DS. Congreso de los Diputados, Comisiones, núm. 106, de 11/06/2020
cve: DSCD-14-CO-106
CORTES GENERALES
DIARIO DE SESIONES DEL CONGRESO DE LOS DIPUTADOS
COMISIONES
Año 2020 XIV LEGISLATURA Núm. 106
CONSTITUCIONAL
PRESIDENCIA DE LA EXCMA. SRA. D.ª PILAR GARRIDO GUTIÉRREZ, VICEPRESIDENTA PRIMERA
Sesión núm. 6
celebrada el jueves,
11 de junio de 2020
ORDEN DEL DÍA:
Ratificación del acuerdo de la Mesa de 9 de junio de 2020, sobre la
solicitud de comparecencia de la señora directora de la Agencia Española
de Protección de Datos (España Martí), a efectos del artículo 44 del
Reglamento:
- Para informar sobre la actividad de la Agencia durante la crisis
sanitaria del COVID-19 hasta la fecha y, en particular, su intervención
en fase de informes, autorización, puesta en funcionamiento y seguimiento
de aplicaciones creadas por el Gobieno desde la declaración del estado de
alarma y sus sucesivas prórrogas o de las anunciadas iniciativas de
monitorización de las redes sociales por el Ministro del Interior. A
petición del Grupo Parlamentario Popular en el Congreso. (Número de
expediente 212/000081) ... (Página2)
Comparecencia de la señora directora de la Agencia Española de Protección
de Datos (España Martí):
- Para informar sobre la memoria de la Agencia Española de Protección de
Datos correspondiente al año 2019. A petición propia. (Número de
expediente 212/000103) ... (Página2)
- Para informar sobre las memorias de la Agencia Española de Protección de
Datos correspondientes a los años 2017 y 2018. A petición propia. (Número
de expediente 212/000119) ... (Página2)
Celebración de la comparecencia votada favorablemente por la Comisión ...
(Página2)
RATIFICACIÓN DEL ACUERDO DE LA MESA DE 9 DE JUNIO DE 2020, SOBRE LA
SOLICITUD DE COMPARECENCIA DE LA SEÑORA DIRECTORA DE LA AGENCIA ESPAÑOLA
DE PROTECCIÓN DE DATOS (ESPAÑA MARTÍ), A EFECTOS DEL ARTÍCULO 44 DEL
REGLAMENTO:
- PARA INFORMAR SOBRE LA ACTIVIDAD DE LA AGENCIA DURANTE LA CRISIS
SANITARIA DEL COVID-19 HASTA LA FECHA Y, EN PARTICULAR, SU INTERVENCIÓN
EN FASE DE INFORMES, AUTORIZACIÓN, PUESTA EN FUNCIONAMIENTO Y SEGUIMIENTO
DE APLICACIONES CREADAS POR EL GOBIERNO DESDE LA DECLARACIÓN DEL ESTADO
DE ALARMA Y SUS SUCESIVAS PRÓRROGAS O DE LAS ANUNCIADAS INICIATIVAS DE
MONITORIZACIÓN DE LAS REDES SOCIALES POR EL MINISTRO DEL INTERIOR. A
PETICIÓN DEL GRUPO PARLAMENTARIO POPULAR EN EL CONGRESO. (Número de
expediente 212/000081).
La señora VICEPRESIDENTA (Garrido Gutiérrez): Como primer punto del orden
del día, vamos a sustanciar la comparecencia de la directora de la
Agencia de Protección de Datos, doña Mar España Martí, a quien ya desde
ahora le doy la bienvenida. Lo ha solicitado el Grupo Popular, para
informar sobre la actividad de la agencia durante la crisis del COVID-19,
así como la propia directora, para informar de las memorias de la
agencia, correspondientes a los años 2017, 2018 y 2019.
Para incluir en el orden del día la solicitud de comparecencia del Grupo
Parlamentario Popular, es necesario, como ustedes saben, conforme con el
artículo 44 del Reglamento, que la comisión ratifique dicho acuerdo.
Propongo que la ratificación sea por asentimiento de la Comisión.
¿Lo acuerdan?
Sí.
Se aprueba por asentimiento.
COMPARECENCIA DE LA SEÑORA DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN
DE DATOS (ESPAÑA MARTÍ):
- PARA INFORMAR SOBRE LA MEMORIA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE
DATOS CORRESPONDIENTE AL AÑO 2019. A PETICIÓN PROPIA. (Número de
expediente 212/000103).
- PARA INFORMAR SOBRE LAS MEMORIAS DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE
DATOS CORRESPONDIENTES A LOS AÑOS 2017 Y 2018. A PETICIÓN PROPIA. (Número
de expediente 212/000119).
CELEBRACIÓN DE LA COMPARECENCIA VOTADA FAVORABLEMENTE POR LA COMISIÓN.
La señora VICEPRESIDENTA (Garrido Gutiérrez): A continuación, en los
puntos segundo y tercero del orden del día, que se tramitan
acumuladamente, relativos a la comparecencia de la directora de la
Agencia de Protección de Datos, para informar sobre la actividad durante
la crisis del COVID, así como para informar sobre las memorias de la
agencia, correspondiente, como hemos dicho, a los años 2017, 2018 y 2019.
En primer lugar, intervendrá la compareciente. A continuación, lo harán
cada uno de los portavoces de los grupos parlamentarios, por un tiempo de
siete minutos, como siempre, lo haremos de menor a mayor. Después tendrá
un turno de contestación de la compareciente, donde hará las matizaciones
y responderá a las cuestiones que ella entienda necesarias. Acto seguido,
como también saben, se concederá un turno de réplica de tres minutos, que
podrán utilizar o no. Cerrará el debate la compareciente.
Empezamos. Por lo tanto, tiene la palabra la directora de la Agencia de
Protección de Datos.
La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España
Martí): Muchas gracias, presidenta.
En primer lugar, siento las horas. Voy a intentar abreviar en la medida de
lo posible, porque son muchos temas los que se tienen que tratar en mi
intervención.
Comparezco, como bien ha dicho la presidenta, para informar de la gestión
de la agencia en los últimos tres años. Desde la agencia habíamos
solicitado la comparecencia cada año, cuando presentamos
la memoria, pero con motivo, quizá, de las múltiples elecciones y la
inestabilidad que ha habido, esa es la razón de que mi último dar cuenta
de la gestión fue del año 2016, en una comparecencia que tuve en junio
del 17, y también para explicar todas las actuaciones urgentes que hemos
realizado desde la agencia, en relación con el COVID.
Con carácter previo, me gustaría expresar mi más sentido pésame a las 27
136 personas fallecidas por el COVID. Mi solidaridad con el sufrimiento
de las personas que aún están hospitalizadas, y, por supuesto, el
reconocimiento a todos los profesionales que están contribuyendo con lo
mejor de sí en la lucha contra la pandemia.
Voy a comenzar por las actuaciones del COVID, y, en primer lugar, por los
informes jurídicos, porque hemos realizado actuaciones en diferentes
ámbitos.
Con carácter previo a la declaración del estado de alarma, y precisamente
para poder facilitar el tratamiento de los datos de salud y la gestión
por parte del Ministerio de Sanidad, de esta crisis de esta envergadura,
llamé al secretario general de Sanidad y encargué de oficio un informe
jurídico al gabinete en la agencia, para poder establecer y dar claridad
sobre los criterios de legitimación, las bases jurídicas y los principios
sobre los que se podían tratar los datos de salud.
En primer lugar, hay un mensaje clave. La declaración del estado de alarma
no suspende el derecho fundamental a la protección de datos personales y
la Normativa sigue plenamente vigente. Pero, como bien decía el informe,
y como ha sido siempre la voluntad de la agencia, de ayudar, esta
Normativa no puede ser un obstáculo para la adopción de las medidas
necesarias para hacer frente a la pandemia. Ello ya es así porque el
Reglamento General de Protección de Datos contiene salvaguardas y reglas
que permiten legítimamente el tratamiento de datos en situaciones de
emergencia sanitaria nacional. Aunque serán aplicables los principios
básicos de protección de datos, como son licitud, lealtad, transparencia
para los afectados, limitación de la finalidad y minimización de los
datos tratados.
En este primer informe que se hizo de oficio el 12 de marzo y que está
publicado en la página web de la agencia, hemos habilitado un microsite
que está a disposición de sus señorías, en relación con el COVID. Aquí me
he traído todos los informes jurídicos, por si cualquier grupo necesitara
conocerlos, porque no todos están publicados en la página web de la
agencia.
Hicimos dos informes fundamentales, el 17/20 y el 20/20. El 20/20 era en
relación con una petición que nos hizo el Ministerio de Sanidad, el 18 de
marzo, porque en ese momento querían poner en marcha un sistema de
vigilancia y contención de la enfermedad, partiendo de la información
obtenida de los ciudadanos, a partir de las llamadas de consulta por los
síntomas al 112, con la intención de hacer un seguimiento epidemiológico
de los test de detección a los domicilios, con personal contratado por el
propio ministerio, para desplazarse a los domicilios, de manera que se
hubiera podido detectar aquellos que hubieran podido ser positivos, en
función de los síntomas manifestados y establecer la preceptiva
cuarentena.
En estos dos informes dejamos claras las bases jurídicas que permiten el
tratamiento de datos personales en el ámbito de la salud. Uno sería en el
cumplimiento de obligaciones legales, como sucede en el ámbito laboral,
para la prevención de riesgos laborales. Pero fundamentalmente aquí las
bases jurídicas van a ser el cumplimiento de una misión de interés
público, como es el caso del Ministerio de Sanidad, que ahora mismo sigue
siendo la autoridad sanitaria en este ámbito; también la protección de
los intereses vitales, no solo las de los afectados sino también de las
terceras personas. Según el decreto que establece y regula el estado
alarma, las autoridades competentes en este ámbito, en función de la
materia, serán el ministro de Sanidad, el ministro de Interior y el
ministro de Transportes, Movilidad y Agenda Urbana, los cuales -y esto es
importante- serán los responsables del tratamiento de este tipo de datos.
Con lo cual, serán quienes decidan qué datos se pueden tratar, cuáles son
las finalidades de estos tratamientos y con qué medios se podrán llevar a
cabo.
La intervención de otras entidades, tanto públicas como privadas en
iniciativas que promuevan estas autoridades competentes, solo se podrán
llevar a cabo con carácter general en la condición de encargados o de sus
encargados del tratamiento, conforme a las instrucciones que estas
autoridades le hayan dado, siempre para esas finalidades y con las
garantías que se exijan en la encomienda, convenio, contrato o en el acto
jurídico determinado.
En esos dos informes establecíamos que los ciudadanos podían ser
geolocalizados por la comunidad autónoma competente, a través del
teléfono móvil que hubieran facilitado de manera voluntaria, aquellos
ciudadanos que hubieran dado positivo en el COVID, para que pudiera
llevarse a cabo ese seguimiento de su cuarentena y esa información
pudiera conocer las zonas con mayor índice de contagio.
Según el informe, la geolocalización debía limitarse simplemente al número
de teléfono móvil, admitiendo que el Ministerio de Sanidad considera
imprescindible facilitar algún otro dato a efectos del seguimiento de la
enfermedad. Aunque no nos lo preguntaba el Ministerio de Sanidad, sí
quisimos dejar claro que en observancia de las obligaciones que
impusieran las autoridades sanitarias, estaría también legitimado el
tratamiento de los datos por las fuerzas y cuerpos de seguridad del
Estado y también las policías autonómicas y locales, pero solo respecto
de los datos necesarios para el cumplimiento estricto de la finalidad de
contener la pandemia, y siempre atendiendo a las directrices de estas
autoridades, no por iniciativa propia.
Estos criterios tienen relevancia jurídica, ya que sientan las bases
jurídicas de este tipo de tratamientos, pero no serían extrapolables a
otras iniciativas para el tratamiento de otro tipo de datos personales
por otras Administraciones públicas, o mucho menos por parte de
iniciativas privadas.
Hicimos también otros informes, el 021/2020 y el 028/2020, de 20 de marzo
y 2 de abril, en relación con el proyecto orden ministerial del
Ministerio de Sanidad, por el que se encomendaba a la Secretaría de
Estado de Digitalización e Inteligencia Artificial del Ministerio de
Asuntos Económicos y Transformación Digital, el desarrollo urgente y la
operación de una aplicación para la gestión de la crisis sanitaria
ocasionada por el COVID.
Es decir, sé que hay interés por sus señorías respecto a las apps, tanto
de autodiagnóstico como las de seguimiento -esta es la primera, la app de
autodiagnóstico- para poderlo coordinar con los servicios de salud. En
estos informes analizamos un proyecto de convenio entre la Secretaría
General de Administración Digital, que es la encargada de tratamiento, y
Telefónica Digital España, que desarrolló esa aplicación de manera
gratuita, para poder generar la aplicación Asistencia COVID-2019. En este
convenio se regulaba también la política de privacidad y las condiciones
de uso de la aplicación.
En el informe reiteramos la relevancia del Ministerio de Sanidad como
autoridad competente, y recomendábamos que la Administración. Es decir,
la Secretaría de Estado de Inteligencia Artificial pasara a ostentar la
titularidad definitiva de la aplicación, y no la temporal, como estaba
previsto. Señalábamos además que el análisis de riesgo y la evaluación de
impacto en la protección de datos personales, la tenía que realizar la
empresa que se había encargado de desarrollar la aplicación.
Respecto a la utilización de la aplicación por parte de los usuarios,
señalábamos que el acceso a la misma y el suministro de la información es
voluntario, por su parte. La edad mínima de los usuarios para permitir el
uso autónomo de la aplicación es de 16 años, conforme con la Ley de
Autonomía del Paciente, y justificamos y avalamos el tratamiento de esos
datos, por motivos de interés público, ya que estábamos, estamos todavía
en un caso de emergencia sanitaria. Si bien especificamos que los datos
que se recogieran de los interesados debieran incorporarse a la historia
clínica en los términos previstos en la Ley de Autonomía del Paciente.
En cuanto a los datos de geolocalización vía GPS del teléfono móvil, la
política de privacidad señala que la aplicación solo se utilizará a
efectos de verificar que el usuario se encuentra en la comunidad
autónoma, para poder establecer medidas preventivas de evaluación y
evitar y controlar la propagación de la pandemia.
Hicimos algunas sugerencias en relación con la política de privacidad, que
fueron incorporadas por parte de la Secretaría de Estado.
Posteriormente, todos han solido ser informes urgentes que hemos tenido
que emitir en 24 horas, para poder facilitar, precisamente, el
funcionamiento que se nos demandaba por parte de la Administración
pública solicitante.
Emitimos también los informes 30/2020 y 32/2020, de 6 y 7 de abril, sobre
el convenio de la Secretaría General de Administración Digital con las
comunidades autónomas, ya que por la información que tenemos se han
suscrito convenios con cinco comunidades autónomas, poniéndonos a
disposición esta app de autodiagnóstico, que facilitaban, por un lado, la
articulación del acceso a las comunidades autónomas a esa aplicación y a
los datos y la protección de los datos personales.
En esos informes especificamos que los datos se podían tratar por razón de
interés público y que no era necesario el consentimiento de los
interesados, una vez que se daban de alta en la aplicación.
El convenio aclaraba que en este caso las comunidades autónomas tenían la
condición de responsables del tratamiento.
Había cláusulas también en relación con la geolocalización, siguiendo
también las directrices que hemos dado a través del Comité Europeo de
Protección de Datos, el convenio recoge el principio que la
geolocalización debía ser siempre voluntaria para el interesado. Eso se
recogía, y se recoge, en la política
de privacidad. El informe hacía referencia también a las preguntas que
podían añadir las comunidades autónomas, para personalizar el test de
autodiagnóstico que ya había definido la Secretaría de Estado de
Inteligencia Artificial, y matizaban que deben ser solo las necesarias
para la consecución de los fines; es decir, las que ayuden al
diagnóstico, tratamiento y seguimiento de la enfermedad.
Como decía, estos informes están aquí -no se asusten, que no voy a contar
toda la documentación que he traído, pero por si acaso algún grupo tenía
interés- están a disposición de cualquiera de los grupos que así lo
soliciten.
También hemos realizado actuaciones de investigación y hemos recibido
reclamaciones. En este momento tenemos 14 actuaciones de investigación en
marcha, y hemos recibido 86 reclamaciones por parte, fundamentalmente, de
ciudadanos, en relación con la comunicación de datos en relación con
estar o no afectado respecto al COVID, en relación con los empleados, en
casos de infección en el ámbito laboral. También en un tema que ha salido
en muchísimos medios, en relación con la toma de temperatura, que también
luego comentaré, la agencia hizo un comunicado en el ámbito laboral.
Hemos recibido una reclamación presentada por el Sindicato de Vigilantes
Alternativa Sindical, contra una empresa de seguridad, ya que
participaban los agentes de seguridad en la toma de temperaturas en
centros de trabajo y el sindicato entendía que no formaba parte de su
función. Ahora mismo la reclamación se ha trasladado a la empresa
responsable, para obtener información sobre la misma.
También hemos recibido una reclamación sobre la aplicación de
videoconferencia Zoom. Todos nos hemos tenido que sumergir en el ámbito
digital.
A lo largo de las últimas semanas hemos detectado la puesta en marcha de
otras iniciativas de app de seguimiento de contactos, precisamente, para
poder desatascar los servicios de salud y poder hacer más fácil el
control de la pandemia.
Conocemos, también por los medios de comunicación, que se han iniciado
proyectos por parte de la Secretaría de Estado de Inteligencia
Artificial, como chatbots informativos, estudios de movilidad de las
personas y las apps de seguimiento de contactos. Si bien, desde el punto
de vista de la agencia todos estos elementos pueden ser útiles en la
lucha contra la pandemia, es indudable que estos tratamientos conllevan o
pueden conllevar graves intrusiones en la privacidad. Por un lado, por la
tipología de los datos tratados, ya que son datos especialmente
sensibles, como son los datos de salud, que pueden conllevar además a una
estigmatización de las personas, donde pueden, además, haber falsos
positivos, y por la premura que la propia urgencia de la situación
sanitaria, económica y social que está atravesando nuestro país, pueda
estar influyendo en los desarrollos.
Desde la agencia entendemos que todas estas soluciones deben ser
transparentes hacia la ciudadanía, y que la verificación o la auditoría a
estas iniciativas debe respetar la protección de los datos personales.
Sí quiero transmitir una petición. En relación con los tratamientos que se
están llevando a cabo de manera masiva por las Administraciones públicas,
hemos detectado dos tipos de actitudes. Unas donde se nos está
consultando, prácticamente en cada paso que se está dando para el
tratamiento masivo de los datos de salud. Quiero poner en valor la
actitud del Ministerio de Sanidad, donde estamos teniendo una
interlocución muy frecuente, y otras, donde lamentablemente nos estamos
enterando en la agencia por los medios de comunicación, y hemos tenido
que abrir actuaciones de investigación, para poder acceder a la
información de qué datos se están tratando y poder garantizar la misión
de la agencia, que es la garantía de este derecho fundamental por parte
de los ciudadanos en nuestro país.
Insistir en que la misión de la agencia es ayudar, y que estamos a
disposición, con toda la lealtad institucional, para todas las
Administraciones públicas, especialmente ahora con las autoridades
competentes, en función del real decreto que regula el estado de alarma.
Que lo ideal, por dar seguridad, precisamente, a estas autoridades
competentes, es poder contar con el criterio jurídico y tecnológico,
porque estamos dando los criterios, también a través de la Unidad de
Evaluación de Estudios Tecnológicos de la agencia, desde el diseño de una
aplicación, porque va a ser mucho más útil y además muchísimo más rápido.
Como decía, los 14 expedientes de investigación, algunos se han hecho en
el marco de consultas, que previo y voluntariamente la Administración
acudió a la agencia, donde hemos estimado que era necesario ampliar la
información, pero otras han sido al enterarnos por los medios de
comunicación.
