La Agencia de Protección de Datos catalana Autor: Javier Sánchez Marquiegui Fuente: cincodias.com (4 Julio 2002) Acaba de publicarse la ley constitutiva de la Agencia Catalana de Protección de Datos (ley 5/2002, de 19 de abril). Este organismo público se crea con el objetivo de velar por el respeto de los derechos fundamentales y libertades públicas de los ciudadanos en todo lo concerniente a las operaciones hechas por la Generalitat o las Administraciones locales de Cataluña por medio de procesos automatizados o manuales de datos personales. Es decir, controlará, inspeccionará y sancionará a las Administraciones públicas catalanas en todo lo relativo a la protección de datos personales. Como sabemos, la Ley Orgánica de Protección de Datos de Carácter Personal es la norma fundamental en esta materia. En ella se prevé que sean las comunidades autónomas las que controlen el cumplimiento de esta legislación por parte de la Administración autonómica y de la Administración local de su ámbito territorial. En cumplimiento de esta previsión, Cataluña ha creado su propia Agencia de Protección de Datos, algo que hasta ahora sólo había hecho la Comunidad de Madrid. Todavía no se han regulado aspectos cruciales para el buen funcionamiento de esta institución, como es el órgano que será su interlocutor en la Generalitat o el presupuesto asignado, pero el sistema general viene claramente definido en la ley. Además, los plazos para la aplicación de sus disposiciones son tan cortos que es fundamental que todas las Administraciones y los operadores relacionados con ellas sigan muy de cerca todas las novedades relacionadas con esta materia desde el primer momento. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 La nueva agencia controlará los ficheros de la Administración autónoma y local, pero también la gestión que de éstos puedan hacer terceros La ley crea también un Consejo Asesor de Protección de Datos de Cataluña, aunque su papel no parece que vaya a ser muy relevante La primera nota que debemos destacar es que, pese a las declaraciones iniciales, la agencia controlará no sólo los ficheros de la Administración autonómica y las entidades locales catalanas, sino también la gestión que de estos ficheros puedan hacer terceros, como entidades públicas o privadas que presten servicios públicos, sean o no concesionarios, asociaciones o fundaciones, o sociedades en las que alguna Administración pública tenga una participación mayoritaria del capital, cuando lleven a cabo actividades por cuenta de una Administración pública. Así, parece que la ley pretende extender el control de la agencia a todas aquellas entidades que en mayor o menor medida están relacionadas con la Administración y no sólo a la Administración en sí misma. De acuerdo con la ley, la agencia tiene también poder de control sobre las universidades... Éste ha sido, sin duda, el punto más polémico de esta nueva norma. No escapa a nadie que la descripción de las competencias de la agencia se ha hecho de forma bastante amplia y habrá que ver cómo se hace encajar en la distribución de competencias establecida en la ley orgánica, que sólo reconoce a los órganos autonómicos la posibilidad de controlar los 'ficheros creados o gestionados por las comunidades autónomas y por la Administración local'. Otra de las novedades introducidas por la ley afecta la llevanza del registro de los ficheros que están bajo el control de la Agencia. Efectivamente, hasta ahora todos estos ficheros se registraban ante la Agencia de Protección de Datos. La Agencia Catalana llevará, a partir de ahora, un registro de este tipo, aunque el de la Agencia de Protección de Datos se conservará y se mantendrá actualizado. Esperamos que la relación entre uno y otro fichero se regule con mayor precisión en el reglamento de desarrollo. Pero, sin duda, una de las funciones más importantes de este nuevo organismo es proporcionar información sobre los derechos de las personas y atender las peticiones y las reclamaciones formuladas por la totalidad de los afectados. Independientemente de la posibilidad de denunciar cualquier infracción a la normativa en materia de protección de datos personales (como, por ejemplo, cesiones inconsentidas o falta de cumplimiento de las obligaciones de información), los afectados tendrán a su disposición el procedimiento de tutela de sus derechos de acceso, rectificación, cancelación y oposición. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2 Así, cuando una Administración catalana deniegue, total o parcialmente, el ejercicio de cualquiera de estos derechos a un interesado -como ciudadano, empleado, proveedor…-, éste podrá ponerlo en conocimiento de este nuevo organismo, que deberá resolver en el plazo de tres meses. Hay que tener en cuenta que este procedimiento no es nuevo, pero hasta ahora había que iniciarlo ante la Agencia de Protección de Datos y el plazo de resolución era de seis meses. En otro orden de cosas, sorprende el rigor de la ley con los datos mantenidos en soporte papel. Cuando la Directiva y la Ley Orgánica de Protección de Datos de Carácter Personal no se aplican a este tipo de datos hasta el año 2007, con algunas excepciones, la ley exige a las Administraciones catalanas que inscriban en el Registro estos ficheros y los tratamientos de que sean objeto en el plazo de dos años desde su entrada en vigor, o sea, antes de abril del año 2004. Esta medida obligará a las entidades sujetas a esta ley a un extraordinario esfuerzo de inventario. Hay que tener en cuenta que, aunque se inscriban, siguen sin estar sujetos a la inmensa mayoría de las obligaciones reconocidas en la ley orgánica, por lo que no vemos muy clara su utilidad. La ley también crea el Consejo Asesor de Protección de Datos de Cataluña, que tiene como función principal asesorar al director de la agencia y fijar criterios de actuación. El papel del consejo no parece que vaya a ser, sin embargo, muy relevante. Se presenta como un órgano esencialmente consultivo y con funciones de supervisión, pero sin auténtico poder sobre la agencia. En cualquier caso, habrá que ver cómo se articula la relación entre uno y otro en la realidad. En conclusión, la Agencia Catalana de Protección de Datos será una garantía adicional en el respeto de los derechos relacionados con la protección de datos de carácter personal, por ello supone una excelente noticia que por fin se haya constituido. Únicamente hay que esperar que sea dotada de medios personales y materiales adecuados a las funciones que tiene encomendadas y que se dé a los ciudadanos suficiente conocimiento de ella como para que puedan aprovecharla debidamente. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 3