Firmas

¿Cuál es el papel de la Agencia Vasca de Protección de Datos y sus competencias?

¿Cuál es el papel de la Agencia Vasca de Protección de Datos y sus competencias?
Javier Puyol es socio director de Puyol Abogados & Partners. Foto: Carlos Berbell/Confilegal.
07/10/2018 06:15
|
Actualizado: 19/4/2021 10:18
|

La Agencia Vasca de Protección de Datos (en euskera: Datuak Babesteko Euskal Bulegoa) es un ente de derecho público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de la Agencia Española de Protección de Datos en el ejercicio de sus funciones.

Tiene como cometido, la aplicación y vigilancia del cumplimiento normativa sobre Protección de Datos de carácter personal, por lo que se refiere al tratamiento de los datos de carácter personal contenidos en ficheros de titularidad pública, creados y mantenidos por los organismos autonómicos, forales y locales en el ámbito de Euzkadi, donde se circunscribe su ámbito de actuación, encontrándose su sede en la ciudad de Vitoria.

Su creación se produjo por la Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Datos; desarrollada, por lo que se refiere a la propia Agencia, por el Decreto 309/2005, de 18 de octubre, por el que se aprueba el Estatuto de la Agencia Vasca de Protección de Datos.

Por medio de dicha Ley 2/2004, de 25 de febrero, se declaraba su titularidad pública, y se ponía en marcha la indicada Agencia Vasca de Protección de Datos.

Ello se justificaba, tal como recoge su Exposición de Motivos sobre la base de los avances de la técnica que se habían acelerado en los últimos tiempos.

Actualmente, el uso de la informática permite tratar gran cantidad de datos relativos a las personas físicas, pudiendo llegar a conocer aspectos relacionados con las mismas que suponen una intromisión en su intimidad.

Por ello, se decía que los ordenamientos jurídicos no podían permanecer insensibles ante la eventualidad de usos perversos de las posibilidades tecnológicas, en detrimento de espacios que deben quedar reservados a la intimidad personal.

TENSIÓN ENTRE LA TECNOLOGIA Y LA INTIMIDAD DE LAS PERSONAS

Y además en la tensión existente entre la tecnología, especialmente en el campo de la informática, y la intimidad de las personas, que apelaba a una actuación legislativa que procurara un equilibrio satisfactorio entre dos bienes dignos de protección jurídica.

Por un lado, no era bueno para la sociedad poner freno al desarrollo tecnológico, cuyas potencialidades eran y siguen siendo inmensas y deben contribuir a un mayor bienestar de la comunidad.

Pero, por otro, los ciudadanos tienen derecho a que se les proteja su intimidad personal, evitando que las posibilidades que ofrece la tecnología informática actual y también futura redujeran y reduzcan aquélla más allá de lo deseable.

Para ello, se juzgaba como necesario limitar el uso de la informática y, de este modo, garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Esto era, y sigue siendo, el mandato que el artículo 18.4 de la Constitución impone al legislador, y que éste recoge en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y que hoy también se ve materializado en el Reglamento (UE) 2016/679.

La preocupación por la protección de la intimidad personal y familiar de los ciudadanos, con la consiguiente limitación del uso de la informática a tal fin, no es exclusiva del legislador estatal, sino también del autonómico.

También las instituciones de la Unión Europea, las cuales han mostrado su sensibilidad en este sentido, y prueba de ello no es solo el actual Reglamento al que se ha hecho puntual referencia, sino también a la Directiva 95/46/CE y ya derogada, pero que ha mantenido y proclamado los valores relativos a la intimidad de las personas durante más de veinte años.

CÓMO ESTÁ REGULADA

Con relación a la normativa que le es propia a la Agencia Vasca de Protección de Datos desde el punto de vista de su ordenación sistemática, la Ley que creaba dicha Agencia Vasca, se encuentra dividida en tres títulos bien diferenciados, que son los siguientes:

En el título I, se regulaban cuestiones como las disposiciones generales, se concretaban el objeto y el ámbito de aplicación de la ley, delimitando los ficheros que quedan bajo su regulación atendiendo a la Administración pública, institución o corporación que los crea o gestiona.

La citada delimitación se completa con la enumeración de los ficheros a los que no se aplicará la ley y de aquellos en los que ésta será de aplicación limitada, por tener regímenes específicos.

Contenía también una lista de definiciones muy útil para precisar y unificar la terminología específica de la materia objeto de regulación; se regulaban aspectos relacionados con la creación, modificación y supresión de ficheros, limitaciones a la recogida de datos de carácter personal, información a los interesados y seguridad de los ficheros de datos, así como el procedimiento de reclamación ante la Agencia Vasca de Protección de Datos.

Se trataba, tal como señalaba su Exposición de Motivos, de un título necesario para dar coherencia sistemática e integridad a la ley, que requerirá de un desarrollo posterior.

En el título II se creaba de manera efectiva la Agencia Vasca de Protección de Datos y se regulaban los aspectos fundamentales de su régimen jurídico.

En el mismo se contenían preceptos relativos al régimen del personal a su servicio, recursos económicos, régimen presupuestario, órganos de gobierno, funciones y potestades.

Es de resaltar la creación del Registro de Protección de Datos, que en su momento se creía que era un órgano necesario de dicha Agencia.

En el título III estaba dedicado al régimen sancionador. En él se delimitaban los sujetos responsables, se tipificaban las infracciones y se establecían las sanciones correspondientes. Como decía en el Reglamento (CE) N.º 45/2001, un sistema de protección de datos personales requiere establecer derechos y obligaciones, pero también sanciones apropiadas para los infractores.

ÁREAS DE COMPETENCIAS

En el caso de la Agencia Vasca de Protección de Datos, dadas las características especiales de los titulares de los ficheros, se prestaba especial atención al supuesto de infracciones cometidas por el personal al servicio de las administraciones, instituciones y corporaciones a cuyos ficheros se aplica la indicada Ley.

Debe tenerse en cuenta, que el ámbito de aplicación específica de actuación de la Agencia Vasca de Protección de datos se proyecta sobre determinadas instituciones de naturaleza pública propias de Euzkadi, como pueden ser:

a) La Administración General de la Comunidad Autónoma, los órganos forales de los territorios históricos y las administraciones locales del ámbito territorial de la Comunidad Autónoma del País Vasco, así como los entes públicos de cualquier tipo, dependientes o vinculados a las respectivas administraciones públicas, en tanto que los mismos hayan sido creados para el ejercicio de potestades de derecho público.

b) El Parlamento Vasco.

c) El Tribunal Vasco de Cuentas Públicas.

d) El Ararteko.

e) El Consejo de Relaciones Laborales.

f) El Consejo Económico y Social.

g) El Consejo Superior de Cooperativas.

h) La Agencia Vasca de Protección de Datos.

i) La Comisión Arbitral.

j) Las corporaciones de derecho público, representativas de intereses económicos y profesionales, de la Comunidad Autónoma del País Vasco.

k) Cualesquiera otros organismos o instituciones, con o sin personalidad jurídica, creados por ley del Parlamento Vasco, salvo que ésta disponga lo contrario.

EXCEPCIONES A SUS COMPETENCIAS

Como excepciones a su competencia, se ha determinado, que la misma no abarcará cuestiones tales como:

a) Sometidos a la normativa sobre protección de materias clasificadas.

b) Establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada

c) Regulados por la legislación de régimen electoral.

d) Procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por los cuerpos de Policía del País Vasco, de conformidad con la legislación sobre la materia.

