionados por personas físicas o jurídicas para el ejercicio de las funciones públicas con relación a materias que son competencia de la Generalitat o de los entes locales de Cataluña si el tratamiento se efectúa en Cataluña.
  2. c) La inscripción y el control de los ficheros y los tratamientos de datos que creen o gestionen las corporaciones de derecho público que ejerzan sus funciones exclusivamente en el ámbito territorial de Cataluña».

La constitucionalidad de este artículo 156 EAC, y en concreto de su inciso «en todo caso» ha sido avalada expresamente por la STC 137/2010, dictada en el recurso de inconstitucionalidad interpuesto por el Defensor del Pueblo contra el EAC.

De acuerdo con ello, la Ley 32/ 2010 ha establecido como ámbito de actuación de la Autoridad Catalana de Protección de Datos (art. 3):

  1.  Las instituciones públicas.
  2.  La Administración de la Generalidad.
  3.  Los entes locales.
  4.  Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o los entes locales, o dependientes.
  5.  Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, los entes locales o los entes dependientes:

Primero. Que su capital pertenezca mayoritariamente a dichos entes públicos.

Segundo. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.

Tercero. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.

  1.  Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de estos servicios.
  2.  Las universidades públicas  y privadas que integran el sistema universitario catalán, y los entes dependientes.
  3.  Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de estas funciones y el tratamiento se lleva a cabo en Cataluña.
  4.  Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo que establece esta ley. «

Por tanto, en la actualidad la previsión de la existencia de una autoridad de control en materia de protección de datos en Cataluña ya no deriva sólo de lo que preveía la LOPD sino que deriva directamente del EAC de 2006. No obstante, se sigue manteniendo el esquema anterior según el cual, en aquellos ámbitos en los que tenga atribuidas competencias la APDCAT, la AEPD no ejerce sus funciones, excepto en cuanto a las transferencias internacionales de datos (y las otras exclusiones previstas en la LOPD a las que ya se ha hecho referencia).

Partiendo de estas premisas legales debe destacarse el papel que en la actualidad está desarrollándose desde la Agencia Catalana de Protección de Datos, dirigida por Angels Barbará de una manera inteligente y sensata, y al mismo tiempo de una manera práctica conectada con la realidad, y las exigencias de una sociedad muy dinámica como lo es la catalana.

En este sentido, son sus propias palabras las que califican su magnífica gestión al frente de esta Institución, en la que se vela por garantizar, en el ámbito de las competencias de la Generalitat, el derecho a la protección de datos personales y el acceso a la información que está vinculada. Se Informa a los ciudadanos y a las instituciones sobre los derechos en esta materia, cómo se ejercen y qué hacer en caso de que no sean respetados. También se asesora sobre las obligaciones previstas en la legislación y se controla que las entidades la cumplan adecuadamente. En definitiva, tal como afirma Barbará, se tiene que garantizar los derechos sin olvidar el cumplimiento de los deberes. Así, con el objetivo de acercar y difundir el derecho a la protección de los datos personales, la Agencia Catalana de Protección de Datos trata de aportar la información más significativa en materia de privacidad y protección de datos en Cataluña, desde los dictámenes que emite la Asesoría Jurídica sobre consultas planteadas ante la APDCAT por parte de entidades de propias de su ámbito de actuación, hasta las resoluciones del Área de Inspección.

También se puede es importante señalar la posibilidad que existe de consultar el Registro de Protección de Datos de Cataluña y, además, entre otras cuestiones, las actividades que organiza o en las que la misma participa, destacando iniciativas tan novedosas como el Premio de Protección de Datos en el diseño, o trabajos tan innovadores como el relativo a las “Smart Cities”, que le han valido el reconocimiento unánime internacional por su calidad y su espíritu de modernidad.

Por otra parte, debe tenerse presente la atención que dicha Autoridad Catalana de Protección de Datos presta a la evolución constante y el avance de las nuevas tecnologías, con la penetración creciente de Internet, la mejora de las comunicaciones de banda ancha, la expansión de las redes sociales, etc., en las que se plantean multiplicidad de cuestiones relevantes relativas a la privacidad y a la protección de los datos personales de los usuarios en general, especialmente en lo referido a los datos de los menores. En este ámbito de actuación, es de sobra conocida la preocupación existente en dicha Institución, y consecuencia de ello, las tareas desarrolladas en el ámbito de su difusión, para garantizar que los jóvenes aprovechen las ventajas de estas nuevas tecnologías, conociendo también sus derechos y los riesgos que conlleva la complejidad de este nuevo entorno.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas
  • Opinión | Mocro Maffia y micro justicia
    Opinión | Mocro Maffia y micro justicia
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano