MEMORIA
2
0
1
0
Dónde estamos C/ Beato Tomás de Zumárraga, 71, 3º 01008 Vitoria – Gasteiz
A-68
Tel. 945 016 230 - Fax. 945 016 231 Direcciones correo electrónico
Avda. del Zadorra
ue uq ton .D da ling Av Wel de
General:
[email protected] Registro de protección de datos de Euskadi:
[email protected] Tutela de derechos:
[email protected]
EUSKO JAURLAIRTZA GOBIERNO VASCO
Secretaría General:
[email protected] Dirección web: www.avpd.es
BULEVAR DE EUSKAL HERRIA
Cómo llegar
CALLE BEATO TOMÁS DE ZUMÁRRAGA
La sede de la AVPD se encuentra en el ala oeste del antiguo Seminario, al final de la calle Beato Tomás de Zumárraga.
AVDA. DE ZABALGANA
AGENCIA VASCA DE PROTECCIÓN DE DATOS
En dicho edificio también tienen su sede el Tribunal Vasco de Cuentas, determinados servicios de Ejie, e Izenpe, la entidad de certificación de las Administraciones Vascas. Para acceder desde la entrada Sur de Vitoria (desde Burgos), se toma la desviación de la Avenida del Mediterraneo hacia el centro de la ciudad. Para llegar desde las entradas Norte y Este (desde Bilbao, Donostia-San Sebastián o Pamplona), se accede por el Bulevar de Euskal Herria, continuando por la nueva Avenida de Zabalgana, donde, tras girar a la izquierda en las dos siguientes rotondas, se retrocede hacia el centro de Vitoria por la vía lateral.
AVDA. DEL MEDITERRÁNEO
N-I
ALTO DE ARMENTIA
3
AVPD
2010
Qué somos
Somos la Institución vasca que protege la privacidad de los ciudadanos y ciudadanas, controlando que las Administraciones Públicas Vascas gestionen la información sobre las personas respetando la legislación sobre protección de datos.
Qué hacemos
informamos a las personas sobre sus derechos y les tutelamos cuando éstos no son atendidos inspeccionamos e instruimos expedientes de infracción a las Administraciones Públicas damos publicidad a los tratamientos de datos personales mediante su inscripción en el Registro promovemos y difundimos buenas prácticas en el tratamiento de datos personales, e impulsamos proyectos de cambio en Administraciones Públicas asesoramos a las Administraciones Públicas
4
AVPD
2010
Memoria de actividades de 2010
Esta Memoria que tiene en sus manos es un resumen de los datos detallados que se recogen en el Balance de Actividades de la Agencia correspondiente al año 2010. El objetivo de esta Memoria y del Balance de Actividades es dar a conocer lo que hacemos a las Instituciones Públicas y a la ciudadanía. Ambos documentos se pueden consultar en la web de la Agencia Vasca de Protección de Datos (www.avpd.es).
Índice • Presentación • El Consejo Consultivo
• Programa de Buenas Prácticas en las Administraciones Públicas
• Función consultiva
• Relaciones Institucionales
• Función de control
• Participación de la Agencia Vasca de Protección de Datos en Foros Internacionales
• Registro de Protección de Datos de Euskadi • Estudio sociológico sobre opinión de los responsables de ficheros en Administraciones Públicas de la Comunidad Autónoma del País Vasco • Difusión del concepto de Privacidad
• Participación en conferencias, seminarios y otras actividades de información sobre Protección de Datos Personales • Compromiso con la Excelencia • Letras y Protección de Datos Personales
5
AVPD
2010
Presentación
La elaboración de esta Memoria, como síntesis del Balance de Actividades de 2010, que se puede consultar en nuestra página web, nos permite, de alguna manera, recuperar la información, volver sobre hechos pasados, retenerlos. Esta Memoria no pretende ser un registro permanente de experiencias pasadas, sino un método para recordar, ordenar, mostrar y sobre todo aprender. Un ejercicio para el aprendizaje que nos permita exponer los hitos más importantes del año, los rendimientos de nuestra actividad. Que ofrezca certeza y seguridad jurídica y que nos haga reflexionar sobre lo hecho para repensar lo que pretendemos hacer. Y es que las constantes innovaciones tecnológicas han acelerado nuestra forma de estar en el mundo, han modificado la forma de entender las relaciones entre las personas y, en consecuencia, de ejercer los derechos. Somos una sociedad en constante transición hacia un mundo distinto, lo
que debe intensificar nuestra reflexión. Ante la perspectiva de un futuro sin expectativa de privacidad, se alza el derecho fundamental a la protección de datos personales. Las nuevas tecnologías que tanto nos acercan, también permiten el tratamiento masivo de datos personales y nos sitúan en una sociedad vigilada, lo que hace que el reto de la labor de las autoridades de control y, en concreto, de la AVPD, esté en articular el adecuado equilibrio entre la protección de datos, la libertad de expresión, la transparencia y la seguridad. De ahí que la AVPD, durante 2010, haya realizado un significativo esfuerzo de acercamiento a la ciudadanía y a las entidades que tratan datos personales para difundir, de forma proactiva, el derecho fundamental a la protección de datos personales, en el convencimiento de que para ejercer un derecho hay que conocerlo y sólo su ejercicio responsable y consciente es garantía de libertad. A este objetivo responde toda la labor de difusión llevada a cabo durante el 2010, así como las buenas prácticas en las administraciones públicas y en el sistema educativo en particular. A esa finalidad responde también, entre otras medidas, la constitución
6
AVPD
2010
de un Grupo de Trabajo entre Instituciones para el tratamiento adecuado y respetuoso de datos personales en los Boletines Oficiales, o la colaboración con el Tribunal Superior de Justicia del País Vasco para unificar y establecer el procedimiento adecuado de la publicación por edictos de las Resoluciones Judiciales que contienen datos personales, y conjugar así la exigencia procesal con el derecho fundamental. Especial significación ha tenido la labor formativa llevada a cabo en las administraciones públicas de la Comunidad Autónoma. Unas administraciones que custodian y tratan datos personales muy importantes y en muchos casos especialmente protegidos. Pensemos en datos de salud, de bienestar social, de hacienda o de seguridad. Una utilización que requiere una formación en constante adaptación a los retos que las nuevas tecnologías suponen para el tratamiento de datos personales. Una formación, en definitiva, enfocada a mostrar el derecho a la autodeterminación informativa como un valioso instrumento y una oportunidad para ofrecer un servicio público de mayor calidad. Junto a esta labor proactiva la Agencia ha continuado con la actividad de control y ha llevado a cabo una
importante función consultiva y de asesoramiento orientada a los responsables públicos y a la ciudadanía. Esta actividad se ha incrementado considerablemente, destacando las consultas relativas a tratamientos de datos de salud y las efectuadas por la Administración Local, lo que indica que está calando en los Ayuntamientos el interés por este derecho fundamental. Otra de las funciones de la Agencia es garantizar que los tratamientos de datos personales que realizan las administraciones públicas estén declarados e inscritos en el Registro de Ficheros, como derecho y garantía de las personas a controlar su información personal. Ello ha permitido que a 31 de diciembre de 2010, haya 6.342 ficheros inscritos en el Registro de la AVPD, lo que supone un incremento del 14,9 %, que viene motivado, fundamentalmente, por la colaboración institucional promovida por la AVPD, EUDEL y las instituciones forales. La Agencia ha participado también en foros y eventos nacionales e internacionales donde se analizan y debaten aspectos de actualidad sobre la protección de datos, unas veces para conocer y ampliar conocimiento y en ocasiones para aportar nuestra experiencia y conocimiento. Nuestro compromiso con la excelencia ha permitido, un año más, abordar
la labor desde una planificación estratégica y poner en marcha mecanismos de seguimiento y mejora en beneficio de los ciudadanos. El Servicio de Atención Multicanal, como herramienta para gestionar la primera atención a ciudadanos y administraciones y para gestionar el conocimiento, viene a dar respuesta a ese compromiso. En definitiva, y acorde con nuestra misión, podemos afirmar que toda la actividad de la Agencia Vasca de Protección de Datos está encaminada a velar para que la ciudadanía tenga un control efectivo de sus propios datos personales, en el tratamiento que realizan las administraciones públicas, partiendo del convencimiento de que el éxito radica en que las personas sean conscientes de la titularidad de este derecho fundamental. Y nada de todo lo alcanzado hubiera sido posible sin el excelente equipo de personas que trabajan en esta Agencia. Una organización rica emocionalmente y constituida en torno al talento y la creatividad de cada persona, que vela, en su conjunto, para hacer efectivo el derecho fundamental a la Protección de Datos Personales. Iñaki Vicuña de Nicolás Director de la Agencia Vasca de Protección de Datos
7
AVPD
2010
El Consejo Consultivo
• Fila superior (izda. a dcha): Javier Aguirre, Nieves Mtz. De Antoñana e Iñaki Pariente de Prada Fila inferior (izda. a dcha): Montserrat Auzmendi, Iñaki Vicuña, Eduardo Jacob e Iñaki Esparza.