UNA CULTURA PROPIA DE PROTECCIÓN DE DATOS

El papel que ha jugado dicha Agencia Vasca de Protección de Datos desde su creación ha sido muy relevante, no solo en la regulación de los ficheros de naturaleza pública existentes dentro de su ámbito de actuación, sino en la elaboración de estudios e informes, que han contribuido muy poderosamente al desarrollo y expansión de una cultura propia de protección de datos, especialmente entre los ciudadanos de Euzkadi.

Entre dichos estudios, deben destacarse entre otros:

a). La llamada “Guía en 8 pasos”, que consiste en una adecuación de las administraciones públicas al Reglamento General de Protección de Datos.

b). La “Adecuación de PYMES y profesionales al Reglamento General de Protección de Datos en ocho pasos”, que consiste en Directrices orientativas para ayudar en el cumplimiento del Reglamento General de Protección de Datos a los responsables y encargados de tratamientos del sector privado.

c). La “Guía mi primer smartphone. Buenas prácticas”, llevada a cabo en colaboración con la Asociación Internet & Euskadi Elkartea.

d). O, el Manual de Buenas Prácticas para las entidades locales de la Comunidad Autónoma del País Vasco, entre otras publicaciones y trabajos de divulgación de la Protección de Datos.

También merecen ser destacados otros trabajos llevados a cabo en colaboración con la Agencia Española de Protección de Datos, como: la Guía para el cumplimiento del deber de informar, cuyoobjetivo es orientar acerca de las mejores prácticas para cumplir con la obligación de informar a los interesados; Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, cuya finalidad reside en  identificar los puntos clave a tener en cuenta en el momento de establecer la relación entre el responsable del tratamiento y el encargado del tratamiento, en cumplimiento del Reglamento General de Protección de Datos; o la Guía del Reglamento General de Protección de Datos para responsables de tratamiento, que trata ayudar a los responsables del tratamiento en el cumplimiento de los preceptos del Reglamento General de Protección de Datos.

Tal como se evidencia, el papel jugado por la Agencia Vasca de Protección de Datos ha sido muy importante durante el tiempo de vigencia de la Directiva 95/46/CE, y la Ley Orgánica 15/1.999, de 13 de diciembre, pero se antoja mucho más trascendente, desde la entrada en vigor del Reglamento 2016/679, y desde que se produzca la aprobación efectiva de la nueva Ley Orgánica de Protección de Datos, donde podrá ejercer, como tal autoridad de protección de datos las funciones establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, cuando se refieran específicamente entre otras cuestiones a:

a) Los tratamientos de los que sean responsables las entidades integrantes del sector público de Euzkadi o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.

b) Los tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.

c) Los Tratamientos que se encuentren expresamente previstos, en su caso, en el Estatutos de Autonomía de Euzkadi.

También es importante la llamada “cooperación institucional” entre autoridades reguladoras de la protección de datos de carácter personal para contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y normativa interna que sirva de desarrollo al mismo.

Para ello se prevé expresamente la posibilidad de solicitar y la obligación de intercambiarse mutuamente la información necesaria para el cumplimiento de sus funciones y, en particular, la relativa a la actividad del Comité Europeo de Protección de Datos, lo que seguro enriquecerá y dará un papel mucho más relevante a las funciones asumidas por la Agencia Vasca de Protección de Datos.

Otras Columnas por Javier Puyol Montero:
Últimas Firmas
  • Opinión | ¡Zorra!
    Opinión | ¡Zorra!
  • Opinión | Los juicios serán preferentemente telemáticos a partir de ahora, según  el Real Decreto-ley 6/2023
    Opinión | Los juicios serán preferentemente telemáticos a partir de ahora, según el Real Decreto-ley 6/2023
  • Opinión | El secreto de la fase de instrucción ha muerto
    Opinión | El secreto de la fase de instrucción ha muerto
  • Opinión | Elección de colegio y patria potestad
    Opinión | Elección de colegio y patria potestad
  • Opinión | CDL – El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (I)
    Opinión | CDL – El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (I)