LA AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID
PRIMERA AGENCIA AUTONÓMICA EN ESPAÑA
La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal (la LORTAD), preveía en su Artículo 40.1, que determinadas competencias podrían ser ejercidas por los órganos correspondientes de las comunidades autónomas, a los que se garantizaría plena independencia y objetividad en el ejercicio de su cometido.
La Agencia de Protección de Datos de la Comunidad de Madrid, se crea en la Ley 13/1995, de 21 de abril, de Regulación del Uso de Informática en el Tratamiento de Datos Personales por la Comunidad de Madrid, Ley que se modificó por iniciativa de la Consejería de Hacienda el 16 de junio de 1997, para facilitar la puesta en marcha de la Agencia.
En julio de 1997 se nombraron los miembros del Consejo de Protección de Datos, quienes, en su sesión constitutiva y por unanimidad, propusieron al Presidente de la Comunidad de Madrid el nombramiento de la Directora de la Agencia. Dicho nombramiento se produjo el 31 de julio de 1997.
Nacía así la primera agencia autonómica con una decidida vocación de servicio a los ciudadanos de la Comunidad de Madrid, comenzando su andadura proporcionando información, y sobre todo formación, al conjunto de la Administración de la Comunidad de Madrid y de sus administrados, para que la cultura de la protección de datos, se integre en la vida diaria y cotidiana de todos nosotros.
Cuenta para ello con un fuerte apoyo de toda la Administración de la Comunidad, de la Agencia de Protección de Datos del Estado y de todos los grupos políticos representados en la Asamblea de Madrid, que han hecho posible todos ellos el funcionamiento de esta primera agencia autonómica en tan corto periodo de tiempo.
El derecho a la intimidad, elemento básico para la libertad de las personas, está recogido en diferentes artículos de la Constitución Española de 1978:
En el artículo 18.1: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”.
En el artículo 18.4: “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.
En el artículo 10.2: “Las normas relativas a los derechos fundamentales, se
interpretarán de conformidad con la Declaración Universal de Derechos Humanos y los
tratados y acuerdos internacionales sobre las mismas materias ratificados por
España”.
La preocupación por esta materia y la regulación del uso de la informática, tan
necesaria para que el ciudadano pueda ejercer con efectividad su derecho a conocer para
qué se recogen datos suyos de carácter personal, qué se va a hacer con ellos y
comprobar que los mismos sean exactos, no era nueva en Europa. Fue el Estado Alemán de
Hesse quien legisló por primera vez en esta materia en 1970.
El 28 de enero de 1982, el Plenipotenciario de España firmó en Estrasburgo el Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, hecho en Estrasburgo el 28 de enero de 1981.
El citado Convenio se publicó en el Boletín Oficial del Estado el 15 de noviembre de 1985, firmado por Juan Carlos I, Rey de España:
“Vistos y examinados los veintisiete artículos del Convenio, cumplidos los requisitos exigidos por la Legislación española, vengo en aprobar y ratificar cuanto en él se dispone, prometiendo cumplirlo, observarlo y hacer que se cumpla y observe puntualmente en todas sus partes, a cuyo fin, para su mayor validación y firmeza, mando expedir este Instrumento de Ratificación firmado por Mí, debidamente sellado y refrendado por el Ministro de Asuntos Exteriores”.
La Agencia de la Comunidad de Madrid es en este momento la única agencia autonómica. Entiende su trabajo como un reforzamiento de la Autoridad de Control Nacional, que es la Agencia de Protección de Datos del Estado, y como un apoyo a su trabajo de cohesión y armonización en la aplicación de la Ley en todo el Estado, máxima autoridad por tanto en la materia.
La Agencia se rige por lo que dice la Ley y el Estatuto, y su finalidad principal consiste en velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación, en especial en cuanto a los derechos de información, acceso, rectificación y cancelación de datos.
La Agencia de la Comunidad de Madrid, y con informe favorable del Director de la Agencia del Estado, protege desde su constitución, impulsada por la modificación de la Ley 13/1995, los ficheros manuales estructurados de forma que se pueda acceder fácilmente a los datos de carácter personal, de la misma forma que los ficheros automatizados, la Agencia del Estado lo hará desde la transposición de la Directiva 95/46 al Derecho español, que está ahora mismo en el Congreso, y que va a modificar la LORTAD.
