madrid.org: página principal
Accesibilidad  | tamaño texto normal mediano grande      
  Comunidad de Madrid
 
  Logotipo de la Agencia de Protección de Datos
  Portada   Índice   Contactar   Consejo Editorial   Número actual
Imagen de una persona mayor hablando con una niña
Nº 15 - 26 Mayo 2005
Opinión
De la Revista
 
Actualidad Normativa
Jurisprudencia
 
APDCM
Temas de Actualidad
Publicaciones


Icono de conformidad con el Nivel A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI
Página 1 de 8 Página siguiente Ir a la última página Imprimir  
Fotografía de Antonio Troncoso Reigada
Presentación pública de la Memoria 2004 de la Agencia de Protección de Datos de la Comunidad de Madrid
Este artículo recoge la presentación del Director de la Agencia de Protección de Datos de la Comunidad de Madrid de la Memoria 2004.
Antonio Troncoso Reigada. Director de la Agencia de Protección de Datos de la Comunidad de Madrid.

Es un motivo de alegría para mí presentar la Memoria de la Agencia de Protección de Datos de la Comunidad de Madrid 2004. Como es sabido, la Ley 13/1995, de 21 de abril, de tratamiento automatizado de ficheros con datos personales por la Comunidad de Madrid fue la primera ley de protección de datos de carácter autonómico. Esta ley, de una gran calidad técnica, desarrolló los principios y los derechos de protección de datos, reforzando las garantías establecidas en la LORTAD, por ejemplo, en lo relativo al principio de información, al consentimiento de los interesados, a las medidas de seguridad y a los procedimientos de ejercicio de los derechos de acceso, rectificación y cancelación[1]. Además, esta Ley 13/1995, de 21 de abril creó la Agencia de Protección de Datos de la Comunidad de Madrid, que se convierte así en la más antigua autoridad autonómica de control de protección de datos personales de nuestro país. Con posterioridad, fue aprobada la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. Esta Ley suprimió todas las referencias contenidas en la Ley 13/1995, de 21 de abril, relativas a la recogida de datos de carácter personal, derechos de los ciudadanos, principio del consentimiento, ejercicio de los derechos de acceso, cancelación y rectificación o cesión de datos. La Ley 8/2001, de 13 de julio, entendía que estos elementos “ya están regulados en la Ley Orgánica, pues son aspectos esenciales que delimitan el sistema de protección de las libertades públicas y los derechos fundamentales de las personas físicas, especialmente el derecho al honor y a la intimidad personal y familiar, en el tratamiento de los datos personales”[2]. La Ley 8/2001, de 13 de julio, optó por circunscribir su contenido a la delimitación de las funciones, organización y régimen jurídico básico de la Agencia de Protección de Datos de la Comunidad de Madrid, así como a aquellas materias para las cuales entendía que había una habilitación concreta en la LOPD, como la regulación del procedimiento de elaboración de las disposiciones de carácter general de creación, modificación o supresión de ficheros de titularidad de la Comunidad de Madrid; la cooperación interadministrativa y otros aspectos relacionados con la seguridad[3]. La Ley 8/2001, de 13 de junio, sí contenía una repetición de las definiciones recogidas en el artículo 3 LOPD, con el “fin de facilitar la comprensión del texto de la Ley sin necesidad de acudir a la Ley Orgánica para precisar el significado de esos términos y expresiones”.

 

La Ley 8/2001, de 13 de julio, de protección de datos de carácter personal de la Comunidad de Madrid, extendió las competencias de la Agencia al control de otras Administraciones Públicas que desarrollan competencias que han sido transferidas a la Comunidad de Madrid, como las Universidades Públicas, Ayuntamientos y Corporaciones de Derecho Público, en este último caso, sólo para los ficheros creados o gestionados para el ejercicio de potestades de derecho público. En los próximos meses se abrirá presumiblemente el debate sobre las competencias de protección de datos que pueden ser asumidas por las Comunidades Autónomas. Como es sabido, la jurisprudencia del Tribunal Constitucional ha afirmado la existencia en el art. 18.4 CE de un derecho fundamental a la protección de datos personales[4]. Este derecho fundamental exige no una conducta pasiva sino una actividad de los poderes públicos de garantía y control. Esta actividad administrativa de protección de datos personales lógicamente tiene que respetar el marco constitucional de distribución de materias y competencias entre el Estado y las Comunidades Autónomas, es decir, tiene que respetar plenamente el bloque de la constitucionalidad. Esto es especialmente importante en un periodo donde se inicia previsiblemente la creación de Autoridades de protección de datos de carácter autonómico. 