• El Consejo Consultivo de Protección de Datos, previsto en el artículo 14 de la Ley 2/2004, de 25 de febrero, es el órgano colegiado de asesoramiento a la Dirección de la Agencia Vasca de Protección de Datos.
• Su composición, a 31 de diciembre de 2010, de conformidad con el artículo 16 de la Ley 2/2004, es:
D. Eduardo Jacob Taquet
Presidente. Profesor titular de Ingeniería Telemática. Ámbito Informática. Universidad del País Vasco /Euskal Herriko Unibertsitatea
Dña. Montserrat Auzmendi del Solar
Letrada Mayor del Parlamento Vasco
D. José Ignacio Pariente de Prada
Director de Registros Administrativos de Régimen Local del Gobierno Vasco
D. Javier Aguirre Busteros
Jefe del Servicio de Informática de la Diputación Foral de Álava
D. Ricardo Ituarte Aspiazu
Alcalde del Ayuntamiento de Santurtzi
D. Iñaki Esparza Leibar
Catedrático de Derecho Procesal. Ámbito de los Derechos Fundamentales. Universidad del País Vasco /Euskal Herriko Unibertsitatea
D. Iñaki Vicuña de Nicolás
Director de la Agencia Vasca de Protección de Datos
Dña. Nieves Martínez De Antoñana
Secretaria General de la Agencia Vasca de Protección de Datos
• Sus miembros son representantes del Parlamento Vasco, de la Administración General de la Comunidad Autónoma del País Vasco, de los Territorios Históricos, de las Entidades Locales vascas y de la Universidad del País Vasco.
• La presidencia entre los miembros del Consejo es rotativa, por periodos de un año, según el orden establecido en el artículo 4.1 de las Normas de Organización y Funcionamiento del Consejo Consultivo. Hasta el mes de abril, ejerció la Presidencia Don Ricardo Ituarte Azpiazu, Alcalde del Ayuntamiento de
Santurtzi, siendo sustituido por D. Eduardo Jacob Taquet, representante de la Universidad del País Vasco. • El Consejo Consultivo se ha reunido en Sesión Ordinaria en dos ocasiones, el 22 de abril y el 11 de noviembre. La reunión Balance 2010, se ha realizado el 31 de enero de 2011.
8
AVPD
2010
El “Cloud Computing” y la privacidad: un nuevo escenario
Eduardo Jacob Profesor Titular de Ingeniería Telemática (UPV/EHU) Hablar de “Cloud Computing” o computación en la nube, requiere en primer lugar consensuar a qué nos referimos. Hay muchas tecnologías y sus correspondientes aplicaciones para las que el calificativo parece adecuado y de hecho es empleado de manera generalizada: tenemos las fotos y la agenda en la “nube”, tenemos un servidor de aplicaciones en la “nube”… Servicios como GoogleDocs, Picasa , Flickr o Dropbox forman parte de esa visión colectiva y en muchos casos inconsciente que tenemos de la “nube”. En este breve artículo queremos, sin embargo, referirnos a otro tipo de tecnologías. Probablemente una de las definiciones más acertadas y consensuadas de “Cloud Computing” sea la que proporciona el NIST (National Institute of Standards and Technologies) norteamericano en su documento “NIST definition of Cloud Computing V15” que viene a decir (de manera muy resumida) que: “El “Cloud Computing” es un modelo para proporcionar un acceso conveniente y bajo demanda a un conjunto configurable de recursos compartidos (por ejemplo: capacidad de almacenamiento, computación, aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de gestión o interacción con el proveedor del servicio”. Esta definición, lógicamente, excluye de estas tecnologías servicios tradicionales de albergue de servidores. Simplificadamente, desde el punto de vista de la infraestructura utilizada, esta “nube” puede ser privada cuando todos los recursos pertenecen a la organización que la utiliza, pública cuando todos los recursos pertenecen a un tercero e híbrida cuando por diversos motivos, se utiliza una arquitectura mixta en la que los recursos gestionados son tanto públicos como privados. Existen diversos proveedores que están ya ofertando servicios comerciales. Tal vez los más famosos sean Amazon con sus servicios EC2 de computación elástica y S3 de almacenamiento escalable, Google con “Google App Engine” y Microsoft con ”Windows Azure Platform”. En general estos proveedores promueven su solución en base al ahorro respecto a una solución privada, a la garantía
de que los datos están protegidos contra fallos catastróficos que podrían afectar a un único centro de proceso de datos, a la disponibilidad del servicio y a la mayor seguridad frente a ataques clásicos de seguridad. Probablemente todas estas reivindicaciones sean ciertas. Sin embargo es necesario recordar, que de acuerdo a estudios publicados recientemente, aplicaciones como el acceso a datos en movilidad o la integración de aplicaciones basadas en “Cloud Computing” constituyen un nuevo motivo para la adopción de estas tecnologías. Sin embargo es necesario estudiar otras cuestiones que poco tienen que ver con la técnica. El “Cloud Computing” ha sido identificado desde la Comisión Europea, tanto por Viviane Reding, Vicepresidente Primera de la misma y Comisaria Europea de Justicia, Derechos Fundamentales y Ciudadanía en el documento “Keeping darkness out of the Cloud”, como por Neelie Kroes, Vicepresidenta y responsable de la Agenda Digital, en su alocución titulada “Towards a European Cloud Computing Strategy”, como una tecnología que conjuga unas potencialidades inmensas para el desarrollo de la Sociedad de la Información con unos retos no menores en el campo de la privacidad. Hay infinidad de estudios realizados sobre la problemática que generan este tipo de servicios desde el punto de vista de la privacidad, entre estos podemos citar el de INTECO (Instituto Nacional de las Tecnologías de la Telecomunicación) “Riesgos y Amenazas en Cloud Computing”, el de ENISA (European Network and Information Security Agency) “Security and Resilience in Governmental Clouds” orientado a las administraciones públicas y traducido recientemente por INTECO, el del NIST “Guidelines on Security and Privacy in Public Cloud Computing”, y del WPF (World Privacy Forum) “Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing”. Incluso se han creado instituciones como la CSA (Cloud Security Alliance) y su correspondiente capítulo español, dedicadas a esta problemática. A continuación, destacamos los aspectos de esta tecnología que más influencia e impacto tienen en las cuestiones relativas a la privacidad. -El primero y más inmediato es que los datos pueden “moverse” por razones de servicio por los diversos servidores que constituyen la infraestructura del proveedor, pudiendo éstos residir
9
AVPD
2010
en distintos países. Por otro lado, debido al proceso mismo de replicación, no se puede garantizar la existencia de una única copia de los datos. Finalmente, no se contempla como parte del servicio comunicar la localización actual de los datos y sus copias. Los problemas que esto genera son los siguientes: • La normativa que regula el acceso a los datos por parte de terceras partes puede variar con la localización de los mismos, por lo que esto introduce la variable temporal en el estudio de la normativa aplicable, por ejemplo, en el campo de la privacidad, de la confidencialidad, de las medidas de seguridad a tomar, del acceso por parte de representantes de la ley o de la sede legal del prestador del servicio. • La posible existencia simultánea de los datos en más de un sitio puede complicar la determinación de responsabilidades en caso de cesión o fuga de datos y genera además conjuntos de normativas aplicables en paralelo. - El segundo es que el almacenamiento y procesado de información de terceros en estos sistemas puede definir escenarios en el campo de la confidencialidad y privacidad de la misma que no suelen estar recogidos tradicionalmente en los contratos de prestación de servicio entre empresas. • El almacenaje de datos de carácter personal de terceros (y de los propios trabajadores de la empresa) en un servicio de “Cloud Computing” puede ser considerado como una cesión no autorizada de datos de carácter personal. • El almacenaje de datos de carácter confidencial en estos sistemas puede ser considerado como una violación del contrato o del deber de secreto. -El tercer aspecto es compartido con cualquier aplicación que implica el uso de Internet y es relativo a la modificación y/o eliminación de los datos. • No es posible garantizar el borrado o la actualización de todas las copias que puedan existir de datos. Se habla del “Derecho a ser olvidado” como una de las cuestiones pendientes de Internet. Esto es especialmente importante para la finalización de contratos o en el caso de cesiones autorizadas de datos personales como mecanismo para implementar el derecho a la rectificación y cancelación de los mismos. Es por esto que es imprescindible profundizar en un marco que regule tanto el despliegue de los servicios de “Cloud Computing” como la contratación de los mismos, definiendo claramente el flujo permitido de información, la política de privacidad que tiene que
ser aplicable y aplicada a todas las localizaciones y que promueva una transparencia en el tratamiento de los datos. Una vez más, la particular normativa estadounidense en el campo de la privacidad y el hecho de que los precursores de estas tecnologías estén radicados allí, dota de una complicación adicional al problema, a la vez que da pie a implementaciones europeas del servicio que sean más adecuadas al tratamiento de la privacidad que se da en la Unión Europea.
10
AVPD
2010
Función consultiva
En el ejercicio de la Función Consultiva a la Agencia Vasca de Protección de Datos le corresponde atender las consultas que en la materia le formulen las Administraciones Públicas, Instituciones y Corporaciones así como personas físicas o jurídicas, respecto a tratamientos de datos incluidos en su ámbito de aplicación. Asimismo, debe informar, con carácter preceptivo, los proyectos de disposiciones generales que desarrollan la Ley 2/2004, de 25 de febrero.
Dictámenes • Son respuestas escritas a consultas que se reciben en la AVPD y constituyen una tarea de asesoramiento formal. • Sus destinatarios directos son Administraciones y personas privadas, físicas o jurídicas, que formulan dudas sobre una cuestión concreta en relación con la protección de datos de carácter personal. • Los dictámenes más relevantes emitidos en 2010 pueden agruparse en torno a las siguientes cuestiones: • Cesión de datos • Concepto de dato personal • Control político • Derecho de acceso a Registros y Ficheros • Medidas de Seguridad • Padrón Municipal de Habitantes • Principios LOPD • Publicación de datos • Servicios sociales • Videovigilancia
11
AVPD
2010
Informes Función consultiva
• Se informan, con carácter preceptivo, los proyectos de disposiciones generales que desarrollan la ley 2/2004, de 25 de febrero.
Proyecto de Decreto por el que se crea el Registro de Universidades, Centros y Enseñanzas Universitarias en la CAPV.
• Se informan las disposiciones normativas que determinan estadísticas de respuesta obligatoria.
Proyecto de Decreto del Sistema de Información sobre cáncer en la CAPV.
• Se informan también, otras disposiciones normativas cuyo contenido esté relacionado, en general, con la protección de datos de carácter personal. • Durante el año 2010 se han informado en esta unidad los siguientes proyectos normativos:
Proyecto de Decreto del Sistema de información de profesionales sanitarios. • También se han informado este año: Proyecto de Convenio de Colaboración entre el Ministerio de la Presidencia y la CAPV para la prestación mutua de servicios de administración electrónica. Convenio entre la Agencia Estatal de Administración Tributaria y el Gobierno de la CAPV para el suministro
de información para finalidades no tributarias. Convenio de colaboración entre la Diputación Foral de Álava y el Ayuntamiento de Vitoria-Gasteiz en materia de cooperación y coordinación interinstitucional para el control y lucha contra el fraude en los programas y prestaciones sociales económicas. Convenio de Colaboración AVPD-Asociación Profesional Española de la Privacidad (APEP). Convenio de Colaboración AVPD-Presidencia del Gobierno-Lehendakaritza. Convenio marco de colaboración entre APVDColegio de Ingenieros en Informática en el País Vasco.
12
AVPD
2010
Implicaciones del Fichero Municipal Padrón de Habitantes Durante el año 2010 el Padrón municipal de habitantes ha sido objeto de atención por los medios de comunicación debido a la problemática surgida en el Ayuntamiento de Vic relativa al empadronamiento de inmigrantes. Recordemos que el Padrón se ha visto en este caso envuelto en una discusión que en la mayoría de las ocasiones se ha abordado desde un punto de vista social o ético; pero además de esas implicaciones, este fichero suscita también cuestiones puramente jurídicas, algunas de las cuales trataremos de describir. El Padrón municipal de habitantes se define en la Ley de Bases de Régimen Local como un registro administrativo donde constan los vecinos de un municipio, constituyendo sus datos prueba de la residencia en el municipio y del domicilio habitual en el mismo. Desde la perspectiva del derecho a la protección de datos de carácter personal es un fichero, un conjunto organizado de datos que genera para la Agencia Vasca gran cantidad de consultas, siendo numerosas las Administraciones y también los particulares interesados en acceder a los datos obrantes en el mismo. Si prescindimos de la habilitación que la Ley de Extranjería contiene en su Disposición Adicional Quinta para el acceso a datos del Padrón por parte de la Policía, el régimen jurídico de la cesión de los datos patronales se regula exclusivamente en el artículo 16.3 de la Ley de Bases del Régimen Local. Este precepto establece unos requisitos subjetivos: la cesión sólo puede tener lugar entre Administraciones Públicas, y otros objetivos, esto es, únicamente cabe para aquellos casos en que la Administración cesionaria precise los datos para el ejercicio de sus competencias, siendo relevante para ello el conocimiento del domicilio. Una interpretación literal del requisito subjetivo del precepto, ya superada doctrinal y jurisprudencialmente, implicaría que el Ayuntamiento podría ceder a otras Administraciones los datos del Padrón pero no podría utilizar sus propios datos padronales para el ejercicio de sus competencias, al tratarse de la misma persona jurídica. Como decimos, es una concepción ya superada de tal modo que el propio Ayuntamiento lógicamente podrá utilizar los datos obrantes en su fichero Padrón, pero siempre cohonestando este tratamiento con el principio de calidad de datos y con el cumplimiento del resto de requisitos del 16.3 de la Ley de Bases del Régimen Local. La cesión de datos del Padrón a personas físicas o jurídico privadas, no se incluye en el marco legal existente, configurándose un régimen restrictivo en el que en principio no cabrían cesiones a particulares o
a personas jurídico-privadas. Esta rigidez genera en ocasiones situaciones que pueden resultar paradójicas, como la imposibilidad del propietario de una vivienda arrendada, de conocer la identidad de las personas empadronadas en ella a través de la consulta realizada a los responsables del fichero Padrón, o la imposibilidad del heredero de un inmueble de conocer la identidad de sus moradores. Este tipo de situaciones han llegado a originar iniciativas legislativas, como la recientísima proposición de ley impulsada por Convergencia i Unió para modificar el régimen de acceso al Padrón, de tal forma que se posibilite al propietario de un inmueble el acceso a los datos de las personas empadronadas en el mismo; se trataba de evitar así, el fenómeno de los denominados pisos patera. Esta iniciativa ha sido rechazada por el Congreso de los Diputados alegándose entre otras cosas que se vería afectado el derecho a la intimidad, que el Padrón no ha sido diseñado para el acceso al mismo por particulares y que, en suma, se trata de una medida desproporcionada. Si ya es compleja la cuestión del acceso a los datos obrantes en el Padrón vigente, aún lo es más si tratamos con padrones de años anteriores. A nuestro juicio el Padrón está configurado como algo vivo y necesariamente actualizado, puesto que sus datos hacen prueba del domicilio de una persona, por ello, la expresión “padrón vigente” tiene algo de pleonasmo, de redundancia. Este carácter del Padrón como registro vivo provoca que en las hojas padronales de periodos de tiempo pasados, podamos encontrarnos con personas que hayan causado baja y personas que aún continúen empadronadas siendo el régimen de acceso a dicho documento diferente en un caso y en otro. En estos casos en los que se solicitan datos de personas para las que ese Padrón ya es un expediente terminado, tendremos que acudir a otras vías para legitimar el acceso, tales como el art. 37 de la Ley 30/92 o la normativa reguladora del patrimonio documental. Con esta exposición tratamos simplemente de incidir en la paradoja existente entre la complejidad que muchas veces generan las peticiones de datos padronales, la gran cantidad de consultas y procedimientos que este fichero genera en las autoridades de control y la necesidad de que el legislador actualice la regulación del acceso a los datos de este Registro. Habrá que esperar a la próxima tramitación de la Ley del Gobierno Local, anunciada en el calendario legislativo del Gobierno estatal, para marzo de 2011 para conocer cómo se abordan estas cuestiones.
13
AVPD
2010
Función consultiva
Reuniones de asesoramiento y respuestas a consultas telefónicas, presenciales o formuladas a través de correos electrónicos • Atendiendo al carácter proactivo que reviste nuestra actividad, se han mantenido reuniones con Administraciones de la Comunidad Autónoma del País Vasco con el ánimo de ofrecer un asesoramiento puntual en cuestiones relacionadas con la protección de datos.
• En noviembre se puso en marcha un sistema estructurado de Atención Multicanal que nos permite atender consultas de la ciudadanía y de las Administraciones, así como analizar el volumen y naturaleza de las mismas. • Este año la media mensual de las consultas telefónicas y vía e-mail ha superado las cien. Las preguntas más frecuentes planteadas han versado sobre:
Creación e inscripción de ficheros Cesión de datos Derecho de acceso Principio de consentimiento Encargados de tratamiento Derecho de cancelación
14
AVPD
2010
Función de control
En el ejercicio de la Función de Control la Agencia Vasca de Protección de Datos declara infracciones, requiere a los responsables y a los encargados de tratamientos para que adecuen el tratamiento de datos a la legislación en vigor y, en su caso, ejerce la potestad sancionadora o propone la iniciación de procedimientos disciplinarios. Además, vela por el cumplimiento de la legislación sobre protección de datos y controla su aplicación en lo relativo a los derechos de información, acceso, rectificación, cancelación y oposición, también denominados derechos ARCO.
Procedimientos de tutela • Cuando alguna Administración deniega total o parcialmente a una persona el ejercicio del derecho de acceso, rectificación, cancelación y oposición, y ésta lo pone en conocimiento de la AVPD, se inicia un procedimiento para analizar la procedencia o improcedencia de tal denegación. • Se puede constatar que una vez solicitada la tutela ante esta Agencia y mediante la tramitación del
procedimiento la mayoría de las administraciones dan satisfacción al derecho ejercido.
cámaras de tráfico, datos de demandantes de políticas activas y rectificación de datos en historias clínicas.
• Un año más el ejercicio del derecho de acceso a la historia clínica es el que se ha ejercido con mayor frecuencia dando lugar a más procedimientos de tutela. Se advierte un progresivo incremento de las reclamaciones de tutela por denegación del derecho en otros ámbitos como el de imágenes captadas por
• Son cada vez más frecuentes las demandas de cancelación de datos personales en las páginas web de administraciones y en los Boletines Oficiales, lo que ha dado lugar a la elaboración de una recomendación sobre la publicación de datos personales en los Boletines Oficiales.
tales constitutivas de alguna de las infracciones tipificadas en la Ley.
desconocimiento de que sus datos de carácter personal van a ser recogidos en un fichero y la cesión y utilización de dichos datos sin su consentimiento o cobertura legal.
Denuncias • Son reclamaciones presentadas por personas físicas o jurídicas en relación a actuaciones que podrían ser contrarias a la normativa de protección de datos personales y como
• Siguen constituyendo las principales preocupaciones de los denunciantes el
Procedimientos de infracción • Se trata del procedimiento previsto en los artículos 24 de la Ley 2/2004, de 25 de febrero, para comprobar si ha habido actuaciones contrarias a la
normativa de protección de datos por parte de las Administraciones Públicas. • Las declaraciones de infracción han sido por
vulneración del deber de secreto, por conculcación de los principios y garantías de la LOPD y por falta de medidas de seguridad.
15
AVPD
2010
Principios de protección de datos y datos de salud La Agencia ha constatado un incremento considerable de los procedimientos, tanto de infracción como de ejercicio de tutela de derechos, abiertos como consecuencia de la posible vulneración de datos especialmente protegidos y fundamentalmente datos de salud. En este sentido cada vez se observa una mayor preocupación y concienciación de la ciudadanía respecto a la protección de unos datos que por tratarse de informaciones sensibles que se refieren a cuestiones íntimamente ligadas al núcleo de la personalidad y de la dignidad humana, tienen una especial protección. Ahora bien ¿qué se entiende por dato de salud? El art.5.1 del Reglamento de la LOPD define el dato de salud como todas “las informaciones concernientes a la salud pasada, presente y futura, física o mental de un individuo”. Es decir, los datos de salud de una persona son algo que va más allá de la salud actual, que afecta de lleno a su esfera más personal e íntima, algo que habitualmente puede querer reservarse para uno mismo o para los más cercanos y que su conocimiento por terceras personas puede atentar gravemente a la intimidad personal y familiar. Hay un tipo de fichero en relación con los datos sanitarios que es fácilmente identificable y que constituye un fichero personal, que puede ser en papel o electrónica y que es el almacén de informaciones sobre la salud de una persona. Este fichero es la historia clínica. No puede olvidarse que en una historia clínica no sólo se encuentran datos de salud, sino también se pueden encontrar de raza, de creencias, de orientación sexual, y no sólo del paciente sino también de familiares o personas que conviven con ellos. El régimen de especial protección de los datos personales contenidos en las historias clínicas se concreta en una serie de principios y de reglas jurídicas que tienen su fundamento en el fin principal de
la historia clínica, que es facilitar la asistencia sanitaria, recogiendo todos los datos, que bajo criterio médico, permitan el conocimiento veraz y actualizado de su estado de salud. Algunos de estos principios son: principio de calidad de los datos, de proporcionalidad, de confidencialidad, de exactitud o de seguridad. A este respecto, los asuntos frecuentemente planteados ante esta Agencia se han referido fundamentalmente a: - Principio de calidad: la información que se incluya en dicha historia clínica tiene que ser exclusivamente la necesaria para asegurar, bajo un criterio médico, el conocimiento veraz, exacto y actualizado del estado de salud del paciente por parte de los sanitarios que le atienden. Esta exigencia de necesidad de exactitud es quizá mucho más importante en los datos de salud que en otro tipo de datos, al depender muchas veces la vida de las personas de la exactitud de los mismos, por lo que existe un interés vital del interesado en adecuar las informaciones incluidas en la historia clínica con su realidad. -Íntimamente ligado con este principio de calidad encontramos el principio de proporcionalidad que supone limitar el acceso a los datos que efectivamente resultan necesarios para el cumplimiento de la finalidad que justifique dicho acceso, sin que deba extenderse a datos no vinculados a dicha finalidad. - Principio de confidencialidad y deber de secreto, consustancial a la profesión sanitaria y que se remonta al Juramento Hipocrático. No cabe duda que todos los pacientes tienen derecho a la privacidad y esperan, en consecuencia, que los profesionales sanitarios mantengan rigurosamente la confidencialidad de su información personal. El derecho de acceso a la historia clínica de un paciente sólo se puede ejercer por el propio paciente, por representación debidamente acreditada, por los familiares o personas vinculadas del paciente fallecido (siempre que éste no lo hubiera prohibido expresamente) y por un tercero ante un riesgo para su salud y limitando el acceso a los datos pertinentes. Hay que tener en cuenta que corresponderá a los centros sanitarios adoptar todas las medidas necesarias para garantizar la intimidad de las personas y la confidencialidad de la información, debiendo asimismo, elaborar las normas y procedimientos protocolizados para garantizar el acceso legal a los datos de los pacientes.
16
AVPD
2010
Registro de Protección de Datos de Euskadi
Ficheros de datos personales inscritos • El número de ficheros inscritos en el Registro de Protección de Datos de Euskadi al término del año 2010 es de 6.342. • Comparando con el número de ficheros inscritos en 2009, durante el año 2010 el Registro de Protección de Datos de Euskadi ha experimentado un crecimiento neto del 14,9% (con 822 nuevos ficheros). • Este crecimiento del año 2010 ha duplicado el crecimiento del pasado año 2009, que fue de un 7,1%, continuando así con la tendencia creciente que se instauró desde la creación de la AVPD en 2004.
Movimientos en el Registro de Protección de Datos de Euskadi • En el año 2010 se han producido 1.655 movimientos en el Registro, una actividad que ha duplicado la desarrollada en 2009, cuando se recibieron 836 movimientos.
producen por la incorporación de los datos a otros ficheros de nueva creación.
• Durante el año 2010, la mayor parte de movimientos han sido realizados por Administraciones Locales • El 63% de dichos movimientos han sido inscripciones (Ayuntamientos y Organismos dependientes), con de nuevos ficheros; las modificaciones de ficheros un total de 1.384 movimientos (84%). También este ya existentes representan un 24% y, finalmente, el porcentaje ha sido mayor que el del pasado año 2009 porcentaje de ficheros suprimidos alcanza el 13%. (72%) En la mayor parte de estos casos, las supresiones se 13%
5%
Administración local
24%
2% 1%
Administración foral Gobierno Vasco
8%
Inscripciones
Otras entidades
Modificaciones
Entidades supramunicipales
Supresiones
63%
0%
Instituciones autonómicas
84%
17
AVPD
2010
Registro de Protección de Datos de Euskadi
Desglose por organismos de los ficheros inscritos • Atendiendo al tipo de administración los principales declarantes son: la Administración Local tiene declarados 4.698 ficheros (73%), los Departamentos y Organismos Autónomos del Gobierno Vasco 876 (14%) y la Administración Foral 332 (5%).
3% 4%
Administración local
1% 73%
5%
Gobierno Vasco Administración foral Entidades supramunicipales
14%
• Los Ayuntamientos, en su conjunto, son quienes mayor actividad han desarrollado en 2010, con un cómputo global de 722 nuevos ficheros inscritos, lo que supone un incremento del 18,2% respecto de 2009.
Otras entidades Instituciones autonómicas
Pero ¿qué es un fichero? La definición que se hace en el Reglamento RD1720/2007, de Desarrollo de la LOPD, indica que Fichero es “todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Pero a la hora de establecer el inventario de ficheros con datos de carácter personal, algunos Responsables de Ficheros suelen tener dudas acerca de cuántos y cuáles son los ficheros que deben declarar al Registro de Protección de Datos. Esta incertidumbre tiene, en ocasiones, una naturaleza técnica: “en una Base de Datos Relacional, ¿debo declarar cada una de las tablas que forman la Base de Datos?” La respuesta es, evidentemente, NO. El concepto de fichero debe enfocarse desde un punto de vista lógico, no físico y, por tanto, está ligado a la finalidad, contenido y uso que se dé a la información, independientemente de su forma o modalidad de organización. En el otro extremo, se plantea también la conveniencia de agrupar una parte significativa de la información de que dispone un Organismo en un solo fichero (por ejemplo, “Expedientes”). En este caso, la respuesta de-
pende de las circunstancias y naturaleza de la información en cuestión, y los criterios a considerar deben ajustarse a lo siguiente: • Responsabilidad: todos los conjuntos de datos deben corresponder a un mismo órgano administrativo, o bien a una misma tipología de órganos administrativos, bajo una dependencia común. • Finalidad: la finalidad debe ser coherente, es decir, las distintas finalidades particulares de los conjuntos de datos deben estar suficientemente relacionadas con una misma potestad pública ejercida, de forma que tenga sentido establecer una finalidad global para todo el conjunto • Habilitación: la base legal para recoger y tratar los datos debería estar relacionada con una misma potestad pública ejercida, especialmente en lo que se refiere a la obligatoriedad, o no, de proporcionar los datos y la necesidad, o no, de solicitar consentimiento. Por otra parte, ha de considerarse también el concepto de “Tratamiento”, tan relacionado con el de fichero que la mayor parte de las referencias que aparecen en
18
AVPD
2010
la LOPD se hacen al término “fichero o tratamiento”, como si fuesen equiparables. El Reglamento RD-1720/2007 define Tratamiento de datos como “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Esta definición establece una distinción semántica entre la dimensión estática del fichero (un fichero se crea y almacena) frente a la perspectiva dinámica de los tratamientos (cualquier operación o procedi-
Estudio sociológico sobre opinión de los responsables de ficheros en las Administraciones Públicas de la CAPV
miento sobre los datos). Ello implica que siempre que tengamos un fichero, habrá algún tratamiento de sus datos, pero si no hay almacenamiento (grabación y conservación), tendremos un tratamiento pero NO un fichero. La principal consecuencia de ello es que cuando se produzcan tratamientos de datos aunque sin almacenamiento de los mismos (por ejemplo, videovigilancia en tiempo real sin grabación), no es necesaria su inscripción en el Registro de Ficheros, puesto que no se crea ningún fichero, pero, aún así, persisten todos los principios, derechos y demás obligaciones establecidos por la Legislación sobre Protección de Datos.
Entre las funciones de la Agencia Vasca de Protección de Datos destaca la labor de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación en los ficheros de carácter personal creados o gestionados por la Administración General, por los órganos forales de los Territorios Históricos, por las Administraciones Locales y las demás Instituciones autonómicas.
Conforme a los datos que obran en el Registro de Protección de Datos de esta Agencia, en Euskadi hay un total de 6.178 ficheros inscritos de titularidad pública, con distinto nivel de seguridad y 1.128 Responsables de Ficheros. Si tenemos en cuenta que Fichero es todo conjunto organizado de datos de carácter personal al que se puede acceder con arreglo a criterios determinados, independientemente de cómo haya sido creado, esté organizado, o cuál sea su acceso, es evidente su importancia. Todo fichero debe tener además su Responsable, que es el que decide sobre su finalidad, contenido, uso y tratamiento. De ahí la necesidad de establecer un canal de comunicación entre la AVPD y los Responsables de Ficheros, que impulse esta labor y dé una respuesta eficiente. Para conocer la percepción que los Responsables de Ficheros de titularidad pública tienen sobre el Derecho fundamental a la Protección de Datos, sobre la legislación que lo regula, sobre
la labor de la Agencia Vasca de Protección de Datos y sobre las responsabilidades y mecanismos de los propios agentes Responsables de los Ficheros, la Agencia, en colaboración con el Gabinete de Prospección Sociológica de la Presidencia del Gobierno Vasco, ha realizado una encuesta entre las personas titulares de los órganos que actúan como Responsables de ficheros. El trabajo de campo de esta encuesta se ha realizado durante los meses de noviembre de 2010 a enero de 2011, en un total de 358 organismos, y se ha dirigido a 1.128 Responsables de Ficheros, habiendo obtenido una respuesta del 50’6%. El resultado de este análisis en las Administraciones Vascas, viene a complementar otros estudios de opinión realizados entre la ciudadanía, en colaboración con el Gabinete de Prospección Sociológica, que nos van permitiendo conocer mejor las percepciones y actitudes ante el ejercicio del derecho
fundamental a la Protección de Datos, de suerte que nos permita abordar su difusión y la defensa de su ejercicio con un mayor conocimiento de la realidad. Los resultados de este estudio, obtenidos ya en el año 2011, se incorporarán en la Memoria correspondiente.
19
AVPD
2010
Difusión del concepto de privacidad
La Agencia Vasca de Protección de Datos en los medios de comunicación social El derecho fundamental a la protección de los datos de las personas ha tenido un eco significativo en los medios de comunicación social. Prensa, Radio y Televisión han contribuido a la difusión del derecho a la privacidad. Internet también ha sido un importante medio de difusión, tal y como se acredita con
las más de 65.000 visitas realizadas a la página web de la Agencia durante el año 2010. Las redes sociales, la privacidad de los menores, la navegación por Internet en familia, la publicación de datos personales en los Boletines Oficiales o la utilización de cámaras de videovigilancia han sido los temas más difundidos en estos medios de comunicación.
La colaboración con el Tribunal Superior de Justicia del País Vasco y con los responsables de los Boletines Oficiales, de las Instituciones Vascas, para que las publicaciones sean respetuosas con el Derecho Fundamental a la Protección de Datos Personales también ha encontrado un importante eco en los medios de comunicación.
Día Europeo de la Protección de Datos
pautas dirigidas a menores de 9 a 11 años, sobre cómo proteger su información privada, personal y de su entorno, en Internet, y que pueden ser utilizadas por el profesorado y las familias, como material de apoyo educativo y de sensibilización.
Como cada año, el 28 de enero, se celebró el Día Europeo de la Protección de Datos. Un día promovido por el Consejo de Europa, la Comisión Europea y las autoridades de Protección de Datos de los estados miembros de la Unión Europea para difundir y respaldar el Derecho Fundamental a la Protección de Datos. Con este motivo, la AVPD presentó dos recursos formativos
audiovisuales, uno dirigido a menores y otro a administraciones y organizaciones en general. Ambos son un toque de atención para propiciar el respeto al derecho a la vida privada de cada persona cuando se manejan datos personales. A través de atractivos dibujos animados, “Las Aventuras de Reda y Neto” son cuatro animaciones en formato flash, que contienen
Por otra parte, mediante la edición de un vídeo titulado “Mis datos, ¿tu negocio?” se invita a las organizaciones y a sus trabajadores a que hagan un buen uso de los datos personales de los que disponen, de suerte que las nuevas tecnologías de la sociedad de la comunicación, que facilitan una gestión más ágil y eficaz, convivan y respeten el derecho a la vida privada de las personas. La presentación, en la sede de la AVPD, se realizó, conjuntamente, con el Departamento de Educación, Universidades e Investigación y con el Departamento de Justicia y Administración Pública del Gobierno Vasco.
20
AVPD
2010
El Abc de las redes sociales
Las nuevas tecnologías de la sociedad del conocimiento han modificado en poco tiempo nuestra manera de relacionarnos con los demás, de estudiar, de trabajar, de realizar las transacciones habituales y hasta de descansar: ahora el ocio también está en las redes. La población joven vive inmersa en el nuevo modelo de la sociedad de la información, goza de sus beneficios, pero también es la más expuesta a sus riesgos, aunque no sepa identificarlos en la mayoría de los casos. Y la pérdida del derecho fundamental a la privacidad es un serio riesgo. Hoy, 28 de enero, todas las autoridades europeas de Protección de Datos nos unimos para difundir este derecho fundamental y presentar nuevos materiales de sensibilización y formación en materia de gestión de la información y protección de datos personales. Este año, se han incorporado a este objetivo EEUU y Canadá. La Agencia Vasca de Protección de Datos participa de esta celebración llamando a la reflexión sobre el uso y la cesión que hacemos de nuestros datos en Internet y, particularmente, en las redes sociales.
ocurre con cualquier otra herramienta, hay que conocer sus principios básicos para una utilización segura. La comunidad educativa y los padres percibimos los riesgos. Sabemos que los jóvenes dedican una media de dos horas al día a Internet, pero no siempre conocemos cómo protegerles de la pérdida de privacidad, de los daños de imagen, reputación, honor, seguridad o del acoso al que los menores pueden quedar sometidos. Porque, sin duda, son los menores los más desprotegidos ante esta amenaza. Por eso, en este Día de la Protección de Datos, la Agencia Vasca quiere hacer un llamamiento a los jóvenes y a las familias con menores para proteger sus datos como su más preciado tesoro y hacer un uso responsable de las nuevas tecnologías, inspirado en tres principios básicos: A.- Lo que se publica en Internet está ahí toda la vida, es muy difícil que pueda borrarse. B.- Traslada la prudencia del mundo real al mundo virtual. Lo que no digas a un desconocido no lo digas en la red.
Estas nuevas tecnologías de la comunicación suponen una gran oportunidad, un elemento de progreso y permiten una sociedad interactiva. Transforman el concepto tiempo: ¡El pasado siempre está en el presente! Y pueden ayudar a impulsar nuestra economía e incluso dar respuesta inmediata y solidaria a catástrofes naturales. Lo estamos viendo en Haití.
C.- Piensa a quién das acceso a tus perfiles. No pierdas el control de quién pueda ver tus datos.
Ahora bien, también hay que reconocer los riesgos que entrañan para la vida privada y así poder evitarlos o minimizarlos. Como
Publicado en Diario de Noticias de Álava y de Gipuzkoa, el jueves, 28 de enero de 2010.
Iñaki Vicuña de Nicolás Director de la Agencia Vasca de Protección de Datos
21
AVPD
2010
Programa de Buenas Prácticas en las Administraciones Públicas
1 “Mis datos, ¿tu negocio?” • Un video formativo para ayudar a organizaciones públicas y privadas a conocer y comprender la importancia que tiene la custodia de los datos personales. Se trata de una adaptación de otro video editado por la Data Protection Commissioner de Irlanda y abunda en tres principios de la Protección de Datos:
1. Obtener y procesar la información de manera lícita y leal, informando y solicitando el consentimiento. 2. Guardar la información sólo para los fines explícitos y legales para los que se solicitó. 3. Utilizar y comunicar información sólo de manera compatible con los fines para los que se recogió.
2 “Aventuras de Reda y Neto” • Un programa educativo para sensibilizar a los más pequeños del valor de la información sobre su persona y los riesgos que asumen si quedan expuestos en Internet. Se trata de facilitar la reflexión en los centros escolares y en las propias familias sobre la necesidad de llevar
a cabo una labor educativa en el uso de las nuevas tecnologías de la información y de la comunicación. El programa consta de cuatro animaciones audiovisuales y de una guía didáctica dirigida al profesorado, que permite diseñar sesiones formativas con diversas actividades de
aprendizaje para proteger la vida privada y la ajena cuando se trata de datos personales. Estas animaciones, elaboradas en colaboración con Pantallas Amigas se presentaron con el Departamento de Educación, Universidades e Investigación el 28 de enero, Día Europeo de la Protección de Datos.
3 Datos Personales en los Boletines Oficiales • La publicación de determinados datos personales en los Boletines Oficiales genera inquietud en los ciudadanos, que sienten insuficientemente protegido su derecho fundamental a la protección de datos personales. La condición de “fuente accesible al público” de los
boletines oficiales conlleva que la información que contienen pueda ser libremente consultada e incluso indexada por los buscadores de Internet, de modo que el control y el poder de disposición de los datos publicados queda limitado. Con el fin de articular un
equilibrio entre el acceso a la información pública, transparencia, seguridad jurídica y eficacia de la actuación administrativa y la garantía del derecho fundamental a la protección de datos personales se ha constituido un Grupo de Trabajo entre responsables de los
22
AVPD
2010
Programa de Buenas Prácticas en las Administraciones Públicas
Boletines Oficiales del País Vasco, de los Territorios Históricos, del Parlamento Vasco y de Juntas Generales con el objetivo de aprobar una recomendación en los siguientes términos: 1.-Que se apliquen los principios que configuran el derecho fundamental a la protección de datos personales, y se pondere
el nivel de injerencia de la publicación en este derecho.
personales una vez transcurrido el plazo de exposición pública.
2.- Que se atienda a los datos especialmente protegidos.
5- Que las propias herramientas de búsqueda del boletín puedan establecer limitaciones a la localización masiva de información personal.
3.- Que se garanticen los derechos ARCO. 4.-Que se establezcan medidas técnicas en los boletines para limitar el acceso a los datos
6.-Que se establezcan las medidas de seguridad necesarias.
4 Publicación de Edictos Judiciales Durante el 2010, la Agencia Vasca de Protección de Datos ha colaborado con el Tribunal Superior de Justicia del País Vasco para que la publicación mediante edictos de las resoluciones judiciales sea respetuosa con el derecho fundamental a la protección de los datos personales. En este sentido, se constató por la AVPD que la publicación en los Boletines Oficiales de
los edictos dictados por los órganos judiciales contenía numerosos datos personales, referidos, en muchas ocasiones (procedimientos de separación y divorcio) a menores de edad, lo que en cumplimiento del principio de calidad exigido por el 4 de la LOPD, parecía excesivo para lograr la finalidad pretendida con la publicación edictal.
Como resultado de esa constatación la Secretaria de Gobierno del TSJPV dictó una Instrucción con el objetivo declarado de conjugar la exigencia procesal de la publicación edictal de las resoluciones judiciales en los supuestos legalmente exigidos por el artículo 156.4 de la LEC, con el máximo respeto al derecho de los intervinientes a la protección de sus datos personales.
5 Publicación del
“Diccionario terminológico de Protección de Datos en Euskera”
En marzo del 2010 se ha publicado un diccionario terminológico en euskera sobre protección de datos con equivalentes en castellano, francés e inglés. Elaborado por UZEI, analizado por una Comisión técnica integrada por especialistas, y
aprobado por la Comisión de Terminología del Consejo Asesor del Euskera, los términos en él comprendidos constituyen la terminología recomendada por la Comisión de Terminología del Consejo Asesor del Euskera para el ámbito de la protección de datos. La AVPD, como especialista en el tema,
forma parte de la Comisión Técnica que ha analizado las voces propuestas por UZEI. Este diccionario comprende cien términos de protección de datos en euskera con los sinónimos y los equivalentes de las palabras en español, inglés y francés, así como su significado en los casos en que es necesario.
23
AVPD
2010
1 Reuniones Institucionales Relaciones Institucionales A lo largo del año, el Director de la Agencia ha mantenido relaciones institucionales con autoridades e Instituciones vascas de cara a fomentar la difusión del derecho fundamental a la Protección de Datos Personales y velar por su cumplimiento. En estas reuniones se propician iniciativas proactivas de información, formación y apoyo. Entre los encuentros llevados a cabo, destacan los celebrados con: Presidente del Tribunal Vasco de Cuentas Públicas El 15 de marzo mantuvimos una reunión con el Presidente del Tribunal, que sirvió de marco para presentar la labor de la AVPD y propiciar la colaboración. Presidenta del Parlamento Vasco La AVPD mantuvo un encuentro con la Presidenta del Parlamento Vasco el 22 de marzo, en la que se presentó la labor de la Agencia y se analizó posibles colaboraciones para abordar los nuevos desarrollos legislativos desde la perspectiva del respeto a la protección de Datos Personales.
La Presidenta del Parlamento, Dña. Arantza Quiroga y el Director de la AVPD, D. Iñaki Vicuña
Secretario General de la Presidencia del GobiernoLehendakaritza Con objeto de presentar la Memoria Anual de la AVPD, tal y como se establece en la Ley de creación de la AVPD, el 26 de julio se celebró una reunión en la que también se acordó formalizar una línea de colaboración para la realización de estudios sociológicos en materia de protección de datos personales.
Directora de Estudios y Régimen Jurídico del Departamento de Educación, Universidades e Investigación El encuentro, celebrado el día 4 de octubre, sirvió de impulso para promover y apoyar iniciativas de difusión y formación en materia de protección de datos a través del sistema educativo vasco.
Diputado General de Álava
Ararteko
Con objeto de analizar la protección de datos personales en la normativa Foral, el 4 de octubre se mantuvo una reunión en la Diputación Foral de Álava.
El 21 de octubre se mantuvo un encuentro entre personal de la Agencia y del Ararteko para analizar la posibilidad de un marco estable de colaboración.
24
AVPD
2010
2 Alianzas Estratégicas Relaciones Institucionales
Como instrumento práctico para identificar oportunidades y generar fortalezas, en 2010 se han establecido nuevas alianzas estratégicas, basadas en la confianza, el respeto y el interés compartido. Con esta finalidad la AVPD ha suscrito convenios con: Fundación DIALNET (18 de marzo de 2010), para prestar nuevos servicios documentales de interés para la Agencia Vasca de Protección de Datos y el colectivo docente e investigador. Asociación Profesional Española de Privacidad-APEP (10 de septiembre de 2010), para establecer un marco de colaboración en el que promover en la sociedad el conocimiento del derecho fundamental a la protección de datos.
cualitativos, relacionados con el derecho fundamental a la protección de datos personales en la realidad social vasca. Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires (Argentina) (28 de octubre de 2010), para promover un uso seguro y saludable de las nuevas tecnologías de la información y la comunicación en la infancia y la adolescencia. Colegio de Ingenieros en Informática del País Vasco-COIIE (25 de noviembre de 2010), para establecer un canal de colaboración, en el ámbito de la protección de datos de carácter personal, en el que apoyarse mutuamente en el cumplimiento de los fines respectivos.
La Presidenta de APEP y el Director de la AVPD
Gobierno Vasco. Presidencia del Gobierno-Lehendakaritza (20 de octubre de 2010), para articular la colaboración para la realización de estudios sociológicos, cuantitativos y
Reunión COIIE-AVPD: (De izda. a dcha.) Pedro A. González, Mikel García Larragán, Juan Arrúe Villés, Iñaki Vicuña, José Antonio Mtz. Ruiz y Nieves Mtz. De Antoñana
25
AVPD
2010
3 Colaboración entre las Agencias de Protección de Datos de Relaciones Institucionales
España, Cataluña, Madrid y Euskadi.
La colaboración entre las Agencias de Protección de Datos se ha llevado acabo a través de cinco grupos de trabajo, el Grupo de Coordinación de Directores, el Grupo de Coordinación entre Asesorías Jurídicas, el Grupo de Inspección, el Grupo de Registro y el Grupo de Organización, Modernización, Comunicación y Formación. Estos Grupos de Trabajo, de carácter consultivo, mantienen reuniones trimestrales, alternando una presencial anual con las videoconferencias. Las principales cuestiones que este año han abordado estos Grupos de Trabajo están relacionadas con: • Código Tipo para Entidades Locales. • Acuerdo para la adaptación del programa educativo de la Agencia Irlandesa “Sing up, log in, oup out: Protecting you – Privacy & Controlling you your Data”. • Organización de la participación en TECNIMAP. • El derecho de rectificación por cambio de sexo. • El derecho de participación política de los concejales: límites. • La baja como dato de salud. • Tratamiento de los datos especialmente protegidos del artículo 7.2 LOPD (AVPD):
–Procesos electorales. Tratamiento de los datos de adscripción política de los candidatos electos y no electos: Alcance de la STC 85/2003, de 8 de mayo de 2003. –Archivos históricos. Consulta y difusión de documentos de más de 50 años que contienen datos personales de ideología, afiliación sindical, religión o creencias de personas vivas sin su consentimiento. • Publicación abreviada de los actos administrativos: aplicación del artículo 61 de la Ley 30/1992 a los actos dictados en procedimientos sancionadores y disciplinarios. Supuestos.
• Cuestiones sobre videovigilancia: –Efectos tras la Ley Ómnibus. • Divulgación a la prensa de información por los Órganos Jurisdiccionales. Difusión de Sentencias. • Difusión de datos personales en procedimientos de concurrencia competitiva. • Principio de proporcionalidad: escaneo del DNI para el control de acceso de visitas a edificios públicos. • Nivel de publicidad de ayudas sociales y complemento variable (productividad) de los trabajadores públicos. Experiencias.
26
AVPD
2010
La Agencia Vasca de Protección de Datos ha participado, en su calidad de miembro acreditado, en los siguientes foros de ámbito internacional:
Participación de la avpd en foros internacionales
• Grupo de Trabajo Internacional sobre la Protección de datos en las Telecomunicaciones (IWGDPTGrupo de Berlín), reunido en Granada los días 15 y 16 de abril.
• Conferencia de Autoridades Europeas de Protección de Datos – Conferencia de Primavera, celebrada en Praga durante los días 29 y 30 de abril.
• Conferencia Internacional de Autoridades de Protección de Datos-Conferencia de Otoño, celebrada en Jerusalén durante los días 25 a 29 de octubre.
Conferencia Internacional de Autoridades de Protección de Datos. Jerusalén La Conferencia Internacional de Autoridades de Protección de Datos celebrada este año en Jerusalén, durante los días 27 a 29 de octubre, fue además marco conmemorativo del 30 aniversario de las políticas de privacidad de la OCDE. Inaugurada por el Primer ministro de Israel Benjamín Netanyahu, con el lema “Privacy: new generations”, en ella se hizo especial hincapié en el reto que supone acceder a nuevas generaciones de instrumentos tecnológicos y el impacto que provocan en la privacidad. Un impacto diferente en función de la edad o de la generación a la que se pertenece o del conocimiento y del entorno físico en que se habita. De ahí que el concepto de privacidad se considere un concepto dinámico. Lo que hoy para unas generaciones configura lo íntimo, lo confidencial, la prudencia, la confianza
no es pauta de conducta para otras. Mientras unas viven en constante desaliento y desorientación, sintiéndose en una sociedad sin límites, saturada de imágenes, de sonidos, sin amarras, como a la deriva, otras parecen vivir cómodamente en una conectividad global, participando, con cierto exhibicionismo, de la vida de personas a las que ni siquiera han sido presentadas pero con las que íntimamente pueden compartir vida y proyectos a través de esa ventana al mundo que es Internet. Una ventana que también puede dejar a la intemperie muchos datos personales y generar riesgos para la intimidad y la seguridad de las personas y que hay que aprender a abrir y a cerrar, o incluso a tenerla entreabierta. En este sentido la Conferencia abogó por un uso responsable y respetuoso de las nuevas tecnolo-
27
AVPD
2010
gías, acompañado de una revisión del marco jurídico y de la necesidad de incorporar a las normas de protección de datos conceptos como el de “Privacy by desing”. Este concepto de privacidad por diseño, como método preventivo y proactivo a la vez, persigue garantizar, desde el origen, la privacidad de las personas. Introducir el respeto a la intimidad y a la protección de los datos personales explícitamente en el diseño de las nuevas herramientas tecnológicas, como un principio general vinculante, minimizaría los riesgos de las nuevas tecnologías y haría destacar las grandes oportunidades que ofrecen. Si esta expectativa de un nuevo orden jurídico y tecnológico en la telaraña mundial de las comunicaciones se hace realidad, la confianza en la sociedad de la información habrá dado un gran paso, y el respeto a los derechos fundamentales a la intimidad y a la protección de datos personales sería una garantía para “el hombre de la multitud” contemporáneo.
Y es precisamente este principio uno de los que inspirarán la adaptación de la Directiva Comunitaria de Protección de Datos Personales, cuya principal aportación, según el Dictamen del Supervisor Europeo para la Protección de Datos, aprobado en el primer trimestre de 2010, es “potenciar la confianza en la sociedad de la información mediante el fomento de la protección de datos y la privacidad”. Esto contribuirá a garantizar a los particulares su derecho a la intimidad y a la protección de datos en el uso de la información y la comunicación en las nuevas tecnologías-TIC, como las redes sociales, la identificación por radiofrecuencia, la videovigilancia, o la salud electrónica, por citar las más relevantes. La aprobación de esta nueva Directiva, cuyo primer borrador conoceremos en 2011, conllevará la actualización de la normativa en materia de protección de datos personales.
A lo largo del año, las participaciones en Foros de Protección de Datos más relevantes han sido:
Participación en conferencias, seminarios y otras actividades de información sobre protección de datos personales
“Reflexiones sobre la administración electrónica”. Jornada organizada por el Ilustre Colegio de Abogados de Vizcaya y celebrada en Bilbao el 3 de marzo. “¿Redes sociales digitales: riesgos y oportunidades?”. Jornada de debate jurídico en la Universidad de Deusto el 13 de marzo. “La protecció de dades en estats federals i plurinacionals”. Presentación del libro en el Colegio de Abogados, en Barcelona el 19 de marzo. “País Vasco: Proyecto BiskayTIK, Intercambio electrónico de información Comunidad Autónoma del País Vasco-Diputaciones Forales”. XI Jornada sobre Tecnologías de la Información para la Modernización de las Administraciones Públicas (Tecnimap),
celebrada en Zaragoza entre los días 6 y 9 de abril. “Protección de Datos en las Administraciones Públicas”. Seminario celebrado en Madrid el 20 de abril, con la ponencia sobre “Protección de datos en las administraciones públicas del País Vasco”. “Medidas de seguridad para usuarios finales”, “Resumen y conclusiones de la tercera sesión: casos prácticos. La experiencia de las APDs” y “Cesión de la historia clínica a los órganos jurisdiccionales”. Foro de Protección de Datos de la Salud, organizado por la SEIS y celebrado en Pamplona el 13 y 14 de abril. “Protección de Datos en las Administraciones Públicas (IV)”. Seminario SOCINFO, celebrado en Madrid el 20 de abril.
“Trabajo en equipo por el eGobierno local Participación ciudadana y calidad de los servicios”. Congreso EISCO, organizado este año por EUDEL, celebrado en Bilbao el 20 de mayo. La AVPD participó con la ponencia “Explotar el potencial de la información asegurando, al mismo tiempo, la seguridad y la privacidad de las personas”. “Seguridad, privacidad y protección de datos”. Seminario organizado por el International Working Group on Privacy & Segurity en Madrid entre los días 8 y 10 de junio. “La seguretat des de la privadesa: 2001-2010”. Jornada organizada por la Agencia Catalana de Protección de Datos en Barcelona, en el Parlamento de Cataluña el 11 de junio. “Código tipo de farmaindustria
28
AVPD
2010
Participación en conferencias, seminarios y otras actividades de información sobre protección de datos personales
de protección de datos personales en el ámbito de la investigación clínica y de la farmacovigilancia”. Seminario organizado en Vitoria-Gasteiz el 15 de junio por el Comité Ético de Investigación Clínica de Euskadi, en colaboración con la Dirección de Farmacia del Gobierno Vasco y Farmaindustria. “¿Está protegida la persona consumidora ante las nuevas tecnologías?”. Cursos de Verano de la Universidad del País Vasco: Escuela 4.8, con el objetivo de analizar las posibles respuestas del derecho a las situaciones que se les plantean a las personas consumidoras de las
nuevas tecnologías. Celebrado el 30 de agosto en Bilbao. “Protección de Datos en el Sector Sanitario: Experiencias y Buenas Prácticas”. Seminario celebrado en Madrid el 14 de octubre. “Protección de datos para ingenieros”. Conferencia en la Escuela de Ingeniería Técnica de Informática, en VitoriaGasteiz, el 24 de noviembre. “El control de las autoridades de protección de datos en la nube”. Congreso “CSA-ES + VIII Jornada Internacional SMS Forum Spain”, celebrado en Barcelona el 29 de noviembre.
“Internet y Protección de Datos”. Acto de entrega de los Premios Buber, celebrado en VitoriaGasteiz el 2 de diciembre. “El reto de la Protección de Datos y la Transparencia: Acceso a la Información en las Administraciones Públicas”. Jornada de presentación de la APEP (Asociación de Profesionales Españoles), organizada en la sede del Ilustre Colegio Oficial de Abogados de Bizkaia el día 2 de diciembre en Bilbao. La AVPD impartió la ponencia “Equilibrio entre Derechos. Transparencia y Protección de Datos personales”.
29
AVPD
2010
La ejecución del Plan de Gestión 2010 ha conllevado la aprobación del Mapa de Procesos, la identificación de los procesos clave y la documentación de los de Planificación Estratégica, Información Comunicación Exterior, Función Consultiva y Actividad de Control, además de realizar la segunda autoevaluación por el método Reder.
Compromiso con la Excelencia
Nuestro compromiso con la excelencia ha posibilitado poner en marcha: - La Intranet de la AVPD, como espacio de acceso a contenidos y herramientas de participación. - Un sistema de Atención Multicanal que permite organizar la primera atención a personas e instituciones que solicitan nuestros servicios, además de gestionar el conocimiento. - La Carta de Servicios dirigida a la ciudadanía, en la que se detallan un decálogo de compromisos de la AVPD y los derechos y deberes de la ciudadanía. Las personas, como valor fundamental de la Agencia, han tenido una consideración
especial, a ello responde: • El Plan de Actuación 2010 en prevención de riesgos laborales y el Plan de Actuación 2010 en Vigilancia de la Salud. • La convocatoria del Concurso para la provisión de puestos de trabajo reservados a personal funcionario de carrera, realizada por Resolución de 28 de Septiembre, que viene a dar estabilidad a la plantilla. - La mejora continua de la Gestión se ha visto avalada por la Auditoría, acordada por el Consejo de Gobierno de 9 de febrero de 2010, y llevada a cabo por la Oficina de Control Económico del Departamento de Economía y Hacienda del Gobierno Vasco.
30
AVPD
2010
Las buenas ideas funcionan mejor cuando se comparten “Las buenas ideas funcionan mejor cuando se comparten”. Este lema, promovido en el III Congreso de Excelencia en la Gestión de las Administraciones Públicas Vascas, organizado por Q-EPEA, orienta el quehacer de la Agencia Vasca de Protección de Datos. Compartir dentro de la organización, buscando la excelencia en las relaciones personales, y compartir fuera de la organización, en el ejercicio de la labor de control, la labor proactiva y la divulgativa. Y es que poner en común nos obliga a escuchar, nos permite despertar una resonancia en las demás personas, en otras organizaciones, conectar más fácilmente con las necesidades de los otros, incluso comparamos y, en definitiva, aprender. Aprender de los mejores, identificar puntos fuertes y buscar equilibrios; y aprender también de los errores de los otros. Compartir nos permite también establecer una red de personas, de alianzas estratégicas. Precisamente a este objetivo responden los valores que inspiran la planificación estratégica de la Agencia, y que giran en torno a la proximidad con la ciudadanía, para ofrecerle un trato amable y respuestas rápidas y eficaces, a la cooperación con las administraciones, generando buenas prácticas e intercambiando información para analizar riesgos y problemas, al desarrollo y satisfacción de las personas, garantizando la imparcialidad y el rigor profesional, y al compromiso con la calidad, la mejora continua y la innovación, para posibilitar una gestión integrada y participativa en un marco de confianza y de responsabilidad. Y a estos valores tratan de dar respuesta gran parte de las actua-
ciones llevadas a cabo durante 2010 y que, en síntesis, se han recogido en esta Memoria. Así el acuerdo con la Agencia Irlandesa para adaptar el vídeo “Mis datos, ¿tu negocio?”; la constitución del Grupo de trabajo de Responsables de Boletines Oficiales para buscar un equilibrio entre el derecho a la información y la seguridad jurídica; la colaboración con el TSJPV para garantizar el respeto al derecho fundamental a la protección de datos personales en las publicaciones mediante edictos de las resoluciones judiciales; la colaboración a través de Grupos formales de trabajo entre las Agencias de Protección de Datos; la participación activa en Foros y Conferencias o el establecimiento de alianzas con otros organismos e Instituciones como la Asociación Profesional Española de la Privacidad, la Presidencia del Gobierno Vasco-Lehendakaritza, la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires y el Colegio de Ingenieros en Informática del País Vasco, son actuaciones todas ellas que obedecen al mismo interés de poner en común, de compartir y de mejorar. Un interés que se palpa igualmente en la realización del estudio sociológico sobre opinión de los Responsables de Ficheros en las Administraciones Públicas de la CAPV, que nos ha permitido conocer sus percepciones sobre el derecho a la protección de datos personales, sobre la labor de la Agencia y sobre sus propias expectativas, identificando así importantes áreas de mejora. Todo ello se recoge aquí con el ánimo de que su eco contribuya a ser una puesta en común de utilidad para la ciudadanía y para las administraciones públicas.
31
AVPD
2010
“Entre las conquistas de la civilización se cuenta no querer saber ciertas cosas de los demás. Si, de todas maneras, alguien llega a descubrirlo, el buen gusto aconseja no darse por enterado y reservarse para sí conocimientos íntimos. El mejor modo de preservar la privacidad de los amigos es no mencionarla”. Wolfgang Sofsky, “DEFENSA DE LO PRIVADO”
“Si quieres que tu secreto sea guardado, guárdalo tú mismo”. Séneca
“El que revela el secreto de otros pasa por traidor, el que revela el secreto propio pasa, hijo mío, por imbécil”.
Letras y protección de datos personales
Voltaire
“La sabiduría se preocupa de ser lenta en sus discursos y diligente en sus acciones”. Confucio
“La palabra una vez hablada, vuela y no torna”. Horacio
“Aunque la distinción entre lo público y lo privado coincide con la oposición de necesidad y libertad, de futilidad y permanencia y, finalmente, de vergüenza y honor, en modo alguno es cierto que sólo lo necesario, lo fútil y lo vergonzoso tengan su lugar adecuado en la esfera privada. El significado más elemental de las dos esferas indica que hay cosas que requieren ocultarse y otras que necesitan exhibirse públicamente para que puedan existir”. Hannah Arend, “LA CONDICIÓN HUMANA”
32
2010
AVPD