Voy a pasar a comentar brevemente el objeto de los expedientes de
investigación. Si bien, como ahora mismo están en fase de instrucción, no
puedo adelantar nada, porque mientras la investigación
administrativa esté en proceso, lógicamente, como ustedes saben, el
carácter de la información es secreta.
En primer lugar, y por orden temporal, en relación con la app
CoronaMadrid, que creo que ha tenido 240 000 usuarios en la Comunidad de
Madrid, también llamada COVID-DATA. La propia Comunidad de Madrid también
ha sido proactiva en solicitar la colaboración de la agencia. Nos
plantearon una consulta previamente, a principios de abril. Para poder
completar la información, iniciamos un expediente de investigación,
requiriendo información a la comunidad sobre las finalidades y los
tratamientos, las garantías, el cumplimiento de los principios y las
garantías de protección de datos, y uno, un principio básico, el de la
minimización. Le hemos solicitado también el contrato que han suscrito
con Telefónica, porque Telefónica ha sido la misma entidad privada que ha
desarrollado la app de la Comunidad de Madrid y la app del Ministerio de
Sanidad.
En este momento, bueno, todas las investigaciones están abiertas, lo cual
no prejuzga, por supuesto, que vayan a acabar en un procedimiento
sancionador, simplemente puede ser, lo más normal es que se archiven, una
vez que la agencia haya tenido acceso a toda la información, que hubiera
sido deseable tener desde el principio.
En segundo lugar, la Generalitat Valenciana desarrolló también una web
relacionada con esto y una app. En la web verificamos los servicios
técnicos de la agencia, que el auto test no incluía ningún formulario de
recogida de datos personales. Se emitió un requerimiento de información a
la Generalitat, en relación con la app para móviles, para comprobar si se
estaba recabando algún tipo de datos personales y verificar las
garantías.
Esta app ya está operativa y en este momento se está valorando el informe
de actuaciones previas de investigación por los servicios de la agencia.
La tercera actuación es la app de asistencia COVID-19, el chatbot y Data
COVID de la Secretaría de Estado de Digitalización e Inteligencia
Artificial, adscrita al Ministerio de Asuntos Económicos y Transformación
Digital. Como comentaba, esta aplicación además se está utilizando en
cinco comunidades autónomas.
El chatbot es una herramienta capaz de atender a los usuarios de forma
conversacional. El Data COVID -como habrán leído por los medios- es un
análisis de la movilidad de las personas en los días previos y durante el
confinamiento, siguiendo el modelo emprendido por el Instituto Nacional
de Estadística, que en principio se ha tratado con datos anonimizados,
con lo cual, no se aplicaría la Normativa de protección de datos.
En el marco de las cuatro, cinco peticiones de informe urgentes que hemos
recibido de la Secretaría de Estado de Inteligencia Artificial, pedimos
requerimientos de información complementarios en relación con la app para
móviles, el chatbot y el proyecto Data COVID, para comprobar, como en las
anteriores, las finalidades de los tratamientos, las entidades
intervinientes, que se cumplen las garantías, como puede ser el de
limitación de la finalidad y la minimización de los datos, y para poder
comprobar las garantías también en el estudio de movilidad Data COVID, de
la anonimización y la agregación de los datos personales utilizados.
En el caso de la aplicación y el chatbot, se ha solicitado información
detallada de los protocolos previstos de acceso por parte de las
comunidades autónomas a los datos personales de los usuarios tanto en el
caso de la app como en el caso del chatbot.
Se está analizando la documentación recibida, para realizar el informe de
actuaciones de investigación. Al igual que en el caso de la Comunidad de
Madrid, hemos solicitado también el contrato que tiene Telefónica con
Google, para la utilización de la plataforma.
El cuarto expediente -y también nos enteramos por los medios- es el
análisis de la movilidad en España, con tecnología big data, durante el
estado de alarma, por parte del Ministerio de Transportes, Movilidad y
Agenda Urbana. Es una herramienta para poder verificar la movilidad tanto
a nivel nacional como autonómico, provincial y local. El análisis
comparaba la movilidad diaria de la población, con una semana tipo,
concretamente, la del 14 al 20 de febrero, para poder verificar los
movimientos de la población.
Hicimos un requerimiento de información, para poder analizar qué
orientaciones habían recibido por parte del Ministerio de Sanidad, que,
como decía al principio de la intervención, es la autoridad competente
para establecer el principio de idoneidad; es decir, de que ese
tratamiento de datos se pueda realizar, cuáles eran las finalidades de
los tratamientos, los flujos de datos. Hemos recibido la contestación el
8 de mayo, y se está elaborando ahora mismo el informe de actuaciones
previas.
El quinto expediente es en relación con el Centro de Investigaciones
Sociológicas. El 7 de abril, el CIS solicitó informe a la agencia, en
relación con la posible cesión por parte del Instituto Nacional de
Estadística, ya que, lógicamente, por la pandemia no se podían realizar
las encuestas presenciales, como es el método de trabajo habitual del
CIS, y pretendían la cesión por parte del INE de los teléfonos fijos y
móviles de la población, para poder sustituir las entrevistas
presenciales por encuestas telefónicas. La consulta era muy escueta.
Desde el gabinete jurídico se solicitó una ampliación de la consulta,
sobre la base jurídica, la regulación de las encuestas telefónicas y
otros aspectos, que hasta la fecha no hemos tenido respuesta. Conocimos
por los medios que en abril el CIS había realizado en el barómetro 3279,
encuestas telefónicas, en lugar de entrevistas presenciales, y como no
teníamos información, abrimos el expediente de investigación el 21 de
abril, pidiendo información al CIS, para poder analizar la cesión de esos
posibles datos por parte del INE, la base jurídica en virtud del cual se
habían obtenido, las finalidades, y, como siempre, los principios y las
garantías.
Hemos recibido los escritos de contestación del CIS. Estamos en la fase de
actuaciones previas. Pero, por ejemplo, esta semana sí que hemos tenido,
ya desde el minuto uno, nos han pedido colaboración, para poder tener la
seguridad de que el tratamiento de datos que se va a realizar por parte
del CIS, con ocasión de las encuestas para las elecciones del País Vasco
y Galicia, se van a realizar teniendo en cuenta el asesoramiento de la
agencia, lo cual me alegra.
El sexto expediente es en relación con Renfe y el anuncio que hizo de
implantar el billete personalizado en todos los canales de venta, donde
se iba a solicitar información a los viajeros, obligatoria, de los datos
personales, el nombre, DNI, número de teléfono del móvil, para contactar
como medida preventiva por motivos de salud.
Le hemos pedido lo habitual en estos expedientes de investigación, las
instrucciones que habían recibido del Ministerio de Sanidad, las
finalidades, los principios. Hemos recibido respuesta, y estamos también
en la fase de elaboración de las actuaciones previas de investigación.
El séptimo es la web y la app que puso a disposición de los ciudadanos
navarros, el Gobierno de Navarra, en la app denominada CoronaTest
Navarra. La aplicación, como pudimos comprobar, solo pide permiso para
acceder al almacenamiento y a las conexiones de red, pero no para acceder
a la geolocalización. Una vez instalada, para poder realizar el test es
necesario registrarse y aceptar las condiciones de uso.
No voy a detallar, por la hora, en las condiciones generales de la
aplicación.
Hemos recibido respuesta el 17 de junio, y ahora mismo ya se ha finalizado
el informe técnico. Estamos pendientes de finalizar las actuaciones
previas de investigación.
El octavo es la app en relación con el Gobierno de Canarias. También llamé
a la consejera de Turismo de Canarias, para ponerme a disposición y en lo
que pudiéramos ayudar. O sea, nuestro objetivo es poder ayudar al
restablecimiento de la economía nacional y a que sigamos siendo un país
importador de turismo, y a poder ayudar en cualquier desarrollo
tecnológico que hicieran. Tuvimos conocimiento por los medios que la
comunidad iba a desarrollar una app. Iniciamos su investigación, porque
en ese momento no teníamos ningún tipo de datos sobre el tema. Enviamos
requerimiento a la citada consejería, pero nos han informado que no hay
previsión de realizar dicha app, porque van a entrar en ese proyecto
piloto que está trabajando la Secretaría de Estado de Inteligencia
Artificial. Según hemos conocido por los medios, hemos tenido que ampliar
también la investigación, porque parece que van a utilizar también una
app de rastreo de contactos por Bluetooth, que va a utilizar la
Organización Mundial del Turismo.
El noveno expediente es en relación con la noticia que tuvimos por los
medios de comunicación de la Orden del Ministerio del Interior, 226/2020,
del 15 de marzo, en lo que respecta al seguimiento de perfiles de los
ciudadanos en las redes sociales, realizada desde la Secretaría de Estado
de Seguridad, ya que pudiera ser -no está comprobado- que se trataran
datos ideológicos de los ciudadanos. Pedimos información en relación con
el tratamiento de datos de esos perfiles. Se ha solicitado información el
30 de abril, que ha sido contestada parcialmente el 14 de mayo. Se va a
pedir una ampliación de la información, y está actualmente también en
fase de análisis.
Otras dos investigaciones, que es en relación con empresas privadas, se
han realizado, al tener conocimiento por los medios de que se estaba
realizando la toma de temperatura, y ahora mismo están también en fase de
investigación.
La siguiente es en relación con la app de rastreo de contactos por parte
de la Secretaría de Estado de Inteligencia Artificial. En este caso,
también nos enteramos, y siento ser un poquito insistente, pero los
medios de comunicación, del proyecto de la app de contactos, y al estar
utilizando datos de inteligencia
artificial y no tener información, pedimos información a través de
investigación a la Secretaría de Estado. Nos han contestado el viernes
pasado, diciendo que ahora mismo no nos pueden suministrar información,
porque está todavía en fase de desarrollo. Estamos pendiente de que
cuando tengan los datos nos lo puedan enviar, para poder dar esas
garantías de que esas apps de seguimiento de contactos, que es algo
importante y que preocupa a los ciudadanos y que preocupa al Comité
Europeo de Protección de Datos, pueda realizarse con las garantías
adecuadas.
El siguiente y penúltimo expediente de investigación es la app de rastreo
de contactos por Bluetooth de la Generalitat Valenciana. También nos
enteramos por los medios de comunicación. Al no tener información tuvimos
que abrir el expediente de investigación. Se ha elaborado y notificado un
requerimiento de información muy reciente en este mes de junio, y en este
caso estamos todavía a la espera de la respuesta.
El último es en relación con una iniciativa privada, la web app
CoronaStop. Tuvimos información por los medios, y al estar tratando
entidades privadas tratamiento de datos de salud, pedimos una serie de
información, y no sé si fue como consecuencia o no del requerimiento de
información, lo que sí puedo comunicar a los diferentes grupos
parlamentarios es que la app se cerró.
Quiero insistir en la importancia, primero, en la plena disposición de la
agencia con todas las Administraciones públicas. Esto ha sido la
prioridad de los funcionarios de la agencia, durante la pandemia; aunque
hemos seguido tramitando con total normalidad las reclamaciones y bien
siguiendo las directrices.
No están firmadas las resoluciones, pero la prioridad ha sido poder ayudar
a las Administraciones públicas en el tratamiento de los datos de salud.
En lo que quede de pandemia o en la nueva normalidad, que tengan que
estar gestionando las Administraciones públicas y los diferentes
Gobiernos a los diferentes niveles territoriales, insisto, y creo que es
un mensaje clave, que la agencia está para ayudar y que se debería
solicitar la colaboración de la agencia desde el minuto uno, tanto en las
dudas que tengan desde el punto de vista jurídico como tecnológico, para
poder dar, por un lado, la garantía a los ciudadanos de que se está
protegiendo su derecho fundamental, y la seguridad jurídica al Gobierno
correspondiente, de que no va a haber luego un problema a posteriori que
complique luego el tratamiento de los datos de salud por parte de los
ciudadanos.
Paso a un tercer bloque en relación con el COVID, que son las actividades
proactivas de difusión que hemos realizado desde la agencia. En la página
web, aepd.es, creamos una sección específica en relación con el COVID. El
12 de marzo publicamos un informe en el que analizamos el tratamiento de
los datos personales, que está también a su disposición, con la nota de
prensa.
Tuvimos conocimiento que estaban proliferando los ataques de phishing. Yo
misma recibí, por ejemplo, supuestas suplantaciones de correos, a través
de SMS al móvil. Publicamos un artículo en el que alertamos a los
ciudadanos de los ataques de phishing a través de servicios de mensajería
instantánea, e-mail y otros medios.
El 16 de marzo, tras constatar que estaban proliferando páginas web y
aplicaciones móviles que servían para autoevaluar, emitimos un
comunicado, advirtiendo al conjunto de la ciudadanía que se está hablando
de datos sensibles, porque había apps que pedían el historial médico
previo. Es decir, y que los ciudadanos no pueden, no deberían dar
alegremente sus datos de salud a cualquiera.
El 26 de marzo publicamos un comunicado en el que sintetizamos el
contenido de todos los informes. El 2 de abril, y ante las consultas que
hemos recibido sobre si el Real Decreto 463/2020, que regulaba el estado
de alarma, que interrumpía plazos para la tramitación de los
procedimientos de las entidades del sector público, afectaba la
notificación de la obligatoria de las quiebras de seguridad. Dimos
difusión en el blog, aclarando en este concepto, diciendo que, por
supuesto, que el estado de alarma no eliminaba la obligación de los
responsables, tanto públicos o privados, de comunicar si habían tenido
una quiebra de seguridad.
El 6 de abril publicamos un sencillo documento con cinco medidas técnicas
en relación con la seguridad. El 7 de abril, para poder apoyar a las
empresas y organismos públicos en el teletrabajo, que es algo que todos
de repente nos hemos visto abocados de manera masiva -si bien, luego
comentaré que la agencia lleva trabajando en esto desde hace tres años-
publicamos una nota técnica con recomendaciones para proteger los datos
personales en situación de movilidad y teletrabajo. En este sentido voy a
hacer un pequeño inciso.
Nosotros, el 3 de abril publicamos un comunicado evaluando los tres
primeros años del teletrabajo y nuestro Plan de Igualdad. Es la primera
vez que la agencia cuenta con un Plan de Igualdad, con importantes
compromisos internos y externos. Comenzamos con el teletrabajo,
puntualmente, de una
manera piloto en el año 2017. Antes de la pandemia teníamos ya al 80 % de
la plantilla teletrabajando el 40 % de la jornada. Con diferencias, somos
el organismo de (palabras que no se entienden) que tiene un porcentaje
más alto. Los resultados no pueden ser más positivos tanto desde el punto
de vista del bienestar personal y la conciliación del personal como desde
el punto de vista la organización, de la retención del talento y el
incremento de la productividad. Hicimos una evaluación que es pública.
Con base en esta experiencia, esto nos permitió poder pasar, dos días
antes de que se decretara el estado de alarma, por proteger la salud de
los empleados, decidí que todo el mundo se fuera a casa, nos fuéramos
todos. Eso quizá haya permitido que nadie del personal de la agencia ha
tenido que ser hospitalizado, y que el cien por cien hemos estado
teletrabajando los cinco días de la semana, no solo con absoluta
normalidad, sino pudiendo atender estos informes urgentes que nos han
planteado desde el COVID. Hemos solicitado, y esta semana nos ha
comunicado la Secretaría General de Función Pública, nuestra
participación en la negociación del tercer Plan de Igualdad de la AGE,
porque queremos ofrecer nuestra experiencia para en lo que pueda ayudar
tanto en las Administraciones públicas como en el ámbito privado.
El 24 tenemos organizada una mesa redonda virtual, donde van a participar
la Secretaría de Estado de Empleo, la Secretaría General de Función
Pública y el Ministerio de Igualdad. Creo que el COVID, por supuesto, ha
tenido consecuencias de salud económicas y sociales tremendamente
negativas para nuestro país y para el mundo en general. Pero si algo nos
debe dejar de bueno es quizás que nos debemos replantear otro ritmo, otra
forma de trabajo, y una manera de trabajo un poquito más moderna, y en la
humilde aportación que podamos hacer esa experiencia previa de la
agencia, está a disposición.
Como consecuencia de que los 8 millones de jóvenes escolarizados en las
enseñanzas de régimen general, se tuvieron que ir de la noche a la mañana
-no asistir a las clases, porque no todo el mundo, pues aquí se ha hecho
también patente la brecha económica, la brecha social- a poder seguir
como buenamente se podía, en función de la disponibilidad de los medios
de las familias, las enseñanzas online, publicamos un documento con
recomendaciones orientadas a evitar el acceso de los menores a contenidos
inapropiados en Internet. Ahí dábamos recomendaciones sobre los
buscadores seguros, apps de contenido exclusivo dedicados a los menores y
herramientas de control parental. Dábamos recomendaciones tanto a madres
y padres como a la industria, a los proveedores de servicios y a
desarrolladores.
En este tema, los menores han sido una prioridad de la agencia en este
mandato. Sí quiero decir que la colaboración con el Ministerio de
Educación, bueno, en este mandato llevamos cinco Gobiernos, pero la
colaboración con el Ministro de Educación ha sido magnífica en todos los
años. Hemos puesto en marcha, precisamente fue en el mes de mayo, un
curso NOC, que es un curso de tres horas, donde hemos conseguido con
INCIBE, INTEF y la agencia, damos en tres horas -y pido a los diferentes
grupos parlamentarios que lo puedan difundir- qué contenidos mínimos
deben saber los padres y las madres cuando por primera vez dan un
dispositivo móvil a sus hijos. Que tienen que saber que dar un móvil es
dar un ordenador, y que pueda haber responsabilidades civiles, penales,
administrativas, e incluso educativas, y que los padres van a tener
responsabilidad solidaria. Luego explicaré por qué.
Ha sido el curso NOC de mayor éxito de afluencia de todos los que organiza
el Ministerio de Educación, más de esas mil familias y representantes de
la comunidad educativa, y ahí seguiremos trabajando.
El 14 de abril publicamos un documento con recomendaciones generales en el
tratamiento de datos en situaciones de emergencia. Todos estos documentos
los tenemos traducidos al inglés.
El 30 de abril, en vista de la cantidad de noticias que estamos recibiendo
en medios de comunicación en relación con la toma de temperatura,
publicamos un comunicado sobre la legitimidad, es diferente en el ámbito
laboral que en el ámbito comercial.
Decíamos que es un tratamiento de datos sensibles, y especialmente intenso
en lo que afecta a este derecho fundamental, porque no es solo un
tratamiento de datos sensibles en el ámbito de salud, sino que, si a mí
me toman la temperatura en la entrada del Corte Inglés, luego nos ven los
vecinos. Resulta que no me dejan pasar, porque tengo fiebre, porque tengo
una infección de muelas, por ejemplo, pero mis vecinos me han visto,
luego, a lo mejor, me dicen que me mude a otro sitio, y es una posible
estigmatización, aparte de que en sí mismo y de manera aislada, como nos
ha dicho el Ministerio de Sanidad y por la evidencia científica en
pandemias anteriores, como es el ébola y el SARS, la toma de temperatura
como hecho aislado no es un índice objetivo ni científico que sirva por
sí solo, y además la base jurídica es diferente.
Si estamos hablando del entorno laboral, tanto público como privado, el
empresario tiene la obligación de velar por la salud de los trabajadores.
Puede tener legitimidad ahí, pero puede ser que sea solo una falsa
sensación de seguridad. En el informe insistimos en que eso tenía que ser
en función de los criterios que dieran las autoridades sanitarias. Por
ejemplo, sanidad exterior ya está tomando la temperatura, para el control
transfronterizo en los aeropuertos, pero, desde luego, en el ámbito de un
comercio, ahí decíamos en el comunicado que el interés legítimo no
preponderaba, por la injerencia tan fuerte que puede suponer en el
derecho de los ciudadanos, y porque debería existir una norma nacional o
de ámbito europeo que lo habilitara, que en este caso no existía.
Que además el consentimiento no era libre, porque si para que me tomen la
temperatura, si digo que no, no me van a dejar entrar en el chino, por
ejemplo, a comprar algo, pues evidentemente ahí el control de la
temperatura no era libre.
