–
El pasado mes de octubre tuvo lugar la Conferencia Internacional de Autoridades
de Control en materia de protección de datos. Podría comentar
lo allí tratado?
– Destacaría la ponencia sobre tratamiento de datos genéticos
y la dedicada a los ficheros judiciales, presentada por España,
único país de la UE con legislación específica
al respecto. Los ficheros judiciales también deben estar sometidos
con carácter general a los principios de la protección de
datos, y los ciudadanos, con las limitaciones propias del procedimiento
judicial, deben poder ejercitar sus derechos.
– ¿Tiene la Agencia sinergias con países europeos
no integrados en la UE, interesados en implantar órganos de control?
– Sí, con la República Checa, que teniendo ya una Ley,
una autoridad de control incipiente, y ratificado el Convenio 108 del
Consejo de Europa, solicitó que la Agencia española se presentara
al concurso internacional de la UE para ser la Autoridad que dirija su
integración en los principios de la Directiva y colabore en la
creación de su Agencia. Nos han adjudicado el concurso. También
hay una relación estrecha con Polonia. La Ministra–Inspectora
General para la Protección de Datos, Ewa Kulesza, está muy
interesada en la experiencia española.
– En octubre ha tenido lugar también la reunión
del Grupo del Artículo 29 de la Directiva. ¿Qué han
discutido?
– Uno de los temas más candentes se refleja en las posibilidades
de garantizar a terceros países, que no tienen el mismo nivel de
protección, la transferencia internacional de datos mediante contratos.
Nosotros hemos sido de los primeros en hacer realidad dicha solución,
contemplada en la Directiva, y, en consecuencia, los primeros en notificar
a la Comisión de las Comunidades la transferencia internacional
en base a tal sistema; me refiero al fichero del Reader’s Digest
a USA, en donde el exportador de datos –la entidad española–,
y la receptora de los datos –la americana–, se obligan a una
serie de garantías: que el receptor de los datos tenga las medidas
adecuadas de seguridad; que los derechos de acceso, rectificación
y cancelación se puedan ejercitar desde España; el sometimiento
a nuestra legislación, a las decisiones de la Agencia y de nuestros
Tribunales; la responsabilidad solidaria de ambas empresas ante un incumplimiento,
y el hacer posible que la Agencia, bien directamente con sus inspectores
o a través de un auditor independiente por ella designado, pueda
comprobar ‘in situ’ que la empresa receptora está cumpliendo
con las obligaciones contractuales: medidas de seguridad, cesiones de
datos...
– Acuerdo de ‘Puerto Seguro’, un tema delicado. ¿Cómo
están las cosas?
– Los Estados Unidos de Norteamérica han pretendido que, a
través de la adhesión a los ‘Principios de Puerto Seguro’,
se permita la transferencia de datos personales a empresas situadas en
su territorio, cuando allí, a afectos federales, no hay legislación
sobre protección de datos ni autoridad de control. Estos ‘Principios’,
una especie de código ético, están implicados con
las llamadas ‘preguntas más frecuentes’, donde se nos
presentan más inconcretos. El sistema no nos satisface, por lo
que el Grupo del Artículo 29 ha dictaminado en su contra, y también
el Parlamento Europeo. No obstante ello, la Comisión ha dictado
una Decisión que posibilita esta transferencia. El tema es grave,
porque la realidad es que una vez que los datos de los ciudadanos han
salido del territorio de alguno de los estados de la UE, quedan desprotegidos,
y el ejercicio de derechos es inviable a todos los efectos prácticos,
ya que a lo más que se puede llegar es a una actuación de
órganos administrativos de USA, que podrían perseguir, sin
quedar obligados, una mala práctica por competencia desleal.
Menos mal –y eso ha quedado claro en la Decisión– que
antes de salir los datos de algunos de los estados miembros, es la Autoridad
de Control la que tiene todas las competencias. De ahí que la Agencia,
si no se le aclara que los datos van a ir o con consentimiento o para
una finalidad adecuada, pueda establecer límites o controles en
origen.
– ¿Hay que seguir solicitando, entonces, permiso para transferir
datos personales a USA?
– Sí, porque lo único que garantiza el acuerdo de Puerto
Seguro es que en dicho país se van a producir unas garantías
adecuadas; pero eso no quiere decir que la empresa que desde España
puede transferir los datos no deba de cumplir todos y cada uno de los
principios de la protección de datos establecidos en nuestra legislación.
 |
«La
Agencia está pensando en dictar una Instrucción
para clarificar la transferencia internacional de datos personales»
|
–
¿Considera necesario dictar Instrucciones?
– He preferido dejar un tiempo a que funcione la nueva Ley, pero
en breve comenzaremos a producir algunas Instrucciones sobre aquellos
aspectos que vayamos detectando que plantean dudas de interpretación.
