Acercamiento
teórico a un posible modelo sobre la Agencia Andaluza de Protección
de Datos.
En la actualidad, los asuntos concernientes a la protección
de datos, han ido in crescendo de una forma completamente asombrosa. En
la década de los ochenta (época no muy tardía, por otro lado),
la idea que la sociedad tenía sobre la protección y los cuidados
recaídos sobre los datos personales, no podían compararse de ninguna
forma con la concienciación en los nuevos tiempos. Creo que esas preocupaciones
sociales que empezaban a suscitarse, provocaron mucho tiempo después un
cierto giro o traslado hacia un carácter netamente jurídico. El
problema, tal vez es que esa presencia del elemento de Derecho no fue asimilada
de forma totalmente clara, hasta que surgieron los primeros pronunciamientos normativos
y judiciales (la LORTAD o Ley 5/ 1992 de tratamientos automatizados de carácter
personal y la STC 292/ 2000 de 30 de noviembre, respectivamente).Con estos nuevos
"soportes",creo que a la protección de datos hay que observarla
bajo una doble perspectiva: jurídica, por supuesto pero sin descuidar su
acento sociológico, porque ambos enfoques han permitido a renglón
seguido, la creación de unos entes que vigilarán para que esos datos
personales, no sean destruidos o bien manipulados a interés del que maneja
con ellos y pueda garantizarse de otro modo su concreta circulación siempre
y cuando sea necesario y bajo el consentimiento del titular/es.
La paradoja
que puede aparecer con esto es que se crea por mandato legislativo la llamada
Agencia Española de Protección de Datos (www.aepd.es)
,como garantía de defensa de dichos derechos y medio de adecuación
y aplicación pragmática del articulado de la ley; pues bien pretendiendo
a su vez reforzar la no vulneración de éstos con la aparición
de agencias autonómicas en cambio se aprecia una protección de mayor
intensidad en aquellas comunidades que gozan de esta posibilidad y que por el
momento son: Madrid, Cataluña y Pais Vasco: tres regiones de amplio desarrollo
económico e industrial pero que dejan fuera de sintonía al resto
del pais que solo beben de la influencia de la entidad general: o bien una sola
agencia estatal con amplia cobertura en toda la nación o bien e intuyo
que así será en un futuro un tanto lejano, las diecisiete agencias
autonómicas, funcionando de forma simultánea, pretendiendo obtener
u n mayor equilibrio en las actuaciones llevadas a cabo y posiblemente con mayor
eficacia.
Ciñéndonos al sur de España, por ejemplo:
Andalucía todavía no cuenta con una agencia de protección
de datos personales, ni mucho menos con una ley autonómica de ficheros
de datos que la configure previamente, con lo que nos encontramos con lo expuesto
antes: la inscripción de sus ficheros ante el Registro General de la AEPD.
Andalucía, una de las comunidades autónomas en expansión
y crecimiento, muestra una serie de objetivos que debidos a su importancia deben
ser revisados de forma continua; para ello en el trienio 2007-2010 se han creado
una serie de metas estratégicas como es el caso de apostar por una integradora
Sociedad de la Información o de una forma específica dentro de la
esfera jurídica el ofrecimiento de nuevos derechos y la generalización
de las nuevas tecnologías para poder tener una justicia comprensible y
ágil a los ciudadanos, como el surgimiento de un modelo de gestión
de la administración inteligente de Andalucía, traduciéndose
en una administración sin papeles y en la transparencia y cercanía
necesaria; como anécdota para que se pueda hacer una idea ligera, sólo
el 65,28% del presupuesto total del plan correspondiente a la administración
inteligente, por todo esto y debido a la intensa relación entre administración
y ciudadanía, p.ej: en el considerable número de ficheros públicos
de carácter personal, es necesaria la creación de la Agencia Andaluza
de Protección de Datos (AAPD).