El derecho a la protección de datos personales es una materia constitucional y, como derecho fundamental, le corresponde al Estado “la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales” –art. 149.1.1 CE-. Por tanto, le corresponde al Estado la competencia de la legislación básica sobre esta materia, que ha sido desarrollada sucesivamente a través de la LORTAD y de la LOPD. La Constitución no dice nada acerca de a quién le corresponde la competencia de ejecución administrativa de protección de datos personales, es decir, las funciones de regulación, supervisión, sanción e inscripción de ficheros. Tampoco queda establecido en los Estatutos de Autonomía por lo que a partir de la cláusula residual del art. 149.1.3º CE, estas competencias corresponderían al Estado. Este es el motivo por el que el Estado ha atribuido a la Agencia Española de Protección de Datos las competencias de ejecución administrativa de protección de datos personales sobre los ficheros privados y, en la primera regulación llevada a cabo por la LORTAD, también sobre los ficheros de los Ayuntamientos. Así, la LORTAD y la LOPD materializan, de esta forma, la distribución competencial sobre protección de datos personales.

Este es el actual marco constitucional, desarrollado legalmente, que no permite la atribución del control sobre los ficheros privados a las Agencias Autonómicas de Protección de Datos Personales. Lógicamente, este marco puede ser modificado en el futuro, de dos formas distintas: por una parte, a través de las reformas de los Estatutos de Autonomía, que podrían asumir la materia de protección de datos personales; en segundo lugar, a través de una modificación de la LOPD, que atribuiría a las Agencias Autonómicas mayores competencias de ejecución administrativa sobre protección de datos personales.

La asunción por las Comunidades Autónomas de la protección de datos personales en sus respectivos Estatutos de Autonomía tiene la virtualidad de otorgar una mayor estabilidad a la distribución competencial, al incluirla dentro del bloque de la constitucionalidad. Las reformas estatutarias actualmente en perspectiva pueden ser una buena oportunidad para la inclusión de esta materia por el estatuyente. De  hecho, los proyectos de Estatuto de Autonomía para Cataluña y para Canarias incluyen la protección de datos personales como competencia de estas Comunidades Autónomas, extendiendo la competencia de las autoridades autonómicas al control de los ficheros privados. No hacen lo mismo los distintos proyectos de reforma del Estatuto del País Vasco, de Andalucía o de Valencia. En este ámbito no existe hasta el momento un título competencial claro, por lo que en ausencia de asunción de las competencias por los Estatutos de Autonomía se debe estar a la legislación orgánica del Estado, que tanto podría ampliar las competencias de las Comunidades Autónomas como reducirlas[5].

Otra vía para la atribución a las Comunidades Autónomas de mayores facultades de control sobre los tratamientos de datos personales reside en la modificación de la legislación estatal a estos efectos, en la actualidad la LOPD. Esta vía tiene la dificultad de que no supone una asunción de la competencia de ejecución administrativa por parte de la Comunidad Autónoma, ya que ésta siempre estaría a expensas de que no se produjera una reforma in peius de la legislación estatal en el futuro.

Por tanto, la decisión acerca del modelo concreto de distribución de competencias entre el Estado y las Comunidades Autónomas en protección de datos personales le corresponde al estatuyente y al legislador. A ellos les toca definir cuál debe ser el modelo organizativo y de policía administrativa más adecuado para el respeto al derecho fundamental a la protección de datos personales; a ellos le corresponde en virtud de criterios de oportunidad política, administrativa y organizativa establecer qué autoridad, estatal o autonómica está mejor situada comparativamente y más capacitada para hacer respetar este derecho. Ésta no es una cuestión que deje cerrada la Constitución y entenderlo así es un claro quebranto del orden constitucional, que también establece un Estado autonómico.

Son distintos los argumentos que se pueden esgrimir desde la ciencia política o de la Administración para justificar una mayor centralización en esta materia y para que corresponda a la Agencia Española de Protección de Datos las competencias de ejecución administrativas relativas a los ficheros privados:

 

En primer lugar, esta opción facilita la unidad de criterio y la uniformidad en la ejecución de la legislación, lo que favorece -aunque no sea un requisito sine qua non- la igualdad de todos los españoles en este derecho fundamental.