También dispone la Agencia autonómica de una Sección de Interesados en donde los ciudadanos pueden inscribirse y solicitar que les enviemos información de en qué ficheros de la Administración de la Comunidad de Madrid hay datos suyos de carácter personal. Dicha información se le envía al interesado junto con la de los órganos responsables de los ficheros, para que puedan ejercer, si así lo desearan, su derecho de acceso, rectificación o cancelación de sus datos.
Por otro lado, y hasta que resuelvan los recursos de inconstitucionalidad de la
LORTAD, las comunidades autónomas únicamente puedan atender al ciudadano en sus derechos
con respecto a los ficheros de titularidad pública, pero no en cuanto a los de
titularidad privada, independientemente de que la Directiva Europea en fase de
transposición no distinga entre ficheros de titularidad pública y privada, puesto que la
misma hay que adaptarla al Derecho de los países que la transpongan.
Debido fundamentalmente al gran apoyo que ha tenido de toda la Administración
autonómica, ha conseguido en el corto tiempo que lleva trabajando, aunar esfuerzos para
normalizar procedimientos que sirvieran para facilitar la implantación de la
legislación, en este sentido, conjuntamente por ejemplo con la Dirección General de
Calidad de los Servicios y el apoyo de Comunicación e Imagen, ha preparado unos carteles
informativos en los que se indica a todas las personas que existe una legislación que
protege su intimidad y qué derechos vienen recogidos en la misma.
Dichos carteles están expuestos junto con unos dípticos informativos en las Oficinas de Atención al Ciudadano y en los lugares públicos donde se recoge información que va a tratarse de forma automatizada o archivar en ficheros manuales estructurados de forma que se pueda acceder fácilmente a los datos de carácter personal.
Fundamentalmente desarrolla proyectos educativos y formativos, unos propios y otros en colaboración con diferentes organismos o instituciones. Existen además diferentes programas de financiación, tanto nacionales como europeos, en los que poder presentar proyectos de este tipo, uniendo las tecnologías informáticas y el mundo legislativo, para acercar esta información a los ciudadanos.
Está firmando acuerdos de colaboración con diferentes Universidades e instituciones, como la Federación de Municipios de Madrid, para acercar al máximo esta información a todas las personas.
También es una satisfacción comprobar que en el Quinto Programa Marco recientemente aprobado, en las líneas de acción de “Tecnologías de la Sociedad de la Información”, se van a potenciar las tecnologías de la sociedad de la información que permitan a las comunidades en áreas remotas o aisladas superar el aislamiento y competir en la economía global, lo que va a permitir la cohesión de la Unión Europea, pero pidiendo que los proyectos respeten la defensa de la intimidad y demás derechos de las personas.
Se está preparando en este momento en colaboración con el Instituto Madrileño de Administración Pública, formación específica para todos los empleados públicos de la Comunidad, y, conjuntamente con el Consejo Económico y Social, formación en la materia para las organizaciones sindicales y empresariales que lo soliciten.
Es precisamente la formación lo que considera esta Agencia autonómica más importante para conseguir lo que decíamos al principio, que la cultura de la protección de datos se integre en la vida diaria y cotidiana de todos nosotros.
La Agencia se ha dotado de un área de Atención al Ciudadano, a fin de cumplir el encargo recibido por la Comunidad de Madrid mediante el Decreto 22/1998, de 12 de febrero, por el que se aprobaba el Estatuto de la Agencia de Protección de Datos de la Comunidad de Madrid, el cual, en su artículo 12 establece la obligación de “Informar al ciudadano de los derechos que la Ley les reconoce en relación con el tratamiento automatizado de sus datos de carácter personal”.
El mencionado Decreto 22/1998, de 12 de febrero, también establece en su artículo 17, “En la Sección de Interesados prevista en el artículo 32 de la Ley 13/1995, de 21 de abril, se inscribirán, previa solicitud, aquellos ciudadanos que sean titulares de datos personales contenidos en algunos de los ficheros inscritos en el Registro de Ficheros de Datos Personales. Esta inscripción dará derecho al interesado a obtener información sobre los ficheros en que se contengan datos personales de su titularidad”.
A fin de cumplir con las normativas de calidad de los servicios y para organizar adecuadamente el trabajo en el Área de Atención al Ciudadano, se han elaborado la Carta de Servicios y el Manual de Procedimientos.
La Carta de Servicios se elaboró con fines metodológicos y en cumplimiento del Decreto 27/1997, de 6 de marzo, por el que se regulan las Cartas de Servicios en la Comunidad de Madrid, a fin de contar con un esquema normalizado y estable de actuación. En este documento se establecieron los fines propuestos, los objetivos a alcanzar y las pautas internas de actuación en el Área de Atención al Ciudadano.
La Agencia ha participado desde el comienzo de su funcionamiento, en diferentes
conferencias y seminarios encaminados a divulgar la legislación de protección de datos y
las medidas de seguridad informática necesarias para proteger la información y los
tratamientos que se realizan con los ficheros de datos de carácter personal.
Es de destacar la magnífica colaboración que hemos tenido en este empeño, misión
entendemos fundamental de la Agencia, del organismo autónomo ICM (Informática y
Comunicaciones de la Comunidad de Madrid), proporcionándonos desde el comienzo espacio en
sus Aulas de Formación, colaboración de diferentes técnicos expertos en seguridad
informática, aplicaciones y medios técnicos que nos han permitido no solo trabajar con
medios informáticos, sino también extender esta formación tanto a responsables de
la Administración de la Comunidad de Madrid, como a los de las corporaciones locales, de
acuerdo con el convenio firmado con la Federación de Municipios de Madrid.
El Presidente de la Federación de Municipios de Madrid firmó con la Directora de
la Agencia, con fecha de 21 de enero de 1998, el Convenio de Colaboración con la FMM, que
se ha plasmado en diferentes actuaciones, como las de diseñar y enviar a las
corporaciones locales de la Comunidad de Madrid, carteles y dípticos informativos sobre
“los derechos reconocidos a los ciudadanos en la normativa sobre protección de
datos personales”, al objeto de que fueran expuestos permanentemente en las
dependencias municipales en donde se recojan datos de carácter personal.
En marzo de 1998, se elaboró por parte de la agencia un informe sobre “Cesión de Datos del Padrón Municipal”, publicado en la revista de la federación de Municipios de Madrid “El Pleno”, en la que se hace un análisis que bajo el título de Velando por los Derechos de los Ciudadanos, analiza los antecedentes legislativos, en aras al posterior estudio sobre las cesiones del padrón municipal. En este estudio se incluían todos los anteriormente publicados por la agencia de Protección de Datos del Estado.
Durante los meses de octubre y noviembre, se realizaron unas sesiones informativas en las que en colaboración con la Dirección General de Administración Local de la Comunidad y el organismo autónomo ICM, como responsable en materia de seguridad informática en el ámbito de la administración autonómica, se ha impartido formación a las corporaciones locales de la Comunidad de Madrid.
Otros acuerdos firmados a lo largo de este primer año de funcionamiento han sido con la Universidad Carlos III, con la Facultad de Derecho de la Universidad Complutense, con la Universidad Rey Juan Carlos y con la UNED *, todos ellos encaminados a formar a los universitarios y a ayudarles con su participación activa en la Agencia, a terminar sus carreras universitarias o sus masters en Informática y Derecho, con una experiencia práctica en la Agencia de Protección de Datos autonómica.
También ha colaborado en este primer año de funcionamiento con el Profesor Dr. D. Miguel Ángel Davara, quien amablemente solicitó a la Agencia información sobre la Legislación sobre Protección de Datos de aplicación específica en la Comunidad de Madrid, información que incluyó en la documentación que entregó en los Encuentros sobre Informática y Derecho que viene coordinando desde hace tantos años en el Instituto de Informática Jurídica de la Universidad Pontificia de Comillas en Madrid.
*Se prevé, en fecha próxima, la firma del mismo tipo de acuerdo con otras dos universidades: la Universidad Pontificia de Comillas y la Universidad Pontificia de Salamanca.
Ante la importancia que tienen los datos relativos a la salud, la Agencia está organizando las “I Jornadas de Protección de Datos Sanitarios de la Comunidad de Madrid”, que irán dirigidas a los profesionales sanitarios y que se celebrarán en colaboración con el Hospital General Universitario Gregorio Marañón, y que tendrán lugar en el aula magna de dicho hospital los días 28 y 29 de enero de 1999.
Este encuentro con profesionales de la salud será gratuito, con el fin de que la difusión sea lo mas amplia posible dentro del sector sanitario, y constará de cuatro mesas redondas en las que se estudiarán los siguientes temas:
1.- Los datos especialmente protegidos: la Ley y la Agencia de Protección de Datos.
2.- El secreto profesional y la protección de datos.
3.- La historia clínica: custodia y propiedad.
4.- Protección de datos sanitarios y los aspectos jurídicos.
En dichas jornadas se tratará de profundizar en el conocimiento de los aspectos legales de la protección de datos y en la fundamentación del derecho a la intimidad y la privacidad de los datos, básicamente de los especialmente protegidos como son los sanitarios.
Puesto que la Agencia de la Comunidad de Madrid, y con informe favorable del Director de la Agencia del Estado, trata desde la modificación de la Ley 13/1995, los ficheros manuales estructurados de forma que se pueda acceder fácilmente a los datos de carácter personal, de la misma forma que los ficheros automatizados, ha dedicado un gran esfuerzo en su primer año de funcionamiento en estudiar la “historia clínica”, normalmente incluida en ficheros, manuales, no informatizados, o sólo parcialmente informatizados.
La historia clínica, documento que contiene todos los datos recopilados referentes al estado de la salud de los Usuarios atendidos en los Centros Sanitarios, tanto ingresados como en consultas externas, es un elemento de primer orden para la Sanidad en general, ya que es el elemento válido para transmitir toda la información en ella acumulada entre el personal sanitario del centro. Dicha documentación sobrepasa por su importancia los límites puramente asistenciales, convirtiéndose en elemento de docencia, control y gestión.
La Agencia, ante la importancia que tienen los datos relativos a la salud, datos especialmente protegidos según el artículo 7 de la Ley Orgánica 5/1992, y en virtud de la Recomendación número R (97) 5 del Comité de Ministros del Consejo de Europa del 13 de febrero de 1997, a los estados miembro, relativa a la protección de datos médicos, ha organizado un grupo de trabajo para el desarrollo de una normativa sobre historia clínica en la Comunidad de Madrid.
Desde el comienzo de su funcionamiento, la Agencia Autonómica ha participado en el comité técnico conocido como SC27, en el que colaboran de forma voluntaria técnicos expertos en seguridad informática, a nivel individual o representando a diferentes instituciones públicas y privadas.
AENOR (Asociación Española de Normalización y Certificación) es el Comité Miembro que representa los intereses españoles en el campo de la normalización, quien asumió la responsabilidad internacional y europea ante las Organizaciones: ISO y CEN, en 1987, CENELEC, en 1991, CEI, en 1995. También está designado como organismo nacional español del ETSI.
El Subcomité SC27, que forma parte del Comité Técnico de Normalización 71, tiene como alcance la normalización de métodos genéricos y técnicas para la seguridad de las Tecnologías de la Información. El Subcomité se estructura en tres grupos de trabajo, denominados WG1, WG2 y WG3, especializados respectivamente en: Requisitos y servicios de seguridad y guías; Mecanismos y técnicas de seguridad; y Criterios de evaluación de la seguridad. No se incluyen los mecanismos en las aplicaciones y la normalización de algoritmos criptográficos.
En este momento estamos preparando la Reunión Internacional del JTC1/SC27, que tendrá lugar en Madrid en la semana del 22 de abril de 1999, en la sede de la Fábrica Nacional de la Moneda y Timbre, evento en el que colabora la Agencia Autonómica como uno de los patrocinadores y con la Secretaría General del mismo, la evolución del evento se puede ir viendo en Internet, en la dirección: http://www.dimasoft.es/ctn71sc27
