Listas de valores
Congreso de los Diputados

Cerrar Cerrar

 
DS. Congreso de los Diputados, Comisiones, núm. 278, de 29/06/2017
cve: DSCD-12-CO-278
 


CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES

Año 2017 XII LEGISLATURA Núm. 278
CONSTITUCIONAL
PRESIDENCIA DEL EXCMO. SR. D. JESÚS POSADA MORENO
Sesión núm. 6
celebrada el jueves,
29 de junio de 2017


ORDEN DEL DÍA:

Modificación del orden del día ... (Página2)

Propuesta por la Comisión del vocal del Consejo Consultivo de la Agencia Española de Protección de Datos:

- Solicitud de que se comunique el nombre de la persona que el Congreso de los Diputados propone como vocal del Consejo Consultivo de la Agencia Española de Protección de Datos. A propuesta del Gobierno. (Número de expediente 276/000001) ... (Página4)

Comparecencia de la señora directora de la Agencia Española de Protección de Datos (España Martí):

- Para informar sobre las memorias de la Agencia Española de Protección de Datos correspondientes a los años 2015 y 2016. A propuesta del Gobierno. (Número de expediente 212/000855) ... (Página4)

- Para informar sobre la memoria de la Agencia Española de Protección de Datos correspondiente al año 2015. A petición propia. (Número de expediente 212/000004) ... (Página4)


Página 2




Se abre la sesión a las doce y cincuenta y cinco minutos del mediodía.

MODIFICACIÓN DEL ORDEN DEL DÍA.

El señor PRESIDENTE: Señorías, vamos a comenzar la sesión de la Comisión.

Se ha celebrado una reunión anteriormente de Mesa y portavoces, en la que hemos tomado algunas decisiones que afectan al orden del día. En primer lugar, lo más importante, es que la delegada del Gobierno en la Comunidad de Madrid no puede comparecer en esta Comisión, como se le había pedido, por una serie de razones que todos los grupos conocen por un escrito que ha enviado, por lo que ese punto desaparece del orden del día, pero, a los grupos que me lo pidan, les daré tres minutos, de menor a mayor, para que expresen su opinión sobre este tema. A propuesta mía, la Mesa y portavoces también ha decidido cambiar el orden de los otros dos puntos del orden del día, de tal forma que comenzaremos por el punto segundo, relativo a la propuesta por la Comisión del vocal del Consejo Consultivo de la Agencia Española de Protección de Datos. Ese sería el primer punto y a continuación celebraríamos la comparecencia de la directora de la Agencia Española de Protección de Datos, que está ya con nosotros y a la que saludamos.

¿Grupos que deseen intervenir? (Pausa).

Por el Grupo Ciudadanos, tiene la palabra el señor Villegas.

El señor VILLEGAS PÉREZ: En cuanto a la no asistencia de la persona que estaba citada por la Comisión, todos conocemos la obligación de comparecer, y más cuando estamos hablando de cargos públicos. No voy a entrar a valorar ese breve y escueto escrito en el que da excusas para no comparecer, pero sí solicito al resto de grupos, como uno de los grupos proponentes de esta comparecencia, que la misma se pueda sustanciar lo antes posible, durante el mes de julio, y que no tengamos que esperar hasta después de agosto.

Muchas gracias.

El señor PRESIDENTE: Muchas gracias, señor Villegas.

Por el Grupo Confederal de Unidos Podemos, tiene la palabra el señor Errejón.

El señor ERREJÓN GALVÁN: Gracias, señor presidente, por un turno un tanto de consolación, que le agradecemos.

Nosotros solicitamos la comparecencia de la señora delegada del Gobierno en Madrid, Concepción Dancausa, el 10 de mayo, cuando supimos de su imputación por un posible desfalco en Mercamadrid. Se tardó un mes en establecer la fecha de dicha comparecencia, que se fijó para el 13 de junio -si mal no recuerdo-, y por una extraña casualidad, dos días después de que se fijase por la Comisión Constitucional, la señora delegada del Gobierno puso una reunión importante y así parece que podía coincidir para no tener que comparecer hasta después del verano, que es, recordemos, lo que el Grupo Popular propuso en su momento cuando lo discutimos.

Quiero recordar que esa comparecencia se va a producir, se tiene que producir a la mayor brevedad. Esperemos que no intente dejarlo, como los malos estudiantes, para septiembre (Rumores), y que nos explique por qué se da una situación tan anómala como que el entonces Ayuntamiento de Madrid, la dirección de Mercamadrid de entonces, acaba firmando un acuerdo extrajudicial por el que paga más dinero que el que la empresa que le había denunciado le requería en un primer momento. (Rumores). Queremos preguntarle por qué sucede eso. Hoy no ha sido posible.

El señor PRESIDENTE: Ruego silencio.

Continúe, señor Errejón.

El señor ERREJÓN GALVÁN: Gracias, señor presidente.

Esto se lo preguntaremos cuando venga, pero como hoy no ha venido y no se lo podemos preguntar, adelanto alguna de las cosas por las que queremos que venga. Queremos saber -y se lo preguntaremos- si haber sido presidenta del Consejo de Administración de Mercamadrid en el momento en el que se produce un contrato lesivo para las arcas de todos los madrileños por 12 millones de euros es motivo para ser promovida como delegada del Gobierno. (Rumores). Al Partido Popular, a menudo, se le llena la boca hablando de la empresa privada, pero en la empresa privada si uno hace un contrato por el cual pierde 12 millones de euros, el resultado final no es que se le promueve, sino que se le desciende o se le expulsa.


Página 3




Queremos saber por qué ha sido promovida. Asimismo, queremos saber si es compatible que la coordinadora de las Fuerzas y Cuerpos de Seguridad del Estado en Madrid esté siendo investigada por la propia policía a la que tiene que coordinar. Si no ha podido ser hoy, será lo antes posible y la esperaremos. Quiero recordarles también que hemos conocido esta información gracias a que hay un Ayuntamiento del cambio en Madrid (Rumores) que pone las cuentas en orden, que pone las cuentas de Mercamadrid a disposición de la fiscalía y que, por eso, ha evitado que se siga adelante con un contrato que era lesivo para las cuentas del conjunto de los madrileños. Solo un apunte histórico. Hace dos años había quienes decían que si llegaban las fuerzas del cambio a los ayuntamientos iba a suponer el caos y el desorden. Ha sido exactamente lo contrario, ha sido poner orden en las cuentas, entregarlas a la fiscalía y evitar que se siga perdiendo dinero del conjunto de los contribuyentes o por negligencia o por tramas de corrupción.

Eso será lo que le preguntemos. Gracias, señor presidente.

El señor PRESIDENTE: Muchas gracias, señor Errejón.

Por el Grupo Socialista, tiene la palabra la señora Merchán.

La señora MERCHÁN MESÓN: Gracias, señor presidente.

En primer lugar, aunque no está aquí presente, como vecina de Madrid quiero agradecer el esfuerzo que la delegada del Gobierno está haciendo para garantizar la seguridad esta semana, que le está impidiendo venir a esta comparecencia que habíamos solicitado hace tiempo. Espero que merezca la pena el esfuerzo que está haciendo y seguro que así será, con la colaboración de las Fuerzas y Cuerpos de Seguridad, pero hubiera sido deseable que Concepción Dancausa compareciera hoy porque, efectivamente, el concepto por el que está siendo investigado el anterior Consejo de Administración de Mercamadrid es suficientemente serio como para que, siendo la máxima representante del Gobierno de España en esta comunidad autónoma, explique qué paso y cuáles fueron las toma de decisión en las que ella participó. Como máxima representante del Gobierno, es deseable que no quede ni el más mínimo resquicio de duda sobre los criterios con los que toma decisiones al frente de instituciones públicas. Por eso nos sumamos a la petición del resto de grupos de que la comparecencia se produzca cuanto antes, a ser posible en julio. No entendemos que se espere hasta después de verano, dada la trascendencia del hecho y la sensación que hay en la ciudadanía de Madrid respecto a este tema.

Gracias.

El señor PRESIDENTE: Muchas gracias, señora Merchán.

Por el Grupo Popular, señor Martínez.

El señor MARTÍNEZ VÁZQUEZ: Muchas gracias, señor presidente.

Dos consideraciones. Primero, respecto a la no comparecencia de la señora delegada del Gobierno, creo que la misma está plenamente justificada en su escrito dirigido a la Comisión. Efectivamente, se pidió la comparecencia por parte de los grupos en el mes de mayo pero se acordó la fecha por parte de la Mesa de esta Comisión hace tan solo unos días, y es perfectamente comprensible que, en el ejercicio de sus funciones como directora de las Fuerzas y Cuerpos de Seguridad del Estado en la Comunidad de Madrid, el hecho de tener que presidir una reunión de seguridad en una semana como esta justifica que no se haya podido producir la comparecencia en la fecha de hoy. Esto es perfectamente compatible con lo que siempre dijimos, y es que ella estaba dispuesta a comparecer y que el Grupo Parlamentario Popular no tenía, por supuesto, ningún problema en que se sustanciase esa comparecencia; todo lo contrario. En coherencia con eso que se dijo y que sigue siendo así, entendemos que la comparecencia tendrá lugar en el mes de julio, en la fecha que se acuerde. Evidentemente, se trata de una sesión extraordinaria y, en consecuencia, ni le corresponde a la Presidencia ni a la Mesa de esta Comisión fijar la fecha, sino a la Presidencia de la Cámara, de acuerdo con el procedimiento reglamentario. El Grupo Popular estará de acuerdo en que esa comparecencia se sustancie y que, por tanto, la señora delegada del Gobierno explique todo aquello que le inquieta tanto a sus señorías.

Sin embargo, no entiendo, en la intervención del señor Errejón, que vayamos a abrir ahora aquí un debate sobre el Ayuntamiento de Madrid ya que, francamente, ni creo que sea el foro ni la sede para celebrarlo, pero tampoco creo que ustedes salgan muy bien parados de ese debate. Todas estas cosas que usted nos cuenta del Gobierno del cambio... No sé si tendremos ocasión de hablar de esto en esa comparecencia o de los concejales de su grupo político que han sido recientemente reprobados (Aplausos.-El señor Errejón Galván, señalando a los miembros del Grupo Parlamentario Popular


Página 4




en el Congreso: Investigados); de alguna manera, lo que encontramos es esa doble vara de medir, esa laxitud y esa interpretación interesada de la ley. No sé si ustedes siguen pensando que el derecho es un instrumento para la lucha de clases. En todo caso, señor Errejón, nosotros pensamos que el derecho se tiene que cumplir y que las leyes nos obligan a todos; también la Ley de Contratos del Sector Público nos obliga a todos a seguir los procedimientos de contratación, y cuando no se siguen, eso tiene necesariamente consecuencias. Ni es el momento ni le veo a usted -no a usted personalmente, sino a su grupo- en disposición de dar muchas lecciones en esta materia.

En todo caso, lo que nos pedía el presidente era un turno de intervención sobre el cambio en el orden del día. Nosotros comprendemos las razones y apoyamos que la comparecencia de la señora delegada del Gobierno se sustancie en el mes de julio para atender las preguntas de esta Comisión, que estoy seguro que lo hará encantada. (Aplausos.-Una señora diputada: ¡Muy bien!).

El señor PRESIDENTE: Muchas gracias, señor Martínez.

Puedo asegurarles que este presidente -aunque no es él quien puede convocar en julio, sino la Presidencia del Congreso- hará todo lo posible, en contacto con los grupos, para que esa convocatoria se haga en julio.

PROPUESTA POR LA COMISIÓN DEL VOCAL DEL CONSEJO CONSULTIVO DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

- SOLICITUD DE QUE SE COMUNIQUE EL NOMBRE DE LA PERSONA QUE EL CONGRESO DE LOS DIPUTADOS PROPONE COMO VOCAL DEL CONSEJO CONSULTIVO DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. A PROPUESTA DEL GOBIERNO. (Número de expediente 276/000001).

El señor PRESIDENTE: Pasamos al siguiente punto, que, según la modificación del orden del día que hemos acordado, es la votación del vocal del Consejo Consultivo de la Agencia Española de Protección de Datos. El Grupo Parlamentario Socialista, a requerimiento de la Secretaría General de la Cámara, ha propuesto a la diputada doña Zaida Cantera de Castro. Ningún otro grupo ha hecho propuesta alguna, por lo que la única candidata es la señora Cantera.

Vamos a proceder al llamamiento, por orden alfabético, de los miembros de la Comisión para que depositen su papeleta en la urna, y la Mesa votará al final. Como hay algunos diputados que sustituyen a otros, cuando nombremos al diputado sustituido, el que le sustituya que diga su nombre, por favor. (Por el señor letrado se procede al llamamiento de las señoras y los señores diputados, quienes van depositando su papeleta en la urna).

Terminada la votación, se inicia el escrutinio.

Terminado el escrutinio, dijo

El señor PRESIDENTE: Votos emitidos, 32; Zaida Cantera de Castro, 27; en blanco, 5. Queda, por tanto, elegida doña Zaida Cantera de Castro. Enhorabuena.

COMPARECENCIA DE LA SEÑORA DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (ESPAÑA MARTÍ):

- PARA INFORMAR SOBRE LAS MEMORIAS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CORRESPONDIENTES A LOS AÑOS 2015 Y 2016. A PROPUESTA DEL GOBIERNO. (Número de expediente 212/000855).

- PARA INFORMAR SOBRE LA MEMORIA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS CORRESPONDIENTE AL AÑO 2015. A PETICIÓN PROPIA. (Número de expediente 212/000004).

El señor PRESIDENTE: Pasamos al último punto del orden del día, después de la modificación que hemos efectuado, que es la comparecencia de la directora de la Agencia Española de Protección de Datos, a la que pedimos que, por favor, ocupe su lugar en la Mesa.

Doña Mar España Martí, tiene la palabra.


Página 5




La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España Martí): Muchas gracias, presidente.

Es para mí un honor comparecer en esta Cámara. Quizá sea una comparecencia atípica porque, por primera vez, voy a dar cuenta de la gestión realizada en la agencia fundamentalmente en los dos últimos años, ya que, por razones del cambio de dirección en la agencia, no se pudo realizar la comparecencia del año 2014. Por respeto, no voy a comentar con detalle las cifras del año 2014, pero está incluida la comparativa en la memoria de gestión y, si necesitan cualquier aclaración, estoy a su disposición. Además, con motivo de la disolución de las Cortes y la constitución del Gobierno, no se ha podido celebrar mi comparecencia hasta esta fecha.

Intentaré exponer brevemente las cifras fundamentales de la gestión de la agencia en estos tres años, en los que ya adelanto que ha habido un incremento tanto cuantitativo como cualitativo en la actividad, lo que ha supuesto una profunda reorganización de la agencia por las razones que expondré con posterioridad. Para poder dar una idea de la gestión de la agencia, en el año 2016 recibimos 10 523 denuncias y reclamaciones de tutelas de derechos; desarrollamos 74 actuaciones del Plan estratégico que se puso en marcha en noviembre del año 2015; resolvimos casi 400 consultas especializadas desde el gabinete jurídico; atendimos más de 236 000 consultas planteadas por los ciudadanos, aparte de casi 700 consultas especializadas en relación con el servicio especializado de atención a menores, a familias y a la comunidad educativa, que pusimos en marcha a finales del año 2015; realizamos 661 137 operaciones de inscripciones de fichero y casi 800 solicitudes de autorización de transferencias internacionales. Son datos que experimentaron un significativo incremento por los detalles que comentaré a continuación, motivado por la sentencia del Tribunal de Justicia de la Unión Europea. Ya autorizamos en ese año 499 transferencias internacionales, lo que supuso un 362 % más que en el año anterior. Además, el año pasado fue especialmente relevante por tres razones principales. La primera, la aprobación el 27 de abril del Reglamento 2016/679 de protección de datos, que va a suponer un cambio significativo en la aplicación de la normativa de protección de datos y en las nuevas obligaciones y derechos que se establecen para los ciudadanos y para los responsables y encargados del tratamiento. La segunda, el desarrollo en su mayor parte del Plan estratégico de adaptación de la agencia previsto para el mandato 2015-2019. Y la tercera, la aplicación de los efectos de la sentencia a la que me refería anteriormente del Tribunal de Justicia de la Unión Europea, de fecha 6 de octubre de 2015, por la que se declaró inválida la decisión 2520 de la Comunidad Europea, conocida como decisión de puerto seguro, que delimita el marco de los flujos de datos personales entre la Unión Europea y Estados Unidos.

En este momento nos encontramos en un periodo clave, pues en un solo mandato debe aprobarse la nueva Ley Orgánica de Protección de Datos -de la que luego les informaré-, que adapta la normativa española a las nuevas regulaciones del reglamento general de protección de datos, el reglamento de desarrollo de esa ley y un estatuto que tenga que adaptarse a la nueva estructura y funciones que debe desarrollar la agencia. Al mismo tiempo, debemos compaginar estas prioridades con seguir atendiendo la carga de gestión que se va incrementando año tras año y ejecutar las adaptaciones de prevención previstas en el plan estratégico. Todos estos retos suponen un esfuerzo ingente para las ciento cincuenta personas que trabajan en la actualidad en la agencia. Quiero aprovechar esta ocasión para hacer un profundo reconocimiento a su labor, pues están desarrollando todas estas actuaciones con los mismos medios personales con los que contábamos en el año 2008, en el que la agencia recibía únicamente 3400 denuncias y admitíamos 1900 tutelas de derechos. Para tratar de mejorar la gestión de las denuncias con los medios de los que disponíamos fuimos adoptando medidas, por ejemplo, la puesta en marcha a finales del año 2015 de la unidad de admisión, que nos ha permitido dar una respuesta más rápida a los ciudadanos en un gran número de denuncias y que en un porcentaje importante además ni siquiera es necesario subsanar por falta de la documentación requerida.

Paso a centrarme ya en las cifras de gestión. Respecto a las tutelas recibidas en la agencia, destaco un incremento del 23 % respecto al año 2014 y una disminución de las denuncias recibidas en un 21 %. Creo importante destacar el descenso en un 17 % respecto al año 2014 y en un 22 % respecto al año 2015 de la inadmisión a trámite de las denuncias sin actuaciones de investigación. Esto es un porcentaje significativo, pero se ha hecho precisamente para suponer un mayor estudio de las reclamaciones en las fases de actuaciones de investigación. Este descenso se corresponde con un incremento del 23 % para asegurar en este caso de las actuaciones de investigación y, sobre todo, en los casos de morosidad -que a mí me preocupan especialmente- que la denuncia realmente implica una vulneración de este derecho fundamental. Esta es la razón que justifica un descenso en un 5,69 % de las denuncias y reclamaciones


Página 6




resueltas, pues, al admitirse un porcentaje mayor de denuncias a actuaciones de investigación, por los tiempos y el volumen de gestión que tenemos estas denuncias no podrán ser resueltas hasta precisamente el año en curso. Esto se ha reflejado también el incremento en un 28 % de los expedientes de actuación iniciados en el año 2016 respecto al año 2014.

Considero necesario también hacer una referencia a la disminución en un 23 % de los procedimientos sancionadores respecto al año 2014 y el incremento en ese mismo periodo en un 56 % de los procedimientos de apercibimiento, mecanismo que se utiliza cuando la empresa no ha sido sancionada o apercibida con anterioridad y la sanción es leve o grave. En el último año, como consecuencia de la auditoría realizada a solicitud de la agencia por la Inspección General de Servicios y la necesidad de adaptar la agencia para intentar optimizar los recursos existentes, pusimos en marcha varias medidas. Además de la creación de la unidad de admisión que ya les he mencionado, la simplificación de las áreas de coordinación en la subdirección general de la inspección, el diseño de equipos mixtos de inspectores e instructores para mejorar la tramitación de los expedientes en todas sus fases o la posibilidad de que el sancionado se acogiese a la medida recogida en el artículo 85 de la Ley 39/2015, de reconocimiento voluntario de responsabilidad y pago voluntario, entre otras. Sí les puedo adelantar que, por los datos que tenemos, aproximadamente el 50 % de las empresas sancionadas se están acogiendo a este reconocimiento voluntario de responsabilidad y al pago voluntario. Esto ha supuesto una reducción importante de los tiempos de gestión al ciudadano en el periodo 2014-2016.

Por dar algunas cifras, el tiempo de las denuncias que se inadmiten sin requerir actuaciones posteriores de investigación se han reducido en un 36 %, las denuncias que se archivan por no subsanarse por el reclamante de la documentación requerida en un 52 %, el archivo de actuaciones de investigación en un 10 % y las resoluciones de procedimientos de apercibimientos en un 31 %. La resolución de los procedimientos sancionadores se mantiene en los mismos tiempos que en el año 2015 y ha aumentado ligeramente un 3,4 % respecto al año 2016. Y en el caso de las tutelas de derechos, destaca la reducción de los tiempos respecto al año 2015 en más de un 11 %, a pesar de haber recibido un 24 % más de tutelas en este año 2016, en su totalidad 2588.

Por último, creo que es importante destacar que la agencia retomó en el año 2016 las inspecciones sectoriales de oficio con la realización, entre otras, del Plan de Inspección Sectorial de Sanidad, que se presentará a las comunidades autónomas la próxima semana, la inspección del sistema de información de visados y Schengen o las investigaciones abiertas por la agencia en el marco de las actuaciones coordinadas entre autoridades europeas de protección de datos sobre la aplicación de la sentencia sobre el derecho al olvido, respecto a la política de privacidad de Google, y sobre la adecuación de los tratamientos realizados por Facebook a la normativa de protección de datos con un procedimiento sancionador que está actualmente en curso. También las actuaciones de oficio sobre el conocido producto Pokémon GO y servicios o sistemas relacionados con él, los juguetes conectados a Internet o el uso del cloud computing en el ámbito educativo, del que hablaré más adelante.

Cuando comparecí en esta Comisión el 22 de julio del año 2015 me comprometí, y establecí como objetivo prioritario de mi actuación en el caso de que fuera nombrada como directora de la agencia, a continuar con el cambio de talante para que la actitud proactiva de la agencia tuviera cada vez más peso, en prevención del cumplimiento de la normativa por las administraciones públicas y respecto al sector privado frente a la competencia sancionadora, resaltando además un ámbito para mí especialmente importante, como es la protección de nuestros menores y nuestros jóvenes. En cumplimiento de ello y en consecuencia con los compromisos adquiridos, entiendo que en mayor o menor medida se han visto reflejados en el Plan estratégico de actuación de la agencia que, como les decía, se aprobó en noviembre de 2015 tras un amplio proceso de participación de los sectores, entidades y colectivos afectados por el mismo y ciudadanos, ya que en esa fase de información que abrimos recibimos más de 400 propuestas, cuyo balance del primer año paso a exponer a continuación en sus aspectos más significativos.

En su aprobación el plan contenía un total de 113 iniciativas que ya en el año 2017 las hemos incrementado a 121, ordenadas en cinco ejes estratégicos: el primero, la prevención; el segundo, la innovación; el tercero, la transparencia de la agencia; el cuarto, la colaboración con empresas y profesionales y, el quinto, la agilidad y la eficiencia, además de los retos internacionales. En cuanto al balance de ejecución del plan en su primer año, hay que destacar que de las 86 iniciativas previstas para el periodo 2015-2016 se han puesto en marcha 76, de las que 22 han sido completadas, encontrándose las 54 restantes en proceso de ejecución al contemplar actuaciones plurianuales o continuas para toda la vigencia del plan. En consecuencia, el grado de cumplimiento en el año 2016 es de casi un 90 %, y las 10


Página 7




restantes -si tienen interés se las puedo comentar con posterioridad- son acciones cuya ejecución se han reformulado al año 2017 o se han fusionado con otras. Una de las razones es que prácticamente la totalidad de las actuaciones desarrolladas las hemos hecho a coste cero con los medios propios de la agencia, y esa es una de las razones por las que en algunos casos hemos tenido que reprogramar.

En el primer eje, en relación con la prevención, destacaré alguna de las actuaciones más significativas. Aquí sí que me interesa destacar que según el último informe del CIS la protección de datos y la privacidad se sitúan entre las preocupaciones destacadas de los ciudadanos. El 76 % de los españoles declara estar muy preocupados o bastante preocupados por la protección de los datos personales y el posible uso de su información personal. Igualmente, el 50 % considera bastante probable que sus datos puedan ser utilizados sin su conocimiento, algo muy probable para el 31 % de los ciudadanos; casi un 38 % considera bastante probable ser víctima de una suplantación de identidad y más de un 14 % lo cree muy probable. Cada vez resulta una preocupación estratégica mayor para los Gobiernos por los intentos de influencia a través del acceso a los correos electrónicos de los candidatos, como ha pasado en algunos países de nuestro entorno, el uso de las redes sociales o los recientes hackeos tan importantes, como el ocurrido recientemente con el virus Wanna Cry, que durante los tres días de ciberataque afectó a más de 200.000 mil víctimas, principalmente empresas de al menos 150 países que quedaron colapsadas, o el reciente virus del que hemos tenido conocimiento a lo largo de esta semana. Por lo tanto, la prevención ha pasado a ser uno de los elementos definidores de la estrategia de la agencia con medio centenar de actuaciones orientadas precisamente a prestar a los ciudadanos una protección más eficaz de su privacidad.

Como les decía, entre todas las iniciativas, ocupan un lugar destacado las relacionadas con la prevención y concienciación de los menores, colectivo especialmente vulnerable que puede verse involucrado en situaciones de alto riesgo en Internet, llegando incluso a la comisión de delitos en muchas ocasiones por desconocimiento, como puede ser en el caso del sexting, o en casos graves de ciberbullying, llegando incluso al suicidio.

El plan incluye un conjunto de actuaciones destinadas a informar, formar y sensibilizar a los menores, padres y profesores, para dotarles de conocimientos y herramientas con las que compatibilizar los grandes beneficios y oportunidades que ofrece la tecnología, con una protección eficaz de sus derechos. Para cumplir este objetivo, como les decía, a finales de 2015 la agencia presentó nuevos canales de comunicación para fomentar la privacidad entre los más de 8 millones de alumnos escolarizados, los padres y los profesores. Además de la dirección de correo electrónico canaljoven@agpd.es, que ya estaba disponible como forma de contacto, la agencia puso en marcha un teléfono específico y el servicio de wasap a través del número 616172204, que ya ha podido atender más de 800 consultas especializadas sobre diversos ámbitos.

Como un paso más para seguir reforzando esta iniciativa, tenemos preparada ya una guía dirigida a todos los centros docentes para dar soluciones prácticas a los problemas planteados en todas estas consultas, que esperamos presentar públicamente y a las comunidades autónomas después del verano. Por esas mismas fechas, la agencia y el Ministerio de Educación suscribieron un convenio que establece una colaboración estable para realizar proyectos de carácter educativo en la formación y sensibilización de los menores en materia de privacidad, sobre todo en el ámbito de Internet. En el marco de esa colaboración, publicamos las guías Sé legal en Internet, dirigida a menores entre diez y catorce años, y Enséñales a ser legales en Internet, destinada a padres y profesores, con las que pretendemos concienciar de conductas en Internet que pueden ser constitutivas de un delito. Estos materiales se sumaron a las fichas Guíales y No te enredes en Internet, que presentamos en noviembre de 2015, reforzando así el proyecto global 'Tú decides en Internet', que lo tenemos como un apartado en la página web de la agencia y que tiene como objetivo ofrecer una plataforma de consulta y apoyo mediante materiales y herramientas, que consideramos de gran interés para fomentar una cultura de protección de datos en estos colectivos.

Como ejes y actuaciones futuras de actuación, próximamente presentaremos también unos nuevos materiales audiovisuales que hemos elaborado para reforzar las garantías del derecho a la protección de datos de los menores en el mundo digital. En este ámbito, es esencial que las comunidades autónomas se impliquen y regulen el desarrollo curricular en este ámbito -ya en los dos reales decretos de desarrollo de la Lomce está previsto-, y el siguiente paso es que consiguiéramos que en las aulas se enseñara de una manera habitual y cotidiana el uso responsable de Internet, ya que es el mejor ámbito para concienciar y formar a nuestros jóvenes.

Por otra parte, la agencia realiza de oficio la primera inspección a nivel europeo sobre servicios de cloud computing asociados a las plataformas de gestión educativa y aprendizaje en centros de educación


Página 8




secundaria. La importancia de esta inspección deriva del volumen de datos objeto de tratamiento -estamos hablando, como decía antes, de más de 8 millones de alumnos-, la tipología de los datos -algunos son datos especialmente sensibles, como datos psicológicos o datos de salud- y se suma además con el rápido desarrollo tecnológico aplicado en la enseñanza. En 2016, la agencia convocó a la mayor parte de las editoriales de libros digitales para indicarles que carecen de legitimación para el tratamiento de esos datos y que deberían anonimizarlos, evitando que se conozca la identidad de los alumnos y de los profesores. Ese mismo año celebramos también reuniones con las asociaciones de centros educativos más representativas, de las que ha surgido la iniciativa de elaborar un cuestionario online para ampliar la información sobre la utilización de este tipo de aplicaciones y herramientas en los centros educativos. Ahora mismo estamos analizando los resultados de este cuestionario con el fin de disponer de unas recomendaciones al comienzo del próximo curso escolar.

Otro de los objetivos que con el tiempo ha ido creciendo en importancia dentro de las actividades de la agencia, y que a mí me preocupa especialmente, ha sido el de reforzar las garantías de los derechos de los ciudadanos frente a la contratación irregular o fraudulenta de los servicios de mayor consumo, como las telecomunicaciones o la energía. Precisamente, hemos abierto hace poco una inspección de oficio para garantizar los derechos de los ciudadanos en este ámbito. Además, constituye una de las principales fuentes de las denuncias que recibimos en la agencia y coincide también con el mayor volumen de las sanciones que imponemos.

En 2016, las sanciones declaradas en los sectores de telecomunicaciones y energía constituyeron el 65 % de las impuestas por la agencia. Los efectos negativos para los usuarios de prácticas tan graves como la suplantación de identidad a la hora de subcontratación, en gran parte online, y, por tanto, la consiguiente inclusión en un fichero de morosos, al no ser consciente el ciudadano, no haber contratado el servicio y no pagar, en consecuencia, la factura, han llevado a esta agencia a una mayor implicación para perseguir su realización, reforzando su colaboración con aquellas entidades que desarrollan actividades concurrentes en este ámbito, como la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, la Agencia Española de Consumo y el Consejo de Consumidores y Usuarios, con quienes la agencia sostuvo un acuerdo en diciembre de 2015 que ha permitido en 2016 un intenso intercambio de información entre las tres entidades y de la que informaré oportunamente con el impulso que hemos dado a lo largo de este año. Publicamos también, pensando en los más de 23 millones de ciudadanos que utilizamos Internet en nuestro país, y en colaboración con el Incibe, la Guía sobre privacidad y seguridad en Internet, que a través de 18 fichas y 5 vídeos tutoriales bastante prácticos han tenido bastante impacto. Solo en las web de la agencia y del Incibe hemos recibido ya más de 214 000 descargas, hasta el 31 de mayo, donde hemos intentado proporcionar información práctica sobre cómo reconocer la falsa identidad de una página web, cómo proteger los dispositivos portátiles, como gestionar contraseñas, cómo realizar copias de seguridad o proteger el correo electrónico o cómo gestionar la información que almacenamos en la nube.

Es importante destacar también, dado el potencial y el uso exponencial de los datos abiertos y la reutilización pública, la información que genera el sector público, unido al progreso y las tecnologías disponibles para su tratamiento masivo. Somos conscientes y compartimos el gran interés que esto supone para las empresas y para los ciudadanos, favoreciendo la provisión de nuevos productos y servicios, pero entendemos que esto debe se compatible con el principio de minimización de los riesgos que pueden implicar. Por ello, publicamos el año pasado sendas guías con orientaciones y garantías sobre protección de datos en el ámbito de la reutilización de la información del sector público, así como en los procedimientos de anonimización de datos personales, donde describimos procesos y técnicas útiles para conseguir dicho objetivo y, por tanto, para la seguridad de la información personal, esencial en procesos de big data. Para difundir todas estas herramientas y materiales en los respectivos ámbitos sectoriales, la agencia ha cuidado especialmente la colaboración con las comunidades autónomas, habiendo participado en las reuniones de la Comisión General de Educación y la Comisión de Cooperación al Consumo.

El segundo eje, el de innovación, es uno de los objetivos principales del plan estratégico, precisamente para contribuir a mejorar la competitividad en nuestras empresas, fomentar la investigación y la innovación, al mismo tiempo que se protege la privacidad de los datos en los nuevos servicios o productos que ofrecen tanto al sector privado como a las administraciones públicas. De este eje, creo que la iniciativa más relevante en este ámbito ha sido la puesta en marcha en 2016 de la Unidad de Evaluación y Estudios Tecnológicos, como un área específica de la agencia para detectar y analizar tendencias, productos o


Página 9




servicios que puedan tener un impacto en la privacidad de los ciudadanos, favoreciendo la introducción de políticas de protección de datos, desde el diseño, para garantizar que la privacidad está presente en todas las fases de concepción, análisis e implantación de los desarrollos tecnológicos. Así, entre los cometidos de esta nueva unidad, está la realización de estudios prospectivos y análisis de los productos y servicios para conocer de primera mano sus funcionalidades y la forma en que almacenan, tratan y comunican los datos personales que recogen, así como la transparencia con la que se llevan a cabo estos tratamientos. Estos estudios se centrarán en las tecnologías más actuales y con un mayor impacto en la privacidad de las personas, como en los relativos a los diversos aspectos de la sociedad conectada -big data, Internet de las cosas, smart cities, aplicaciones móviles, etcétera-. Por otra parte, la unidad está llamada a tener un papel relevante para atender las consultas derivadas de las nuevas obligaciones de reglamento europeo. Por ejemplo, cuando un responsable o encargado del tratamiento tenga dudas después de haber realizado una evaluación de impacto, es obligatorio que se dirija a la agencia a plantear esas dudas, y nosotros tenemos también un plazo tasado para responder. Entre las actuaciones más significativas del año 2016 está la validación de la Plataforma de Intermediación de la AGE para potenciar su utilización por todas las administraciones públicas o estudios de buenas prácticas en protección de datos para proyectos de big data y sobre la reutilización de información clínica y análisis masivo de datos en el sector sanitario.

Pasaré ahora a comentar el tercer eje de la agencia, que se llama Agencia Española de Protección de Datos más abierta y cercana. Uno de los objetivos que tenemos, sin perder de vista las obligaciones que deben cumplir legalmente los responsables, y sin perjuicio, lógicamente, de la potestad sancionadora que ejercerá la agencia cuando nos conste un incumplimiento de la normativa, es empoderar a los ciudadanos para decidir, por ejemplo, qué información quieren compartir y con quién. Para potenciar esta cultura proactiva de la privacidad es fundamental que podamos ofrecerle información clara y precisa sobre cuáles son los riesgos a los que se enfrentan cuando utilizan determinados servicios y cuál es la mejor manera de minimizarlos. Por ello, en 2016 hicimos una renovación total del catálogo de preguntas frecuentes disponible en la sede electrónica de la agencia, las FAQS, que permiten consultar doscientas preguntas/respuestas para facilitar este conocimiento de los ciudadanos y donde hemos incluido nuevas categorías, como transparencia, derecho al olvido, datos en Internet y tratamiento de datos en el ámbito laboral. Además, contenemos enlaces a otros recursos, por ejemplo, a los informes jurídicos, que están disponibles en la web de la agencia para que la persona que consulte no solo obtenga la respuesta adecuada, sino que, si lo desea, pueda profundizar con información adicional. En lo que va de año este nuevo catálogo alcanza casi las 90 000 visitas, con lo que, si continúa a este ritmo, probablemente se superen las 187 000, cifra muy superior a los 147 000 accesos recibidos en 2016.

Dentro del objetivo de reforzar los canales de comunicación tanto con los ciudadanos como con los responsables, y de modo especial teniendo en cuenta los nuevos retos a los que nos enfrentamos con la aplicación inminente el año que viene del reglamento europeo, hemos desarrollado nuevos canales como el blog de la agencia, que pusimos en marcha a finales del año pasado, y distintos materiales y herramientas prácticas para facilitar la comprensión del nuevo marco normativo -ya adelanto que es complejo-, y ayudar tanto a los ciudadanos como a las empresas y administraciones públicas a adaptarse a los nuevos retos que este marco normativo supone para todos. Un ejemplo del interés mostrado por los ciudadanos y los responsables por esa materia son los más de 5,5 millones de visitas que recibimos el año pasado en la página web de la agencia.

El cuarto eje va referido a los responsables y a los profesionales, e incluye iniciativas con las que tratamos de compatibilizar la labor supervisora de la agencia con el acercamiento a las empresas y a los profesionales del sector para intentar ofrecer una respuesta adecuada a sus necesidades y el pleno conocimiento y cumplimiento de la normativa. Con esta finalidad hemos elaborado distintas guías y herramientas prácticas para facilitar el cumplimiento por los responsables. Estamos teniendo reuniones con asociaciones empresariales, especialmente con las representativas de las pymes, para contrastar la utilidad práctica de las acciones de la agencia en este ámbito. Somos conscientes de que la economía digital se ha convertido en el motor de las economías más avanzadas y, teniendo en cuenta esta realidad, el plan ha previsto la creación de un canal específico de atención a los responsables, especialmente pymes y micropymes y a los profesionales de la privacidad -que ya adelanto que intentaremos poner en marcha después del verano- para que podamos dar la información más especializada y resolver sus dudas de una forma más cercana a sus necesidades. Considero que los profesionales de la privacidad tienen un relevante papel en su labor de asesoramiento a los responsables y encargados de tratamiento,


Página 10




ya que su experiencia en la materia constituye una fuente fundamental para conocer las inquietudes y dificultades que suscita la aplicación de la vigente legislación y de la futura. De ahí la necesidad de mantener una colaboración fluida y ágil con las asociaciones profesionales. Ello redundará, sin duda, en la calidad de su asistencia profesional y, por lo tanto, en un mejor cumplimiento de la normativa y de las garantías de los ciudadanos. En este sentido, sí me gustaría destacar la figura del delegado de protección de datos, que está llamado a jugar un papel central en orden a garantizar la protección de datos por parte de los responsables y encargados de tratamiento, facilitar el ejercicio de los derechos a los interesados y ser un cauce fluido de interlocución con la agencia. Por ello, desde la agencia promoveremos actuaciones dirigidas específicamente a atender las necesidades de los delegados de protección de datos y también a promover la mayor implantación posible de esta figura tanto en el ámbito de las administraciones públicas como en el empresarial.

Por último, el quinto eje es el de la simplificación y digitalización. Todas estas iniciativas han tenido que seguir haciéndose por el personal de la agencia, como decía al principio de mi intervención, junto con su trabajo ordinario y extraordinario en cuanto a la gestión. No hay que olvidar que la agencia recibe más de 12 000 denuncias y reclamaciones aproximadamente a lo largo de un año. Para hacer frente a esta problemática y tratar de optimizar al máximo los recursos de los que disponemos, el plan preveía un conjunto de medidas encaminadas a simplificar los procedimientos, reducir los tiempos de tramitación y utilizar de manera intensiva las herramientas que nos ofrece la Administración electrónica. Una parte de las medidas las pusimos en marcha en cumplimiento de las recomendaciones que, como les decía anteriormente, nos hizo la auditoría de la Inspección General de Servicios. Esperamos que a lo largo del presente año podamos ofrecer los resultados esperados, de conformidad con los indicadores fijados para su evolución y control.

Por otra parte, con el fin de impulsar la conciliación de la vida laboral y familiar y mejorar las condiciones de trabajo del personal en la agencia, en el año 2016 pusimos en marcha un programa piloto de teletrabajo que afecta al 10 % de la plantilla, que coincidió, además, con el 100 % de las solicitudes que nos planteó el personal y que ha comenzado a desarrollarse principios de este año. Además, ese mismo año pusimos en marcha diversas iniciativas para implantar la digitalización y automatización de los procedimientos y sistemas de gestión de la agencia, que esperamos completar durante este año. Acciones como la plataforma clave, que permite a los ciudadanos identificarse de la misma forma ante todos los organismos de la Administración, o el impulso del registro electrónico como canal de presentación de documentos ante la agencia, esperemos que mejoren y simplifiquen la forma en que los ciudadanos y los sujetos obligados se comunican con nosotros.

Pasando a otro ámbito importante y uno de los retos principales que tenemos encima de la mesa, que son los problemas y la gran envergadura que nos implica la aplicación del nuevo Reglamento General de Protección de Datos, es algo que va a marcar la agenda de la agencia en los próximos años. Además va a requerir de un importante esfuerzo no solo para los responsables y encargados, tanto del ámbito privado como en el de las administraciones públicas, sino también para la propia agencia como autoridad de control y para el Grupo de trabajo del 29, que pasa tener otras funciones a través del Comité Europeo de Protección de Datos y el complejo mecanismo transfronterizo que el Reglamento General de Protección de Datos ha diseñado para la garantía de este derecho fundamental. Derecho fundamental que implicará que, en el momento en el que una denuncia o una tutela de derechos afecte a bienes y servicios que se ofrezcan a ciudadanos en más de un país miembro o a perfilado de ciudadanos en más de un país miembro, nos tengamos que poner de acuerdo, en primer lugar, sobre quién es la autoridad principal y, en segundo lugar, en cuanto las observaciones que planteen las demás autoridades reguladoras en el resto de los países miembros, desde la propuesta sancionadora, hasta incluso el alcance de las actuaciones de investigación. Son procedimientos además que tenemos que llevar a cabo en inglés, lo que supone una complejidad que hasta ahora no se había dado.

Yo no conozco que se estén tramitando procedimientos de este tipo en el ámbito del derecho administrativo en nuestro país, y ello nos va a obligar un esfuerzo cuantitativo y cualitativo considerable. En primer lugar, colaborando en la elaboración de la ley de aplicación que sustituirá a la vigente ley orgánica, formamos parte de la ponencia que se constituyó por encargo del ministro a finales del año pasado, concretamente en noviembre, para elaborar un primer texto que fue aprobado, además, por la Comisión General de Codificación. El hecho de que el reglamento europeo sea una norma de aplicación directa, como bien saben, no excluye totalmente la acción normativa de los Estados miembros. El propio reglamento contiene mandatos expresos a los Estados para que desarrollen algunas de sus disposiciones.


Página 11




En algunos casos hay margen para delimitar o desarrollar con mayor detalle algunos de los aspectos previstos en el reglamento o incluso que se concreten, como es, por ejemplo, el tema de la edad, donde entiendan los Estados miembros que es legítimo el consentimiento de los menores, dejando una horquilla entre 13 y 18 años. En cualquier caso, es necesario aclarar y precisar el alcance de su impacto en el derecho español, porque hay aspectos que estaban regulados en nuestra vigente ley orgánica que no son afectados por el contenido del Reglamento General de Protección de Datos, pero nosotros entendíamos que era importante dar seguridad jurídica al sector y, por tanto, hemos propuesto su inclusión en el borrador del anteproyecto actual de la ley orgánica, por lo que está incluido.

Como bien saben, el pasado 23 de junio el texto ha sido tomado en conocimiento por el Consejo de Ministros en una primera vuelta, ya se han solicitado los preceptivos informes, y en el día de ayer se abrió el trámite de información pública. Es una ley de una gran complejidad, como les explicaba, sobre los procedimientos transfronterizos. Por ejemplo -solo contaré algún otro tema importante-, el reglamento no tipifica el régimen de infracciones ni establece un régimen de prescripción. Eso choca de manera importante con el derecho administrativo de nuestro país, y es algo a lo que hemos podido dar solución en el anteproyecto de ley. Por lo tanto, es una ley que necesitamos tener aprobada para mayo de 2018 con especial prioridad. A partir de ahora me pongo a disposición de todos los grupos parlamentarios para cualquier aclaración que consideren necesaria, para colaborar en el desarrollo y en la tramitación de este anteproyecto.

Aparte de la dimensión normativa, son importantes también las herramientas y materiales que podamos poner a disposición de los responsables y encargados del tratamiento. El reglamento, que supuso un récord en la historia de tramitación de las normas europeas con más de 4000 enmiendas, no por casualidad ha dado un plazo tan extenso de entrada en vigor. Se aprobó en el año 2016 y no entra en vigor hasta mayo de 2018, pero esto es precisamente por la complejidad de las nuevas obligaciones; no tanto los principios, sino por las nuevas obligaciones que el reglamento configura tanto para las administraciones públicas como para los responsables y encargados en el ámbito privado. Por tanto, desde el mismo momento de su aprobación empezamos a trabajar y creamos un grupo de trabajo con las autoridades autonómicas del País Vasco y de Cataluña, que son las dos autoridades regionales actualmente con competencias de protección de datos. En Andalucía está aprobado el organismo, pero ahora mismo solo tiene en vigor las competencias en materia de transparencia y definimos por unanimidad los criterios precisamente porque el reglamento generaba algunas dudas y quisimos dejarlo claro desde el principio en la medida de lo posible y dar seguridad jurídica a todos los afectados.

Inicialmente elaboramos varios documentos: uno era el reglamento en doce preguntas y el segundo las implicaciones prácticas del reglamento para entidades en períodos de transición. Va a ser un cambio de cultura importante y no siempre será un cambio sencillo porque implica además para las organizaciones un ejercicio permanente de valoración y decisión sobre los riesgos que los tratamientos de datos plantean para los derechos, libertades e intereses de los ciudadanos y sobre la forma de aplicar las medidas apropiadas para disminuir precisamente esos riesgos.

El denominador común de estas obligaciones que el reglamento contempla va a ser la prevención. Se trata de medidas que persiguen con bastante flexibilidad que las organizaciones están en condiciones de garantizar que podrán cumplir satisfactoriamente las exigencias del reglamento en materia de principios y derechos de los interesados. En la medida en que podamos ayudar a responsables y a encargados a conocer y poner en práctica estas medidas estaremos contribuyendo a que se alcancen los objetivos de protección reforzada del derecho que contiene el reglamento, además de asegurar la confianza de los usuarios y permitir la innovación y el desarrollo de nuevos productos y servicios, con lo que ello supone además de ventaja competitiva para las empresas. Por estos motivos hemos dedicado una especial atención a desarrollar materiales dirigidos a empresas y administraciones públicas.

Con el Día europeo de la protección de datos celebramos una jornada dedicada a la aplicación del reglamento por las pymes que, como bien saben, representan el 95 % de nuestro tejido empresarial, y que son quienes entendemos que pueden tener más dificultades junto con los ayuntamientos en el ámbito local para poder llevar a cabo por sí mismas un análisis del reglamento y una dotación a sus previsiones. En esa jornada presentamos los primeros materiales que, como les decía, hemos trabajado conjuntamente con el grupo de trabajo formado por la agencia vasca y la Autoridad catalana de protección de datos para poder acompañar tanto a las empresas como a las administraciones públicas en la aplicación del reglamento. Se trata de tres guías: una de ellas analiza y explica las principales novedades del reglamento para las empresas, la segunda está dedicada al cumplimiento y al deber de informar por los responsables.


Página 12




El reglamento ahora exige unos contenidos mayores de información y hemos intentado dar una respuesta práctica a través de un sistema de doble capa para que esa información se proporcione de manera sencilla y accesible -dentro de que esto de sencillo tiene poco, permítanme la expresión- y en un lenguaje inteligible, y la guía propone un sistema de información, como les decía, en capas además con ejemplos de cómo puede utilizarse en diversas circunstancias. La tercera guía se centra en los contratos entre responsables y encargados cuyo contenido también se amplía por el reglamento. Todos estos recursos están disponibles en el microsite de la web de la agencia, que se ha abierto para acoger estos materiales e ir incorporando los nuevos en los que estamos trabajando.

Les quiero anunciar que estamos trabajando ya, y la presentaremos próximamente, en una herramienta gratuita para las pequeñas y medianas empresas que realicen tratamientos de bajo riesgo, para que puedan cumplir con las nuevas obligaciones que supone el reglamento, donde se fijan unas orientaciones básicas sobre análisis de riesgo y medidas de seguridad. Estamos trabajando también para adaptar el reglamento en colaboración con el Centro Criptológico Nacional en el ámbito de las administraciones públicas a través de la conocida herramienta Pilar de gestión de riesgos para intentar que los gestores públicos por lo menos manejen una herramienta que ya conocen. Tenemos ya preparada y estamos terminando de perfilar una lista orientativa de los tratamientos de alto riesgo y, por exclusión, de los tratamientos que la agencia entiende que son de riesgo básico, que, aunque los podremos publicar próximamente, no tendrán carácter oficial -como bien saben- hasta que esta lista no sea aprobada posteriormente por el Comité Europeo de Protección de Datos, que no tendrá naturaleza jurídica hasta mayo de 2018. También tenemos prevista la actualización de la guía de evaluación de impacto, entre otros recursos. Hemos elaborado diversos documentos identificando los aspectos donde el reglamento va a tener un mayor impacto en las administraciones públicas, y en este contexto entiendo que tiene una especial relevancia la figura del delegado de protección de datos, que será obligatoria como el reglamento establece en todas las autoridades y organismos públicos. Quiero compartir con sus señorías que estamos trabajando y en septiembre comenzará ya en colaboración con el INAP el desarrollo de programas de formación para asegurar la cualificación de los futuros delegados de protección de datos no solo en el ámbito de la Administración General del estado, sino también a través del programa Comparte, que se ofrecerá gratuitamente a los funcionarios de las administraciones autonómicas y de la Administración local.

Desde la aprobación del reglamento -como les decía-, tuvimos intensas reuniones de trabajo con la autoridad catalana y la autoridad vasca que culminaron en una posición común en temas tan importantes como el consentimiento. En España teníamos como una forma de legitimación del consentimiento el consentimiento tácito, que era utilizada masivamente, pero a partir del año que viene, de mayo de 2018, no va a ser posible como una de las causas de legitimación del tratamiento de los datos. Quisimos aclararlo desde el minuto uno para que aquellos responsables y encargados que pretendieran legitimar el tratamiento de los datos como hacían hasta ahora, en base al consentimiento tácito, fueran buscando otras vías de legitimación que pueden ser tanto el consentimiento expreso como el interés legítimo, siempre y cuando estén adecuadamente ponderados y valorados.

Otro de los temas en los que actuamos y adoptamos el consenso fue en el modelo de contratos entre responsables y encargados, las evaluaciones de impacto, la información a los interesados y la certificación de profesionales de protección de datos, que también los tenemos disponibles en la página web de la agencia. Y estamos trabajando intensamente en promover un esquema de certificación de profesionales de la protección de datos que vayan a acceder a los puestos delegados de protección de datos que puedan crearse en las organizaciones, fundamentalmente ese esquema de certificación está previsto para el ámbito privado. Si bien somos conscientes de que no es obligatorio ser un delegado de protección de datos certificado y que ese no será un requisito indispensable para acceder precisamente a ostentar las funciones y las competencias que el reglamento atribuye al delegado de protección de datos, sí queremos que sea un punto de referencia en el mercado que dé garantías suficientes a los responsables y encargados sobre la cualificación y capacidad profesional de los candidatos a la hora de su contratación. Desde entonces estamos trabajando también en estrecha colaboración con la Entidad Nacional de Acreditación en nuestro país, ENAC, y un comité técnico de expertos formado por veintitrés miembros en el que participan representantes de sectores y asociaciones empresariales, universidades, administraciones públicas y las asociaciones profesionales, y esperamos poder presentar el esquema en los próximos meses.


Página 13




Quería hacer una especial referencia a los documentos que en desarrollo y aplicación del reglamento estamos trabajando en el marco del Grupo de Trabajo del artículo 29, en el marco de la Unión Europea. Hemos dedicado 2016 con mucha intensidad a poder elaborar directrices y aprobarlas en este ámbito, y además la agencia española coordina junto con la holandesa su grupo de enforcement, que está analizando las consecuencias del reglamento y los mecanismos de cooperación y asistencia que el reglamento establece para el funcionamiento de los procedimientos a nivel interno. Hemos calculado que al menos -y este es un cálculo aproximado que seguramente pueda tener algún error- puede haber entre 13 000 y 17 000 denuncias y reclamaciones que puedan acogerse a este procedimiento transfronterizo, y esto va a suponer un incremento cuantitativo de la gestión a las 10 000 o 12 000 denuncias y reclamaciones que tramitamos a lo largo del año. El grupo ha adoptado hasta el momento cuatro documentos de directrices, que son los documentos sobre identificación de la autoridad principal en los tratamientos transfronterizos, los delegados de protección de datos, las evaluaciones de impacto y el nuevo derecho a la portabilidad. Y les quiero anunciar el calendario de trabajo que actualmente estamos desarrollando en el Grupo de trabajo del 29. Este año estamos trabajando en directrices sobre el consentimiento, el perfilado, las certificaciones, la transparencia, las notificaciones y evaluaciones de seguridad o las herramientas de transferencias internacionales.

Por último, para no cansar más a sus señorías, me quería referir a los retos más importantes en que actualmente estamos trabajando en protección y garantía de la privacidad. Uno de los aspectos importantes son todas las actuaciones mantenidas con Google respecto a la supervisión de la política de privacidad. En 2015 se inició un expediente de investigación dirigido a revisar las modificaciones de la política de privacidad de Google que se requirió en la resolución de 2013, que sancionó a la compañía con una multa de 900 000 euros, para adaptarla a la normativa española de protección de datos. En las reuniones periódicas que hemos mantenido con Google hemos constatado que la compañía ha introducido modificaciones significativas a nivel mundial en la política de privacidad, tanto en la información ofrecida a los usuarios como en el consentimiento y el ejercicio de sus derechos. Teniendo en cuenta este cambio, se archivó el procedimiento en diciembre de 2015, si bien continuamos manteniendo contactos para conocer la incidencia en el derecho a la protección de datos de las novedades en la prestación de los nuevos servicios que estén implementando.

Por otro lado, en relación con el derecho al olvido, en el año 2015 iniciamos actuaciones de inspección en las que se comprobó que a través del servicio webmaster tools Google comunicaba con carácter general a los webmasters información con respecto a aquellas URL de sus respectivos sitios web que eran eliminadas de los resultados de búsqueda en respuesta a una consulta basada en el nombre del afectado. Entendíamos que esto suponía una lesión para los derechos de los afectados, debido a que en numerosas ocasiones los editores de los sitios web introducían modificaciones en los enlaces a la información publicada, de forma que al realizar una búsqueda a partir del nombre la información volvía a ser accesible a través del buscador. De este modo, entendíamos que el bloqueo inicial de los enlaces del buscador no resultaba efectivo y obligaba a los afectados a ejercer sucesivamente el derecho de oposición o cancelación respecto de los nuevos enlaces modificados por el editor de la web. Por ello, iniciamos un procedimiento sancionador que concluyó en 2016, imponiendo a Google una sanción de 150 000 euros por infracción del deber de secreto e iniciamos actuaciones de inspección para verificar que se corregía la conducta infractora, hecho que hemos comprobado que, efectivamente, han corregido.

Les decía anteriormente que, por un lado, en colaboración con el grupo de contacto a nivel europeo que constituimos entre España, Francia, Bélgica, Holanda y Alemania, se realizaron de oficio actuaciones de investigación en relación con el tratamiento de datos de los usuarios que estaba realizando la compañía Facebook. Les he informado también de que actualmente tenemos en marcha un procedimiento sancionador a Facebook, que se notificará en los próximos meses. Permítanme por ello que ahora no pueda darles más detalles de las actuaciones de investigación que hemos constatado en el marco de este procedimiento sancionador. En este ámbito, hemos recibido también una denuncia señalando que las cuentas de la red social Facebook disponen de un servicio de mensajería integrado -denominado chat- que permite conocer a un usuario en la red social, cuándo otros usuarios de Facebook están activos y cuándo han tenido su última conexión, pero sin que exista la opción -a diferencia, por ejemplo, de Whatsapp- para impedir que un usuario pueda monitorizar o darse de baja, precisamente, en esta información que está accesible a terceros.

También tenemos un expediente abierto en este ámbito, así como estamos estudiando los cambios en la política de privacidad y los términos del servicio de Whatsapp que se produjo en el año 2016, en los que


Página 14




dicha autoridad solicitaba el consentimiento de los usuarios para realizar comunicaciones de datos a la empresa Facebook. La agencia publicó en su web información sobre dichos cambios con indicaciones a los ciudadanos sobre los elementos más determinantes de los mismos y, en el marco de las actuaciones coordinadas de las autoridades europeas, la presidenta del Grupo de Trabajo del Artículo 29 remitió a Whatsapp una carta cuya consecuencia inmediata fue la paralización, por parte de la compañía, de la comunicación de datos que había anunciado que iba a realizar en el marco de los cambios que querían implementar en la política de privacidad, cambios paralizados al menos en el ámbito de la Unión Europea.

Asimismo, tenemos en marcha un procedimiento sancionador por una inspección de oficio que iniciamos sobre el conocido producto Pokémon Go y servicios y sistemas relacionados con él, para determinar si la política de privacidad cumplía con lo establecido en la normativa española. No puedo dar información de las actuaciones de investigación porque es un expediente que esperamos que también próximamente pueda ser resuelto.

Otra de las actuaciones significativas que estamos realizando, a la vista de las noticias aparecidas en medios de comunicación, es sobre una fuga de datos de millones de usuarios de los productos VTech, principalmente usuarios de juguetes que provocaron un acceso ilícito a datos de millones de cuentas de usuarios, entre ellos menores. Es una investigación especialmente compleja porque los responsables están en Holanda y en Hong Kong y ahora mismo estamos pendientes de culminar la investigación y, si tienen interés, les podré dar cuenta en la próxima comparecencia.

También es importante la investigación que estamos realizando por la alarma que se creó por la aparición en el mercado de juguetes infantiles conectados a Internet que capturaban la voz y el vídeo de los menores. Hemos iniciado investigaciones de oficio sobre dos de los productos que se comercializaban, la muñeca Cayla y el robot iQue, y actualmente estas actuaciones están en curso y centrándose en dos compañías que tienen sede en Hong Kong.

Quería hacer una especial referencia al nuevo marco en las transferencias entre Europa y Estados Unidos a través del escudo de privacidad, el famoso Privacy Shield. El 12 de julio de 2016 la Comisión Europea aprobó, mediante una decisión de ejecución, la adecuación de la protección conferida por el escudo de privacidad entre la Unión Europea y Estados Unidos, que sustituía a la decisión 2520, conocida como de Puerto Seguro, declarada inválida por sentencia del Tribunal de Justicia de la Unión Europea de 6 de octubre de 2015, la conocida sentencia Schrems. La sentencia dio lugar a que la agencia informase de sus consecuencias a casi 1700 responsables de ficheros domiciliados en España que habían notificado transferencias a entidades adheridas al sistema de Puerto Seguro y les solicitamos información acerca de qué previsiones iban a realizar al respecto, ya que ahora mismo esas transferencias internacionales no tenían legitimidad en el marco que se había declarado inválido por parte del Tribunal de Justicia de la Unión Europea. El nuevo marco internacional ha sido también analizado por el Grupo de Trabajo del artículo 29, que manifestó sus reticencias en algunos extremos del mismo como, por ejemplo, que no se contemplen reglas específicas o decisiones automatizadas y que no se formule un derecho de oposición de manera general.

Quería resaltar que, recientemente, como les decía al principio, hemos iniciado un plan sectorial sobre contratación telefónica y por Internet ya que, por los datos que tenemos, el 40 % de los españoles realizamos compras online de forma habitual y es mucho más fácil suplantar la identidad y, por tanto, realizar una contratación fraudulenta y la consiguiente inclusión en un fichero de morosos. Hemos iniciado, también recientemente, un plan de oficio sobre servicios financieros. Corresponde a una tercera parte de las denuncias recibidas y entendemos que es un ámbito al que se debe dar también especial prioridad.

Por último -y para ir terminando ya-, como señalaba al principio de mi intervención, toda esta ingente actividad que acabo de exponer la estamos llevando a cabo con los mismos medios personales de los que la agencia disponía hace ya casi una década. Es verdad que estamos haciendo cosas, es cierto también que nos quedan muchas cosas por hacer, pero creo que es importante destacar la situación actual y que resulta oportuno traer a colación las palabras de mi antecesor en la dirección de la agencia, ya que con ocasión de la presentación de la memoria en el año 2012 manifestó en esta misma sede -y cito literal-: "... la capacidad de asumir más carga de trabajo mediante la optimización de los recursos y la mayor dedicación de los trabajadores tiene un límite, y en el caso de la agencia se ha alcanzado ya, incluso se ha superado. Es necesario tener en cuenta que la plantilla de la agencia no se ha modificado desde el año 2008 y desde entonces hasta ahora la carga de trabajo se ha incrementado en más de un 200 % de promedio, llegando en algunas áreas a superar ampliamente el 300 %. [...] Por todo ello -no lo digo yo, lo dice el director anterior-, creo que ha llegado el momento de abordar un proceso de


Página 15




actualización de la plantilla de la agencia para que pueda continuar desempeñando eficazmente sus funciones en los próximos años. [...] Les agradeceríamos, por tanto, su apoyo para llevar adelante este proceso de actualización." No solo suscribo plenamente estas palabras, sino las reitero, máxime cuando además fueron pronunciadas hace unos años en un contexto en que aún no estaba aprobado el reglamento europeo ni puestas en marcha las actuaciones de prevención incluidas en el plan estratégico.

Quiero darles, por lo menos, información de que, para buscar una solución de fondo a este problema, estamos trabajando intensamente desde el año pasado, manteniendo reuniones entre la agencia y el Ministerio de Hacienda y Administraciones Públicas que han empezado a dar sus frutos recientemente con la concesión de una partida de fondos para incrementar la productividad del personal de la agencia en función de unos objetivos previamente marcados y para poder dotar de productividad ordinaria a las diecisiete personas que habían entrado en el año 2008 y que no estaban cobrando la misma productividad que el resto de sus compañeros. Por la información que tengo, la semana que viene, en la próxima reunión de la Cecir, la Comisión de Retribuciones, está previsto el incremento y la dotación de un determinado número de plazas, especialmente de niveles 28 y 26, para la Unidad de Evaluación y Estudios Tecnológicos y para la Subdirección General de la Inspección para poder cubrir aquellas necesidades más urgentes derivadas de la aplicación del reglamento europeo. Valoro positivamente este compromiso en este incremento de plazas, pero sí que debo decir que esto no es suficiente y que voy a seguir trabajando -de hecho estoy trabajando ya- con el Ministerio de Hacienda para que se puedan atender las necesidades urgentes que tiene la agencia de cara al presupuesto de 2018. Si queremos afrontar con garantías las nuevas responsabilidades que se nos demandan a las autoridades de control y ofrecer un servicio de calidad que responda a las expectativas de nuestras empresas, administraciones públicas y ciudadanos, necesitamos contar con los medios y recursos adecuados como, además, bien señala el reglamento europeo.

Para definir un marco adecuado a estas necesidades, quería terminar mi intervención diciendo que es primordial, como les decía anteriormente, la aprobación de la nueva ley orgánica de protección de datos, tareas para las que les solicito toda su colaboración y apoyo a fin de que podamos llegar a tiempo y en las mejores condiciones posibles a la fecha de 25 de mayo de 2018, que es la prioridad que en este momento nos ocupa al conjunto de empleados de la agencia y a quien les habla. Quiero aprovechar también para dar la enhorabuena y la bienvenida a Zaida Cantera. Espero contar contigo en la próxima reunión del consejo consultivo que tenemos prevista para el 20 de julio próximo.

Muchas gracias. Estoy a disposición de todos los grupos parlamentarios para cualquier pregunta o aclaración que deseen realizar.

El señor PRESIDENTE: Muchas gracias, señora España, por su extensa exposición.

Ahora es el turno de los grupos. Vamos a poner diez minutos, pero, como siempre, seré flexible por si alguien quiere excederse en su intervención. Comenzamos por el Grupo Socialista y tiene la palabra la señora Cantera.

La señora CANTERA DE CASTRO: Muchas gracias, señor presidente.

Quiero que mis primeras palabras sean para agradecer a todos los diputados de esta Comisión la confianza que han puesto en mí mediante la elección como vocal. Aquellos que no la han puesto, espero que con mi trabajo pueda ganarme, por lo menos, su confianza y rendirles cuentas con transparencia.

Muchas gracias, señora España Martí, por su extensa explicación. He tenido la oportunidad de leerme la memoria y lo primero que quiero transmitirle, en nombre del Grupo Parlamentario Socialista y en el mío propio, es que va a contar con toda la colaboración. Vamos a ser críticos, pero desde un punto de vista proactivo y positivo, en aras de mejorar lo que, desde nuestro punto de vista, es algo importantísimo, que es lograr un adecuado equilibrio, precisamente, entre la privacidad y la protección de los datos, a los que todas las personas tenemos derecho, y la transparencia.

Voy a intentar seguir un poco la línea que usted ha marcado, pero basándonos más en las preocupaciones que centran a este grupo parlamentario. Leyendo la memoria, me ha gustado mucho algo a lo que usted también ha hecho alusión aquí en su exposición, que son las medidas de protección para la privacidad de los menores. Esto puede ser extensivo a la opinión de la mayoría de la ciudadanía, ya que una de las cuestiones que ahora mismo preocupan, entre otras, son precisamente los datos de nuestros menores, las fotografías que en algunos casos se cuelgan en Internet, bien sea a través de las redes


Página 16




sociales o de diferentes medios de comunicación. Esas fotografías que a veces se cuelgan sin respetar la privacidad de nuestros menores e incluso de su imagen, ya no solo de sus datos, es una preocupación que está en boga.

Pero unida a esta preocupación tenemos la de las nuevas tecnologías, que usted ha mencionado. Nuestros hijos, cada vez con mayor asiduidad, son -como han mencionado en la memoria- nativos digitales; pero que sean nativos digitales no significa que tengan el sentido común de saber utilizar, precisamente, esa tecnología. Me gustan mucho, por ejemplo, esas campañas que está haciendo la agencia española en cuanto a prevención, educación y formación, pero aquí voy a hacer una pequeña puntualización. Creo que está muy bien que se dote de un número de teléfono de Whatsapp o que haya números de teléfono a los que se puedan dirigir los padres, pero creo que falta un poco no solo de publicación, sino de divulgación de esa publicación, que se haga más extensiva. Me voy a explicar, si yo ahora mismo le pregunto a mi hermana, que tiene dos hijos, si sabe cómo ponerse en contacto para la protección de datos de mis sobrinos, no sabría decirme el número de teléfono; ni siquiera, a lo mejor, en el colegio al que van mis sobrinos se ha puesto en práctica esta campaña. Creo que es una buena idea que se haga en el ámbito nacional y no solo con acuerdos puntuales con algunos ayuntamientos o algunas comunidades autónomas, sino que este tipo de campañas sean más extensivas. Como le digo, es una pequeña crítica pero constructiva para poder seguir avanzando.

Nos preocupan también, en aras de mejorar precisamente la protección de nuestros menores, aquellas denuncias que plantean los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, en cuanto a intercambios de mensajes que se producen a través de Whatsapp o a través de las redes sociales, que provocan el sexting -que usted ha mencionado- o, por ejemplo, el ciberacoso o el bullying, que finalmente terminan en esos acosos escolares y, en algunos casos, con agresiones mediante la propagación de imágenes de agresiones que son brutales. No sé, porque no lo he leído en la memoria si la Agencia Española de Protección de Datos se está poniendo en contacto con estas empresas de gestión, dígase Facebook, Google, etcétera, para que establezcan mecanismos y motores tecnológicos para que este tipo de mensajes o de propagación de estos mensajes se corten; por ejemplo, los datos que fomenta la pornografía, la pederastia o ver a nuestros hijos en situaciones en las que no sería grato.

Quiero decirle también que la prevención está muy bien. Como usted ha mencionado, la prevención va ligada a la educación y a la formación. Pero, como yo vengo de un ámbito en el que hablamos mucho de prevención y de la materialización de unas amenazas, que usted ha mencionado la herramienta Pilar precisamente, permítame decirle que la prevención sin un mecanismo de disuasión no sirve absolutamente para nada. En la lectura general de la memoria, veo que la prevención está muy bien; hay muchísimos mecanismos de prevención en todo tipo de acciones que se considera que puedan ser punibles, desde el punto de vista de la transgresión y la privacidad no solo de los menores, sino incluso de los adultos en cuanto a mecanismos financieros o datos privados, pero creo que en algunos casos -usted misma lo ha mencionado- las sanciones están disminuyendo o podría entenderse que se están sustituyendo por mecanismos de apercibimiento. Me parece bien, pero lo que está claro es que, si no ponemos esos mecanismos que coarten a las grandes empresas o a aquellas personas que tienen potencial económico suficiente como para hacer frente a posibles sanciones, que el hecho se repita es bastante probable. Me refiero, por ejemplo, a la sanción que usted ha mencionado de 150 000 euros a Google, si no me equivoco, que es lo que tarda Google en ganar con sus campañas en menos de un segundo. Por lo tanto, creo que no es muy preventivo para que la acción se repita.

Ha hecho referencia también a Internet en relación con las cuestiones cotidianas que tenemos en nuestra casa y que, ahora mismo, están recabando información, como, por ejemplo, el muñeco al que hacía referencia, sobre el que mi compañero hizo una pregunta parlamentaria y estamos esperando la respuesta; y quiero decir que no solo existen muñecos así, sino que algunas de las videocámaras de vigilancia de los niños tienen conexión a Internet. Incluso podemos ir un poco más allá, porque hasta las cafeteras -como mencionábamos el otro día aquí en una proposición no de ley que tenía que ver con la ciberseguridad- se conectan a Internet y son capaces de transmitir datos de nuestro ámbito más privado, que es el de nuestras propias casas. Me gustaría saber qué acciones está llevando a cabo la Agencia Española de Protección de Datos para evitar que, antes de que esos productos se coloquen en el mercado y se produzca el daño, pueda existir un tipo de auditoría o fiscalización en la que se advierta de estos productos y se informe a aquellas personas que vayan a hacer esa compra.