En concreto, la Agencia está pensando en dictar una Instrucción
para clarificar todo lo relacionado con la transferencia internacional
de datos.
– ¿Ha detectado irregularidades en el cumplimiento del
Reglamento de seguridad en servicios a través de web? ¿Qué
sucedió en el caso de Telefónica de España?
– A Internet le es aplicable tanto la Directiva ‘marco’
como la específica de protección de datos en materia de
comunicaciones, por lo que hay que vigilar que en los servicios por
la Red se cumplan las normas. En el caso de la empresa mencionada, hubo
un fallo en las medidas de seguridad y se llevó a cabo el correspondiente
expediente, siendo sancionada por la infracción de dichas medidas.
Del mismo modo se están llevando a cabo otro tipo de expedientes
en donde se han detectado fallos de seguridad a través de servicios
por Internet: Terra o las empresas que han organizado los ficheros del
programa Gran Hermano… A todas ellas se les ha abierto un expediente,
ahora en tramitación.
– ¿Ha sido el de Telefónica de España el
primer caso de sanción por vulneración de medidas de seguridad?
– Según recuerdo, sí. De todas formas, y bueno
es decirlo, se pusieron en contacto con nosotros para explicar lo sucedido.
De ahí que la infracción, aunque grave, se haya impuesto
en su grado mínimo. Fue un fallo del sistema –que nunca
debe producirse, ya que hablamos de datos de ciudadanos– y no existía
intención de incumplir.
– ¿Pudiera ser el caso Terra abordable también
por la vía penal?
– A raiz de su publicación en prensa y de la recepción
en agosto de una denuncia de Tele 5, la Agencia inició las actuaciones
inspectoras, complejas al tratarse de un gran volumen de datos. Al concluir,
se ha determinado que con fecha 4 de octubre se inicie un procedimiento
sancionador contra Telefónica Servicios Avanzados por la Red,
empresa que explota la marca Terra, porque se han detectado en principio
–ya que son sólo indicios, en tanto no se termine el procedimiento–,
por una parte, que las contraseñas de los ciudadanos en el fichero
que tenía esta empresa, estaban identificables, y a nuestro criterio
esto no debe de ser así; y por otra, que se conservaba un volumen
de datos completos de otros clientes que ya se habían dado de
baja. Ahora, la empresa implicada tendrá que hacer sus alegaciones,
proponer las pruebas, y luego se decidirá conforme a lo que resulte
probado.
De otro lado, parece ser que pudo haber una fuga de datos producida
antes de la entrada en vigor del Reglamento, cuyo investigación
no nos compete. Podría tratarse de una sustracción ilegítima
por un empleado o por un tercero. Creo que, efectivamente, se están
llevando a cabo averiguaciones penales ante la posible existencia de
un delito.
– ¿Se ha vulnerado la legislación por entidades
involucradas en la convocatoria y selección de candidatos a programas
con formatos como los de Gran Hermano?
– En estos programas –como en cualquier otro medio– cuando
se recaban datos personales y se van introduciendo en un fichero, hay
que informar al ciudadano para que sea consciente de ello, hay que indicarle
la finalidad y no usar sus datos para objetivos distintos, y en ese
contexto el ciudadano tiene que consentir. La vigente Ley es más
clara y exigente que la LORTAD en el consentimiento, que ahora ha de
ser explícito y específico para poder tratar los datos.
En los supuestos que comenta, no se ha tenido en cuenta esto, y concretamente
en el de Gran Hermano, donde han intervenido diversas empresas, se han
ido enriqueciendo estos datos, incluso en algunos epígrafes incorporando
datos sensibles. Si no se han cumplido los preceptos legales de referencia,
se habrán cometido diversas infracciones. El asunto, como ya
digo, está en investigación.
– ¿Son disuasorias las cuantías de las multas
para las grandes corporaciones?
– No me atengo a este criterio. En materia de sanciones, la LOPD
es la más severa en la UE. En la ley italiana, una de las más
modernas y que mejor funcionan, la sanción máxima está
en torno a las 450.000 pesetas; nosotros estamos sancionando en 100
millones máximo. Nunca se puede, por mucho que se suba la cuantía,
establecer una sanción lo suficientemente disuasoria, porque
siempre habrá alguien a quien pudiera ser «rentable»
el infringir. Pero fíjese que en la sanción también
está la reprobación, es decir, el que esa empresa no va
a ser considerada segura por los ciudadanos.
– ¿Existe alguna tipología de irregularidades
o dudas recurrentes en el cumplimiento pleno del Reglamento de seguridad?
– Como toda norma, en principio tiene algunas dificultades en su
aplicación. No obstante, y con carácter general, está
siendo tratada correctamente por las entidades. Reconozco que muchos
de los dictámenes que últimamente hemos evacuado para
responsables de ficheros o para profesionales, se han volcado en las
medidas de seguridad.
– ¿Le parecen los servicios externos de consultoría
existentes adecuados para colaborar con las entidades y lograr sinergias
con la Agencia en pos de un más afinado cumplimiento de la legislación?
– Los responsables de los ficheros deben de tener el asesoramiento
adecuado. Una materia como ésta, en constante desarrollo, necesita
de profesionales técnicos y también de juristas que ayuden
al cumplimiento de la legislación. La Agencia, tanto para unos
como para otros, evacua las consultas que nos formulan para ayudarles
al cumplimiento e interpretación de algunos supuestos que tanto
en el Reglamento como en la Ley no están suficientemente claros,
especialmente en la última.
– ¿Hay alguna organización que haya remitido a la
Agencia el Documento de Seguridad y el Informe de Auditoría voluntariamente,
aunque ello no sea preceptivo?
– Sí, en algún caso. Los hemos devuelto inmediatamente,
porque la Agencia entiende que deben de custodiarse por la empresa, y
estar a disposición del Organismo. El Documento de Seguridad debe
de conservarse en la empresa, porque el responsable del fichero es el
que debe seguir las pautas que se marcan en el Informe de Auditoría
para un perfeccionamiento del sistema de seguridad.
– ¿Qué valor le confiere al epígrafe reglamentario
de la Auditoría obligatoria?
– El Informe, aspecto esencial para cumplir con la legislación,
lo entiendo como una ayuda a la política de ‘privacidad’
de la empresa. Ahí es donde se van a detectar posibles fallos,
indicando al responsable qué debe hacer para cumplir con las medidas
de seguridad.
– Pero no le será ajeno el hecho de que algunas empresas
pueden estar buscando una especie de ‘certificado’, quizá
un auditoría complaciente…
– Si alguien piensa así, está pervirtiendo la previsión
de la norma, es decir, que alguien capacitado y cualificado pueda indicar
cuáles son las deficiencias existentes. No se trata de obtener
un ‘certificado’ de lo bien que lo hago, sino de que alguien
me diga qué es lo que debo hacer si no lo estoy haciendo correctamente.
No debe haber temor a que en los Informes se reflejen carencias, pues
ésta es su finalidad. Lo que no se podrá hacer, una vez
que se detectan, es seguir sin corregirlas.
– En lo que va de año, ¿cuál es el número
y la cuantía de las multas impuestas por la Agencia de Protección
de Datos?
– No es relevante; prefiero detectar el grado de cumplimiento de
la legislación. A este respecto sí le puedo decir que, en
lo que va de año, se ha multiplicado por 400 el número de
inscripciones en el Registro de Protección de Datos con respecto
al año 1999, en que se incrementó la inscripción
en un 50% sobre 1998. Por ello, es fácil entender que la actividad
de la Agencia también se ha disparado de forma notable.
– Pero, ¿se ha registrado un aumento en el número
de expedientes sancionadores?
– El incremento de expedientes no indica un mayor incumplimiento,
sino que incluso cumpliendo lo mismo, el ciudadano es más consciente
y denuncia más. Yo me sentiré satisfecho el día en
que pueda decir que la Agencia no ha impuesto sanciones, porque eso significará
que la Ley se está cumpliendo. Nuestra misión no es sancionar,
sino velar por el cumplimiento de la Ley.
– Realmente, ¿se registra un crecimiento en la toma de
conciencia ciudadana?
– Sí; prueba de ello son las 16.000 consultas que nos formularon
en 1999 a través del Área de Atención al Ciudadano,
y los más de 560.000 accesos a nuestro web. En 2000 se han incrementado
las consultas de ciudadanos en un 50% frente a 1999. Como consecuencia,
es también mayor el número de casos que se denuncian. Hay
una toma de conciencia general tanto por los ciudadanos como por los responsables
de los ficheros.
Tengo que decir que estamos desbordados, por lo que quiero solicitar un
aumento sobre todo de plantilla. Hablamos de un incremento del 30% sobre
la situación actual, a efectos de poder ser eficaces en función
del volumen creciente del trabajo.
– ¿Se pueden leer en España los correos-e y escuchar
las llamadas de los empleados, y crear y mantener un fichero de a los
que se les leen los correos-e o se les escuchan llamadas siquiera para
fines estadísticos de productividad?
– En una empresa, el correo-e, el teléfono…, son intrumentos
de trabajo que pone el empleador, que debe tener control sobre ellos a
fin de que se usen para el fin establecido; si va a ejercer dicho control,
tiene que avisar al empleado. Dicho esto, lo que hay que buscar es una
proporcionalidad. El Tribunal Constitucional ha sido muy claro al respecto
en una reciente sentencia en donde se establecía vigilancia en
un casino, reconociendo que la videovigilancia existente era correcta,
no así las escuchas practicadas de las conversaciones de los empleados.
En mi opinión, no se podrán grabar conversaciones o crear
ficheros con perfiles.
Fotografía: Jesús A. de Lucas