Había otro tema que además nos preocupaba, especialmente, por esta
vorágine de intentar dar seguridad. Yo entiendo la preocupación de las
empresas, por intentar normalizar la situación económica y empresarial,
estaban teniendo las empresas ofertas no del típico termómetro digital de
la toma de temperatura, que es menos invasivo, porque no registra datos
hacia la persona, sino ya cámaras biométricas que además grababan el
reconocimiento facial, los datos. Entonces, eso, además dijimos desde la
agencia que eso era excesivo.
Si tienen interés, está el comunicado también a disposición de los grupos.
Explicamos también la limitación de la finalidad, que además estos
dispositivos, como nos ha dicho el propio Ministerio de Sanidad, porque
le hicimos una consulta, son dispositivos de carácter sanitario, si están
tratando datos de salud. En principio, tiene que ser el Ministerio de
Sanidad quien determine qué tipo de personas están capacitadas para este
tipo de control. Insisto que la toma de temperatura no puede ser un
criterio aislado que suponga la legitimación suficiente para una toma de
decisiones, que, como está pasando, por ejemplo, en el ámbito de sanidad
exterior, si un pasajero da fiebre tiene que ir acompañado de un control
individualizado y personalizado por personal médico especializado.
En este sentido, las directrices del Ministerio de Sanidad y el de
Trabajo, de mayo del 2020, en el ámbito de la prevención de los riesgos
laborales, se fundamentan en las medidas organizativas. Sigo
sintetizando, por no alargarme. Por motivo de una consulta de la CRUE, de
universidades, del Consejo Rector de Universidad, realizada el 8 de mayo,
hicimos público un informe sobre el uso del reconocimiento facial, para
realizar los exámenes a distancia. Esto se aplica no solo a las
universidades, sino también a bachillerato, a secundaria, donde se estén
realizando los exámenes online. En el informe admitíamos la
diferenciación entre datos biométricos, que son categorías especiales de
datos y otros que no lo son, y concluimos que el reconocimiento facial en
exámenes a distancia y el posible tratamiento de datos de terceros que
puedan suplantar al examinando, tienen como finalidad una identificación
unívoca, y, por tanto, son categorías especiales de datos.
Planteamos una conclusión importante, que el consentimiento del alumno por
sí solo no puede considerarse libre, y, por lo tanto, válido, si no se le
ha dado una alternativa equivalente. Por ejemplo, un examen online o un
examen presencial donde se puedan establecer turnos, guardando las
distancias de seguridad, que acrediten la igualdad de los alumnos. Que,
si se optase por la base jurídica del interés público, se requeriría una
norma con rango de ley que lo habilitase, que ahora mismo no la hay.
También, ante las preguntas que estamos recibiendo en el servicio Informa,
que pusimos en marcha gratuitamente para el sector público y privado, en
abril del 2018, para facilitar la adaptación al Reglamento, publicamos
una serie de preguntas frecuentes, sobre, por ejemplo, si los empleadores
podían tratar los datos, de estar infectados por el COVID el personal
trabajador.
Hemos dicho que sí. Si realmente es necesario, porque ese trabajador o
trabajadora está en contacto con el resto de la plantilla para poder
evitar el contagio. La obligación, precisamente por esa obligación legal
que tienen los trabajadores de proteger la salud, que el trabajador,
también, si está infectado tiene la obligación de informar al empleador,
porque no solo tiene el derecho a que se le proteja la salud, sino
también tiene la obligación de proteger la salud de sus compañeros en la
plantilla. Dijimos también en las (palabras que no se entienden) que el
estado de alarma no ha supuesto ni la suspensión del derecho fundamental
a la protección de plazos ni la suspensión de los plazos para dar
respuesta al ejercicio de los derechos reconocidos en el Reglamento
General de Protección de Datos.
Ya para terminar con las actuaciones en relación con el COVID, hemos
tenido bastante relación, por supuesto, institucional, la cooperación con
las tres autoridades autonómicas que existen en el país en protección de
datos; la catalana, la vasca y la andaluza es máxima. El 11 de mayo,
dentro del marco de
cooperación habitual, tuvimos una reunión de trabajo con las tres
instituciones, para intercambiar criterios sobre los informes jurídicos,
sobre los informes tecnológicos que ha emitido la unidad tecnológica y
sobre las directrices que ha emitido el Comité Europeo, a las que ahora
mismo me voy a referir.
Voy a sintetizar, por no alargarme mucho. Hemos participado en el comité.
Ha sido complicado, porque hemos tenido las primeras veces, hasta que nos
organizamos, eran conferencias telefónicas con los diferentes colegas y
era muy difícil la interlocución. Ya parece que nos hemos modernizado. Ya
tenemos videoconferencia. Respondimos a una carta que nos había planteado
la Comisión Europea, sobre la guía en el uso de las apps para la
contención del COVID, que formaba parte de la recomendación.
Aquí quiero decir la misma crítica constructiva con lo que planteaba
antes. También hubiera sido muy deseable que la comisión hubiera hecho
uso de las posibilidades que le ofrece el derecho europeo, para contar en
mayor medida con las autoridades de protección de datos, ya que esa
recomendación que he citado se adoptó sin el informe previo, ni del
Supervisor Europeo de Protección de Datos ni del comité.
En la solicitud de informes sobre la guía de apps que nos dieron, solo
teníamos seis días para pronunciarnos, incluida las vacaciones de Semana
Santa. Pero dicho esto, los otros documentos que, bueno, hemos colaborado
tanto en esas recomendaciones como en las directrices sobre el
tratamiento de datos de salud con fines de investigación científica, y en
las directrices en relación con las apps de seguimiento de contactos.
Estos pueden ser bien para localización, para crear modelos de
propagación, o bien de seguimiento de contactos, para evitar la
propagación de la pandemia. En este caso, si hablamos de datos de
localización, son recogidos por las telecos, y solo pueden ser cedidos si
han sido anonimizados por el proveedor o si indica la posición
geográfica, si han tenido el consentimiento del usuario. El
almacenamiento de la información en el dispositivo del usuario solo se
permite si el usuario ha dado el consentimiento.
En esas directrices admitíamos la posibilidad de que las autoridades
pudieran obtener datos de geolocalización de manera excepcional, sin
consentimiento de los usuarios, sobre la base jurídica de la existencia
de un interés público. Insistimos que las apps de rastreo solo deberían
tratar información de proximidad, por ejemplo, a través de Bluetooth, y
no movimientos a través de la geolocalización. Perdón, un segundo.
(Pausa).
Decíamos en las directrices que la app no debería recopilar información no
relacionada o no necesaria, como, por ejemplo, el estado civil, mensajes,
registros de llamada, ubicación, que era muy recomendable realizar una
evaluación de impactos. Clarísimamente, el Comité Europeo de Protección
de Datos ha apostado por las apps donde se almacena la información de
forma descentralizada, porque encaja perfectamente con un principio
básico en protección de datos, como es el de minimización.
En cuanto a las bases jurídicas, se han fundamentado en ese informe que
enviamos, el que les comentaba al principio de la intervención, el 17/20,
enviamos al Comité Europeo, y prácticamente calcaron el análisis jurídico
que habíamos hecho en notaría española. Se fundamentan en las razones de
interés público en el ámbito de la salud y en la investigación
científica.
En un tema fundamental, como es que las autoridades de protección de
datos, podamos ayudar al descubrimiento de la vacuna y a las
investigaciones científicas a nivel mundial, a través de los diferentes
consorcios que hay.
Establecíamos que, en relación con las transferencias internacionales, se
podía aplicar perfectamente la excepción del artículo 49 del Reglamento,
cuando la transferencia es necesaria con fines importantes de interés
público.
En relación con la Red Iberoamericana de Protección de Datos, hemos tenido
también una reunión hace unas semanas, el 3 de junio fue, con las
autoridades nacionales de protección de datos de Argentina, Chile,
Colombia, Costa Rica, México, Perú, Portugal y Uruguay, para poder
intercambiar la información tanto jurídica-tecnológica y poder ayudar. El
14 de mayo tuvimos un encuentro online con los dos sectores más
sensibles. Por un lado, todos los delegados y delegadas de protección de
datos de Educación, de todas las comunidades autónomas. Por otra parte,
el 21 de mayo, con el mismo ámbito, con los delegados y las delegadas de
protección de datos de Sanidad, en relación con las dudas que estaban
teniendo respeto al COVID, que fue muy útil.
Ya me voy a centrar, y voy a ser sintética, por las horas, en el balance
de la gestión de, prácticamente es todo el mandato, 2017, 2018 y 2019.
La última vez que comparecí fue el 29 de junio del 2017, para exponer la
memoria de actividades de la agencia, del 2016, y la mitad de la gestión
del año 2015, ya que fui nombrada el 27 de julio.
Esto prácticamente es todo el ámbito de aplicación del 2017, 2018 y 2019
del Plan Estratégico, que por primera vez pusimos en marcha en el año
2015. Durante este tiempo, en los tres años, 2017, 2018 y 2019 se han
tramitado 37.000 reclamaciones. En todo el mandato llevo firmadas
prácticamente 54.000. Voy a dar los datos sintéticos, porque las tres
memorias se han enviado a los grupos parlamentarios y tienen toda la
información. Se han atendido más de un millón y medio de consultas por el
Servicio de Atención al Ciudadano, fundamentalmente, en parte, a través
de las apps, pero también por teléfono, 222 091; 23 649 escritas por la
sede electrónica; 22 451; casi 10 000 presenciales y por correo
electrónico. Hemos gestionado casi 7000 consultas a través del servicio
gratuito que pusimos en marcha en abril, denominado Informa, para poder
ayudar. Hemos intentado acompañar y ayudar, tanto al sector público como
al privado, con el cambio tan brutal que suponía el cambio de régimen
normativo.
Nunca en un mandato ha habido que tramitar ley orgánica, real decreto, el
estatuto y la adaptación al nuevo Reglamento General de Protección de
Datos de ámbito europeo, con eficacia jurídica directa. Hemos recibido
casi 4000 consultas, más de 4000, en el canal de atención a menores, que
era uno de mis compromisos en el trámite de idoneidad que tuve en julio
del año 2015, ponerlo a disposición de los menores, de los padres, por
diferentes canales. La página web de la agencia ha recibido más de 21
millones de visitas.
Del Plan Estratégico teníamos cuatro objetivos. El primero, donde hemos
puesto muchísimo hincapié y energía, ha sido en reforzar la labor
preventiva de la agencia, para mejorar el conocimiento de los ciudadanos
de sus derechos, era otro de los compromisos que adquirí en el trámite de
idoneidad.
Hemos establecido nuevos mecanismos de prevención y de mediación, como
puede ser, por ejemplo, en el ámbito de las telecomunicaciones, el
protocolo que pusimos en marcha en el 2018, con autocontrol, la
Asociación por la Autorregulación de la Comunicación, al que se han
adherido las principales empresas de telecomunicaciones, que es uno de
los sectores que más sanciones reciben. No porque sea el que peor lo
haga, sino porque seguramente es donde hay mayor concienciación de
reclamación por parte de los ciudadanos.
Hemos colaborado con Adigital, para la mejora de la Lista Robinson, para
permitir la exclusión publicitaria, y más de 1 millón de usuarios ya
están registrados y se puede obtener ahora mismo de una manera mucho más
dinámica, tanto por correo postal, teléfono, e-mail y SMS, a poder
recibir esa publicidad electrónica.
A propuesta de la agencia, la tramitación de la Ley Orgánica 3/2018,
supuso muchísimo trabajo en la agencia. Quiero agradecer a todos los
grupos parlamentarios el apoyo recibido. Es una ley fundamentalmente
técnica. Tuvimos la unanimidad en el Congreso y un apoyo del 96 % en el
Senado.
Ya a iniciativa de la agencia se recogió el artículo 37 de la Ley
Orgánica, que permitía, va relacionada un poco, fue una estrategia de
supervivencia, por la falta de medios en la agencia, a los que luego me
referiré. Como no teníamos medio, diseñamos una estrategia un poquito más
flexible, para aquellas reclamaciones que no fueran graves, urgentes y de
un impacto masivo en los ciudadanos, poderlas remitir directamente al
responsable o al delegado y la delegada de Protección de Datos; hubiera
estado nombrado, tanto si era con carácter obligatorio como si es con
carácter voluntario, para que se pudieran resolver en el menor tiempo
posible, porque nosotros tramitamos 14 000 reclamaciones, prácticamente
al año, sin perjuicio de que el ciudadano, si no quedaba satisfecho,
pudiera acudir posteriormente a la agencia. Eso ha supuesto que el 79 %
de las reclamaciones valoradas en la agencia se han podido tramitar
mediante este procedimiento, con una mejora importante de los medios de
tramitación en 132 días.
Sí que quiero hacer un reconocimiento, como no puede ser de otra manera,
al magnífico equipo que hay en la agencia.
El presupuesto de la agencia está congelado desde el año 2008.
No me voy a comparar con los colegas europeos en cuanto al presupuesto,
porque no son las horas, pero es algo muy lamentable, teniendo en cuenta
que el número de reclamaciones se han multiplicado por cuatro. Con el
Reglamento General de Protección de Datos, las reclamaciones de ámbito
transfronterizo que afectan a las grandes empresas que tratan datos en
toda Europa, como puede ser Google, Twitter, etcétera, se tienen que
tramitar en procedimientos tremendamente complejos en inglés, y además,
la agencia se ha comprometido y se ha implicado de una manera
tremendamente partida; no solo en el Plan Estratégico, que empezó con 103
actuaciones, lo hemos cerrado con 150, también en el Plan de
Responsabilidad Social Corporativa, alineado a la Agenda 2030, donde
hemos realizado más de 75 guías y herramientas, hechas además con
carácter gratuito.
No han costado dinero con carácter general al tesoro público, porque la
proactividad del equipo de la agencia ha hecho que las hayan
desarrollado, o bien la unidad tecnológica, o bien a través de todo el
equipo del Comité de Coordinación en la agencia.
Aun así, de estar tramitando cuatro veces más volumen de reclamaciones, y
no tienen nada que ver las reclamaciones que nos llegaban en el 2008 a la
agencia, donde no había inteligencia artificial ni big data, no tenía
nada que ver con la complejidad de las reclamaciones que nos llegan
ahora. Hemos conseguido reducir los tiempos de investigación en un 66 %,
y los procedimientos sancionadores en un 91 %.
Sí quiero hacer una breve referencia a todo el tema de los menores en
Internet. Cuando en julio del 2015 me comprometí a poner en marcha un
servicio de atención a los menores, eso se puso en marcha a los tres
meses, en octubre de ese año, donde hemos recibido más de 1500 consultas,
y solo en estos tres años, 2017 al 2019, 400 000 visitas en el apartado
Tú Decides. Pero una de las grandes satisfacciones de este mandato -que
no ha sido muy sencillo- ha sido que a propuesta de la agencia
conseguimos que se incluyera -y quiero dar las gracias a los grupos- el
artículo 83 en la ley orgánica que, por primera vez en la democracia,
obliga a todas las comunidades autónomas a establecer en las asignaturas
de libre configuración el uso responsable de Internet y de las redes
sociales, con especial atención a la violencia de género.
Mi demanda era, quizás como madre y como responsable de la agencia, así
como se enseña a los chavales seguridad vial y que no se debe cruzar en
un paso de cebra si está el semáforo en rojo, la seguridad vial en
Internet es algo que los chavales empiezan a navegar y a descargarse
dibujos animados y vídeos en YouTube, desde que tienen tres años, a
veces, por la propia pasividad de los padres, quizás por desconocimiento.
Hay un problema grave que quiero poner encima de la mesa, que los grupos
deberían incentivar, que hay más de 500 000 jóvenes con adicciones a las
nuevas tecnologías, y sé que en la Ley de Protección a la Infancia y a la
Adolescencia, la que acaba de aprobar el Consejo de Ministros, este
martes, se va a abordar ese tema. Empezamos con un teléfono de atención a
los menores. Hemos acabado con la ley orgánica, consiguiendo que ya por
fin se regule el uso obligatorio de Internet.
Me alegra muchísimo saber que la agencia emitió un informe preceptivo a la
Ley de Protección a la Infancia y a la Adolescencia, contra la violencia.
Desde la agencia solicitamos que se incluyera el concepto de violencia
digital. Muchas veces, casi es más grave que se dé una paliza, que además
la paliza se grabe, y todo el entorno territorial de la comunidad
educativa sepa la humillación; y ya no hablamos, si estamos hablando de
violencia sexual, sepa la humillación que se está produciendo a la
víctima.
También se ha recogido un capítulo específico sobre la agencia y la
obligación que el coordinador de Bienestar deba estar en colaboración con
el centro educativo y denunciar a la agencia. Luego lo comentaré. Pusimos
en marcha un canal prioritario, que es pionero a nivel mundial, para
poder conseguir algo que a mí me preocupa enormemente, cuando
desgraciadamente nos enteramos por los medios del caso del suicidio de la
mujer de Iveco.
Nunca más debe pasar en nuestro país que una persona se suicide con motivo
de una difusión en redes sociales con impunidad, y nunca más una empresa
puede decir: "Eso no es un problema de la empresa. Ve a denunciar a las
fuerzas y cuerpos de seguridad, porque es un problema personal".
Trabajamos muy activamente con el Ministerio de Trabajo. Hicimos unas
recomendaciones, advirtiendo a las empresas de la responsabilidad, hasta
187 000 euros que pueden tener cuando no se proteja adecuadamente la
salud de los trabajadores en este ámbito.
Queremos advertir a los ciudadanos que no hay impunidad, que si se
difunden estos datos en las redes sociales, que afectan gravemente por el
carácter sexual o violento, se puede tener responsabilidad civil,
responsabilidad penal, y el sexteen es un delito. Hemos hecho también
propuestas de mejora de la actual redacción del Código Penal,
responsabilidad administrativa por protección de datos, y lo que hemos
dicho, desde la agencia vamos a tener tolerancia cero. O sea, han acudido
maltratadores a la agencia, pidiéndonos el derecho al olvido. ¿De qué?
Estamos hablando ahí de un interés social que no puede ser.
Precisamente, con motivo de esos temas, nos pusimos a trabajar con todas
las empresas principales de Internet, y conseguimos, si yo tuviera que
elegir una sola de las iniciativas que hemos puesto en marcha en la
agencia, sin lugar a dudas, sería el canal prioritario. Pusimos en marcha
el canal prioritario que, como digo, por ahora es la única iniciativa que
existe a nivel mundial, para conseguir dos objetivos. Por un lado, la
retirada de los contenidos urgente, antes de que se hagan virales.
Cuando el juez dicta medidas cautelares, ese vídeo ya se ha hecho viral.
Lógicamente, los juzgados están saturados, hay que en algunas ocasiones
proveer de abogado de oficio a la víctima, y aquí la inmediatez es
fundamental. Por un lado, la retirada urgente de los contenidos, y quiero
dar algunos datos. El 90 % de las órdenes de retirada de contenidos -que
es una competencia que tiene la agencia y que en virtud del canal
prioritario lo estamos dando a las empresas de Internet, que también
quiero poner en valor que han colaborado proactivamente en adherirse a
este mecanismo- se han retirado entre una hora y 72 horas. En algunas
ocasiones hemos salvado vidas por el feedback que nos han dado las
víctimas. Eso ya solo habría merecido la pena.
En segundo lugar, quiero transmitir que no hay impunidad. En paralelo, si
podemos tener pruebas de quién ha difundido esas, porque aquí tiene
responsabilidad no solo el que grava y difunde. Por ejemplo, una pareja
se graba la relación sexual, rompen, y luego por venganza la pareja lo
difunde. Ahí no hay legitimación, ahí habría responsabilidad penal. Pero
el que no ha grabado recibe esa información y por morbo lo difunde,
también tiene responsabilidad. Creo, y quiero hacer un llamamiento a
todos los grupos parlamentarios, desde mi experiencia estos cinco años en
la agencia, debería plantearse un pacto de Estado por la convivencia
ciudadana en el ámbito digital, y colaborar en advertir, a los ciudadanos
no hay que hablar solo de los derechos.