Otra de las cuestiones que también tiene que ver con las nuevas tecnologías es, por ejemplo, la captación de imágenes que se están produciendo a través de las UAV, o drones, que es como se conocen,


Página 17




de pequeña capacidad. Recientemente, hemos tenido cinco casos diferenciados en los que se han llevado a cabo, a través de estos pequeños aparatos voladores, la captación de imágenes de fiestas de niñas o de mujeres que estaban en un barco en alta mar como vinieron al mundo. Me gustaría saber qué acciones está tomando con Industria, por ejemplo, la Agencia Española de Protección de Datos.

También nos ha comentado de manera muy prolija los problemas que están teniendo con la implementación del reglamento. Desde aquí, quiero transmitirle que cuenta con todo el apoyo del Partido Socialista, incluso, si es necesario, en mejorar y aportar ideas en cuanto a la implementación, y que la nueva aprobación de la ley se produzca antes, aunque ya nos han informado que no se va a producir en las fechas en las que estaba previsto. Si usted cree que la ley, al final, se va a aprobar en las fechas que están previstas, bienvenida sea.

Usted ha dicho -aparece en las primeras páginas de la memoria- que, efectivamente, las denuncias han bajado porque parece ser que el consumidor no quiere tanto una acción punitiva; sin embargo, las reclamaciones de tutela han subido, si no me equivoco, más del 24,3 %; y estas reclamaciones de tutela hacen referencia, principalmente -y esta es una preocupación también de mi grupo parlamentario-, a la introducción en los ficheros de morosos por parte de las grandes financieras, bancos o incluso otras entidades, como compañías de telecomunicaciones. Sabemos que hay mecanismos establecidos precisamente para que una persona no se aproveche de ir dejando deudas en diferentes acciones. Por ejemplo, si tengo un contrato con una compañía de teléfonos, les dejo una deuda y me voy a otra compañía que no tenga datos. Es cierto -lo dicen la memoria y el clamor social- que existen acciones de coacción por parte de determinadas empresas, incluso de algunos bancos: si no has pagado la hipoteca este mes, te meto en el fichero de morosos. Y luego preocúpate tú, ciudadano -porque a veces ni siquiera se informa-, de salir del fichero de morosos. Sabemos que existen mecanismos, pero creemos que debería implementarse algún otro mecanismo de refuerzo que, protegiendo a estas empresas, a estos bancos, a las telecomunicaciones de una persona que tenga por costumbre seguir dejando deudas y que así no lo puedan seguir haciendo, también proteja a aquellas personas que indebidamente -también lo pone en la memoria- se las están introduciendo en estos ficheros y que luego no pueden contratar una nueva hipoteca, comprar un coche a plazos, etcétera. Algún mecanismo nuevo que impida que un banco, porque una persona ha dejado de pagar un mes su hipoteca, introduzca el nombre de esa persona en el fichero.

Por último -voy terminando, señor presidente-, en línea con el resto de exposiciones que ha venido haciendo nuestro grupo parlamentario, tenemos una preocupación sobre los límites entre la transparencia y la privacidad. Me gustaría saber la opinión de la Agencia Española de Protección de Datos, por ejemplo, sobre lo que ha ocurrido recientemente. Usted sabrá que se ha publicado por parte de Hacienda la lista de morosos, lo cual está muy bien porque en el Grupo Parlamentario Socialista creemos que la justicia no solo debe ser eficaz, rápida y proporcional al delito, sino que además debe ser pública en algunos casos para que surta efecto y sea disuasoria. Pero la justicia debe aplicarse por igual en todos los términos. Sabemos que hay una ley que permite la publicación de estos morosos, pero sabemos también que hay un ministro que no permite que se publique la lista de amnistiados fiscales, cuando han sido morosos en un tiempo y precisamente a través de esa amnistía se les ha permitido sufragar de alguna manera, desde nuestro punto de vista ilícita, como se ha dicho, esa morosidad. ¿Va a hacer algo la Agencia Española de Protección de Datos para que se equipare? Estamos de acuerdo con que se publique la lista de morosos con Hacienda, pues publíquese también la lista de amnistiados porque en su momento eran morosos.

Por lo demás, le repito que cuenta con todo mi apoyo, sobre todo para criticar positivamente, aportando soluciones a los problemas que nos encontremos, y tiene por parte del Grupo Parlamentario Socialista toda la colaboración.

Muchas gracias.

El señor PRESIDENTE: Muchas gracias, señora Cantera.

Por el Grupo Parlamentario Confederal de Unidos Podemos-En Comú Podem-En Marea, tiene la palabra la señora Carreño.

La señora CARREÑO VALERO: Muchas gracias por su comparecencia. Ha aportado datos de verdadero interés. El tema que hoy nos ocupa es de sumo interés para el Gobierno, para el Parlamento y para todos los poderes públicos, puesto que el objeto de la Ley Orgánica de Protección de Datos es precisamente proteger derechos fundamentales que vienen consagrados por la Constitución en el artículo 18 y que se desarrollan a partir de esta ley. Lamentablemente, a pesar de que tenemos una buena


Página 18




regulación -es cierto que necesita siempre mejoras y actualizaciones, pero podríamos decir que la regulación no es mala-, el gran problema que vemos es que la ley vigente no se está aplicando en todas las empresas y continuamente se producen vulneraciones de derechos. Desde nuestro grupo creemos que es necesario garantizar los derechos fundamentales de los ciudadanos y ciudadanas frente a los intereses comerciales de empresas. Por tanto, hay que incidir más en este ámbito.

Nos ha dado usted datos que, desde mi punto de vista, parecen terribles: el 76 % de la ciudadanía española está bastante preocupada por la Ley Orgánica de Protección de Datos y el 70 % considera probable que se utilicen datos sin su consentimiento. Basándome en estos datos, efectivamente, nos queda mucho recorrido. Si bien es cierto que reconocemos el trabajo de la agencia, creemos que hay que hacer mayores esfuerzos tanto en prevención -que, como han dicho, es un eje clave y estratégico- como en dar a conocer los derechos a la ciudadanía, puesto que uno de los grandes problemas es que la mayor parte de la ciudadanía no ejercita sus derechos a pesar de que estos sean vulnerados. Nos comentaba el enorme número de sanciones que se han interpuesto a las compañías telefónicas, pero sabemos que son muchísimos los ciudadanos y ciudadanas que continuamente sufren abusos por parte de este tipo de compañías y que, como son pequeños importes, etcétera, optan por desistir. Por tanto, creemos que hay que hacer una mayor incidencia en dar a conocer los derechos y cómo ejercitarlos.

Por otro lado, el tema de las sanciones nos preocupa enormemente. Ha dicho que los procedimientos sancionadores han decaído un 23 % y nos gustaría saber a qué se debe. Es cierto que la prevención es esencial, pero también lo es la sanción, pues al fin y al cabo todas las sanciones tienen un interés en prevención general, es decir, en que las empresas, en este caso, sean desincentivadas a cometer este tipo de actos. Por tanto, creemos muy necesario que en el futuro proyecto de ley se contemplen también sanciones. Nos preocupa, como usted ha dicho, que el reglamento no contenga un régimen sancionador. Me gustaría preguntarle si el anteproyecto de ley en el que se está trabajando contempla dicho régimen sancionador, si es igual que el anterior, si es más duro, si es más flexible o más laxo; en concreto, nos gustaría que nos aportara más datos respecto a este tema. De hecho, algunos medios de comunicación han publicado que los responsables de las administraciones públicas con el nuevo reglamento podrán ser apercibidos, pero no sancionados, en caso de cometer infracciones. Nos gustaría saber si esto es cierto y cómo lo valora usted.

Por otro lado, cambiando de tema, el nuevo reglamento también establece la posibilidad de disminuir a trece años el consentimiento. Como bien ha dicho usted, los menores son el colectivo más vulnerable y, por tanto, hay que poner las mayores garantías para que no sean víctimas de delitos. Querría saber su valoración respecto a esta disminución de la edad de consentimiento. Valoramos positivamente que se esté incluyendo en el desarrollo curricular y se esté enviando una guía a los colegios para que los menores, los niños y niñas, conozcan sus derechos, pero creemos que es imprescindible la formación de los docentes y dotarles de recursos, puesto que por mucho que se envíe una guía, no tendría ningún sentido si no damos formación a los profesores y profesoras, que no tienen por qué conocer estos temas, sino las materias que normalmente enseñan.

Además de esto -cambiando de tema-, ha dicho usted que el 65 % de las sanciones son para empresas de telecomunicaciones y de energía, cosa que no nos sorprende, porque somos conscientes de que es donde más se repiten cierto tipo de prácticas. Me gustaría preguntarle si considera la directora que hay riesgo potencial de que se esté vulnerando la Ley de Protección de Datos por parte de las empresas eléctricas, en concreto en lo referido a la guía de base de datos denominada Sistemas de puntos de información de suministro. Querría preguntarle también si la gestión de los futuros contadores digitales y el acceso a la información de las curvas de consumo serán salvaguardados o no como datos personales. Creemos que es una prioridad salvaguardar las curvas de consumo, puesto que el acceso a dicha información podría conllevar robos en las casas, podría dar una información susceptible de provocar robos en las viviendas. Por otro lado, también querría preguntarle si tienen constancia de si se están vendiendo bases de datos personales de forma irregular en el mercado.

Respecto al tema de telecomunicaciones en concreto, recientemente apareció en los medios un abogado que había ganado un juicio a una compañía telefónica tras haberla denunciado por acoso. La compañía no solo le llamaba a él constantemente, sino que llegaron a llamar a su hija, que era menor de edad, mientras estaba en horario lectivo, lo cual parece todo un despropósito. Querría preguntarle qué medidas reales plantea la agencia para combatir el spam telefónico y las llamadas constantes. Además de esto, querría saber si considera que la lista Robinson, gestionada por la Asociación Española de


Página 19




Economía Digital, supone una defensa suficiente para los consumidores y qué datos de respeto a la lista Robinson por parte de las compañías maneja la agencia.

Respecto a las redes sociales, se ha hablado de Google, YouTube y distintas compañías que operan en Internet. ¿Cree usted que la normativa es suficiente? Aprecio que estén ustedes realizando un procedimiento sancionador a Facebook, en concreto por el tema de la mensajería, que no permite eliminar la posibilidad de que una persona sea o no controlada. Como mujer esto me preocupa esencialmente, puesto que sabemos por los datos de violencia machista que las redes sociales y los servicios de mensajería son utilizados para controlar a la mujer y en muchos casos están deviniendo en una herramienta para los agresores. Por tanto, consideramos que la agencia tiene que actuar en este caso y debemos lograr que los videos y las imágenes que sean alojados en YouTube, Google, etcétera, sean retirados de manera inmediata cuando vulneran el derecho a la intimidad de las personas que, en general, suelen ser mujeres, niños y niñas. Esto debe ser llevado a cabo por la agencia y, además, hace falta sancionar de manera tajante cuando esto se incumpla, porque son prácticas que debemos eliminar.

Por otro lado, respecto a los ficheros de morosidad, es cierto que el nuevo reglamento de la Unión Europea contempla que las deudas inferiores a 50 euros no sean tenidas en cuenta, pero consideramos que esto no es suficiente y que, efectivamente, se utiliza a veces como un chantaje a los ciudadanos, que ven muy difícil salir de ahí. Habría que incidir más en este aspecto. Muchas veces son deudas provocadas por una actuación de la compañía que no estaba dentro del contrato y, aún así, el perjudicado es siempre el ciudadano o ciudadana que se ve indefenso ante las grandes compañías.

También quería preguntarle qué medidas ha adoptado la agencia para ofrecer una protección real en la práctica desde las tres perspectivas de los instrumentos que pueden ponerse a disposición de los ciudadanos, de las medidas que pueden adoptar las entidades que tratan datos personales y de la actividad de las autoridades de protección de datos, en consonancia con los planteamientos reflejados en la resolución Meeting data protection expectations in the digital future, elaborada en Manchester.

Por último, porque no quiero extenderme demasiado, quería saber qué opinión le merece y si considera que es lícito el hecho de que, mientras se vulneran continuamente, como sabemos, derechos fundamentales de la ciudadanía, la Ley Orgánica de Protección de Datos sea utilizada para poner trabas a la lucha contra el fraude fiscal, como se ha comprobado, o para amparar a delincuentes y defraudadores, como ha hecho recientemente el ministro Montoro. Por cierto, el señor Montoro ha sido reprobado esta mañana en esta Cámara por la amnistía fiscal, que ha sido declarada inconstitucional por nuestro Tribunal Constitucional. Mi grupo cree que es indispensable proteger los derechos fundamentales de la ciudadanía, que hay que garantizarlos frente a las grandes y pequeñas empresas, frente a otros intereses normalmente comerciales, pero que, de ninguna manera, puede servir esto para amparar a delincuentes que están obrando contra los intereses públicos.

Muchas gracias. (Aplausos).

El señor PRESIDENTE: Muchas gracias, señora Carreño.

Por el Grupo Parlamentario Ciudadanos, tiene la palabra el señor Villegas.

El señor VILLEGAS PÉREZ: Muchas gracias, señor presidente.

Agradezco a la compareciente su presencia y su exposición. Tanto las memorias presentadas como la exposición de la compareciente han sido muy completas y nos han facilitado datos suficientes. Haré una breve intervención porque muchos de las principales cuestiones ya han sido puestas sobre la mesa por los anteriores portavoces, por lo que intentaré no ser reiterativo.

Todos somos conscientes de los enormes retos que plantean los cambios en nuestra forma de vivir, en nuestra forma de comunicarnos e incluso en nuestra forma de relacionarnos con los demás, en nuestra forma de pasar el tiempo de ocio y de divertirnos, en nuestra forma de comprar y de adquirir bienes y servicios y cómo todo eso tiene una relación importante con el incremento de los riesgos en relación con nuestra privacidad. Ese es el gran reto que tenemos que asumir como sociedad y, concretamente, la agencia tiene que intentar regular y atender las necesidades que en ese ámbito se producen. Eso va ligado, lógicamente, a la digitalización de todos nuestros datos, al tratamiento masivo de datos que cada vez se hace de una forma más efectiva, lo cual es una ventaja para todos los ciudadanos pero que tiene una serie de riesgos que debemos afrontar. Como decía, es un reto para toda la sociedad, es un reto para la agencia. Hay que proteger la privacidad de los ciudadanos y hay que intentar hacerlo con equilibrio respecto a las obligaciones de las empresas, sobre todo de las pequeñas y medianas empresas, que han sido mencionadas en su exposición. Hay que ver cómo se hace compatible la protección de la privacidad


Página 20




de los ciudadanos sin transferir unas cargas que, aunque sean asumibles por las grandes empresas, no lo son, por lo menos en la misma medida, por las pequeñas y medianas empresas. Por lo tanto, creemos que es importante evaluar las diferentes formas en las que unos y otros pueden hacer frente a las obligaciones.