Parece ser que de una vez por todas,
el Parlamento de Andalucía ha admitido a trámite dándole
la calificación de favorable, la proposición de ley de creación
de la Agencia Andaluza de Protección de Datos, por lo que la primera cuestión
que se nos pude plantear es sobre la conveniencia de tratar primero la futura
ley y luego la agencia o viceversa. Estimo que esta segunda posibilidad, podría
ser la mas adecuada, teniendo como referente la vasca, madrileña y catalana
(las tres autonómicas existentes hasta el momento).La agencia andaluza
puede suponer una ayuda bastante importante por la creación, modernización,
junto con la ampliación de sus infraestructuras, que implicaría
tal vez la agencia autonómica mas adaptada a las necesidades de hoy; todo
dependería evidentemente de la dotación de sus recursos y de la
gestión de sus cometidos.
Al no haberse creado todavía a
día de hoy dicha autoridad regional de control de datos personales, no
es tan fácil el hablar sobre lo que no existe, como hacer las valoraciones
oportunas y balances correspondientes, después de su nacimiento y sobretodo
cuando han transcurrido al menos cinco años; tiempo en el que puedan extraerse
resultados concretos y hacer estudios anticipatorios de cara a u nuevo periodo,
con lo cual este trabajo, solamente pretende una exposición de forma resumida
y esquemática sobre cual podría ser esa configuración que
se le de en su momento.
Si observamos detenidamente el artículo
41 de la vigente Ley de Protección de Datos (Ley 15/1999 de 13 de diciembre
de Protección de Datos de Carácter Personal),podemos leer que las
agencias autonómicas, término éste que no viene expresado
en ley de forma literal, podrán ser creadas por las comunidades autónomas:
"Las funciones de la Agencia Española de Protección de Datos,
reguladas en el artículo 37………serán ejercidas cuando
afecten a ficheros de datos de carácter personal, creados o gestionados
por las Comunidades Autónomas y por la Administración Local de su
ámbito territorial, por los órganos correspondientes de cada comunidad
que tendrán la consideración de autoridades de control, a los que
garantizarán plena independencia y objetividad en el ejercicio de su cometido".
Por tanto, la primera consideración está bien clara, serán
autoridades de control; la agencia andaluza tendrá también tal consideración
y al igual que las autonómicas contará con la excepción de
las transferencias internacionales de datos; aspecto éste que solo vincula
a la agencia estatal; pero a pesar de esta limitación que de forma evidente
viene determinada por ley, no creo que deba considerarse que el campo de actuación
y movimiento de una agencia autonómica esté muy acotado; solo por
esto que acabo de mencionar: las agencias autonómicas son también
entes de Derecho público con personalidad jurídica propia y como
tales deben mantener una estrecha vinculación y colaboración no
solo con la agencia estatal, sino que si se me apura con otras agencias internacionales,
dentro de un marco de carácter europeo como las conferencias internacionales
de autoridades de control que vienen celebrándose actualmente; la cuestión
clave tal vez sea la forma de encajar esta idea en el inmenso puzzle de la protección
de datos.
Un imaginario artículo 2 de la LAAPD (la ley por la que
se crea la agencia andaluza),podría decir algo así como que el ámbito
de actuación de la agencia sería aplicable a los ficheros de datos
de carácter personal creados o gestionados por dicha comunidad autónoma;
como continuación y tirando del hilo la consideración de Ente de
Derecho, con personalidad jurídica propia y plena capacidad pública
y privada que actúa con plena independencia de las administraciones públicas
en el ejercicio de sus funciones; frase prácticamente similar a la establecida
para el organismo estatal y no lo es menos en tanto en cuanto, seguimos hablando
de administración; la agencia andaluza será un órgano administrativo
con la misma catalogación que la agencia madrileña o la catalana.
A efectos estadísticos y como ejemplo, solo en el año 2004,hubo
un total de 5897 tratamientos de titularidad pública procedentes de 714
entidades de la comunidad autónoma andaluza que fueran inscritos en el
RGPD, dependiente del órgano estatal; sigamos entonces, no nos debe sorprender
que no nos movamos del ámbito puramente administrativo, puesto que aquí
también se le concederían las potestades de sanción de os
ficheros que no cumplan con lo establecido en la ley andaluza de la que tratamos
por pura intuición, revisables ulteriormente por la jurisdicción
contencioso-administrativa, debido a ese sometimiento del que hemos hecho antes
referencia al Derecho Administrativo.
