Acercamiento teórico a un posible modelo sobre la Agencia Andaluza de Protección de Datos.
En la actualidad, los asuntos concernientes a la protección de datos, han ido in crescendo de una forma completamente asombrosa. En la década de los ochenta (época no muy tardía, por otro lado), la idea que la sociedad tenía sobre la protección y los cuidados recaídos sobre los datos personales, no podían compararse de ninguna forma con la concienciación en los nuevos tiempos. Creo que esas preocupaciones sociales que empezaban a suscitarse, provocaron mucho tiempo después un cierto giro o traslado hacia un carácter netamente jurídico. El problema, tal vez es que esa presencia del elemento de Derecho no fue asimilada de forma totalmente clara, hasta que surgieron los primeros pronunciamientos normativos y judiciales (la LORTAD o Ley 5/ 1992 de tratamientos automatizados de carácter personal y la STC 292/ 2000 de 30 de noviembre, respectivamente).Con estos nuevos «soportes»,creo que a la protección de datos hay que observarla bajo una doble perspectiva: jurídica, por supuesto pero sin descuidar su acento sociológico, porque ambos enfoques han permitido a renglón seguido, la creación de unos entes que vigilarán para que esos datos personales, no sean destruidos o bien manipulados a interés del que maneja con ellos y pueda garantizarse de otro modo su concreta circulación siempre y cuando sea necesario y bajo el consentimiento del titular/es.
La paradoja que puede aparecer con esto es que se crea por mandato legislativo la llamada Agencia Española de Protección de Datos (www.aepd.es) ,como garantía de defensa de dichos derechos y medio de adecuación y aplicación pragmática del articulado de la ley; pues bien pretendiendo a su vez reforzar la no vulneración de éstos con la aparición de agencias autonómicas en cambio se aprecia una protección de mayor intensidad en aquellas comunidades que gozan de esta posibilidad y que por el momento son: Madrid, Cataluña y Pais Vasco: tres regiones de amplio desarrollo económico e industrial pero que dejan fuera de sintonía al resto del pais que solo beben de la influencia de la entidad general: o bien una sola agencia estatal con amplia cobertura en toda la nación o bien e intuyo que así será en un futuro un tanto lejano, las diecisiete agencias autonómicas, funcionando de forma simultánea, pretendiendo obtener u n mayor equilibrio en las actuaciones llevadas a cabo y posiblemente con mayor eficacia.
Ciñéndonos al sur de España, por ejemplo: Andalucía todavía no cuenta con una agencia de protección de datos personales, ni mucho menos con una ley autonómica de ficheros de datos que la configure previamente, con lo que nos encontramos con lo expuesto antes: la inscripción de sus ficheros ante el Registro General de la AEPD.
Andalucía, una de las comunidades autónomas en expansión y crecimiento, muestra una serie de objetivos que debidos a su importancia deben ser revisados de forma continua; para ello en el trienio 2007-2010 se han creado una serie de metas estratégicas como es el caso de apostar por una integradora Sociedad de la Información o de una forma específica dentro de la esfera jurídica el ofrecimiento de nuevos derechos y la generalización de las nuevas tecnologías para poder tener una justicia comprensible y ágil a los ciudadanos, como el surgimiento de un modelo de gestión de la administración inteligente de Andalucía, traduciéndose en una administración sin papeles y en la transparencia y cercanía necesaria; como anécdota para que se pueda hacer una idea ligera, sólo el 65,28% del presupuesto total del plan correspondiente a la administración inteligente, por todo esto y debido a la intensa relación entre administración y ciudadanía, p.ej: en el considerable número de ficheros públicos de carácter personal, es necesaria la creación de la Agencia Andaluza de Protección de Datos (AAPD).
Parece ser que de una vez por todas, el Parlamento de Andalucía ha admitido a trámite dándole la calificación de favorable, la proposición de ley de creación de la Agencia Andaluza de Protección de Datos, por lo que la primera cuestión que se nos pude plantear es sobre la conveniencia de tratar primero la futura ley y luego la agencia o viceversa. Estimo que esta segunda posibilidad, podría ser la mas adecuada, teniendo como referente la vasca, madrileña y catalana (las tres autonómicas existentes hasta el momento).La agencia andaluza puede suponer una ayuda bastante importante por la creación, modernización, junto con la ampliación de sus infraestructuras, que implicaría tal vez la agencia autonómica mas adaptada a las necesidades de hoy; todo dependería evidentemente de la dotación de sus recursos y de la gestión de sus cometidos.
Al no haberse creado todavía a día de hoy dicha autoridad regional de control de datos personales, no es tan fácil el hablar sobre lo que no existe, como hacer las valoraciones oportunas y balances correspondientes, después de su nacimiento y sobretodo cuando han transcurrido al menos cinco años; tiempo en el que puedan extraerse resultados concretos y hacer estudios anticipatorios de cara a u nuevo periodo, con lo cual este trabajo, solamente pretende una exposición de forma resumida y esquemática sobre cual podría ser esa configuración que se le de en su momento.
Si observamos detenidamente el artículo 41 de la vigente Ley de Protección de Datos (Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal),podemos leer que las agencias autonómicas, término éste que no viene expresado en ley de forma literal, podrán ser creadas por las comunidades autónomas: «Las funciones de la Agencia Española de Protección de Datos, reguladas en el artículo 37………serán ejercidas cuando afecten a ficheros de datos de carácter personal, creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada comunidad que tendrán la consideración de autoridades de control, a los que garantizarán plena independencia y objetividad en el ejercicio de su cometido».
Por tanto, la primera consideración está bien clara, serán autoridades de control; la agencia andaluza tendrá también tal consideración y al igual que las autonómicas contará con la excepción de las transferencias internacionales de datos; aspecto éste que solo vincula a la agencia estatal; pero a pesar de esta limitación que de forma evidente viene determinada por ley, no creo que deba considerarse que el campo de actuación y movimiento de una agencia autonómica esté muy acotado; solo por esto que acabo de mencionar: las agencias autonómicas son también entes de Derecho público con personalidad jurídica propia y como tales deben mantener una estrecha vinculación y colaboración no solo con la agencia estatal, sino que si se me apura con otras agencias internacionales, dentro de un marco de carácter europeo como las conferencias internacionales de autoridades de control que vienen celebrándose actualmente; la cuestión clave tal vez sea la forma de encajar esta idea en el inmenso puzzle de la protección de datos.
Un imaginario artículo 2 de la LAAPD (la ley por la que se crea la agencia andaluza),podría decir algo así como que el ámbito de actuación de la agencia sería aplicable a los ficheros de datos de carácter personal creados o gestionados por dicha comunidad autónoma; como continuación y tirando del hilo la consideración de Ente de Derecho, con personalidad jurídica propia y plena capacidad pública y privada que actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones; frase prácticamente similar a la establecida para el organismo estatal y no lo es menos en tanto en cuanto, seguimos hablando de administración; la agencia andaluza será un órgano administrativo con la misma catalogación que la agencia madrileña o la catalana.
A efectos estadísticos y como ejemplo, solo en el año 2004,hubo un total de 5897 tratamientos de titularidad pública procedentes de 714 entidades de la comunidad autónoma andaluza que fueran inscritos en el RGPD, dependiente del órgano estatal; sigamos entonces, no nos debe sorprender que no nos movamos del ámbito puramente administrativo, puesto que aquí también se le concederían las potestades de sanción de os ficheros que no cumplan con lo establecido en la ley andaluza de la que tratamos por pura intuición, revisables ulteriormente por la jurisdicción contencioso-administrativa, debido a ese sometimiento del que hemos hecho antes referencia al Derecho Administrativo.
Las potestades de inmovilización de ficheros estarán también presentes en la futura entidad andaluza, ya que de ésta depende y sobre ésta recae la obligación primordial de velar por el cumplimiento de la normativa en materia de protección de datos, pero dicho así es una manera general de explicarlo; para un mejor y mayor acercamiento ese cumplimiento normativo, tendría forzosamente que descomponerse a su vez en aspectos mas concretos y específicos que engarzados de forma coherente, darían plena satisfacción a una ley que ha sido promulgada por su evidente necesidad; entre esos aspectos podrían mencionarse v.gr: la publicidad en sus tratamientos, la adecuación de éstos a los principios generales y la adopción en su caso de las pertinentes medidas cautelares. Otras tareas que se pueden establecer son: la campaña de sensibilización de los ciudadanos (nada que objetar, en principio), la información a éstos sobre sus derechos que pueden ejercer y los correspondientes procedimientos en los que se pueden valer esos derechos; si bien es verdad que estas afirmaciones muestran un carácter mas proactivo y por tanto menos agresivo que la inmovilización y sanción en lo que a ficheros se refiere. Podría pensarse que es mejor el fomento de todo aquello que tienda a la no intimidación de la sociedad; puesto que como su propio nombre indica son órganos de control y como tales deben acercarse al ciudadano desempeñando funciones de previsión y en caso de no prosperar esto último, el ejercicio entonces de la sanción, sin ningún género de dudas, pero siempre como el último recurso.
Creo que también debería comentarse de forma somera el envío de la memoria anual al parlamento andaluz y la ampliación del SIDIR a la agencia andaluza, es decir es un Sistema de Información de Intercambio Registral, que se creó mediante Protocolo de 22 de noviembre de 2004,entre la AEPD y las tres agencias autonómicas de forma que al órgano andaluz se le facilitaría de igual modo el uso de los formatos que sean compatibles para la información relativa a las suscripciones de tratamientos de datos hechos en los diferentes registros.
Cómo proceder a la inscripción de los ficheros en el registro andaluz de la protección de datos y el conocimiento de sus instrucciones sólo puede saberse en el momento de la entrada en vigor del cuerpo normativo. Creo con total convicción que una de las vías por donde mejor puede conocerse la evolución que tendrá la Agencia Andaluza de Protección de Datos estriba fundamentalmente en el contenido de sus instrucciones sobre un tema pragmático y en última instancia en el efectivo cumplimiento por parte de los «responsables-irresponsables» del fichero o bien de sus encargados que a fin de cuentas también están sometidos a los mandatos legales y/o reglamentarios.
Tal vez sean estos los contenidos que de entrada deben tenerse en cuenta en referencia a la Agencia Andaluza. Cuando ésta comience a andar, podremos deducir cual lejos o no estaban nuestras intuiciones sobre la ineludible realidad.
Bibliografía
- Davara Rodríguez, M.A:»Manual de Protección de Datos para Abogados».Ed Thomson Aranzadi.2006
- Memoria 2004.Agencia Española de Protección de Datos.
- Plan Andalucía Sociedad de la Información ( 2007-2010). Resumen ejecutivo Diciembre 2006. Consejería de Innovación ,Ciencia y Empresa. Junta de Andalucía.
- Vicuña de Nicolás, I: «Perspectivas de la Agencia Vasca de Protección de Datos».Revista Datos personales.org. Agencia de Protección de Datos de la Comunidad de Madrid.