En ese sentido, más allá de lo ya planteado por los anteriores comparecientes, únicamente quiero solicitar su valoración sobre dos o tres aspectos. Uno se ha mencionado no de pasada pero sí al final de la exposición, y es sobre los medios de que dispone la agencia para hacer frente a estos grandes retos que todos consideramos. Me gustaría que se profundizara un poco más en las necesidades concretas que tiene la agencia. Intentaremos apoyar que la agencia tenga los medios necesarios para hacer frente a estos retos. Hay otra valoración que se ha mencionado y sobre la que a mí me gustaría concretar más un aspecto, y es respecto a las sanciones. A mí me gustaría saber si hay una valoración de la agencia respecto a la efectividad de las sanciones, respecto a la efectividad de ese cambio que ha comentado de más apercibimientos y menos sanciones, que en principio suena bien, pero hay que ver si eso no resta efectividad al régimen sancionador. También se ha puesto de manifiesto -pero me gustaría que de alguna forma profundizara algo más en ello- la efectividad de las sanciones según el tamaño de las empresas sancionadas. Pido estas valoraciones de cara al momento en el que estamos, en el que hay que cambiar la ley, hay que cambiar el reglamento, pues sería importante esta valoración para tener también un régimen sancionador efectivo para las pequeñas y medianas empresas, pero también para Google o para alguna de las otras grandes empresas o multinacionales que han sido mencionadas.

Por último, efectivamente, tenemos el reto de la trasposición de la legislación europea, tenemos que aprobar esa nueva ley. Ahí hay distintos factores que vamos a ver y a estudiar para intentar mejorar la situación actual. Uno de los que no se ha mencionado y que yo creo que también será importante -no tiene que ver con lo actuado hasta ahora por la agencia pero yo creo que es un reto para los partidos en esta nueva ley- es mejorar la gobernanza de la propia agencia, reforzar la independencia de la agencia, tal y como pide esta legislación europea. Yo creo que aquí los partidos que estamos en esta Cámara podemos ir incluso más allá de lo que la propia legislación europea nos pide.

Nada más por nuestra parte. Muchas gracias, señor presidente.

El señor PRESIDENTE: Muchas gracias, señor Villegas. Le agradezco su concisión.

Por el Grupo Vasco, tiene la palabra el señor Legarda.

El señor LEGARDA URIARTE: Muchas gracias, señor presidente. Yo también confío en que me pueda felicitar por la concisión de mis palabras, dada la hora que es.

Seré breve y más que preguntas haré una serie de consideraciones. En primer lugar, quiero, lógicamente, agradecerle su presencia y desde este primer momento felicitarle no solo por la exposición, sino también por los datos que me trasladan de la Agencia Vasca de Protección de Datos, por el excelente trabajo que, con carácter general, viene realizando dicha agencia prácticamente desde su fundación. Y no solo -tengo que decirlo- dentro del ámbito estatal, sino también por el prestigio que tiene dentro de las agencias, de los mecanismos de coherencia, que suele tener un papel de liderazgo.

Respecto al ámbito interno, también ha ido manifestando en distintos momentos la buena coordinación con las otras agencias autonómicas que existen, en concreto la catalana y la nuestra, la vasca. Corroboro sus palabras. Efectivamente, hay una excelente coordinación, hay bastantes trabajos en común y una compartición de las buenas prácticas que cada uno va desempeñando. Lógicamente, quedan aspectos sobre los que hay que estar atentos, al menos por nuestra parte, y, sobre todo, en ese reforzamiento de los mecanismos de coherencia europea que va a traer el nuevo reglamento en sustitución del 29, nuestra presencia, nuestra voz y nuestra opinión a la hora de integrarnos en esos mecanismos de coherencia.

Creo recordar que agencias subestatales de protección de datos en la Unión solo hay en Alemania y dentro del Estado español; eso me parece. Entonces, el mecanismo de integración de estas agencias subestatales dentro de este eje reforzado del nuevo reglamento -he tomado aquí unas notas-, que es básicamente el mayor dominio de los ciudadanos sobre sus datos, sería el primer eje de la nueva normativa que tendríamos que tener, no diré traspuesta, porque es un reglamento, sino adaptada. Segundo, la responsabilidad activa de los responsables encargados, los delegados y las agencias y, tercero, la armonización, que va a ser un factor muy importante de lo sistemas de supervisión. No solamente va a haber una normativa, sino una ejecución común y eso va a ser delicado.

No me voy extender en los ejes. Las informaciones que tengo son muy buenas, pero añadiría dos ejes más. Uno ya lo he citado, que es la coherencia del sistema interno, dadas las agencias subestatales que


Página 21




tenemos, que es una característica peculiar dentro de la Unión, salvo Alemania. Hablo de siete retos, que serían estos dos, añadidos a los cinco que usted ha citado. El séptimo reto, que no lo ha verbalizado como tal, es la implantación del nuevo marco que no solo es el reglamento. La tendremos que trasponer en 2018, en la misma fecha que la Directiva sobre datos policiales y de justicia penal, que adquiere una dimensión importante. Un eje que trasciende a todo respecto a la prevención, que usted ha citado, es la ciberseguridad. En esta Cámara lo hemos tratado, desde otros puntos de vista, en la Comisión de Seguridad Nacional, lo debatimos el otro día en el Pleno a raíz de una PNL. La protección de datos es una realidad, pero sobre todo también por la relación que tiene con la ciberdelincuencia. No digamos ya este uso incorrecto, un uso blando, las empresas, etcétera.

Dentro de lo que usted llamaba gestión, denuncias, etcétera, me parecen muy interesantes las inspecciones generales. Está muy bien ir -entiéndame- al menudeo, pero realmente esas grandes campañas vinculadas al derecho al olvido y al derecho a la privacidad me parecen fundamentales. Es la globalidad a través de la protección de los datos y la ciberseguridad.

Por último -y voy finalizando, señor presidente, para que efectivamente me tenga que felicitar-, me preocupa una cuestión relativa a la incorporación del reglamento. Vamos a tener un problema como operadores jurídicos. Al final, en la Lortad, en sus dos redacciones, habíamos tenido un solo texto, pero ahora vamos a tener tres textos, vamos a tener el reglamento, el operador jurídico, simultáneamente se va a tener que manejar la ley orgánica y nos está quedando un aspecto importante -y usted lo ha citado-, que son los procedimientos transfronterizos. Parece que ha habido un debate en cuanto a que como no tienen naturaleza orgánica, se quedan fuera de la ley, según los primeros textos que andan circulando. Me parece que es un problema que va a dificultar el trabajo de los operadores y va a añadir trabajo a las agencias en esa labor de colaboración con las empresas y los ciudadanos. Se manejarían tres textos legales simultáneamente, el reglamento -antes teníamos la Lortad-, la ley orgánica y todo el paquete, que es importante, de los procedimientos transfronterizos, que además son complicados -los he visto muy tangencialmente-. En esta Cámara, cuando llegue la ley orgánica, habría que pensarlo e igual que hay artículos que tienen la consideración de no orgánicos, incorporarlos como preceptos no orgánicos; pero introducirlos en la ley. No es un procedimiento muy purista, pero tenemos cantidad de leyes orgánicas con partes no orgánicas. Si no, va a ser un auténtico galimatías.

Nada más, directora. Le doy las gracias por su exposición y le animo a que siga teniendo esas buenas relaciones con las agencias subestatales y a mantener la calidad del trabajo que se viene desempeñando.

Muchas gracias.

El señor PRESIDENTE: Muchas gracias, señor Legarda. Por pocos segundos, pero le mantengo la felicitación.

Por el Grupo Popular, tiene la palabra el señor Martínez.

El señor MARTÍNEZ VÁZQUEZ: Muchas gracias, señor presidente. Yo también pretendo ser felicitado por la Presidencia.

Mis primeras palabras serán de agradecimiento y felicitación a la directora de la Agencia de Protección de Datos por su trabajo en estos dos años. Creo que ha hecho una exposición exhaustiva de todo lo que ha hecho al frente de la agencia y me gustaría pedirle que haga extensiva la felicitación de este grupo también a su equipo, al personal de la agencia, al que usted ha citado en distintas ocasiones y que creo que se caracteriza, y se viene caracterizando desde hace muchos años, por su enorme profesionalidad y por ser un personal muy cualificado técnicamente, pero también con una enorme vocación. La Agencia de Protección de Datos -lo decía el señor Legarda- tiene una gran reputación y ha estado muy bien dirigida en este último tiempo. Por tanto, la felicitación también se puede hacer extensiva a su predecesor, con quien tuve ocasión de trabajar. Siempre ha habido juristas rigurosos al frente de la agencia y, en su caso, lo que ha sucedido es que en el año 2015 se ha encontrado con unas circunstancias algo más difíciles. Por una parte, un nuevo reglamente en el ámbito de la Unión Europea, que está lleno de desafíos y del que tendremos ocasión de hablar cuando se inicie la tramitación del proyecto de ley orgánica. Por otra parte, una sentencia, que también supuso, en cierta medida, algunos cambios importantes al anular la Decisión de Puerto Seguro. Sobre todo, y esto lo recoge muy bien su Plan estratégico 2015-2019, un nuevo contexto social. La preocupación por la privacidad, por la protección de datos o por el mal uso de la informática ya la tuvo presente el constituyente en el año 78, y de ahí ese artículo 18.4, que en cierta medida se anticipa a lo que, a día de hoy, es una realidad evidente, y es que en ese mundo digital también hay mucho que decir sobre la protección de los derechos. Es verdad que podríamos hablar, y lo hemos


Página 22




hecho en muchas otras Comisiones y en muchos otros foros, sobre la economía digital, sobre la conectividad que se ha multiplicado enormemente en los últimos años, pero a nosotros, en la Comisión Constitucional nos toca hablar de una parte importantísima, que es la protección de los derechos fundamentales, que en la sociedad digital se han visto claramente afectados. Tenemos que ser capaces de generar un nuevo estatuto de protección de los ciudadanos frente a los desafíos, a la privacidad, a la intimidad que surgen en ese mundo digital. Por eso, destaco especialmente las líneas que integran ese Plan Estratégico 2015-2019 y destaco también la exposición que usted ha hecho, porque creo que pone de manifiesto su proactividad, la suya y la de su equipo.

Prevención. Indudablemente, la agencia no puede ser simplemente un órgano sancionador, tiene que trabajar mucho en el terreno de la prevención, y creo que todos estamos de acuerdo, y así se ha puesto de manifiesto en las intervenciones de los portavoces, que la prevención en el terreno de los menores es verdaderamente importante. Aquí los cambios se están produciendo a un ritmo muy rápido -lo decía también el señor Legarda- y, al final, todo es un gran concepto de ciberseguridad o de seguridad en el ámbito digital, donde tendremos que tener una especial preocupación por la protección de menores. En la X Legislatura una subcomisión en esta misma Cámara ponía de relieve cuáles son los riesgos a los que se enfrentan los menores en el uso de las redes sociales. Coincido con la señora Carreño en que todas las iniciativas de información, de persuasión, de formación del profesorado, debemos apoyarlas e impulsarlas y respaldar el gran trabajo que se está haciendo en la agencia.

Por otra parte, en el eje de innovación es indudable que los cambios se producen a tal velocidad que la propia agencia tiene que ser capaz de responder a los nuevos desafíos. Por eso, celebro y la felicito por la iniciativa de crear esa unidad de evaluación y estudios tecnológicos en la cual precisamente tratarán de ir anticipándose a los cambios y, junto a todo lo bueno que traen, prever también que en esos cambios se protejan la privacidad y la intimidad.

La transparencia es un eje fundamental que usted ha destacado mucho en su intervención. Además, la gran explicación es que existe una preocupación ciudadana por la protección de la intimidad y la privacidad, por la protección de los datos. Creo que todos coincidimos en que en la nueva economía los datos son la mercancía principal. Protejamos los datos frente a un uso perverso, criminal, delictivo e irregular de los mismos. Esos 5,5 millones de visitas a la página web de la agencia son un buen exponente de que existe preocupación ciudadana. Por tanto, debemos ser conscientes de ello y me parece que todas las medidas de transparencia y de participación y esas iniciativas que ha estudiado la agencia y que provienen de los propios ciudadanos son también una magnífica idea.

Por supuesto, es necesaria la colaboración con los profesionales. En ese sentido, como el reglamento es una norma enormemente compleja e imagino que la ley orgánica que tendremos que tramitar también lo será, en todas las guías de aplicación del reglamento para poner en marcha figuras nuevas, como el delegado de protección de datos y algunas otras, la cooperación con el sector es muy necesaria y debe ser destacada.

Como último eje usted hablaba de agilización. Evidentemente esa debe ser una exigencia de cualquier Administración pública y también de una Administración independiente, como la agencia. Es necesaria la eficiencia en el uso de los recursos y también una cierta dimensión internacional, que tal vez en sus orígenes no era tan importante, pero que ahora indudablemente lo es. Por eso, le deseo también mucha suerte en ese procedimiento de ventanilla única, que desde luego es complejo y que hace que el trabajo de la agencia ya no pueda considerarse exclusivamente desde la perspectiva nacional.

Por lo que se refiere a la aplicación del reglamento, los grupos han manifestado con mucha responsabilidad y con un sentido muy constructivo que la disposición de esta Comisión es favorable a ayudar a la agencia y, en la parte que nos toca -la parte legislativa-, hacer que se lleve a cabo esa incorporación a nuestro ordenamiento de la normativa comunitaria de la forma más garantista y con la mayor calidad técnica posible. Cómo no, el Grupo Parlamentario Popular también será un aliado en esa tarea. En las intervenciones de los portavoces anteriores todos han puesto de manifiesto una visión muy constructiva. Como nos pasó el día que hablamos sobre el reto demográfico, aquí estamos ante un desafío tan relevante que las coincidencias son muchas y las discrepancias son pocas o casi ninguna. La señora Cantera, a la que también felicito por su elección para el consejo consultivo de la agencia, ha puesto el acento en la importancia de la prevención y también de las sanciones; lo decía también la señora Carreño, que no perdamos de vista esa dimensión disuasoria que tiene el ordenamiento sancionador. Creo que el reglamento en la parte sancionadora no va mal encaminado y lo que tendremos


Página 23




que hacer será regular su aplicación con todas las garantías posibles, como no podía ser de otra manera cuando estamos hablando de sanciones, pero es verdad que esa combinación entre prevención y disuasión al Grupo Parlamentario Popular le parece acertada, en esta materia y en tantas otras.

En cuanto a las necesidades y medios de la agencia de los que hablaba el señor Villegas, yo me quedó más bien con el mensaje positivo y constructivo en relación con el equipo con el que usted ha podido trabajar. Además, nos anuncia que tendrá pronto una ampliación a través de esa decisión de la Cecir. Me consta por experiencia personal lo difícil que a veces es conseguir ese tipo de refuerzos y le deseo que ese equipo esté igualmente bien motivado y que sea tan capaz y tan profesional como lo ha sido hasta ahora para hacer con los recursos disponibles -es decir, también con un esfuerzo de eficiencia- un magnífico trabajo al servicio de algo que todos coincidimos que es indudablemente uno de los desafíos de nuestro tiempo. Podremos avanzar mucho en el terreno económico, en el ámbito de la economía digital, pero lo perderemos todo si obviamos los derechos, la protección, la privacidad y la intimidad, especialmente cuando quienes puedan verse afectados son las personas más vulnerables, en este caso los menores, que van a ser los habitantes de ese mundo digital y, por tanto, también a quienes con mayor esfuerzo deberíamos proteger y cuidar en cuanto a sus derechos.

Muchas gracias.

El señor PRESIDENTE: Muchas gracias, señor Martínez.

Tiene ahora la palabra la señora España para que conteste las cuestiones planteadas.

La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España Martí): Gracias, presidente.

Intenté también ser breve, entre otras cosas, por las horas en las que nos encontramos. En primer lugar, quería agradecer el apoyo de los grupos parlamentarios y el compromiso de colaborar en la tramitación parlamentaria de una ley que es principalmente técnica y que, como decía anteriormente, necesitamos tener aprobada para mayo del año 2018. Deseo agradecer también el reconocimiento a la labor de la agencia, que es simplemente un reconocimiento a la labor del equipo que está trabajando. Yo, lo digo de verdad, he trabajado en muchos sitios en la Administración y no me había encontrado nunca un equipo tan compacto y con esa vocación de servicio público y ese impulso como este con el que he podido trabajar en estos dos años al frente de la agencia.

No creo que me dé tiempo a contestarlo todo, pero sí los aspectos más significativos planteados, en primer lugar, por el Grupo Parlamentario Socialista. En relación con la preocupación por los menores y las fotografías en redes sociales, comparto completamente esa preocupación y sí quería adelantar que, por ejemplo, hemos tenido reuniones, fundamentalmente con Google y con Facebook, porque uno de los grandes problemas con los menores está en los vídeos vejatorios o de bullying que se cuelgan en YouTube, y sí hay un mecanismo para el caso de que a la agencia le conste algún tema que está suponiendo un caso de sexting, en los que ya aviso que tenemos tolerancia cero. También en casos de ciberbullying, ya que en menos de 24 horas el vídeo es retirado por la plataforma de Google. En Whatsapp ya es mucho más complicado porque en el momento en que eso se vuelve viral empieza a trasladarse a través de las redes de contactos, pero estamos trabajando para estos temas que son absolutamente sensibles. También coincido en la importancia de la divulgación. Yo ya no sé a dónde más ir, porque me he reunido con las comunidades autónomas en el ámbito de educación, con todos los directores generales en el ámbito de consumo, y tenemos todos esos materiales puestos a disposición a través del centro de menores en Internet. Creo que el gran salto sería conseguir que las diecisiete comunidades autónomas -quizás sea un tema que los grupos puedan impulsar en el ámbito territorial-, que son quienes tienen competencia exclusiva en el ámbito de educación, regulen curricularmente y se empiece a enseñar de manera habitual el uso responsable de Internet, igual que se enseña a los alumnos de infantil seguridad vial.

Un tema que quiero recalcar, porque no quisiera que hubiera malentendidos, es que para la agencia es muy importante la prevención, pero lógicamente es mucho más importante la disuasión, y a veces las multas tienen efecto disuasorio. Es cierto que hemos tenido una disminución en el número de sanciones y un incremento en el número de apercibimientos, pero quiero destacar que solo apercibimos a empresas que no hayan sido sancionadas nunca y que además la infracción no implique una sanción muy grave. Es decir, a las empresas de telecomunicaciones o a las entidades financieras jamás se les establece un apercibimiento porque lógicamente tratan datos de millones de usuarios y en algún momento habrá habido alguna denuncia a la agencia respecto de esa entidad y por eso no son objeto de apercibimiento. Además, aunque ha disminuido el número de sanciones, la cuantía de estas ha aumentado. Tenemos 14


Página 24




millones de euros de recaudación por sanciones y, según los datos que tengo, este año el importe es aún mayor y supone un incremento del 3,4 % respecto al año 2015.

En relación con los drones, estamos trabajando con Industria. Me pareció lamentable el hecho -me enteré del caso por los medios de comunicación- y me pareció ejemplar la conducta que siguieron las personas que habían sido víctimas de esa grabación ilegítima, que lo denunciaron. Aquí no estamos hablando solo de una vulneración administrativa, sino de un ilícito penal y su actuación fue ir a denunciarlo a las Fuerzas y Cuerpos de Seguridad del Estado.

Otro tema importante, salir de un fichero de morosos. Es una cuestión con la que estoy no voy a decir obsesionada, pero sí que me preocupa especialmente. De hecho, en la ley hay una disposición adicional sobre este tema. Ahora mismo solo porque debas 1 euro o céntimos te pueden incluir en un fichero de morosos. Me consta que a veces por céntimos se ha incluido a ciudadanos en un fichero de morosos. Ya estás incluido. Entonces, hemos incluido una disposición adicional en la que se establece un mínimo de 50 euros para estar en un fichero de morosos basándonos en un análisis comparado que hicimos de los requisitos que se exigen en países de la Unión Europea, pero esta cuantía está a disposición de los grupos parlamentarios, por si vieran conveniente revisarla.

Otro tema que se ha planteado ha sido la necesaria conciliación entre privacidad y transparencia en relación con las listas de morosos. La agencia informó preceptivamente ese proyecto que tenía el Ministerio de Hacienda de la publicidad de las listas de morosos dando las directrices lógicas de proporcionalidad que deben existir en estos casos, pero este es un tema que debe ser objeto de análisis en el Consejo de Transparencia, del que la agencia, como saben, forma parte a través del representante de la Abogacía del Estado en la misma.

En relación con la intervención de la señora Carreño, del Grupo Parlamentario Podemos, coincido y comparto plenamente la necesidad de dar a conocer los derechos a la ciudadanía. Este año hemos publicado una actualización de la guía sobre derechos, la hemos enviado a todas las unidades de consumo de las comunidades autónomas, la hemos puesto a disposición de la FEMP y en la página web. También estamos en contacto con la Asociación de Usuarios de Internet para conseguir que por lo menos los 23 millones de usuarios españoles que utilizamos Internet a diario seamos conscientes; muchos no conocen que, por ejemplo, la agencia, a través de la tutela de derechos de cancelación, puede conseguir que un video de YouTube que atenta al honor y a la intimidad de manera esencial se pueda retirar, y en todo eso estamos trabajando también. Hablaba asimismo del régimen sancionador. En el anteproyecto de ley, en los artículos 72 a 74, hemos intentado conciliar -y hay juristas mucho más eminentes que yo en la Comisión General de Codificación y en la ponencia-, compaginar la no tipificación de las sanciones en el reglamento con la necesidad que tenemos en el derecho español de que haya por lo menos una graduación y que además se especifique el régimen de prescripción. En los artículos 72 a 74, a través de una solución que me atrevería a llamar imaginativa -no existe en otro texto de nuestro derecho nacional-, se han establecido, a través del régimen de prescripción, conductas que podrían ser indicativas de ejemplos de infracciones graves, muy graves o leves, al mismo tiempo que se especifica el régimen de prescripción. Hemos intentado la cuadratura del círculo que, la verdad, era bastante complicada.

En cuanto a mi valoración respecto a las sanciones a administraciones públicas, el reglamento establece la opción de que el Estado miembro pueda optar por imponer una sanción económica o no. La propuesta de anteproyecto establece que vaya sin sanción económica porque va a salir de las arcas del Estado para volver a las arcas del Estado, pero estoy abierta, como no podía ser de otra manera, a lo que los grupos parlamentarios quieran plantear. En cuanto a la edad del consentimiento de los menores, lo estuvimos estudiando bastante y si propusimos en la ponencia la edad de los trece años fue porque hicimos un estudio comparado y la mayoría de los países del entorno europeo establecían trece años porque es la edad universal, digamos, sobre todo en las grandes compañías que ofrecen servicios de Internet. Esa fue la razón porque si no iba a ser tremendamente complejo casar el procedimiento transfronterizo con diferentes edades en cuanto al consentimiento. Estamos trabajando también en el caso de los contadores inteligentes, y en materia de spam vamos a publicar este año una guía sobre publicidad no deseada. Yo sí creo que la lista Robinson funciona bien, el problema es que -yo tengo pendiente inscribirme- hay 500 000 ciudadanos inscritos en esa lista y lo suyo sería que por lo menos el 40 % de españoles que compramos a través de Internet o todos los que sufrimos el acoso telefónico diéramos ese paso a través de las unidades de consumo para podernos actualizar. Y sí estamos trabajando con Adigital para impulsar tanto la lista Robinson como mecanismos de autorregulación.


Página 25




En relación con el tema de las redes sociales, tolerancia cero a todo lo que suponga atentar contra la intimidad de los ciudadanos, y especialmente en el caso de colectivos sensibles. Ahí, insisto, hay que hacer todo lo que se pueda para dar a conocer que la agencia en ese caso puede conseguir la retirada de esa información. Me consta, porque lo hemos planteado en las reuniones habituales que tenemos tanto con Facebook como con Google, con Twitter, etcétera, que tienen sistemas automáticos de control para detectar este tipo de mecanismos pero, si aun así se escapan, a través de cualquier denuncia le damos además tratamiento prioritario. En cuanto al tema de los ficheros de morosidad, la disposición adicional que plantea la inclusión de los 50 euros es la disposición octava.

Paso a la intervención de Ciudadanos, del señor Villegas. Agradezco que se comparta, como han hecho otros grupos parlamentarios, la necesidad de medios que tiene la agencia. La proporcionalidad entre sanciones y apercibimientos y la efectividad de las sanciones ya lo he comentado, pero las grandes sanciones en cuanto a cuantía precisamente son con las grandes compañías telefónicas o con las entidades bancarias. Es cierto que tratan datos de millones de usuarios pero precisamente para asegurarnos y comprobar si esas sanciones son disuasorias o no, por una parte, el reglamento da un salto cualitativo tremendo en cuanto a la cuantificación de las infracciones ya que a partir de mayo de 2018 podremos sancionar con hasta el 4 % del volumen de facturación a nivel mundial o 20 millones de euros, que ya es algo que va a tener pleno efecto disuasorio, y además a través de esas dos inspecciones de oficio que acabamos de abrir recientemente, si entendemos en función del análisis que hagamos que a pesar de las denuncias individuales que recibimos hubiera que realizar alguna medida correctiva, lógicamente la agencia emplearía las facultades que le correspondieran.

En relación con la intervención del Partido Nacionalista Vasco a través del señor Legarda, quiero decir que para mí también es especialmente importante la colaboración con las autoridades autonómicas. Solo con el trabajo de la agencia habría sido absolutamente imposible poner a disposición todas las herramientas que hemos puesto a disposición este año. De lo que se trata es precisamente de sumar y de poner en valor la función de los equipos técnicos que trabajan tanto en la Autoridad Catalana como en la Vasca, que me consta, por las múltiples reuniones que he tenido durante horas, que tienen un alto nivel de cualificación. La integración y la colaboración son importantes porque el procedimiento transfronterizo es complicado y lógicamente hay que trabajar en la necesidad de colaboración con las autoridades autonómicas, lo tenemos previsto en el título VIII del anteproyecto a través de los artículos 59 y 60. Precisamente la semana que viene tengo una reunión con las autoridades Vasca y Catalana y sus equipos para empezar a trabajar ya -que además tienen que informar preceptivamente el anteproyecto de ley- en cualquier aspecto en que podamos ayudar para mejorar el anteproyecto.

Planteaba también que al complejo marco normativo europeo se añaden dos nuevas normas que están ahora mismo en tramitación y que deben aprobarse además, para terminar la cuadratura del círculo, en mayo del año que viene, uno es el reglamento de e-Privacy, que afecta a la protección de datos en comunicaciones electrónicas, y otro es la Directiva NIS, que afecta a la seguridad en las redes y a los sistemas de información. En el caso del reglamento debe entrar en vigor y en el caso de la directiva ya está aprobada pero el Estado español la tiene que trasponer para mayo de 2018.

Por último y para terminar, en relación con la valoración que ha hecho el señor Martínez del Grupo Parlamentario Popular, agradezco el apoyo y el impulso que se pueda dar a la tramitación para que consigamos tener aprobado el proyecto de ley en mayo del año que viene y la valoración que ha hecho de la dedicación y la vocación de servicio público del equipo de la agencia.

Gracias.

El señor PRESIDENTE: Muchas gracias, señora España. Creo que ha contestado perfectamente a lo planteado por los grupos. ¿Algún grupo quiere intervenir? (Denegaciones).

Pues agradeciéndole nuevamente su presencia, se levanta la sesión.

Eran las tres y diez minutos de la tarde.

Congreso de los Diputados · C/Floridablanca s/n - 28071 - MADRID · Aviso Legal