Las potestades de inmovilización
de ficheros estarán también presentes en la futura entidad andaluza,
ya que de ésta depende y sobre ésta recae la obligación primordial
de velar por el cumplimiento de la normativa en materia de protección de
datos, pero dicho así es una manera general de explicarlo; para un mejor
y mayor acercamiento ese cumplimiento normativo, tendría forzosamente que
descomponerse a su vez en aspectos mas concretos y específicos que engarzados
de forma coherente, darían plena satisfacción a una ley que ha sido
promulgada por su evidente necesidad; entre esos aspectos podrían mencionarse
v.gr: la publicidad en sus tratamientos, la adecuación de éstos
a los principios generales y la adopción en su caso de las pertinentes
medidas cautelares. Otras tareas que se pueden establecer son: la campaña
de sensibilización de los ciudadanos (nada que objetar, en principio),
la información a éstos sobre sus derechos que pueden ejercer y los
correspondientes procedimientos en los que se pueden valer esos derechos; si bien
es verdad que estas afirmaciones muestran un carácter mas proactivo y por
tanto menos agresivo que la inmovilización y sanción en lo que a
ficheros se refiere. Podría pensarse que es mejor el fomento de todo aquello
que tienda a la no intimidación de la sociedad; puesto que como su propio
nombre indica son órganos de control y como tales deben acercarse al ciudadano
desempeñando funciones de previsión y en caso de no prosperar esto
último, el ejercicio entonces de la sanción, sin ningún género
de dudas, pero siempre como el último recurso.
Creo que también
debería comentarse de forma somera el envío de la memoria anual
al parlamento andaluz y la ampliación del SIDIR a la agencia andaluza,
es decir es un Sistema de Información de Intercambio Registral, que se
creó mediante Protocolo de 22 de noviembre de 2004,entre la AEPD y las
tres agencias autonómicas de forma que al órgano andaluz se le facilitaría
de igual modo el uso de los formatos que sean compatibles para la información
relativa a las suscripciones de tratamientos de datos hechos en los diferentes
registros.
Cómo proceder a la inscripción de los ficheros
en el registro andaluz de la protección de datos y el conocimiento de sus
instrucciones sólo puede saberse en el momento de la entrada en vigor del
cuerpo normativo. Creo con total convicción que una de las vías
por donde mejor puede conocerse la evolución que tendrá la Agencia
Andaluza de Protección de Datos estriba fundamentalmente en el contenido
de sus instrucciones sobre un tema pragmático y en última instancia
en el efectivo cumplimiento por parte de los "responsables-irresponsables"
del fichero o bien de sus encargados que a fin de cuentas también están
sometidos a los mandatos legales y/o reglamentarios.
Tal vez sean estos
los contenidos que de entrada deben tenerse en cuenta en referencia a la Agencia
Andaluza. Cuando ésta comience a andar, podremos deducir cual lejos o no
estaban nuestras intuiciones sobre la ineludible realidad.
BIBLIOGRAFÍA
+ Davara Rodríguez, M.A:"Manual de Protección de
Datos para Abogados".Ed Thomson Aranzadi.2006
+ Memoria 2004.Agencia
Española de Protección de Datos.
+ Plan Andalucía
Sociedad de la Información ( 2007-2010). Resumen ejecutivo Diciembre 2006.
Consejería de Innovación ,Ciencia y Empresa. Junta de Andalucía.
+ Vicuña de Nicolás, I: "Perspectivas de la Agencia
Vasca de Protección de Datos".Revista Datos personales.org. Agencia
de Protección de Datos de la Comunidad de Madrid.
Pedro
Jesús Macías Torres.
Sevilla-Septiembre 2007.