Los derechos digitales están muy bien, el derecho a la desconexión digital
es fundamental, pero en democracia, luego de un derecho hay una
obligación. Los ciudadanos deben saber que no todo vale, que no hay
impunidad y que hay responsabilidad, y esto es algo en lo que me gustaría
incidir.
En el marco de menores también hicimos un trabajo importante que se
coordinó en la agencia, con INCIDE y con AseguraTIC. Estuvimos
recopilando los mejores materiales que hay tanto públicos como privados.
Bueno, nosotros recopilamos los materiales, pero aquí el mérito es del
INTEF, fundamentalmente, el Ministerio de Educación, que pusimos en
marcha la web AseguraTIC. Es la mejor base de datos que hay sobre
seguridad y privacidad en el entorno digital, que está adaptada en
función de la edad, en función de si quien consulta es un chaval, son las
familias o es la propia comunidad educativa, y en función del tipo de
recursos que se quiere solicitar. Pusimos en marcha el curso NOC. El
segundo objetivo del Plan Estratégico es poder ofrecer seguridad jurídica
y confianza a los responsables y a los profesionales.
Yo entendía que la agencia tiene que estar como motor también de la
economía, y más en un momento en que la economía y la situación
empresarial está teniendo este retroceso en nuestro país.
Se creó en el 2015 la Unidad de Evaluación y Estudios Tecnológicos, para
poder abordar el impacto de estos nuevos planteamientos tecnológicos, con
big data, Internet de las cosas, con la mayor celeridad posible, y ayudar
a las empresas más innovadoras y al Gobierno, en los diferentes ámbitos,
cuando estén tratando con inteligencia artificial.
Como consecuencia de este objetivo, hemos puesto en marcha 76 guías y
herramientas. Sí querría destacar la herramienta Facilita que, como su
propio nombre indica, se creó y se elaboró gratuitamente por la unidad
tecnológica, para facilitar a los más de 3 millones de pymes en nuestro
país, sobre todo, que trataran datos de carácter básico, la adaptación al
Reglamento, porque somos conscientes que no todas pueden contratar un
equipo delegado de protección de datos, nombrarlo dentro de la plantilla,
porque hay poco personal, en muchas ocasiones contratados.
Ha habido ya más de 600 000 descargas de la herramienta, y ha recibido el
premio Global de la Conferencia Internacional de Protección de Datos.
Ayer o antes de ayer hemos puesto a disposición de las empresas de ámbito
tecnológico y las startups un segundo paso, que es Facilita, Emprende.
También está la herramienta Gestiona, para poder facilitar el análisis de
riesgo.
En el 2017, esto supuso muchísimo trabajo, y si yo lo hubiera sabido
antes, seguramente nos lo habríamos planteado de otra manera, porque
tiene a dos inspectores, de los pocos que tenemos en la agencia,
prácticamente dedicados a este tema. Pusimos en marcha el esquema de
certificación de delegados de protección de datos, en colaboración con
ENAC. Ya hay casi 500 delegados de protección de datos certificados en
este esquema, donde se acredita un mínimo de formación o un mínimo de
experiencia y siete entidades certificadas con cargo al esquema.
El tercer objetivo del plan era adaptar el nuevo modelo de supervisión del
Reglamento a la ventanilla única, hasta que les comentaba en inglés que
era tan complejo, a los procedimientos transfronterizos.
El 6 % de las reclamaciones que hemos recibido en el 2019 han sido
precisamente reclamaciones que tenemos que coordinar en diferentes fases
del procedimiento con las autoridades de control europeas. Esto ha
supuesto una auténtica reorganización interna de la agencia. Se ha
quedado también el área de auditorías.
Es muy complicado, porque no hay unos criterios únicos a la hora de
imponer multas. No todas las autoridades partíamos de una tradición
sancionadora, pero no voy a detallar, por las horas.
Ha supuesto también la complejidad de la puesta en marcha del Comité
Europeo de Protección de Datos.
En este ámbito voy a pasar ya al cuarto objetivo, que es impulsar una
política de sostenibilidad y responsabilidad social en el marco de la
Agenda 2030 y los ODS. En los últimos meses estamos teniendo muchísima
prioridad con sensibilizar en los temas de violencia digital, en
innovación tecnológica. Aquí sí quiero hacer un llamamiento en relación
con la política de compliance.
Creo que los organismos supervisores, como somos la Agencia Española de
Protección de Datos, debemos dar ejemplo también de compliance. En este
sentido, pusimos en marcha, por un lado, a propuesta de la agencia se
incluyó el artículo 24 en la Ley Orgánica 3/2018, para posibilitar las
denuncias anónimas en relación con la última reforma del Código Penal y
los temas de compliance por parte de las empresas.
Pero entendíamos que la agencia también en ese tema tenía que ser
consecuente. Implantamos un código ético interno que se aplica a todo el
personal de la agencia, incluida la dirección, donde cualquier entidad,
cualquier personal propio de la agencia o cualquier ciudadano o entidad,
puede denunciar cualquier gestión irregular, contratación o conflicto de
intereses. Porque, en muchos casos, aquí los conflictos de intereses hay
que tener especial prevención. Imaginémonos un inspector, un instructor
de la agencia que está tramitando un expediente de Telefónica y que a lo
mejor le llama Telefónica.
O sea, eso no podría ser. Por eso, en el Código Ético prohibimos las
actividades de formación, por ejemplo, relacionadas con empresas
externas, para poder garantizar que no se producen conflictos de
intereses.
Una de las apuestas en la agencia ha sido el programa de teletrabajo. Me
gustaría, como decía antes, poder apoyar tanto al sector público como al
privado a perder ese miedo e implantar el teletrabajo de una manera más
generalizada.
El canal prioritario lo pusimos en marcha en septiembre del año pasado.
Quiero agradecer al Gobierno el apoyo que tuvimos. Nos incrementaron
levemente los medios, pero (palabras que no se entienden) protocolos,
tanto con la vicepresidenta primera; con la ministra de Educación; la
anterior ministra de trabajo; el actual ministro de Interior; la fiscal
general del Estado; y la presidenta del Consejo General de la Abogacía,
para poder contribuir a su difusión. Pero aquí nos queda algo pendiente.
El canal que puede tener muchísimo impacto. No solo entre los jóvenes
sino cualquiera de nosotros podemos ser afectados por esa violencia o esa
difusión de los datos, que nadie querríamos que se supiera, en Internet.
Yo pensaba, y tenía recelo, digo: "Dios mío, la iniciativa es muy útil,
pero vamos a morir de éxito y vamos a recibir miles de reclamaciones". No
han pasado de más de 100 las reclamaciones recibidas. Entonces, vimos que
algo fallaba.
Pusimos en marcha una campaña, que nos la declaró la (palabras que no se
entienden) de servicio público, porque no tenemos dinero y hubiera
costado millones de euros, y tanto Televisión Española como Grupo
Atresmedia como Mediaset, nos admitieron pasar los spots, solo tuvimos
que pagar la contratación de los vídeos. Tuvimos 47 millones de impactos
de audiencia, pero todavía a mí me dicen -el otro día tenía una reunión
con una directora de Igualdad, de un instituto de la mujer en una
comunidad autónoma, ayer la tuvimos con la Delegación de Violencia
Género- "Todavía eso no ha llegado". El canal sirve no solo para mujeres
víctimas de violencia de género, para cualquier hombre, para cualquier
persona que sea víctima de violencia en el ámbito digital.
La Asociación de Usuarios de Internet nos ha dado un premio a la campaña,
pero aquí todavía nos queda muchísimo por hacer, porque tenemos que
conseguir que la última persona de este país se entere de las
consecuencias que tiene un reenvío, que a veces damos a la tecla sin
pensar, y las víctimas, de que la agencia no es la responsable, y lo
digo, de esas locuciones extremas, que antes de poder contactar con una
compañía de seguros o telefónica, sueltan la Normativa de protección de
datos. No es responsable de eso.
La agencia está para ayudar a los ciudadanos a proteger el derecho
fundamental. Quizás, en un mundo del siglo XXI en países desarrollados,
sea el derecho fundamental que más nos jugamos desde que nos levantamos,
desde luego, es con el que estamos más conectados, desde que nos
levantamos hasta que nos acostamos.
Aquí yo sí que pido que todas las fuerzas políticas ayuden, porque todavía
nos queda mucho por hacer. Ya se ha recogido ese canal de denuncia en
esta Ley de Protección a la Infancia que se aprobó
por Consejo de Ministros y que vendrá a tramitación parlamentaria. Yo
espero que eso tenga la unanimidad de todos los grupos en su aprobación.
En relación con la igualdad, hemos hecho unas actuaciones bastante
proactivas, un microsite sobre violencia de género. Adaptamos el producto
de acoso sexual de la (palabras que no se entienden) al ámbito digital.
Hemos hecho recomendaciones para el sector privado, para las empresas,
para que nunca más vuelva a pasar el caso de la mujer de Iveco.
Estamos impulsando un grupo de trabajo de violencia de género. Todavía hay
temas que tenemos pendientes.
Hay constituido un grupo de trabajo, desde hace dos años en la agencia,
sobre temas de violencia digital. Pero nos queda pendiente, y ayer lo
acordamos así con la actual delegada de Violencia de Género, poder
colaborar con el Ministerio de Justicia y el Consejo General del Poder
Judicial, en la minimización de los datos de las víctimas en los
procedimientos judiciales, en el caso de las víctimas de violencia de
género.
En relación con innovación y protección de datos, no me voy a extender.
En relación con compliance, ya he hablado del Código Ético. Sí que hemos
hecho muchísimo esfuerzo respecto a la participación y a la
transparencia. Hemos tenido más de 600 actos públicos tanto con el sector
privado como con el sector público. Establecimos seis sectores
estratégicos de la economía nacional: sector financiero, seguros,
suministros de energía, gas, telecomunicaciones, superficies de gran
consumo y turismo, donde hemos estado teniendo reuniones periódicas para
que perdieran el miedo a acercarse a la agencia, nos preguntaran qué
problemas tenían e intentar ayudar. A mí me interesa mucho más que
sancionar y que una empresa tenga que cerrar, que se pueda aplicar desde
el defecto. O sea, desde el diseño y por defecto, la política de
privacidad.
Voy a seguir abreviando. Sí que quiero hacer un llamamiento, todo esto se
ha hecho a base de un estrés mantenido en el tiempo, bastante alto, y una
dedicación excelente por parte del personal de la agencia.
Pero no puede ser que el presupuesto de la agencia esté prácticamente
congelado desde el año 2008, cuando no llegaban a 3500 las reclamaciones,
ahora tenemos de media 14 000, cuando las reclamaciones eran: "Me ha
llegado publicidad a mi domicilio", que era mucho menos invasivo de lo
que es ahora el tratamiento de datos con la inteligencia artificial. Que
la relación de puestos de trabajo en este mandato solo ha aumentado 35
puestos. Ahora mismo tenemos 200, pero solo tenemos 170 cubiertos, porque
el resto son la mayoría personal administrativo, niveles 14 y 15, aunque
sacamos los concursos, nadie viene.
Voy a dar solo unos datos del incremento que han tenido mis colegas
europeos. Lo digo, no sé si con admiración o con envidia; 305 personas de
incremento en el Reino Unido; más de 400 en Alemania; 115 en Holanda; 124
en Irlanda y Polonia, que tienen la misma dimensión territorial que
nosotros, 105; nosotros, 35.
Yo entiendo que es complicado un mandato con cinco Gobiernos, pero si de
verdad este Gobierno quiere, o los que vengan, quiere apostar por
garantizar el derecho fundamental, lo mismo que se están incrementando
presupuestos en materia de seguridad, hago un llamamiento público al
incremento del presupuesto y de los medios personales a la agencia,
porque no se puede pedir ya más esfuerzo y más dedicación al personal,
que tiene todo mi reconocimiento.
Creo que queda también pendiente, y luego también haré autocrítica de las
cosas que nos quedan pendientes, creo que queda pendiente impulsar, como
decía antes, un pacto de Estado por la convivencia de la ciudadanía en el
ámbito digital, donde queden muy claras las responsabilidades civiles,
penales, administrativas y, en su caso, educativas y laborales. Creo que
es necesario que, si los Gobiernos van a trabajar, y está claro, en
proyectos de inteligencia artificial, la agencia, que ahora mismo no lo
está, debe formar parte de los grupos de trabajo, para poder ayudar a los
Gobiernos a dar seguridad y que luego no haya problemas ni reclamaciones
judiciales ni reclamaciones administrativas ni descrédito político en el
tratamiento de los datos masivos por parte de los ciudadanos.
Muy brevemente, ya para terminar, estuve repasando ayer los compromisos
que adquirí en esta sede, el 22 de julio del 2015, cuando comparecí,
(palabras que no se entienden) era elegida. Quiero agradecer también a
los grupos parlamentarios que votaron a favor y los que se abstuvieron,
por la confianza, y espero no haber defraudado.
Uno de mis compromisos fue potenciar el papel proactivo de la agencia.
Creo que las 75 guías y herramientas, aunque, por supuesto que nos han
quedado cosas por hacer, puede ser una muestra de ello.
Otro de los compromisos era facilitar a los sujetos obligados el
cumplimiento de la Normativa, y quizás las herramientas Facilita,
Facilita, Emprende y Gestiona, puedan haber ayudado. Otro compromiso en
relación con los menores a la que yo me he referido.
Fomentar el uso de la sede electrónica fue otro. Desde el 2017 al 2019 la
sede electrónica tiene una media 43 000 entradas, que es casi la tercera
parte, casi el doble de las cifras del 2015.
Otro de los compromisos fue poner en marcha un teléfono de comunicación y
de atención especializada a los jóvenes.
Otro fue potenciar reuniones sectoriales. Ya he comentado las que hemos
hecho con los sectores estratégicos. Adaptar internamente la agencia,
para dotarla de mayor flexibilidad. Nuevos planteamientos proactivos,
como ha sido la creación de la Unidad de Evaluación y Estudios
Tecnológicos.
Por último, sí quería comentar, ahora mismo está en tramitación el real
decreto del estatuto de la agencia. Como saben, en la ley orgánica se
creó un nuevo alto cargo, que es el adjunto o la adjunta a la agencia.
Quedan por definir aún las funciones y el rango.
Como ustedes saben, mi mandato era de cuatro años, finalizó el 27 de julio
del año pasado. Yo estoy, lo digo, es un chascarrillo, caducada.
Lógicamente, creo que sería importante que las instituciones, y más los
organismos reguladores, no están paralizados por la inestabilidad
parlamentaria que hay. Es fundamental que se pueda proceder a la
renovación.
Quiero aprovechar para anunciar públicamente que no me voy a presentar a
la reelección. Pero que en paralelo a que los grupos parlamentarios,
porque he conocido el informe de Hacienda y de Función Pública al
borrador del real decreto del estatuto de la agencia, y una de las
premisas es que no debe suponer incremento de gasto. Explíquenme de dónde
se va a financiar, por ejemplo, el adjunto.
Pero yo pido a los grupos parlamentarios que, igual que se va a hacer un
esfuerzo y un consenso, que espero que sea pronto, para poder proceder a
la renovación de la agencia, ese esfuerzo para dotar a la agencia de los
medios necesarios en un mundo de inteligencia artificial y en un mundo
virtual en el que estamos, se transmita también, por favor, al Ministerio
de Hacienda y por una vez la agencia tenga los medios personales y el
presupuesto que realmente merece.
Hay temas que nos quedan pendientes, como es por ejemplo el esquema de
certificación de procesos. Tenemos muchas líneas de trabajo abiertas. Hay
guías en marcha, como, por ejemplo, la guía de tratamiento de datos de
relaciones sanitarias. Tenemos pendiente una guía en relación con
investigación biomédica, pero ya no puedo pedir más al personal.
Bueno, seguramente en algunas de las más de 50 000 resoluciones las
podríamos haber hecho mejor o nos habremos equivocado.
Sé que he ido muy rápido. Siento el tiempo y las horas, y desde este
momento, como no podía ser de otra manera, pongo a disposición de los
diferentes grupos, para poder ampliar la información o cualquier duda que
tengan.
Muchísimas gracias.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Muchas gracias. Empezamos
ahora con el turno de los grupos parlamentarios. En principio, si no me
equivoco, tiene la palabra por el Grupo Parlamentario de Ciudadanos,
Pablo Cambronero Piqueras.
El señor CAMBRONERO PIQUERAS: Muchas gracias, presidenta. Gracias a la
directora de la Agencia Española de Protección de Datos, por su
comparecencia, la multitud de datos que nos ha ofrecido en un tiempo
récord, la verdad, y también por las memorias que nos ha facilitado, así
como la información.
Antes de empezar, quiero transmitirle que, como padre, preocupado también
por la educación de mis hijas, nos anima mucho que esté también muy
preocupada por los niños y los adolescentes, y los animo a seguir en esa
escena de trabajo el tiempo que le quede, como ya ha dicho que no se va a
presentar a la reelección, el tiempo que le quede.
Recogemos también el guante que nos ha lanzado con respecto al pacto de
Estado de convivencia propuesto, creemos que es una gran idea, sobre
todo, en el ámbito tecnológico.
Empiezo por lo general, la Ley Orgánica de Protección de Datos de Carácter
Personal, aprobada a finales de 2018, tuvo como finalidad; primero,
adaptar nuestro ordenamiento jurídico al Reglamento 2016/679, del
Parlamento Europeo y el consejo; y como segundo objetivo, reforzar el
ejercicio del derecho fundamental de las personas físicas a la protección
de datos.
Pues bien, desde esa perspectiva nos gustaría preguntarle: ¿considera que
esa ley orgánica realmente ha fortalecido el ejercicio de este derecho
fundamental?
Es una adaptación de Normativa, como lo es el Reglamento, y como fue una
transposición de este Reglamento, siempre hay un lugar a la
interpretación. La posibilidad de interpretar a veces se traduce en
modificaciones que pueden hasta desnaturalizar la norma inicial. Por eso
le pregunto: ¿ha observado usted algún aspecto que constando en el
Reglamento europeo no conste en nuestra ley orgánica o a la inversa?
En definitiva, si considera que la ley es respetuosa con la esencia del
propio Reglamento.
A nuestro grupo parlamentario la cuestión que también nos preocupa más es
también la independencia de la Agencia Española de Protección de Datos,
la verdad. No es objeto de esta comparecencia, ni mucho menos de mi
intervención, decir que usted no lo sea, que no sea independiente, para
nada. Pero ciertamente, la redacción del artículo 48 de esta ley orgánica
invita a una problemática que queremos transmitirle. Este establece que
el presidente de la agencia será nombrado por el Gobierno a propuesta del
Ministerio de Justicia, entre profesionales de reconocida competencia, de
conocimientos y experiencia acreditados.
Conceptualmente, ¿le parece adecuado que el presidente sea nombrado de
manera discrecional por el Gobierno?
Otra pregunta: ¿considera que este método de designación en abstracto
garantiza la independencia de la agencia? ¿Usted hubiera preferido un
sistema de concurrencia diferente? Público, concurrencia pública.
A estos efectos, nos gustaría recordar que el artículo 52 del Reglamento
de la Unión Europea exige que la autoridad de control actúe con total
independencia en el desempeño de sus funciones y en el ejercicio de sus
poderes. Le pregunto de nuevo: ¿considera que cualquier futuro presidente
-ya que usted no lo va a hacer- de la Agencia Española de Protección de
Datos, puede ser totalmente independiente y ajeno a toda influencia
externa si es nombrado por el Gobierno?
En relación con las anteriores cuestiones, nos llamó también la atención
la incorporación definitiva a la ley orgánica de algo que no estaba
previsto, el Consejo Consultivo.
Consideramos que la regulación de este Consejo Consultivo es, como mínimo,
mejorable. Mejorable, primero, por la composición variopinta del mismo,
porque un diputado, un senador, expertos en protección de datos, un
representante del Consejo General del Poder Judicial, un representante de
la Administración general, de la Administración local, etcétera. Después,
por la remisión a la regulación parlamentaria de su régimen, competencias
y funcionamiento.
La pregunta es obligada: ¿cree necesario que exista este Consejo
Consultivo? ¿Le parece adecuado el listado que establece el artículo 49,
de su composición? ¿O tiene prevista o cree que es mejor un listado o una
composición diferente?
¿No le parecería oportuno que la Ley Orgánica de Protección de Datos
regulara las bases jurídicas del consejo?
También me gustaría preguntarle, sé que van a ser muchas preguntas y sé
que quizá no tenga tiempo para responder a todas, pero no se preocupe,
porque si se nos queda alguna en el tintero, se las recuerdo después. Es
sobre los sistemas de información crediticia. Se establece que se
presumirá lícito el tratamiento de datos personales, relativos al
incumplimiento de obligaciones dinerarias, incumplimiento, financieras o
de crédito. Consideramos, sin embargo, que hemos perdido una oportunidad
de oro para regular los ficheros positivos de solvencia, en línea con la
regulación que ya existe en otros países. ¿Usted consideraría positivo
para los consumidores, que las empresas, especialmente, las entidades
financieras, pudieran compartir esos datos positivos de solvencia?
¿No cree que podía fomentar la confección de crédito responsable y evitar
el sobreendeudamiento de los consumidores?
Además, es claro que tanto el Reglamento como la ley orgánica han
pretendido potenciar la figura del delegado de protección de datos. Usted
lo ha mencionado, que es una persona física o jurídica cuya designación
ha de ser comunicada a la autoridad competente, que mantendrá relación
con la Agencia Española de Protección de Datos.
En la memoria de la agencia, correspondiente al año 2019, se refieren a su
propósito como parte del Plan Estratégico, de invertir en la promoción y
apoyo a los delegados de protección de datos. Le pregunto: ¿cómo está
funcionando la comunicación entre la agencia y los delegados? ¿La
información de estos está resultando provechosa? ¿Hay algo que pueda
mejorarse, a su juicio?
Por último, no quiero ser muy extenso, porque sé que le planteo muchísimas
preguntas, me gustaría saber si la agencia tiene un plan definido para la
implementación general y en lo largo del tiempo del
teletrabajo. Ya nos ha dicho que sí, que lo ha hecho y que prácticamente
al cien por cien, y, de hecho, nos alegra mucho, porque no han tenido ni
un contagio, por lo que nos ha comentado.
A raíz de la crisis ocasionada por el COVID-19, y nos ha mencionado
también la digitalización progresiva de la agencia. ¿Nos podría ahondar
un poquito más en qué sistemas concretos?
Con respecto a los expedientes que ha mencionado, ¿hay alguno que apunte
ser susceptible de sanción? Nos ha dicho que la mayoría podrán ser
previsiblemente archivados. Pero si hay alguno que tenga más pinta de ser
con una conducta sancionable.
¿Han resuelto con sanción durante la pandemia algún procedimiento por
comportamiento contrario a la Ley de Protección de Datos?
Nada más. Simplemente darle las gracias de nuevo por la información, por
todos los datos que nos ha pasado, la verdad es que muy útiles.
Debo decirle que estamos muy en consonancia con lo que son sus políticas
con respeto también a la protección de las personas.
Muchas gracias.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Gracias.
Ahora tiene la palabra por el Grupo Parlamentario Confederal Unidas
Podemos-En Comú Podem-Galicia en Común, tiene la palabra Ismael Cortés.
El señor CORTÉS GÓMEZ: Gracias, presidenta.
Gracias a la señora Mar España, por el detallado informe que ha
presentado, y también por el delineamiento del final que ha expuesto.
Mi intervención irá más focalizada en el contexto actual del COVID-19, y
después plantearé algunas cuestiones al final de mi intervención, de
carácter más general.
La crisis ha supuesto una actuación extraordinaria por parte del Gobierno,
para proteger la salud y la seguridad de la ciudadanía. Cumpliendo con la
responsabilidad de protección, ante todo, ha tomado medidas en todos los
ámbitos, para contener la progresión de la enfermedad.
Si bien es cierto que hemos alcanzado niveles de contagio de los más
elevados de Europa, también es cierto que hemos sido uno de los países
que ha actuado de manera más rápida para frenar esta situación. A este
respecto, creemos que el uso de los datos anónimos a gran escala, como ya
se ha mencionado aquí, ha sido realmente útil para contener la
propagación del COVID-19.
En función de los datos se ha podido tener una aproximación real de los
focos de contagio y de las tendencias, para aplicar medidas que han
frenado la expansión de la pandemia.
Como ya se ha mencionado, algunas instituciones internacionales han
advertido que, de no haber hecho uso de los recursos a nuestro alcance,
la enfermedad, el COVID había tenido una. Perdón, nuestro Gobierno habría
tenido una actitud irresponsable para afrontar la severidad con la que
España ha sufrido el COVID-19.
Quiero resaltar algo que ha hecho mención la ponente, y es que el 12 de
marzo, la Agencia Estatal de Protección de Datos publicó un informe sobre
los tratamientos de datos en relación con el COVID. Se indicaba que el
Reglamento General de Protección de Datos contiene las salvaguardas
legales para el tratamiento de datos personales, en situaciones de
excepcionalidad como la presente.
El informe facilitó que más tarde se produjese una cadena de información
eficaz entre el Gobierno, el Ministerio de Sanidad, las comunidades
autónomas y los hospitales.
Desde mi grupo creemos que se ha actuado con rigor, siguiendo la ley y las
indicaciones europeas. Entendemos que los datos anónimos de movimiento y
de geolocalización se han utilizado estrictamente con fines sanitario,
respondiendo a la protección de la población frente al virus. La
legislación ampara este uso de los datos en supuestos excepcionales, como
es el momento actual.
Las aplicaciones informáticas, por otro lado, también han permitido
asistir a mujeres que son víctimas de malos tratos y que conviven con su
agresor durante el tiempo de confinamiento, a través de canales como el
centro virtual sobre la violencia de género.
Dicho esto, también quiero señalar algunos desafíos a los que nos
enfrentamos en el actual estado de alarma. En un famoso artículo
publicado en El País, por el filósofo coreano Byung-Chul Han, afirmaba
que la conciencia crítica ante la vigilancia digital, en Asia es
prácticamente inexistente, y apenas se habla ya de protección digital en
Estados liberales como Japón o Corea.
Sin embargo, y creo que aquí podemos acordar todos los que estamos en esta
sala, en Europa, la cultura política es diferente respecto a la
intromisión del Estado en la privacidad ciudadana.
Por lo tanto, a la hora de establecer formas de evitar contagios, se han
de tener en cuenta las diferencias culturales entre distintas
poblaciones.
El gran desafío -como se ha indicado también en la ponencia- es de hacer
compatible la seguridad sanitaria en tiempos de pandemia, con una ética
de la privacidad, y conjugar el interés público para la investigación
epidemiológica con los derechos civiles fundamentales.
Vivimos una realidad líquida, cambiante y acelerada en el momento
presente, y esto nos obliga a pensar en la ética del uso de los datos,
que implique tanto a las Administraciones públicas, pero también a las
empresas y, por supuesto, la centralidad de la ciudadanía.
Creo que hay que poner en el centro del debate el consentimiento
individual de los datos anonimizados, y la Comisión Europea es clara al
respecto. De acuerdo con las declaraciones de (palabras que no se
entienden), para la cadena Euronews, es fundamental que la instalación y
el uso de cualquier aplicación sea voluntaria.
Hay países que nos demuestran que el momento de la medicina participativa,
a través del uso de smartphone o aprender el uso de inteligencia
artificial, como pueden ser los chatbots, es imprescindible en estos
momentos.
Consultar las dudas de la ciudadanía, preguntando acerca de sus síntomas o
declarar voluntariamente los propios casos de contagio o el contacto con
otros contagiados, permitiría dar prioridad a los test para aquellos que
sean sospechosos portadores del COVID.
Dicho esto, quiero plantear tres preguntas a la ponente. La primera, a
mediados de abril, la compañía de vuelos Emirates, con sede en Dubái, se
convirtió en la primera aerolínea en hacer el test del COVID a todos sus
pasajeros. ¿Se contempla la posibilidad de que España requiera
certificados de test a los pasajeros procedentes de vuelos
internacionales?
La segunda cuestión tiene que ver con la vigilancia digital de las
diferentes formas de violencia. Usted ha mencionado la violencia sexista
y la violencia infantil. Yo quería hacer una pregunta, sobre todo, tipos
de violencias, que es la violencia racista y la violencia terrorista.
En el pasado mayo, en Francia, y en febrero en Alemania, se pasó una
estricta ley de violencia digital, que penalizaba no solamente en los
contenidos de violencia sexista, infantil, terrorista y racista, sino
también el discurso de odio. En el caso de episodios de violencia se
instaba a las grandes corporaciones digitales, como pueden ser Google,
Twitter o Facebook, a quitar el contenido en menos de una hora, y en el
caso en que tuviera discurso de odio, en menos de 24 horas.
La pena para las compañías que no cooperasen con esta Normativa, llegarían
a alcanzar los 50 millones de euros.
Además de retirar el contenido, deberían informar a un cuerpo especial
policial de los contenidos subidos a la red.
Quería saber qué valoración hace usted de estas leyes, y si ve la
posibilidad de que una actuación similar podría llevarse a cabo en
España. Gracias.
El señor ZAMBRANO GARCÍA-RÁEZ: Muchas gracias, presidenta.
Muchas gracias por comparecer y por su amplia exposición, porque me ha
contestado prácticamente todo lo que le iba a preguntar.
Una de las cosas que le iba a preguntar es si se va a presentar a la
renovación de su cargo, y otra eran los medios que necesita la agencia.
Entiendo que muchos.
Estoy interesado por Brexit. Usted aprecia que hay cierta brecha en
nuestra sociedad, y, sobre todo, en el tejido empresarial, a la hora de
poder acceder al conocimiento y al cumplimiento de las normas de
protección de datos. Porque claro, como usted ya ha dicho, una empresa
pequeña no tiene los mismos medios para acceder al conocimiento y a la
gestión de la complejidad que supone ya cada día más el cumplimiento de
las normas. Aunque también he podido entender que han avanzado algo,
bueno, bastante en lo que son los instrumentos para este fin.
Se ha hablado de independencia. Lo que le quería preguntar es si usted se
ha sentido independiente en el ejercicio de su cargo. Por supuesto que
desde Vox lo que pretendemos siempre es que instituciones de este tipo
sean lo más independiente posible. Porque creemos que, efectivamente, es
hacer una importante labor de control, la cual es esencial, para algo que
consideramos que es que haya confianza en la población, sobre todo en las
empresas, a la hora de sentir que sus datos están protegidos, y que eso,
sin duda, influye mucho en lo que es el desarrollo económico. Sin
confianza no hay acceso.
Me gustaría que me ampliase usted su apreciación sobre las labores de
monitorización que han sido tan discutidas en las últimas semanas, desde
lo que es la Administración central del Estado. He entendido, no sé si lo
he entendido bien, que en realidad cuando la agencia ha tenido
conocimiento por la prensa de alguna situación en la que ha tenido que
actuar, bueno, prácticamente de oficio, ha sido Generalidad Valenciana y
Administración central, fundamentalmente, ¿no?
O sea, que ha sido básicamente desde ministerios o lo que es la
Generalidad Valenciana, que han tenido ustedes que dar un paso adelante
allí para poder abrir expediente. Porque entiendo que el expediente
número 9 que usted ha citado, se refiere a precisamente lo que decía
antes, lo que son las labores que se hacen de monitorización desde el
Ministerio del Interior, si lo he entendido.
En ese caso, me gustaría que usted me valorase, si es posible, la
apreciación que tiene usted sobre esa labor.
También me gustaría saber si usted cree que las Administraciones públicas
en general respetan la Normativa de protección de datos. ¿Hasta qué punto
hay un buen grado de cumplimiento de la Administración pública, en
general? Me paro especialmente en la Administración de Justicia, porque,
bueno, a lo mejor soy un poco egoísta, pero como he ejercido como abogado
durante 25 años, si es verdad que entrar en un juzgado, con los pocos
medios que tienen, pues sin duda a veces crea cierta desconfianza en
cuanto al trato de los datos, al trato de los expedientes.
Yo no sé si hay alguna actuación específica de la agencia, respecto a
alguna rama de la Administración en especial, y especialmente lo que es
la Administración de Justicia, lo que es el tratamiento de los datos;
sobre todo, cuando además vemos que ciertos datos de procedimientos
judiciales, etcétera, trascienden a la opinión pública.
Por último, voy a repasar las preguntas, no sean tantas.
El resto se las voy a dejar para la próxima.
Muchas gracias.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Gracias.
Por el Grupo Parlamentario Popular, tiene la palabra María Jesús Moro
Almaraz.
La señora MORO ALMARAZ: Gracias, presidenta.
Buenas tardes. Muchas gracias a la directora de la agencia, señora España.
Es necesario que inicie la intervención, necesario, y además, convencida
de ello, agradeciendo el trabajo de la agencia y de su directora, en los
últimos años, de los que ha hecho un exhaustivo balance, y que ha sido en
un momento clave, de un cambio regulatorio en la Unión Europea y, en
consecuencia, también en España, en materia de protección de datos;
cambio regulatorio y cambio de modelo, al que prácticamente no nos hemos
podido adaptar, cuando los retos nos han superado.
También nuestro reconocimiento por la tarea realizada durante el estado de
alarma, que usted ha relatado profusamente, en un servicio que para
nosotros es esencial. Lo es siempre, y más en una situación de un estado
excepcional que se ha declarado con extremas medidas de confinamiento de
la población.
En el informe de análisis de tecnologías COVID de la agencia, usted dice:
"Nuestra sociedad se encuentra en un punto de inflexión crítico, no solo
debido a la situación de pandemia, sino en relación con el planteamiento
del modelo de derechos y libertades. Por lo tanto, hay que ser
especialmente cuidadosos a la hora de tomar medidas que puedan tener
consecuencias irreversibles y que puedan estar guiadas únicamente por la
urgencia y el miedo o, lo que es peor, otros intereses".
Desde luego, yo no lo hubiera dicho mejor. El Grupo Popular ha mostrado y
sigue mostrando la convicción de que en esta situación es imposible la
máxima apertura en los poderes del Estado y el fortalecimiento del
funcionamiento de instituciones y organismos, como es el caso de la
Agencia de Protección de Datos, que permitan garantizar los derechos y
libertades de los ciudadanos y mantener el check balance que distingue a
las verdaderas democracias, incluso en situaciones excepcionales o
precisamente en ellas, ofreciendo transparencia y controles claros y
eficaces a los poderes exorbitantes del Ejecutivo, que los tiene, y los
tiene en el marco constitucional.
En nuestro grupo hemos denunciado ese intento de lo que podríamos llamar,
siguiendo una nomenclatura que le gusta al Gobierno, de hibernación de
derechos y libertades por parte del Ejecutivo, más allá de lo que resiste
justificar el amparo de la Constitución. Incluso, se ha intentado
bloquear el correcto funcionamiento de esta comisión constitucional, y
ello, aunque es la comisión de referencia en el Congreso, para los
estados de excepción, en este caso, para el estado de alarma, y la
competente, por
tanto, para solicitar al Ejecutivo todos aquellos informes, comparecencias
y documentos que permitan hacer el seguimiento preciso, la evaluación
también, en ese control al Gobierno y a los titulares del mando único.
Hoy vemos claramente, como en otras comparecencias, que es útil y que es
necesario.
No ha entendido el Gobierno que la pandemia y el estado de alarma no podía
suspender los derechos y libertades de los ciudadanos, como tampoco podía
suspender el funcionamiento pleno de las Cortes Generales, del Poder
Judicial, del Tribunal Constitucional, de la Agencia de Protección de
Datos y del Consejo de Transparencia, por citar algunos de los puntales
que creo, creemos desde mi grupo necesario. Este, por tanto, es el
fundamento que nos llevó a la petición de la comparecencia y que ha
añadido usted los datos sobre la gestión en estos años.
Junto al confinamiento de los ciudadanos y la hibernación de la economía
con el estado de alarma, el Gobierno ha puesto demasiado empeño en
hibernar los instrumentos de garantía de los derechos y de control del
poder de Ejecutivo y los mecanismos de transparencia. La gestión de esta
crisis en confinamiento ha lanzado mensajes alarmantes a los ciudadanos
de poco respeto a la privacidad, también de poco respeto a otros de sus
derechos fundamentales.
En plena incertidumbre con la crisis sanitaria, los ciudadanos han sido,
hemos sido abrumados con noticias y profusión normativa de carácter
intervencionista, desarrolladas en los normales filtros y estándares de
participación democrática en su elaboración. Conceptos que para muchos
les han sonado a una extraordinaria alarma, geolocalización,
rastreadores, pasaportes de inmunidad, arcas de Noé, apps y webs de
reconocimiento, seguimiento, detección de síntomas. Todo ello aparecía
aflorando una apariencia de renuncia a la propia intimidad o de dejación
de los derechos fundamentales. Esto se hubiera resuelto, como hemos
podido ver en la tarde de hoy, con trasparencia, no por hiperinformarse,
si me permite la palabra, los ciudadanos pueden recibir mejor en una
situación de temor, que es lo que están haciendo los poderes públicos por
ellos.
El estado de alarma no puede determinar, ya se ha dicho, la suspensión de
derechos fundamentales ni la derogación de las normas de protección de la
privacidad, y ustedes han insistido en uno y otro informe sobre el tema,
y nos parece muy adecuado. Porque hemos asistido atónitos, algo se ha
dejado caer en alguna intervención previa, a la exaltación pública, de
forma acrítica, de las bondades del atropello de la privacidad en
sistemas políticos poco democráticos; atribuyendo no solo eficacia en la
detención de la enfermedad, sino de la gestión sanitaria, y dando por
buena una sujeción ilimitada e incondicionada a las decisiones de los
poderes públicos, adoptadas bajo la consecuencia de pérdida de derechos y
libertades y utilizando todo aquello que la tecnología permite hacer, sin
reflexión previa de si es legal y si constitucionalmente es posible
utilizarlo sin cautela. Nadie puede negar, y nosotros menos, que los
bienes, vida, integridad física y salud pública tienen un valor
extraordinario, pero que colisionan con otros derechos fundamentales y
que estrechan especialmente los límites de la privacidad, del derecho a
la intimidad, pero no son ilimitados y no pueden anular los demás
derechos.
Así que ponderación y proporcionalidad son parámetros que no se pueden
dejar de lado si se quiere mantener el adecuado equilibrio
constitucional.
Vivimos malos tiempos, en los que los binomios, privacidad-seguridad,
salud-privacidad, debilitan profundamente el derecho a la intimidad. Pero
eso no significa que deba ser atropellada sin recurso alguno al
ciudadano. Estamos en la edad del big data, como bien se ha puesto de
manifiesto, y, por tanto, junto a finalidades absolutamente legítimas y
que hay que mantener, y que no pasa nada, simplemente porque se hable de
ellas y se mejoren los protocolos. Vivimos una carrera loca por controlar
el mercado de los datos personales, con finalidades muy distintas, y que,
desde luego, no pueden tener amparo en un sistema como el Europeo de
Protección de Datos, y, mucho menos, el constitucional español.
A pesar de lo que anuncia en sus entrevistas la vicepresidenta Calvo, la
gestión del estado de alarma no ha sido ejemplar. En lugar de reforzar
instituciones garantizadoras del respeto a los derechos de los
ciudadanos, como la agencia, se han priorizado actitudes autoritarias,
propuestas intervencionistas y decisiones que primaban dentro; la
monitorización, la intromisión a la libertad de expresión, etcétera,
antes que la transparencia y la protección de privacidad.