En segundo lugar, hay que tener en cuenta que el tráfico de datos entre ficheros privados desborda habitualmente el espacio de una sola Comunidad Autónoma, por lo que la atribución de facultades de control a una autoridad central asegura una mejor tutela de las lesiones de derechos de personas procedentes de diferentes Comunidades Autónomas. Las empresas privadas tienen una actividad que se desarrolla habitualmente en más de una Comunidad Autónoma, consecuencia también del principio de unidad de mercado[6]. Es decir, los titulares de los datos que figuran en un fichero privado residen habitualmente en más de una Comunidad Autónoma. En cambio, los titulares de los datos que figuran en ficheros públicos tienen la vecindad en una única Comunidad Autónoma. De hecho, el criterio de la vecindad es definitivo a la hora de empadronarse en un Municipio y pertenecer a una Comunidad Autónoma.

Por eso, a nuestro parecer, el criterio de distribución competencial establecido en el art. 41 LOPD, si bien no es el único posible, es razonable. Al mismo tiempo, no hay que desmerecer las competencias de control de las Agencias Autonómicas sobre los ficheros públicos, en un país en el que el sector público ocupa el 40% del Producto Interior Bruto. Eso no obsta para que las Agencias Autonómicas puedan colaborar, a través de Convenios con la Agencia Española, en la actividad inspectora sobre ficheros privados en su ámbito territorial. Esta posibilidad parece más adecuada que el establecimiento de delegaciones de la Agencia Española de Protección de Datos en las Comunidades Autónomas, posibilidad ésta que iría en dirección contraria en una etapa caracterizada por la descentralización de competencias por parte de la Administración General del Estado y por la Administración única, a partir sobre todo de la Ley 6/1997, de 14 de abril, de organización y funcionamiento de la Administración General del Estado. A nuestro modo de ver, la principal ampliación de las competencias de las Agencias Autonómicas de Protección de Datos debe de venir, no del control de los ficheros privados, sino de la garantía del derecho de acceso a archivos y documentos administrativos –arts. 105.b) CE y art. 37 LRJAP y PAC-, y de la compatibilidad entre la protección de datos personales y el principio de transparencia administrativa.

No obstante, también hay razones que aconsejan la atribución de las principales competencias de ejecución administrativa a las autoridades autonómicas de control. Entre esas razones estaría la dificultad para que la Agencia Española pueda hacer cumplir la legislación y garantizar los derechos de las personas en este ámbito, debido tanto a los incrementos de los tratamientos de datos personales en soporte informático consecuencia de la sociedad de la información y la comunicación, como a la ampliación del ámbito de aplicación de la LOPD –art. 2- que modifica la LORTAD para extenderlo a los ficheros manuales y, por último, a la atribución de nuevas competencias a la Agencia Española de Protección de Datos relativas a los correos electrónicos no deseados.

La Agencia tiene como función velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, especialmente en lo relativo a los derechos de acceso, rectificación y cancelación. La principal característica de la Agencia es su carácter de Administración independiente, debido a un conjunto de garantías formales y sustánciales de independencia, como la inamovilidad del Director, la autonomía presupuestaria, la autonomía de personal y la ausencia de órdenes o instrucciones por parte del Gobierno Regional, por lo que no existe una relación de jerarquía ni de tutela administrativa. Estas garantías de independencia, semejantes a las que disponen los órganos jurisdiccionales están justificadas por las funciones que desarrolla la Agencia –de inspección, supervisión y sanción- que pueden ser definidas como materialmente jurisdiccionales. Por ello, durante los últimos años, la Agencia de Protección de Datos de la Comunidad de Madrid ha estado siempre fuera del debate político, al no ser un ámbito de control político del Gobierno por la oposición sino que es una autoridad que desarrolla una función de control sobre las Administraciones Públicas de la Comunidad de Madrid y, entre ellas, sobre el Gobierno Regional.
Página 1 de 8 Página siguiente Ir a la última página Imprimir  
Aviso legal Privacidad de datos APDCM Recomendaciones de visualización Normas para citar
Servicios
 Buscador
 
Números publicados
Destacamos
En este número