Cargando. Por favor, espere

25 años de la Agencia Española de Pro...

25 años de la Agencia Española de Protección de Datos: los hitos

  • 19-11-2018 | Wolters Kluwer
  • Como ha puesto de manifiesto la celebración de este aniversario, repasar los 25 primeros años de la AEPD permite un excelente acercamiento al desarrollo de las políticas de protección de datos en nuestro país, desde la LORTAD al RGPD y a la inminente nueva LOPD.
Portada

Carlos B Fernández. La Agencia Española de Protección de Datos se creó por la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (LA LEY 3036/1992) (LORTAD (LA LEY 3036/1992)), cuyo artículo 34.2 la definió como “un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones” y cuya finalidad, según su primer Estatuto regulador, aprobado por Real Decreto 428/1993, de 26 de marzo (LA LEY 1635/1993), era, precisamente, “la garantía del cumplimiento y aplicación” de las previsiones contenidas en dicha Ley Orgánica.

A lo largo de este tiempo se ha producido un enorme cambio tecnológico que ha ido desde la expansión y generalización de Internet a la multiplicación a gran escala del número de terminales y dispositivos conectados. Con ello se está generado un inmenso volumen de datos personales, en un proceso en constante incremento, que son objeto de deseo de millares de compañías y gobiernos que en todo el mundo, intentan su adquisición y control.

Desde entonces se han sucedido, entre otras normas menores, dos Directivas comunitarias (la de 1995, ya derogada y la 2016); otra Ley Orgánica (1999); un Reglamento regulador (2007); un Reglamento europeo (2016) y un Real Decreto Ley (2018). Esta enumeración da idea del esfuerzo que supuso no solo la creación y puesta en marcha de este organismo, sino la necesaria adaptación de su actividad y orientación a estos diferentes marcos reguladores de la privacidad.

Y todavía estamos en vísperas de la aprobación de una nueva Ley Orgánica que adapte la normativa española al RGPD (y que deberá ir seguida de un nuevo Estatuto), y a la espera de un futuro Reglamento europeo de privacidad de las comunicaciones electrónicas.

En 2018 se han celebrado los primeros 25 años de actividad de la Agencia, que ha decidido celebrarlos con un acto en el que intervinieron todos sus anteriores directores (salvo el primero, por razones de salud).

Precisamente la Agencia ha tomado como fecha de referencia para esta celebración la del nombramiento de su primer director, Juan José Martín-Gasallo, el 23 de octubre de 1993.

Con él se inició una actividad cuyos principales hitos han sido los siguientes.

1993-1998. Creando una cultura desde cero

La Agencia de protección de datos (entonces todavía no “española”), inició su andadura a partir de las previsiones de la LORTAD (LA LEY 3036/1992) y con un equipo humano todavía muy reducido y en un entorno social y económico en el que había un gran desconocimiento de la tecnología y sus implicaciones.

Por ello su actividad en estos primeros tiempos se centró emitir los primeros criterios e instrucciones y en favorecer el ejercicio de los derechos de los ciudadanos, como el de acceso y cancelación y las transmisiones de datos. También se impulsó el registro de ficheros por parte de las empresas e se impusieron las primeras sanciones, en especial en el ámbito de los ficheros de solvencia y morosidad, por los importantes efectos económicos que podían provocar. Igualmente se impulsó la incorporación de la Agencia al Grupo de Trabajo del artículo 29, creado por la Directiva 95/46 (LA LEY 5793/1995).

Como recordó por escrito Martín-Gasallo, “había que demostrar que la Agencia iba en serio” y ello se reflejó en que ya en 1995 se había cuadruplicado el número de solicitudes de tutela y multiplicado por ocho el de expedientes sancionadores.

1998 – 2002. De la LORTAD (LA LEY 3036/1992) a la LOPD (LA LEY 4633/1999)

El período en el que fue director José María Fernández López se caracterizó por dos cambios sustanciales: el paso de la Ley de 1992 a la Ley Orgánica de 1999 y el paso, el 1 de enero de 2002, de la peseta al euro.

Fernández López destacó que la LORTAD (LA LEY 3036/1992) fue una buena ley que ya nació adaptada a la Directiva de 1995, pues se redactó teniendo en cuenta el contenido de la propuesta entonces en tramitación. Su finalidad menos conocida fue permitir a España participar en el Acuerdo de Schengen de 1985, sobre supresión gradual de los controles en las fronteras comunes, que entró en vigor en 1995 y que exigía a los Estados parte disponer de una normativa sobre protección de datos y de una autoridad de control al efecto.

Aunque en 1999 pudo haber bastado con una reforma de la Ley, se optó por la elaboración de un nuevo texto normativo que, aunque ha perdurado durante casi veinte años, presentaba carencias como la ausencia de un preámbulo.

Por otra parte, meses antes se había publicado el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (Real Decreto 994/1999, de 11 de junio (LA LEY 2675/1999)).

Y por lo que se refiere a este período no hay que olvidar que en 2000 el TC dictó la importante sentencia 292/2000, que definió el derecho a la protección de datos como un derecho separado y autónomo del derecho a la intimidad, como un derecho de la persona a decidir sobre sus datos personales.

Durante este período la Agencia llevó a cabo numerosas actuaciones de oficio en los que en no pocas ocasiones se sancionaba a entidades que ni siquiera sabían que estaban infringiendo una norma. Por ello esas actuaciones se fueron suavizando con el tiempo, a la vez que se impulsaron las indispensables medidas cautelares.

2002 – 2007. Difundiendo la actuación de la Agencia

El período durante el que José Luis Piñar Mañas estuvo al frente de la Agencia se caracterizó, por una parte, por el comienzo de la publicación de las resoluciones de la Agencia (que a partir de la LEY 62/2003, de 30 de diciembre (LA LEY 2013/2003), pasó a denominarse “Agencia Española de Protección de Datos”). Hito importante pues hasta ese momento la ciudadanía solo podía conocer las actividades de la Agencia por medio de su Memoria anual. Conforme al art. 82.Uno de la Ley 62/2003 (LA LEY 2013/2003), a partir de ese momento “Las resoluciones de la Agencia Española de Protección de Datos se harán públicas, una vez hayan sido notificadas a los interesados…”

Por otra parte en este período se comenzó la elaboración del Reglamento de desarrollo de la LOPD (LA LEY 13934/2007), que fue aprobado a finales de 2007. Un proyecto muy participado y en el que la Agencia contó con amplio margen para elaborar el anteproyecto. Con este texto, recordó Piñar, se trataba de convencer a la UE de que la normativa española estaba adaptada a la Directiva 95/46 (LA LEY 5793/1995) en aspectos como la suficiencia del interés legítimo para proceder al tratamiento de datos.

Otros datos importantes de este período fueron la creación en 2003 de la Red Iberoamericana de protección de datos, que hoy es un referente internacional en materia de impulso de la seguridad jurídica y de las transferencias internacionales de datos. Esta Red consiguió que a partir de ese año la Declaración de la Conferencia de Jefes de Estado y de Gobierno incluyera un punto relativo a la protección de datos, reconociéndolo como derecho fundamental, impulsando así la cultura de la protección de datos en América Latina.

Y en el repaso de estos años no se puede olvidar la importante Instrucción 1/2006 de la Agencia, sobre videovigilancia, que trató de responder al hecho de que cada vez hay más cámaras de vigilancia en las calles, sin que la gente fuese consciente del alcance de esa realidad, rompiéndose así el principio esencial de control de las personas sobre sus propios datos. Con esta Instrucción se quiso aportar seguridad jurídica y normalizar la cultura de la protección de datos por medio de propuestas tan simples como el cartel anunciador de que se está en una zona videovigilada.

Otros documentos relevantes elaborados por la Agencia en este período fueron los relativos a la anonimización de sentencias, el tratamiento de datos relativos a menores, las cautelas sobre a adoptar para el tratamiento de datos sensibles y la instalación de cámaras de vigilancia del tráfico en el ámbito local.

2007 – 2011. Nuevo Reglamento y génesis del reconocimiento del Derecho al olvido

Este período se desarrolló bajo la dirección de Artemi Rallo Lombarte y comenzó con la publicación del Reglamento de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (LA LEY 13934/2007).

Según Rallo, uno de los ejes principales de su actuación fue la intensificación de las relaciones con los medios de comunicación, como instrumento para hacer pedagogía social de la protección de datos. “Era necesario compensar el clamoroso déficit de una sociedad civil activa, que sirviera para compensar las tensiones existentes en la protección de datos”, algo particularmente necesario, añadió Rallo, ante el desconocimiento de una normativa oscura, difícilmente asequible al ciudadano medio y que se ha vuelto a manifestar a lo largo del procedimiento de elaboración de la nueva LOPD (LA LEY 4633/1999).

Otra circunstancia relevante de este período el que Rallo calificó como “decepcionante papel” de los prestadores de servicios de Internet en relación la protección de datos. Estas empresas, y en especial Google, recurrieron en vía judicial todas las resoluciones de la Agencia que les obligaban a borrar datos de personas físicas en determinadas circunstancias. Algo que acabó dando lugar, posteriormente, al reconocimiento por el TJUE del que se conoció como “derecho al olvido”. Por desgracia, añadió Rallo, parece que estas grandes compañías no han aprendido la lección, como se ha vuelto a ver en la tramitación de la nueva LOPD (LA LEY 4633/1999), pues cualquier intento de regulación ha sido objeto de un lobby intenso bajo la excusa de una defensa de los intereses generales, que en realidad pretende mantener un status quo que les favorezca.

Por otra parte, en 2011 se introdujo una reforma de la LOPD (LA LEY 4633/1999) por medio de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (LA LEY 3603/2011), que suavizó el régimen sancionador al permitir la posibilidad del apercibimiento en vez del expediente sancionador, en determinados supuestos. Esto supuso un enfoque más proactivo en la actuación de la Agencia, para descompensar los “extraordinaria desproporción” existente entre infracciones y sanciones, que ha encontrado reflejo en la posterior redacción del Reglamento Europeo de 2016, que a su vez, ha potenciado el carácter pedagógico de las sanciones.

Finalmente, la eliminación de datos de los ficheros de solvencia una vez pagada la deuda, la creación de las listas Robinson de personas que no desean recibir comunicaciones comerciales y las inspecciones de oficio sobre las compañías operadoras de telefonía móvil, fueron otros de los aspectos destacables de este período.

2011 – 2015. Proyección internacional de la Agencia y reconocimiento del “Derecho al olvido”

Si ya la 31.ª Conferencia Internacional de Protección de Datos y Privacidad, celebrada en Madrid en noviembre de 2009, sirvió para proyectar la estrategia española de protección de datos, el siguiente período, comenzó en junio de 2011, cuando fue nombrado director José Luís Rodríguez Álvarez, a partir de junio de 2011, abrió una época en el que se consiguieron logros de gran impacto internacional.

Como recordó Rodríguez, “en una época de salarios congelados por la fuerte crisis económica que entonces sufría el país, hubo que hacer muchas horas extras”.

Probablemente el hito más relevante de esta época fue la sentencia del TJUE de 13 de mayo de 2014 (asunto C-131/12 (LA LEY 51150/2014)), conocida como “Google Spain” o “Mario Costeja”, por el nombre de las partes intervinientes, y en la que se dio reconocimiento jurídico al que se conoce como “derecho al olvido”.

En esta sentencia el tribunal asumió la interpretación que la Agencia había realizado de la Directiva 95/46 (LA LEY 5793/1995) y que, con el RGPD se convirtió en norma positiva. Por ello constituyó un gran paso adelante para el ejercicio de los derechos digitales en Internet y en todo el entorno digital y, en palabras de Rodríguez Álvarez “constituye un instrumento de defensa adelantada de otros derechos como el de no discriminación, la intimidad o la libertad de expresión”.

Uno de sus mayores avances fue que rompió la principal barrera argumentativa de los prestadores de servicios de internet, que alegaban no estar sometidos a la normativa sobre protección de datos.

Sin embargo, la denominación “derecho al olvido” es muy equívoca, pues la sentencia no vino a reconocer ningún derecho nuevo. El derecho al olvido, recordó Rodríguez, no es más que el ya conocido derecho de cancelación, hoy supresión, ante los motores de búsqueda de Internet.

Este derecho ofrece una clara relación con el derecho a la información, que es fundamental en una sociedad democrática. El derecho al olvido, recordó José Luís Rodríguez no sirve para alterar las fuentes de información ni para reescribir la historia. No permite borrar ni alterar el contenido de una fuente, sino simplemente limita la posibilidad de búsqueda de una información a través del nombre de una persona. No se aplica automáticamente, sino caso por caso, y no cabe ante una información de interés o relevancia pública.

Por ello “la Agencia ha sido siempre muy cuidadosa con que el derecho al olvido no entre en conflicto con la libertad e información”

Durante este período la Agencia participó muy activamente en la elaboración del RGPD, destacando su intervención en cuanto al concepto de “Ventanilla única”, que aspira a concentrar ante una única autoridad de control la tramitación de una reclamación en materia de protección de datos. La propuesta inicial de este concepto chocaba con principios constitucionales españoles, por lo que la Agencia planteó una redacción alternativa que evitase ese conflicto.

La redacción que finalmente ha quedado en el texto del Reglamento es una regulación muy compleja, que refleja una posición intermedia entre la propuesta inicial y las aspiraciones españolas, cuya clave está en el concepto de “tratamiento transfronterizo”. Según Rodríguez Álvarez es posible que en el futuro el alcance de este concepto se acabe limitando a los cuestiones contenidas en los capítulos IV y V del RGPD, para que las autoridades nacionales se ocupen de todos aquellos casos que no tengan un marcado carácter transnacional.