Hemos visto, y tenía varias preguntas, pero algunos han sido contestadas,
cómo indudablemente la agencia ha tenido que ser proactiva y ha tenido
que reaccionar.
Es verdad, y vamos a reconocerlo, que la situación era urgente, era
alarmante, y que, por tanto, hay que poner toda la mecánica en marcha.
Pero creo que ha sido una prueba de cómo pueden reaccionar los distintos
ministerios, las distintas Administraciones y también las personas
privadas. Por tanto, nosotros creíamos que era imprescindible que el
Congreso de los Diputados tuviera conocimiento de ello, porque
a pesar de la extraordinaria labor de la agencia, creemos que se ha
producido una sordina sobre su trabajo.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Señora Moro, tiene que ir
acabando.
La señora MORO ALMARAZ: Voy a terminar muy rápido.
Gracias, presidenta, si me permite, para terminar la argumentación. Se ha
producido una sordina. Esa sordina, por mucho que ustedes se empeñan,
efectivamente, con el trabajo, indudablemente hace hablar más a las
sospechas de monitorización, que haber dejado claramente que tiene que
haber campañas de asesoramiento promovidas por el Gobierno, para que los
ciudadanos no tengan temor ante estas actuaciones.
Por tanto, nos preocupa, y lo voy a dejar para después, dos ámbitos, que
tengo varias preguntas pero que no me da tiempo, pero sí los quiero
señalar. Nos preocupa por qué ha habido esa desigualdad en los distintos
ministerios, a la hora de afrontar sus obligaciones en materia de
privacidad. Agradecemos que la agencia haya actuado de oficio, y que siga
habiendo esa desigualdad en los expedientes, en la instrucción de los
expedientes que se realizan en este momento.
Nos preocupa una segunda cosa todavía más. Nos preocupa que estas
actuaciones, que son excepcionales, porque todavía estamos en estado de
alarma, se puedan normalizar. Se intente justificar una normalización
después de esa nueva normalidad, y me permitirán el trabalenguas. No
queremos desde mi grupo parlamentario que se maneje el temor social, y
que después, con ese temor social se aproveche para convertir en
normalidad la intromisión, que ya no es en estado de alarma, que ya no es
en estado de emergencia.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Señora Moro, tiene que ir
acabando, porque lleva ya casi dos minutos.
La señora MORO ALMARAZ: Perdón.
Bien, esto, y después le haré alguna pregunta concreta para que me detalle
alguno de los expedientes.
Gracias, y disculpe.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Gracias.
Ahora tiene la palabra por el Grupo Parlamentario Socialista, Odón Elorza
González.
El señor ELORZA GONZÁLEZ: (Palabras que no se entienden). Buenas tardes,
presidenta, y a todos ustedes.
La verdad es que tenía mis dudas, pero reconozco que hacer 1000 kilómetros
en mi coche para venir aquí únicamente para escucharla a usted, ha
merecido la pena. Me parece una intervención, nos parece una
intervención, como hemos comentado, realmente enriquecedora.
Una intervención que ha explicado con detalle, dentro del tiempo que ha
dispuesto usted, los trabajos que ha realizado la agencia nos han
descubierto -a mí en particular- espacios de trabajo nuevos que no
sospechado, y nos ha aportado realmente elementos para trabajar en los
próximos meses y años, en cuestiones fundamentales que usted ha
vivenciado, y que, de alguna manera se puede decir que ha dejado una
herencia muy rica, muy positiva. Lo cual, además nos congratula,
conociendo su trayectoria, porque no tiene nada que ver una cosa con la
otra.
Precisamente, se demuestra que una persona con usted, nombrada por un
Gobierno anterior, ha realizado una labor pulcra, una labor excelente,
una labor independiente y muy celosa. Eso sí, muy celosa, quizá hasta en
exceso, como luego comprobaremos.
Pero dicho lo cual no quisiera que el Grupo Parlamentario Socialista
hiciera utilizar este tiempo para hacer una alabanza de las realizaciones
y de la actuación prudente, y más bien acertada, con sus errores, del
Gobierno. No queremos emular a la portavoz del Partido Popular, que ha
utilizado su tiempo, básicamente, para hacer, no sé si decir mitin,
campaña o parte de acoso al Gobierno, sino que queremos ser positivos y
plantearle una serie de consideraciones; algunas han sido ya formuladas,
no me voy a repetir, y otras las ha respondido usted ya en su
intervención.
Pero por precisar más, y con independencia de que nos volveremos a leer el
acta, porque ha dicho muchas cosas en poco tiempo, nos atrevemos a
preguntarle si, teniendo en cuenta, como se ha dicho ya aquí, esa
ecuación entre beneficios y riesgos y ese binomio a la hora de dar por
bueno, por eficaces, por proporcionadas, por ajustadas a la legalidad,
las aplicaciones tecnológicas, que algunas ha referido, otras
están contenidas, las siete aplicaciones tecnológicas están contempladas,
relatadas y explicadas, en cierto modo, en su documento de mayo del 2020.
Sobre estas siete aplicaciones, algunas de ellas ha hablado y de otras
no, y sobre también esas tres actuaciones en desarrollo, también
aplicaciones tecnológicas, sistemas innovadores que viene poniendo en
marcha la Secretaría de Estado de Digitalización e Inteligencia
Artificial, nos gustaría que nos dijera realmente si de todas ellas -yo
calculo que hay diez, pueden ser más- cuáles le parece a usted que
deberían ser las que conviene realmente trabajar, desarrollar a fondo,
garantizando las condiciones que usted ha dicho; evitando amenazas a la
privacidad; garantizando la libertad.
Pero siendo también, además, prácticos, y buscando aquellas herramientas e
instrumentos necesarios, imprescindibles, para, de acuerdo con la
cobertura que nos da en su día la directiva europea y la trasposición que
se hizo de la ley orgánica de hace tres años, podamos realmente afrontar
con las máximas garantías en situación de emergencia sanitaria, la salud
de las personas, en estos rebrotes que se están dando y que se van a dar,
sin ningún género de dudas. También, ante esa previsible cacareada, ayer
lo decía el Centro de Prevención Europeo, de esa segunda oleada que a
todos nos produce miedo o respeto.
Ante eso, cuáles de las aplicaciones tecnológicas que se vienen manejando,
usted ha hecho referencia a algunas de ellas, quizá demasiado rápido,
quizá a falta de tiempo, y para precisar y para que conste en acta,
¿sobre cuáles cree que trabajaría más a fondo?
Me consta que tuvo usted una entrevista recientemente, el día 20, con el
Ministro de Justicia. En tal sentido, no sé si nos podría detallar algo
más, una cuestión que nos ha parecido a todo el grupo, nos hemos mirado y
nos hemos (palabras que no se entienden), de gran interés, cuando ha
hecho usted referencia a la idea de un pacto de Estado por la convivencia
digital, en los términos en los que lo ha expresado, para que las redes
no sean lo que son esa locura. Me gustaría saber algo más, si tienen
ustedes -porque cuando hablamos de usted, nos referimos al conjunto de la
agencia, a la cual reconocemos, vistas las carencias presupuestarias y de
otro tipo, el trabajo que han realizado- nos gustaría saber si tiene
algún documento más desarrollado sobre esta idea.
No quisiéramos llegar, aunque nos ha parecido muy interesante la
referencia que ha hecho el portavoz de Izquierda Unida Podemos a la ley
alemana, en su día, tan controvertida. En parte, tampoco hay que tenerle
miedo a algún tipo de regulación, si está bien ajustado y es conforme a
derecho.
Por tanto, nos gustaría saber también, además de esta cuestión, si se ha
producido, yo creo que sí, creemos que sí, esa colaboración, ese espíritu
colaborativo entre la agencia que usted dirige y otros organismos con los
que ha tenido y tiene mucha relación la agencia de la AGE, de la
Administración General del Estado. Porque entiendo que usted ha hecho
referencias muy positivas a ese espíritu de colaboración, a logros, a
trabajos en común, a consecución de objetivos.
Pero también ha hecho esa referencia, esa coletilla continua. Yo le he
contado hasta 12 veces, a que "hemos tenido conocimiento por medio de la
prensa", "nos hemos enterado por la prensa", y estoy seguro de que usted
lo ha dicho con toda la mejor voluntad y con toda la intención, para que
quede constancia ¿de qué? ¿De que hay una incomunicación? ¿De que no hay
unos canales establecidos entre distintos organismos en una situación tan
excepcional como la que hemos vivido y vamos a vivir todavía, aunque
quizás en menor grado, durante esos tres meses, como consecuencia del
COVID? ¿No hay unos canales de comunicación, de conocimiento de lo que
estamos haciendo, lo que podemos hacer, de cómo podemos establecer
sinergias? A nosotros eso nos preocupa mucho y nos gustaría escuchar algo
más por su parte.
Dicho también que tampoco nos ha parecido muy lógico, muy correcto, que si
el día 20 de mayo la señora vicepresidenta tercera del Gobierno, en un
viaje a Canarias hace pública una iniciativa; una iniciativa en términos
además muy prudentes, y es una iniciativa por la cual iban a analizar, a
estudiar, con todas las garantías legales, porque tengo aquí la nota de
prensa que apareció en El País, el día 20; cumpliendo la legalidad; sin
amenazas a la privacidad; haciendo un estudio. Con esas cautelas que ya
la ministra, señora Nadia Calviño, anunciaba el día 20 en Canarias, de un
proyecto piloto de la Secretaría de Estado que usted conoce, de
digitalización, por qué siendo eso así, ya simplemente con ese anuncio,
hizo usted un tuit al día siguiente, no pasaron ni siquiera 15 horas, ya
advirtiendo de que habría una investigación en relación con. Tampoco
parece que el espíritu de colaboración, en este caso, por (palabras que
no se entienden) por su parte, haya sido debidamente, no sé, lo correcto,
haya sido prudente.
Dicho lo cual, y acabando, me temo que se me está acabando el tiempo.
Queríamos también preguntarle en relación con ese nuevo estatuto de la
agencia -conocemos los detalles, usted los ha
explicado- sí queremos poner aquí de relevancia para todos los grupos-
como una reflexión general, porque viene a cuento- la necesidad de que
entre todos los grupos, con el mejor ánimo y talante de consenso y de
saber pactar y de saber elegir, en concurrencia o no a personas capaces,
de mérito, independientes, para que la renovación de las vacantes que hay
en distintos organismos constitucionales, organismos supervisores,
reguladores, que hay un buen número en este momento en esa situación,
como el puesto que usted ocupa. Por ejemplo, la Presidencia del Organismo
de Transparencia y Buen Gobierno, por no hablar del Tribunal
Constitucional, el Consejo General, etcétera. Para que seamos conscientes
en estos momentos en los que cada organismo es fundamental que haga su
papel, tengamos voluntad política de llegar a acuerdos en esta Cámara,
entre todos.
Nos parece el mejor servicio a la ciudadanía y a España, en estos
momentos.
Nada más.
Muchas gracias.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Gracias.
Acabado el turno de los grupos parlamentarios, tiene otra vez la palabra
la comparecencia, para que responda o para que matice todas aquellas
cuestiones que entienda necesarias.
La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España
Martí): Muchas gracias.
Quería agradecer, en primer lugar, el tono constructivo a todos los grupos
parlamentarios. Comenzará por el orden de intervenciones.
Espero haber apuntado todas las dudas.
En relación con la intervención del portavoz de Ciudadanos, respecto a los
menores, creo que ahí quedan varios temas por hacer. Uno sería impulsar
-que me consta informalmente que el Ministerio de Educación está
trabajando en ello, y también en la en la reforma de la Ley Orgánica de
Educación- que en las asignaturas troncales y comunes se incluya también
el uso responsable de Internet, porque esto ha sido un tema transversal.
Creo que es muy importante que podamos coordinar una campaña con todas
las comunidades autónomas, que son las competentes en materia de
educación, en relación con el canal prioritario de denuncia de esa
retirada de contenidos de Internet, que eso tiene que estar a la orden
del día. Ayer trabajaba con la delegada de violencia de género. Vamos a
trabajar conjuntamente en sensibilizar a los jóvenes, sobre todo a las
mujeres, en lo que se llama el control digital. Cada vez es tremendo, va
a peor, y las adolescentes consideran normal que sus parejas controlen su
actividad en las redes sociales, dónde están, etcétera, y creo que es
algo importante donde se podría trabajar.
Me preguntaba también si creía que la ley orgánica había fortalecido el
ejercicio del derecho fundamental, y si faltaba algo respecto al
Reglamento General de Protección de Datos. Como el Reglamento es
directamente aplicable, la ley orgánica tuvo que plantearse en términos
donde en más de 50 aspectos, el Reglamento General de Protección de Datos
habilitaba a los Estados miembros a mejorar la Normativa. En algunos se
permitía flexibilizar, como es lo que nosotros hicimos, en relación con,
por ejemplo, el mecanismo de traslado es a través de los responsables o
los delegados de protección de datos.
En otro quisimos dar un paso más allá, por ejemplo, con las denuncias
anónimas que les comentaba, o con el tema de la regulación de los
menores. Llevo algunos temas donde queríamos dar seguridad jurídica, como
era, por ejemplo, el artículo respecto a la regulación de los datos de
contacto, las cámaras de videovigilancia, etcétera.
Mi respuesta respecto a la ley orgánica es positiva, entre otras cosas,
porque dedicamos más de dos años de trabajo; primero, en la ponencia, que
constituyó, ya no me acuerdo bien por qué orden (palabras que no se
entienden), el ministro de Justicia catalán y cuatro personas fuimos
miembros de la ponencia. Después estuvimos trabajando a nivel técnico, el
abogado (palabras que no se entienden) con los grupos parlamentarios,
para poder dar esa garantía de seguridad y de legalidad en cuanto a las
enmiendas que plantearon los grupos parlamentarios. Solo hubo una sombra,
que fue la enmienda en relación con la LOREG, que precisamente la agencia
se vio obligada a tener que emitir esa circular, para poder garantizar el
tratamiento de los datos ideológicos de los ciudadanos en las redes
sociales, que luego fue declarada inconstitucional por el Tribunal
Constitucional.
Me preguntaba también por la independencia y por si consideraba que el ser
nombrada por el Gobierno puede dar garantías de independencia. Mi
respuesta es que sí. Hubiera sido quizá mejor el que el nombramiento
hubiera sido en ámbito parlamentario, como pasa, por ejemplo, en el
defensor del
pueblo. Pero, por ejemplo, yo ya planteé, la independencia es importante
aquí, no solo frente a los partidos políticos, sino frente a las grandes
corporaciones, que era algo en lo que incidí en mi comparecencia en el
2015, ante esta Cámara, porque estamos tratando diariamente con las
grandes corporaciones del país o multinacionales. En este caso, aunque no
me lo he planteado, pero, por ejemplo, una probable independencia, porque
además hay una ley que informalmente comentamos en la agencia, que es la
Ley de Murphy.
A los pocos meses de ser nombrado director o directora de la agencia,
automáticamente se pone a prueba la independencia. Ha pasado con todos
los directores anteriores, que han tenido que sancionar, o al partido que
les apoyó o al ministerio. En mi caso, la Ley de Murphy se volvió a
cumplir, y sancionado al Ministerio de Justicia en el mandato del
ministro de Justicia, que me propuso como consecuencia de la quiebra de
seguridad en (palabras que no se entienden), al Partido Popular y al
Gobierno de la Comunidad de Castilla-La Mancha, en el mandato en el que
yo había estado trabajando de viceconsejera de Presidencia, (palabras que
no se entienden) la relación de los expedientes. Es decir, eso es algo
automático, y, fundamentalmente, creo que eso es fundamental de cara a la
reelección, tener en cuenta el perfil profesional, más que el político,
respecto a las candidaturas que existan. Pero no tengo ninguna duda de
que puede funcionar, y para eso están precisamente los grupos
parlamentarios y los diferentes controles, para poder verificar esa
independencia.
Me comentaba también sobre mi valoración respecto al Consejo Consultivo.
Ya existe en la actualidad, está regulado en el Reglamento actual,
vigente en parte del 2007, respecto a la agencia, funciona bien. Es un
órgano consultivo que no tiene funciones jurídicas vinculantes. En la Ley
Orgánica 3/2018 se ha dado un salto más, aumentando la participación
social, y entiendo que a mí no me corresponde valorarlo. Nos reunimos
entre dos y tres veces al año, y las relaciones son buenas, han sido muy
constructivas las reuniones, y estoy segura de que así seguirán
funcionando en el futuro.
Me preguntaba también por los sistemas de información crediticia y los
ficheros positivos de solvencia. Conozco, porque hubo dos tomos de
enmiendas de los grupos parlamentarios. Igual que el Reglamento General
de Protección de Datos batió el récord de enmiendas en una Normativa
europea, y fueron más de 5000 las enmiendas, con las enmiendas a la ley
orgánica, también tuvimos que trabajar en más de, eran 400 páginas de
enmiendas. Una de las enmiendas, y precisamente su grupo era de los
ficheros positivos de solvencia.
En la agencia, para poder dar asesoramiento, hicimos un estudio comparado
respecto de los países donde se estaban regulando esos ficheros. Es una
minoría. Normalmente, las regulaciones nacionales de nuestros colegas
europeos han sido muy prudentes, porque se puede producir también un
factor. Ahora mismo funcionan los ficheros negativos de solvencia, y
realmente es uno de los ámbitos donde más reclamaciones recibimos,
precisamente por inclusión indebida. Esto es como darte de alta en un
móvil. Te das de alta por teléfono en un minuto, las bajas ya son más
complicadas. La inclusión en un fichero de solvencia negativo puede tener
graves dificultades.
Entendíamos desde la agencia que, teniendo en cuenta que los ficheros de
solvencia positivos eran una regulación muy minoritaria y excepcional, y
que además podían producir un efecto de estigmatización, en el sentido de
que ya no vale que no estés incluido en un fichero negativo, sino que
como no estés en uno positivo, no te dio un crédito o no te dio una
contratación a plazos y podía perjudicar a los ciudadanos, entendíamos
que ese riesgo respecto al impago ya lo daban adecuadamente los ficheros
negativos. A nosotros no nos correspondía valorar la oportunidad o no de
una enmienda. Simplemente trasladamos el criterio técnico y el análisis
comparado de la agencia, y fueron los grupos parlamentarios los que
decidieron no incluir esa enmienda respecto a los ficheros positivos de
solvencia.
En cuanto a la comunicación con los delegados de protección de datos,
tenemos ya más de 50 000 delegados de protección de datos comunicados.
Con el sector público la comunicación es muy fluida, porque con los
delegados y delegadas de protección de datos de Educación y Sanidad,
prácticamente hay una o dos reuniones al año. Pusimos en marcha el
servicio Informa, en un primer momento abierto tanto al sector público
como al sector privado. Además, trabajamos con CEOE y CEPYME, para
ofrecer desde la agencia la fórmula más flexible. Es decir, el
Reglamento, en el artículo 35 establece la obligatoriedad de determinados
delegados de protección de datos, y la ley orgánica establece una lista
donde entendíamos que, por ejemplo, porque se realiza perfilado o
tratamiento masivo, son datos especialmente sensibles; sector financiero,
hospitales, sector de seguros, por ejemplo, empresas de
telecomunicaciones, era obligatorio tener un delegado de Protección de
Datos.
En ese sentido, creo que el servicio Informa ha estado abierto a cualquier
consulta, y prácticamente se están resolviendo en el mes las consultas
que se están recibiendo, sin perjuicio de si hay una consulta donde hace
falta necesariamente un criterio, el gabinete jurídico, que emite una
media de 500 informes anuales, y tienen también todo mi reconocimiento,
aunque no son personal propio la agencia, por la labor que están haciendo
para dar seguridad jurídica.
Se están ateniendo también las dudas del ámbito de los delegados de
protección de datos, a través de ahí.
Pusimos en marcha el esquema de certificación, para facilitar la
competencia y la profesionalidad de los delegados de protección de datos.
Hemos trabajado con las asociaciones de privacidad, para poder dar
solvencia, porque no todo el mundo debe nombrar un delegado de Protección
de Datos, y entendemos que no todas las pymes deben gastarse el dinero en
nombrar un delegado, si no tienen tratamiento de datos masivos o datos de
alto riesgo.
Pero a veces sí sería bueno un asesoramiento. Entonces, por un lado,
pusimos en marcha la herramienta Facilita, que les da gratis el registro
general de actividades de tratamiento, adaptado al volumen de negocio y a
la actividad de esa empresa; las cláusulas informativas; los contratos
con sus encargados de tratamiento; y cláusulas en relación con seguridad.
Pusimos eso a través de la herramienta Facilita. Por otro lado,
transmitimos a CEOE y a CEPYME, y a los colegios profesionales que
agrupan a 1 300 000 profesionales en nuestro país, que desde la agencia
admitíamos las fórmulas más flexibles. Es decir, valía un delegado de
Protección de Datos, compartido, por ejemplo, como me consta, por el
Consejo General de la Abogacía, que pudiera asesorar a todos los
abogados, que quizás en determinados tratamientos puede valer un análisis
de riesgo tipo. Valía desde el punto de vista sectorial, que la
asociación, no sé, iba a decir la Asociación del Metal, pero esa ni
siquiera necesitaría, seguramente, delegado de protección de datos,
porque no hacen perfilado y los tratamientos de datos son básicos. O sea,
permitíamos flexibilidad, y pueden ser tanto obligatorios como
voluntarios.
Creo que la interlocución ha sido adecuada, pero están notificados a la
agencia todos los delegados y delegadas de protección de datos. Primero,
¿están nombrados todos los delegados y delegadas de protección de datos
que deberían estar? Pues seguramente no.
Si hacemos una extrapolación de los más de 4 millones de ficheros
privados, que ya no es obligatorio, que están declarados a la agencia, el
70 % eran datos de carácter básico. No todos, por supuesto, los de
carácter básico no hay que tener nombrado delegado de Protección de
Datos, pero seguramente haya un impase entre los 50 000 delegados y
delegadas de protección de datos que tenemos notificados y los que
deberían estar. Puede ser que estén nombrados y ni siquiera nos lo hayan
notificado. De hecho, ya estamos empezando a imponer sanciones a empresas
privadas o apercibimientos a Administraciones públicas, porque todavía no
han nombrado delegados de protección de datos. Ya alguna comunidad
autónoma que ha nombrado aéreos, que hay una sola persona para toda la
comunidad autónoma, que eso es inmanejable. Pero seguramente ahí nos
queden todavía temas por hacer.
Me hablaba del plan de teletrabajo. Por supuesto, queremos ir a más. Mi
idea es que, a partir de la nueva normalidad, que el Gobierno ha
recomendado teletrabajo hasta el 10 de agosto, poder ampliar el
teletrabajo al cien por cien de la plantilla, pues ese 20 % de decalaje
que había; seguramente no el 40 % de la jornada, aunque ha demostrado que
sí; sobre todo, queremos poner esta experiencia en la agencia en valor.
Ya informo que el 24 y el 26 de este mes tenemos convocada y organizada
una mesa de trabajo, ya lo he comentado, con la secretaria de Estado y
Empleo, el Ministerio de Igualdad, la Secretaría General de Función
Pública. Ejemplos de buenas prácticas de iniciativas privadas, (palabras
que no se entienden), que la agencia ha sido la primera, y por ahora creo
que es el único organismo de la Administración General del Estado que se
ha adherido, y creo que es algo que se podría impulsar.
Con el tema de la digitalización, nosotros todo hemos trabajado, y además
hay un tema importante. Simplemente consiste en cambiar, en vez de
empezar a comprar ordenadores con el disco duro fijo, cambiar las compras
por portátiles. A nosotros nos ha costado 100 euros por persona al año.
Dimos unas recomendaciones de seguridad. En este foro que estamos
impulsando desde la agencia, ofrecemos -va a estar presente CEOE y
CEPYME- el asesoramiento desde el punto de vista tecnológico, para que
las empresas tengan esa tranquilidad, de que no va a haber problemas en
las recomendaciones de seguridad.
Me hablaba respecto a los expedientes de sancionadores en relación con los
de investigación que estamos abriendo yo, lógicamente ni puede prejuzgar,
se van a archivar o no, ni puedo pronunciarme sobre ninguno, por el
carácter reservado.
Hemos resuelto procedimientos sancionadores durante la pandemia.
Hemos estado tramitando todas las reclamaciones que nos han llegado, pero
por la regulación vigente en el marco pandemia, no se podían firmar y
notificar. Tengo todos los expedientes a punto, ya visados, con todos los
centros a punto de firma y se están empezando a notificar desde el 1 de
junio. Y sí que ha habido algún procedimiento sancionador.
Paso ahora a comentar las peticiones y los planteamientos del Grupo Unidas
Podemos, del Grupo Federal. Por supuesto, comparto plenamente el hecho de
que afortunadamente vivimos en el continente europeo, que es mucho más
garantista con este derecho fundamental, tiene una continuidad mucho más
crítica, en cuanto a la importancia de proteger la privacidad. En España
hubiera sido impensable que se hubieran realizado las medidas de
seguimiento de Corea del Sur, donde no solo se monitoreaba a los
ciudadanos por las cámaras de videovigilancia, que están en las calles
cada 10 metros o cada 5 metros, más con la tecnología 5 G, sino que
además se estaba monitoreando el consumo de sus tarjetas de crédito para
ver si se estaba moviendo, y en qué establecimientos y la
geolocalización. Eso, ahora mismo, iría en contra de las recomendaciones
que dictó el Comité Europeo y Protección de Datos y los propios informes
de la Agencia.
Me pedía también la valoración en relación con los pasaportes
inmunológicos, los certificados de sanidad y lo que estaba pidiendo la
compañía de Emiratos Árabes en relación con el test del COVID.
Yo, aquí me pongo a disposición de las autoridades sanitarias.
Precisamente le hicimos una consulta hace unas semanas, porque esos son
quién determina la idoneidad en este momento. Del tratamiento de datos de
salud, debe ser la autoridad sanitaria y por supuesto, cuenta con todo el
asesoramiento de la Agencia y perfectamente podría tener cabida, si la
autoridad sanitaria así lo decide, por las recomendaciones que ha hecho
la Comisión Europea en relación con el turismo y el transporte. Han sido
recomendaciones generales donde por lo que yo sé, y me estuve leyendo de
la recomendación, no se habla específicamente el pasaporte inmunológico,
pero si la autoridad sanitaria lo decidiera, con las determinadas
garantías, con la minimización del impacto, porque a lo mejor es más
fácil que te descargues un código o que enseñes un papel, a que ese dato
de salud que está guardado en tu móvil, donde muchas Apps están
accediendo a datos que los ciudadanos no saben, con los determinados
principios, limitación de final y garantías, la Agencia lo podría avalar,
pero, quien tiene que decidir si es idóneo o no, no es la Agencia, es la
autoridad sanitaria.
Me preguntaba también. Y yo creo que es un tema muy importante por la
violencia digital, por los discursos de odio en el ámbito racista y
terrorista. Cuando empezamos a trabajar en el proyecto del canal
prioritario, lo primero que hicimos fue irnos 2 personas de la Agencia a
Bruselas, porque lo primero que intentamos era adherirnos a algo que ya
funcionara. Y pedimos a los funcionarios de Bruselas, de la comisión si
podíamos adherirnos dentro del código de conducta que había aprobado la
Unión Europea con las grandes 8 empresas tecnológicas en el marco de los
delitos de odio, planteando que en él otros, son casos de violencia de
género, es odio. ¿Puede ser odio entre géneros? y la respuesta fue que
no. Entonces lo que hicimos fue ponernos creativos y empezar a trabajar
bilateralmente con las empresas tecnológicas para poderlo incluir. Y
ahora mismo en el canal prioritario, perfectamente sólo tiene que ser
utilizable si hay tratamiento de datos. Y esto no es un delito de odio,
allá serían las Fuerzas y Cuerpos de Seguridad del Estado y la Fiscalía,
pero, si por ejemplo, fuera la grabación a una paliza por razones
racistas, a una persona en función de su raza. Y eso se empieza a
difundir en las redes sociales. Perfectamente puede acudir al canal
prioritario y por eso, nos hemos reunido con todas las ONG de igualdad,
con las ONG de violencia género, con las ONG de discapacidad, porque esto
puede afectar, también violencia, humillación a personas con discapacidad
y con las ONG de LGTBI, las ONG homosexuales y todas las que representan
la discriminación por razones de raza. Eso fue los primeros meses, ¿antes
de febrero? para que las ONG del Movimiento asociativo y la sociedad
civil también lo conocieran. Y si tenían conocimiento de este tipo de
infracciones que atentan tan gravemente a la privacidad, pudieran acudir
también las ONG a la agencia y denunciarlo. También tengo que decir que
hasta ahora no hemos recibido ninguna denuncia y tuvimos una reunión
también con actual directora general que lleva a estos temas, en el
Ministerio de Igualdad.
Paso ahora a las propuestas del portavoz de VOX. Planteaba: Si entendía
que había una brecha en el tejido empresarial para cumplir con la
normativa de Protección de Datos. Soy consciente de que existe
bastante, pues nuestro tejido empresarial ya nos gustaría que fuera el de
Alemania, con una media de empresas de tamaño mediano. Las nuestras, el
96 % de las pymes con empresas de pequeño tamaño que muchas veces no
tienen ni siquiera ni personal contratado, que ahora mismo están pasando
un auténtico calvario para subsistir. Y por eso entendemos, que puede
haber un desfase y que la perfección que hay, de hecho, yo he sido gestor
en la Administración, 30 años. Y yo también percibía que protección de
datos, era una carga. Por eso toda mi obsesión ha sido intentar ayudar,
intentar facilitar, aunque reconozco que no, es una tarea imposible,
porque es un tema muy técnico y muy árido pero intentar facilitar a las
pymes precisamente el cumplir con la normativa. Y esa fue la idea de la
herramienta Facilita. Pedimos a CEOE también que nos hiciera una difusión
y la propia CEOE hizo una encuesta para poder concienciar sobre el
cumplimiento y el nivel de conocimiento de la normativa de protección de
datos. Y ahora mismo, estamos trabajando. Ayer, precisamente esta semana,
hemos dado cuenta externamente con los grupos de interés que tenemos
identificados, respeto a la memoria de responsabilidad social de la
Agencia y hemos acordado con la CEOE y con Cepyme en mantener un webinar
en julio, igual que pasa con los delegados de Protección de Datos de
Educación y Sanidad, que nos hagan llegar qué problemas están teniendo
desde el punto vista de privacidad para que podamos dar respuesta tanto
jurídica como tecnológica y también crear un grupo de trabajo específico,
materiales de igualdad para poderles trasladar todo el pack de medidas
que son de gran calado, en las que hemos trabajado en estos años, en la
agencia.
También me ha preguntado por la independencia. Creo que es algo que ya he
comentado, me ha planteado en cuanto a las labores de monitorización por
parte de la Acería y por parte del Ministerio de Interior y ahora mismo
no puedo prejuzgar ninguna de las actuaciones de investigación que se
están realizando y por lo tanto me van a disculpar, pero no puedo dar más
detalles.
Me ha preguntado también respecto al tratamiento de datos en relación con
la Justicia y los procedimientos judiciales. Ahí, tanto Reglamento
General de Protección de Datos como la Ley Orgánica, en cuanto al ámbito
de aplicación, excluye la competencia de las autoridades de protección de
datos en relación con aquellos tratamientos de datos que están inmersos
en procedimientos judiciales. Esto no excluye, tenemos firmado un
convenio con el Consejo General del Poder Judicial donde se permiten
inspecciones conjuntas y están funcionando. Las pocas que hemos hecho
están funcionando bien y creo que sería importante impulsar este grupo de
trabajo precisamente para poder trabajar, pues en el marco de la
minimización del impacto de las mujeres víctimas de violencia de género,
en los procesos judiciales.
Me ha preguntado también por mi valoración por el grado de cumplimiento de
las Administraciones públicas. Creo que las Administraciones han hecho un
gran esfuerzo. Seguramente el 25 de mayo de 2018, que parece la
hecatombe, no todas habrían hecho, bueno, sería una insensatez por mi
parte o una ingenuidad, si lo creyera, no todas habrían hecho el análisis
de riesgos a la evaluación de impacto de los millones de tratamientos
sensibles que se están tratando ahora mismo por parte de las
Administraciones públicas en nuestro país. Pero hemos hecho una labor de
formación exhaustiva, por parte del personal de la Agencia, con todos los
delegados de Protección de Datos de la AGE, Administración General del
Estado, nos hemos reunido periódicamente con los ámbitos de las
Administraciones autonómicas, con la Fundación de Democracia y Gobierno
local y con la GEM. Seguramente donde falte más por hacer es en el ámbito
local para poder ayudar a todas las Administraciones públicas al
cumplimiento.
Paso ahora a los planteamientos de la portavoz del Grupo Popular, coincido
también, por supuesto, que el derecho fundamental a la protección de
datos no está suspendido y ese fue uno de los primeros mensajes que
lanzamos en los primeros informes de la agencia en el 1720.
En cuanto a la valoración de las Apps de rastreo, tanto el Comité Europeo
de Protección de Datos como la Agencia, hemos indicado, pueden ser
adecuadas, insisto, quien decide sobre la idoneidad de este tipo de
tratamientos será el Ministerio de Sanidad para evitar la propagación. Y
pueden tener la valoración positiva por parte de las autoridades de
Protección de Datos, si cumplen con los criterios que hemos dado de que
sean voluntarias, que se traten datos de proximidad y no deje
localización, que se cuente activamente con las autoridades de protección
de Datos. Por ejemplo, en Francia se ha llevado al Parlamento el debate
de las Apps de seguimientos de contactos y que todo se pueda trabajar en
la medida de lo posible desde el minuto uno. Para tranquilidad, sí que
tengo que decir que la Agencia, desde luego, en estos meses no ha
invernado, ha estado tremendamente activa y vigilante y por supuesto, el
tratamiento de datos debe estar conforme con un principio clave en
Protección de Datos que es la limitación de la finalidad y las garantías.
Me ha preguntado ¿cuál es la razón de que haya habido esta desigualdad en
los ministerios? Yo no lo sé, lo que sí puedo decir que desde la Agencia
hemos tenido absoluta ecuanimidad. Hemos ofrecido la
colaboración a todos los ministerios, donde hemos detectado que podría
haber tratamiento de datos masivos. Quizás y luego comentaré algún
planteamiento que ha hecho el portavoz del Grupo Socialista. No habrá
ayudado que muchos de los equipos de los ministerios prácticamente
acababan de llegar, cuando se ha producido la pandemia. Y yo entiendo, a
mí me ha pasado también en la Agencia. 2 de las subdirectoras han tenido
que incorporarse a la Subdirección de manera virtual y entiendo que eso
es mucho más difícil para la interlocución y, desde luego, cuando la
pandemia finalice, tanto las entidades públicas como las entidades
privadas, tienen que tener muy claro que el principio de limitación de la
finalidad, que ahora mismo sólo permite tratar los datos de salud con
motivo de la pandemia, deja de tener legitimidad y el plazo de
conservación de los datos, salvo que sea para investigaciones que vayan
avaladas, desaparece. Con lo cual este tratamiento de datos debería
finalizar.
Por último, en cuanto a los planteamientos del portavoz del partido
Socialista le agradezco la valoración del funcionamiento en la Agencia,
por la profesionalidad no es propiedad de ningún Gobierno. Y he estado
muy celosa en cuanto a la garantía de Ley es fundamental. Es que me pagan
por eso, quiere decir. Yo lo que he intentado es ofrecer la colaboración
y formar parte de los grupos de trabajo y poder hacer el trabajo en la
sombra. Pero cuando nos enteramos por los medios, mi obligación es
garantizar el derecho fundamental de los ciudadanos y ciudadanas de
nuestro país y entonces he entendido que tenía que abrir una, para poder
recibir esa información, cuando yo hubiera preferido también poder haber
recibido por estos cauces que son más informales, porque se trabaja mucho
más cómodo.
Me ha preguntado que cuál es la valoración de los beneficios y riesgos de
las Apps tecnológicas y cuáles, entiendo, que convendría desarrollar.
Quizás ya en estos momentos las Apps de autoevaluación yo creo que ya han
cumplido su función, pero pueden seguir teniendo una autoridad. Creo, y
esto es una opinión personal, y yo no soy experta, ni sanitaria, ni
tecnológica, mi procedencia es jurídica, que las Apps de seguimiento de
contactos pueden ser útiles, pues hay un rebrote o para tener bien
acotados el que no se produzca una propagación de la pandemia. Y que los
costes sanitarios en vidas humanas, económicos y sociales, que hemos
sufrido en nuestro país de manera tan grave, no vayan a más y podemos
acotarlo y poco a poco irnos recuperando. Ahí las Apps deberían ser
voluntarias, descentralizadas, cumplir con el principio de finalidad y
minimización de los datos y, por favor, contando con las autoridades de
protección de datos.
Me hablaba de la reunión con el ministro de Justicia y si teníamos algún
documento preparado en relación con el pacto de Estado por la convivencia
digital. Yo le (palabras que no se entienden) al ministro que en la
agencia estamos trabajando no sólo en los derechos digitales, porque de
la enmienda que hubo por parte del Grupo Parlamentario Socialista, la Ley
Orgánica y la incorporación del título 10, la Agencia solo es competente
para garantizar los derechos de 1989 a 1994. Los demás no. Esto va a ser
competencia de la Secretaría de Estado e Inteligencia artificial, así que
aquí pedí formar parte Grupo de Trabajo y nos han incluido y empezarán
los trabajos, y los documentos que tenemos ya preparados en la Agencia y
que compartí con el equipo del Ministerio de Justicia. Estamos trabajando
sobre todo para el ámbito privado porque la Administración pública sí o
sí se tiene que adherir a la responsabilidad digital, la privada también,
pero quizás ahí es donde todavía tengamos mucho por hacer.
En una carta de adhesión que impulsa la Agencia a la responsabilidad
digital, donde hace una serie de compromisos que no supone una obligación
adicional respecto a lo que ya marca el Reglamento General de Protección
de Datos, sino que digamos que es un plus y, por ejemplo, la empresa que
saliera. Y me consta que hay entidades muy importantes en nuestro país
representativas del sector empresarial y económico, que nos han dicho y
de las asociaciones. Estamos trabajando con la Asociación Española
Fundaciones, se adhiere a difundir el canal prioritario entre sus
empleados, a tener una política de tolerancia cero, en casos de violencia
digital y a cumplir con los principios y obligaciones del reglamento. La
pandemia nos paró el poder trabajar en esto y yo espero que, de aquí a
septiembre, podemos impulsar y que progresivamente se puedan ir
adhiriendo, pues todas las entidades que hagan falta. De hecho, en este
mes, vamos a convocar a la Asociación Española Fundaciones y el Gobierno
estará presente a través del Ministerio de Justicia para poder ir
profundizando y trabajando en este ámbito.
Me ha preguntado por el espíritu colaborativo con la AGE y bueno, ha
contado que en 12 veces he anunciado que habíamos abierto expedientes de
investigación, por la prensa. Desgraciadamente de los 14 expedientes, 12
los tuvimos que abrir porque nos enteramos por los medios. Quizás lo que
he comentado no había dado tiempo a establecer en muchos casos los
canales de comunicación porque los equipos estaban recién nombrados. Esto
ha podido ser una de la razón y en el caso del anuncio público a través
de Twitter, de la Agencia, respecto, al expediente de investigación la
razón fue objetiva. En este
caso, sabíamos que éste estaba trabajando en un proyecto piloto. Pedimos
expresamente a formar parte del grupo de trabajo. Se nos dijo que no. Y
nos enteramos por los medios del anuncio. Entonces no nos quedó otra,
porque mi obligación es garantizar el derecho fundamental, simplemente
para pedir información. Insisto, esto no prejuzga nada, simplemente para
pedir información. Y me consta que ahora, pues la comunicación es más
fluida. Pues, insisto, la agencia tiene toda la disposición, con toda la
lealtad institucional, con todos los Gobiernos. Yo he trabajado con 5
Gobiernos, con todos los Gobiernos, porque nos pagan para ayudar.
Entiendo que los Gobiernos y más el Gobierno estatal, pues ha tenido una
responsabilidad tremenda encima de sus hombros y nosotros no estamos para
hacer un obstáculo en limitar los efectos de la pandemia, sino para
ayudar y nada más, por mi parte.
Gracias.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Muchas gracias.
Pues damos ahora comienzo al segundo turno, que como, sus señorías, es de
3 minutos. Entonces, ¿Grupo Parlamentario de VOX?
El señor ZAMBRANO GARCÍA-RAEZ: Muy brevemente.
Simplemente para hacer un par de comentarios. A VOX le preocupa lo que
consideramos que es una deriva totalitaria de un Gobierno que se acerca
ya a una estrategia, se acerca ya a los que son las (palabras que no se
entienden) comunistas del control de la información, de lo que hubiera
incluso, considerarse el control de lo que para el Gobierno puede hacer
una incidencia política. Y por eso somos pesimistas a la hora de
considerar los nombramientos de, como ya estamos viendo en alguna
ocasión, de representantes de entidades que deberían ser independientes y
que no fuese el nombramiento de carácter partidista.
Lo que nos preocupa también, es lo que se ha llegado a denominar el "ciber
patrullaje de las redes sociales". Yo sé que usted, como ha dicho pues no
se puede manifestar sobre lo que es la monitorización de las redes
sociales, etcétera. Pero claro, sí nos preocupa mucho lo que es el efecto
que esto puede tener en la población y puede tener efectos de que la
población se sienta amedrentada, o poco cohibida por una situación en la
que recursos del Ministerio del Interior se dediquen a una labor que
puede interpretarse, perfectamente como de control en corrientes de
opinión de carácter político. Y por ello yo sé que usted actuará de la
manera más objetiva posible. Pero lo que sí le pido es que tenga en
cuenta la preocupación que hay en la población y en este grupo político
respecto al particular, porque no cabe duda de que tampoco consideramos
razonable, por decirlo suavemente, que se realice desde la Administración
pública una labor política de defensa de posturas ideológicas, utilizando
este digo de medios de estrategias.
Muchas gracias por todo. Muchas gracias por su completísima exposición.
Nada más.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Muchas gracias.
Tiene la palabra la portavoz del Grupo Popular.
La señora URIARTE BENGOECHEA: Presidenta. Intentaré ajustarme al tiempo.
El primer tema, el de las Apps. Esto es una valoración personal, pero
creo que reúno también valoraciones muy distintas. Creo que la
utilización de las Apps también está sobrevalorada. Hay una cierta
inercia de modas, en un momento para la utilización y se corre el riesgo
cuando se ponen en la misma balanza. Y es lo que quería decir antes, con
una filosofía como Corea o China y con lo que es la filosofía de
protección de la intimidad en Europa. Entonces se corre el riesgo.
En esta misma sala, el día 21 de mayo, el propio ministro de Ciencia decía
en relación con las famosas "Apps de contacto y trazabilidad" son sus
palabras, que hay cierta controversia entre los científicos sobre si esto
verdaderamente ayuda y que el Ministerio de Ciencia no había colaborado
en esto. Yo creo que ha habido precipitación en anunciar. Estamos viendo
aquí distintos ejemplos y esta precipitación también hay que valorarla,
porque se genera una sensación de desasosiego en la ciudadanía que a
veces unas demandas por desesperación. Y para eso creo que se crean las
agencias, los sistemas de acreditación, de calidad. Las Agencias de
Protección De Datos están precisamente porque hemos ido evolucionando
como sociedad y, por tanto, hay que confiar en ellas.
Entonces yo creo que este es el problema que hemos visto de cierta
precipitación, descoordinación también entre departamentos ministeriales
y el inicio de... se ha hablado también aquí, usted lo ha puesto de
manifiesto por parte de los IS y se hace un requerimiento. Y se le llama,
el requerimiento, es decir se
le llama, se le dice ¿estáis haciendo esto? Nos hemos enterado de tal cosa
y no se contesta. Y después se hacen entrevistas telefónicas. Pues éstas
son las cuestiones que creo que tenemos que depurar y que nos ha venido
bien realmente un test de estrés, de lo que es un App, utilización masiva
de aplicaciones en este momento, en una situación de pandemia y
obsesionados por la salud.
Me gustaría que me contestara en el caso de las brechas de seguridad, ¿qué
número de brechas de seguridad se han apreciado en este tiempo, porque es
evidente que hay estadísticas ya del incremento delincuencia en redes y
de utilización, precisamente de esas brechas de seguridad.
Me gustaría también saber si hay protocolos para los rastreadores
sanitarios, los físicos, porque se está hablando mucho de ellos, pero
realmente están utilizando datos sensibles y conversaciones telefónicas.
Me gustaría saber también si tanto ¿la Aneca como el ministerio de
Universidades se dirigió a la Agencia? porque han sido desde el
ministerio y desde las agencias de evaluación, los que han tenido que
desarrollar recomendaciones, las del ministerio, que luego se aprobaron
en la Conferencia de Política Universitaria y no nos consta que haya
habido esta iniciativa. Y de ahí vienen muchos de los problemas que están
teniendo las universidades, por la disparidad de criterios a la hora de
evaluaciones y de sistemas de control de la evaluación.
Y me gustaría también que nos diera una opinión de si deberían insistirse
en las campañas de información. Yo creo que de la misma manera que
periódicamente se informa de manera muy sencilla, el teléfono de
violencia de género, es decir, la Agencia, usted lo ha dicho varias veces
y a mí me parece que eso todavía queda mucho por inculcar, tanto a los
privados como a los públicos, a los poderes públicos. La Agencia está
para ayudar. La Agencia está para proteger y, por tanto, hay que proceder
a campañas de información y que no recaigan sobre los fondos, que
indudablemente son muy cortos por parte de la Agencia.
Muchas gracias.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Gracias.
Pues, tiene la palabra por el Grupo Socialista Odón Elorza.
El señor ELORZA GONZÁLEZ: Gracias presidenta.
Primero para agradecer las respuestas de la compareciente de Mar España.
En segundo lugar, para recordar que el Gobierno de España, el Gobierno de
este país, el Gobierno de coalición, no ha hecho sino en una situación de
emergencia sanitaria, aplicar lo previsto en la Constitución Española
Artículo 116. Lo previsto también en la Ley Orgánica correspondiente, que
todo ello ha sido además refrendado. Ha sido además autorizado por las
Cortes, donde está sometido a debate, a control el estado de alarma y las
pruebas correspondientes. Por tanto, en fin, es inevitable no responder a
la demagogia que los grupos del llamado Frente Nacional acaban de hacer y
han hecho durante esta comparecencia. Y desde luego, si a alguien tiene
miedo, la ciudadanía, en las redes, es a la manera de actuar que tienen
en las redes, quienes se identifican perfectamente en sus perfiles y en
lo que editan con fuerzas como VOX. Estos sí que amedrentan, amenazan. En
fin, hasta no va más y hasta lo digo por experiencia.
En segundo lugar, quería hacer referencia también para clarificar, que, en
ese Estatuto de la Agencia, está previsto, precisamente porque hay que
dar pasos para mejorar precisamente el proceso de elección, que se
requerirá una mayoría de 3 quintos, la mayoría cualificada de la Comisión
de Justicia, y si no hay mayoría cualificada de 3 quintos, una mayoría
absoluta, en todo caso, para el nombramiento de quien vaya a ocupar el
puesto de presidente, presidenta de la Agencia Española. Es un avance
importante.
Y, en tercer lugar, quiero también recordar, porque antes ha hecho una
lectura incompleta desde nuestro punto de vista, de una de las
conclusiones que hace La Agencia Española de Protección de Datos, en uno
de sus informes sobre las aplicaciones tecnológicas. Y es que a lo que
antes se ha dicho por parte del PP en un párrafo, yo añadiría el
siguiente párrafo que viene a continuación y que le da sentido a la
lectura anterior. Y es el párrafo de conclusiones de la Agencia, dice:
"las soluciones tecnológicas para enfrentarnos al coronavirus deben
formar parte de una estrategia organizativa eficaz, proporcionadas,
basadas en criterios científicos y respetuosa con la legalidad, para que
no se produzcan amenazas a la privacidad". El Grupo Parlamentario
Socialista asume plenamente esta consideración en el capítulo de
conclusiones de la Agencia que usted tan dignamente ha presidido.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Gracias.
Pues bueno, para cerrar el debate tiene la palabra la compareciente.
La señora DIRECTORA DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (España
Martí): Muchas gracias, presidente. Gracias a sus, señorías, por la
paciencia y el ayuno involuntario que han tenido que realizar para poder
atender la comparecencia. En relación con las intervenciones del portavoz
del grupo parlamentario de VOX, yo lo único que puedo decir es que en
relación con el tratamiento a datos ideológicos y precisamente la
experiencia que tuvimos en la Agencia en relación con la Loret y el
clamor popular y el rechazo de la ciudadanía. Si hubiera pruebas de que
algún partido político está realizando tratamientos de Datos ideológicos
y perfilando los guiones en las redes sociales. A partir de este hito
político, la multa de protección de datos, porque en este caso son
entidades privadas. El rechazo ciudadano sería brutal.
En relación con el caso concreto de Interior, yo no estoy prejuzgando nada
lo único que hicimos al enterarnos por los medios de comunicación de esta
orden de servicios 19 de 2020 de la Dirección General de la Guardia
Civil, hemos pedido al Ministerio del Interior las finalidades de los
tratamientos. ¿Qué tipo de datos tratan? ¿La información sobre un número
aceptados? Y ¿si saben a dónde se han enviado los datos? y estamos
todavía con el E, de investigación en marcha.
En relación con la portavoz del Grupo Parlamentario Popular. Y respecto a
mi valoración en cuanto a las Apps de seguimiento de contactos, entiendo
que es aquí el Ministerio de Sanidad, que nuevamente tiene que decidir si
una App de seguimientos de contactos es idónea o no.
Por un lado, tiene estas ventajas de que puede acotar el contagio, pero
imaginémonos todos de nuestro móvil. Tenemos 500 000 contactos, si yo doy
positivo, que también puede haber falsos positivos en función de los
test, por los datos que tenemos, hay hasta un 20-25 % de datos positivos.
Imaginémonos que nos falta un aviso, yo he pasado el COVID, que nos pasa
un aviso a los 500 000 contactos que tengan el móvil. "Ojo, usted ha
estado en contacto" o no son los que tengo en el móvil, con los que me
voy relacionando en la calle que, por bluetooth, por proximidad sale,
"ojo, que usted ha estado en contacto". Los servicios de atención
primaria pueden colapsar. Entonces, yo entiendo que el Ministerio de
Sanidad, como es el responsable, es quien debe decidir sobre los fines,
los medios y los límites del tratamiento. Y es él quien debe dar las
instrucciones al encargado del tratamiento, que en este caso es la
Secretaría de Estado de Inteligencia Artificial.
Me ha preguntado por la brecha de seguridad en este periodo Yo sé que han
sido como 1789 brechas de seguridad, las notificadas, desde que es
obligatorio por el Reglamento. Pero, no me he traído el dato y mira que
he traído papeles de las brechas de seguridad que nos han notificado en
este periodo, pero se lo puedo acelerar. Lo que sí dijimos es que era
obligatorio seguir notificando las brechas.
Me ha preguntado si Aneca o el Ministerio nos habían consultado en
relación con los exámenes online. Nos consultó la crue, pero nos consultó
después de que ya habían hecho pública la via y los exámenes se estaban
realizando. Entonces, es verdad que la Agencia no puede estar
proactivamente llamando a todos "Oye, que me consultes" y por eso en el
informe pusimos que vimos e intentamos dar todas las (palabras que no se
entienden) que era una pena, porque si nos lo hubieran preguntado antes
hubiéramos dado prioridad. Y hubiéramos podido dar más seguridad jurídica
en la realización de los exámenes online. Pero yo entiendo, también
entiendo y por disculpar. Todo el mundo ha estado con tal urgencia y tal
presión encima de sus cabezas, que entiendo que a veces puede ser difícil
llegar a todos y cada uno hemos estado, pues en el ejercicio de nuestras
funciones, de nuestras competencias.
Me ha preguntado también por las campañas de información. Creo que es
fundamental. De hecho, nosotros conseguimos al no tener dinero, por lo
menos mantuvimos la imaginación. La (palabras que no se entienden). Nos
ha declarado de servicio público 2 campañas. Una fue en mayo, sobre los
derechos para los ciudadanos, los nuevos derechos de limitación y
portabilidad al Reglamento. Y la herramienta Facilita que también la
hicimos gratis y tuvo millones de impacto. Y la segunda ha sido la del
canal Prioritario.
En relación con el Pacto de Estado para la ciudadanía, llevábamos meses
trabajando, que se nos paró con el COVID. Queremos plantear también y
pido a los grupos que nos puedan ayudar, dentro de este pacto de estado
por la convivencia digital, un protocolo de buenas prácticas con todos
los medios de comunicación, pero también con las empresas de publicidad
online. Y estamos trabajando muy activamente, con autocontrol que tratan
datos, que se haga lo mismo que se hizo en el 2007, cuando se difunde,
por ejemplo, datos de violencia de género y estamos trabajando y tenemos
ya preparado un borrador de protocolo que hemos mandado informalmente a
las 3 grandes cadenas de televisión. La pública y las 2 privadas, sobre
buenas prácticas en materia de privacidad para prevenir la violencia
digital, de manera que yo me subía por las paredes, pues el mismo día que
presentamos con el Gobierno
el canal prioritario, ese mismo día, todos los telediarios estaban sacando
en bucle, una y otra vez, un vídeo de bastantes segundos, sobre la paliza
grabada a una menor, en las puertas del instituto, por todos tus
compañeros y compañeras que en vez de ayudar, lo grababan. Pues una buena
práctica es que ese video no vaya en bucle repitiéndose una y otra vez,
porque puede producir un "efecto llamada" y los jóvenes todavía tienen,
parece que el cerebro no desarrolla realmente hasta los 25 años. Pues
todavía hay mucho por hacer, precisamente para formar en la convivencia
digital. Y espero que, de aquí a septiembre, en este pacto está la
convivencia digital cuando presentemos esta adhesión al compromiso con la
responsabilidad digital podamos presentar públicamente, que espero que
sí, la adhesión también de Radio Televisión Española, del Grupo A3 media
y de tele y de Mediaset a estas buenas prácticas donde se pueden
incorporar después por la Asociación de Editores, la prensa, radio y
cualquier empresa que realice publicidad online.
Y ya, por último, en relación con las intervenciones del portavoz
socialista, pues yo creo que es fundamental que el estatuto que regula la
Agencia se pueda tramitar cuanto antes. Nosotros tenemos, hemos recibido
el viernes pasado los informes preceptivos de Hacienda, de Función
Pública y de Presidencia. Creo que por respeto a la Agencia y al volumen
de datos que se trata con inteligencia artificial, con blogs, con
Internet de las Cosas, hicimos un análisis comparativo y esto lo estoy
haciendo, no por mí, porque dice que a mí no me aprobarán el mandato, ni
me elevarán rango ni nada, pero por quien venga y por lo que le viene
encima, debería tener un respeto institucional. Y el nuevo presidente o
presidenta de la Agencia, a pesar del informe en contra de Hacienda,
debería tener rango de Secretario de Estado, cuando hay otras
autorizaciones pendientes que tienen rango de ministro. Parece una
tontería, pero es otro respeto. Y yo creo que eso es importante y el
compromiso con la privacidad se demuestra con los hechos. Entonces, yo
pido al portavoz del Grupo Socialista que sustenta a la ministra de
Hacienda, que por favor traslade la necesidad de medios personales, de
medios materiales en la Agencia. Porque, además, hay un artículo
fundamental en el Reglamento General de Protección de Datos, que, para
garantizar la independencia, los Estados miembros están obligados a dotar
de los medios materiales y personales a la Agencia. Y creo que es
importante que quien asuma la responsabilidad de presidir la Agencia, en
un momento donde la inteligencia artificial se va a disparar, tiene que
tener una capacidad de interlocución y unos medios adecuados y sin más.
Muchísimas gracias por la paciencia y por la atención.
La señora VICEPRESIDENTA (Garrido Gutiérrez): Muchas gracias.
La verdad es que hay que felicitarte por la explicación tan completa. Yo
creo que ya ha dado y nada menos que nos ha hecho ver un poco la
complejidad o de los temas que aborda la Agencia y la importancia también
de que todos los grupos parlamentarios colaboremos en este trabajo que
tendrán que realizar en los próximos años. Así que muchas gracias.
Gracias a todos.
La señora URIARTE BENGOECHEA: Presidenta.
La señora VICEPRESIDENTA (Garrido Gutiérrez): ¿Sí?
La señora URIARTE BENGOECHEA: Pido la palabra por una cuestión de orden.
La señora VICEPRESIDENTA (Garrido Gutiérrez): ¿Sí?
La señora URIARTE BENGOECHEA: Una cuestión de orden relacionada con el
acuerdo que tomó la reunión de la Mesa y portavoces del pasado martes, de
gestionar la comparecencia de la vicepresidenta Calvo. En otras palabras.
Lo que queremos saber es si el presidente ya nos puede dar la fecha para
esa comparecencia.
La señora VICEPRESIDENTA (Garrido Gutiérrez): No, eso no está en el orden
del día y por lo tanto no vamos a tratar este tema ahora.
La señora URIARTE BENGOECHEA: ¿Entonces?
La señora VICEPRESIDENTA (Garrido Gutiérrez): Sin más, se levanta la
sesión.
La señora URIARTE BENGOECHEA: No, no. Pedimos lo que pedimos, no, no,
presidenta.
La señora VICEPRESIDENTA (Garrido Gutiérrez): No está en el orden del día,
o sea...
La señora URIARTE BENGOECHEA: Entonces le pedimos convocatoria inmediata
de Mesa y portavoces para tratar de saber...
La señora VICEPRESIDENTA (Garrido Gutiérrez): Aquí a lo que estamos es en
una comparecencia, donde hemos agradecido y hemos terminado con buen
ambiente. Yo creo que no es el momento ni es el lugar.
La señora URIARTE BENGOECHEA: No, no. Si no es una cuestión de ambiente.
La señora VICEPRESIDENTA (Garrido Gutiérrez): No, no, es que no se
levanta...
La señora URIARTE BENGOECHEA: Es una cuestión de cumplimiento de un
acuerdo.
Bueno, quiero hablar con el letrado.
(Sin identificar): Presidenta, pero no, no se vaya, porque yo también le
quería pedir la palabra. También se la he pedido. Antes de levantar la
sesión le pido, por favor, que me dé la palabra.
(Murmullo).
Pero me había visto, usted, que le había pedido la palabra.
(Murmullos).
Pero no me ha dado ni siquiera la oportunidad de hablarle, presidenta. No,
pero no. Pero fuera de la comisión, no, presidenta.
(Murmullo).
Pero, presidenta, pero sí le he pedido la palabra. Por lo menos me tiene
que dar la oportunidad de decir lo que quiero, pero se lo he pedido antes
de cerrar la sesión. Usted me ha visto.
(Murmullos).
Antes de cerrar antes de cerrar la sesión. Yo lo que le pedía al letrado
es que manifieste en la propia sesión y 2 grupos le piden a usted
convocar la Mesa de forma inmediata o incluir, incluso, en el orden del
día esta cuestión. Porque 2 grupos sí pueden hacerlo. Les pido durante la
sesión.
(Murmullos).
Se levanta la sesión.
Congreso de los Diputados · C/Floridablanca s/n - 28071 - MADRID ·Aviso Legal