2015 a la actualidad. Tiempos de RGPD

El mandato de Mar España Martí al frente de la Agencia se inició con la presentación de su Plan Estratégico 2015-2019. El objetivo de este documento es sentar las bases de las líneas de actuación de la Agencia durante ese periodo “incorporando las acciones específicas que cada departamento de la AEPD ha propuesto en relación con sus respectivas materias”.

Uno de los ejes rectores de este Plan, que se según destacó Mar España “se elaboró a coste cero”, es que tan importante como sancionar es el estímulo y el acompañamiento a las empresas y a los ciudadanos.

Para esta tarea, la Agencia, señaló, no puede trabajar sola, son fundamentales alianzas estratégicas nacionales e internacionales.

Pero sin duda la referencia fundamental de este período fue la aprobación en 2016 y la plena entrada en vigor, el 25 de mayo de 2018, del Reglamento General de Protección de Datos (LA LEY 6637/2016) de la Unión Europea. Una norma que, recalcó, pone de manifiesto que la protección de datos afecta al día a día de nuestras vidas.

Este Reglamento va a tener reflejo en el orden interno en forma de una inminente nueva Ley Orgánica de protección de datos (LA LEY 4633/1999), que adapte nuestra normativa al nuevo marco jurídico europeo, y que irá seguida de un nuevo Estatuto de la Agencia que previsiblemente verá la luz en 2019.

En la nueva LOPD (LA LEY 4633/1999) se va a dar especial importancia a los mecanismos de mediación, que faciliten la resolución de conflictos que puedan surgir entre los ciudadanos y las empresas, evitando en lo posible el recurso a las actuaciones sancionadoras de la Agencia.

Pero esta postura no va a implicar, destacó Mar España, la renuncia a las ineludibles tareas de inspección de y sanción que le corresponden. En este sentido mencionó que la Agencia está desarrollando inspecciones de oficio en el ámbito de las telecomunicaciones (en aspectos como la contratación a distancia), que ha sido objeto de un 85% de las sanciones impuestas en los últimos tiempos, y también se hará un especial seguimiento de las grandes compañías de internet.

Sin embargo, estas actuaciones van a depender en buena medida de los recursos humanos disponibles por la Agencia pues, como expuso a título de ejemplo, la autoridad británica, el ICO, dispuso de unos 30 inspectores solo para el caso Cambridge Analytica.

Por último Mar España se refirió a la importante inclusión en la nueva LOPD (LA LEY 4633/1999) de medidas sobre protección y formación de menores, que afectan también a las Comunidades Autónomas, a fin de que incluyan en sus proyectos curriculares formación sobre protección de datos.

Como señaló la ministra de Justicia, Dolores Delgado, en la presentación del acto, durante este tiempo la Agencia ha jugado un papel fundamental garantizando la plena aplicabilidad de los derechos y garantías establecidas por la Constitución al marco digital.

Celebración del 25.º aniversario

El acto de celebración del 25.º aniversario de la Agencia, que tuvo lugar en la Sala Europa del Senado, fue inaugurado por la ministra de Justicia, Dolores Delgado, y el presidente de la Cámara, Pío García Escudero. Contó además con la participación de representantes de los máximos organismos internacionales de protección de datos, como la directora del Comité Europeo, Andrea Jelinek, el director del Supervisor Europeo, Leonardo-Cervera Navas, la presidenta de la Conferencia Internacional de Protección de Datos y Autoridades nacionales, Elizabeth Denham, y el presidente de la Red Iberoamericana de Protección de Datos, Felipe Rotondo. También contó con la presencia de los anteriores directores de la institución y representantes de la administración, la empresa y los profesionales de la privacidad.

Durante la jornada se presentó el libro '25 años de la AEPD: acompañando al ciudadano en su transformación digital', que describe la evolución de la sociedad española en conexión con la historia, hitos y actividad de la Agencia desde sus comienzos en 1993, así como el desarrollo de este derecho fundamental.

La obra repasa de forma cronológica los progresos tecnológicos más significativos de los últimos 25 años y retrata cómo el uso de las herramientas digitales ha transformado la actitud y los hábitos cotidianos de las personas. Asimismo, aborda la no siempre fácil relación entre tecnología y privacidad, y la necesidad de información acerca de los posibles riesgos que implica proporcionar datos de carácter personal.

#NuevaLOPD

Tras el RGPD la nueva LOPD (LA LEY 4633/1999). Libros, herramientas, formación o congresos… Wolters Kluwer pone a tu disposición todo lo que necesitas para cumplir con la nueva regulación de la protección de datos.

Llega a España el Primer Congreso de Delegados de Protección de Datos. Wolters Kluwer asume el reto de organizar el Primer Congreso Nacional de Delegados de Protección de Datos. Un congreso de DPO para DPOs. Accede en este enlace a toda la información.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll