¿Invade la nueva Autoridad Catalana de Protección de Datos competencias de la AEPD?
El pasado día ocho de octubre se publicó nº 5731 del Diario Oficial de la Generalitat de Cataluña la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos, institución que la propia norma define como de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, con plena autonomía orgánica y funcional, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones y que, de acuerdo con el apartado primero de la Disposición Transitoria Primera de la norma citada, se subroga en la posición jurídica de la Agencia Catalana de Protección de Datos en cuanto a los bienes, derechos y obligaciones de cualquier tipo de que fuera titular la Agencia.A rey muerto, rey puesto. Demos, por tanto, la bienvenida a este nuevo organismo y despidamos, agradeciendo los servicios prestados, a la Agencia de Protección de Datos de Cataluña, presidida por Esther Mitjans, y cuyo sucesor/a deberá ahora ser elegido por el Parlamento catalán, lo que constituye una destacable novedad, ya que en la Ley 5/2002, reguladora de la extinta Agencia, dicha potestad correspondía al Gobierno de la Generalitat.
Pero la gran novedad de esta Ley 32/2010 y de la nueva Autoridad Catalana de Protección de Datos no reside en el cambio de denominación o en la forma de elección de su Director/a, o en su contenido general, sino en la circunstancia de que se declara a la ACPD competente sobre determinados ficheros privados (artículo 3)
, con capacidad para imposición en relación con los mismos de las sanciones de carácter económico previstas en el artículo 45 de la LOPD para los ficheros de titularidad privada. Así, el artículo 21.3 de la Ley 32/2010 establece que en el caso de infracciones cometidas con relación a ficheros de titularidad privada, la resolución que declare la infracción debe imponer las sanciones previstas por la legislación de protección de datos y las medidas a adoptar para corregir los efectos de la infracción.
Esta atribución de competencias y facultades sancionadoras sobre determinados ficheros de titularidad privada que realiza la Ley 32/3010 a favor de la ACPD parece que, en el modesto parecer de quien escribe, sobrepasa las facultades que el artículo 41.1 LOPD determina que pueden ser asumidas por las autoridades de control en materia de protección de datos de carácter personal que puedan crear las Comunidades Autónomas, que se refieren siempre a ficheros de titularidad pública, pero no de titularidad privada, competencia exclusiva de la Agencia Española de Protección de Datos.
Uno siempre ha pensado que, al final, las competencias y facultades sobre ficheros de titularidad privada, y sobre todo las facultades sancionadoras y recaudadoras, terminarán por atribuirse a las autoridades de control de las CCAA, que unos buenos dineros van en el tema, y que en ese momento todas aquellas comunidades que hasta la fecha vienen desatendiendo muchas de sus obligaciones en materia de protección de datos verán el tema con otros ojos. Pero lo que no puede ser es que, sin modificarse el contenido de la LOPD se permita esta atribución unilateral de competencias o facultades que hace la norma catalana a favor de su autoridad de control. Así que… ¿En qué sentido se va a pronunciar la AEPD ante esta injerencia en sus competencias? ¿Qué postura va a adoptar el Gobierno en defensa de la LOPD y de las competencias que en la misma se fijan a favor de la AEPD? ¿Y… qué van a hacer los partidos de la oposición al respecto?
Amedeo Maturo
21 de octubre de 2010 @ 18:17
Hola,
¿No habrá alguna habilitación escondida por el Estatut? Lanzo la pregunta pero, la verdad, no me atrevo a leerme el susodicho texto. Me gusta mucho el diseño, enhorabuena
Alfonso Pacheco
24 de octubre de 2010 @ 14:13
Hola Amedeo, gracias por tu aportación.
El artículo 31 del actual texto del Estatuto de Autonomía de Cataluña dispone que “todas las personas tienen derecho a la protección de los datos personales contenidos en los ficheros que son competencia de la Generalitat y el derecho a acceder a los mismos, a su examen y a obtener su corrección. Una autoridad independiente, designada por el Parlamento, debe velar por el respeto de estos derechos en los términos que establecen las leyes”.
Por su parte el 156 del mismo texto es del siguiente tenor literal:
Artículo 156. Protección de datos de carácter personal
Corresponde a la Generalitat la competencia ejecutiva en materia de protección de datos de carácter personal que, respetando las garantías de los derechos fundamentales en esta materia, incluye en todo caso:
a) La inscripción y el control de los ficheros o los tratamientos de datos de carácter personal creados o gestionados por las instituciones públicas de Cataluña, la Administración de la Generalitat, las administraciones locales de Cataluña, las entidades autónomas y las demás entidades de derecho público o privado que dependen de las administraciones autonómica o locales o que prestan servicios o realizan actividades por cuenta propia a través de cualquier forma de gestión directa o indirecta, y las universidades que integran el sistema universitario catalán.
b) La inscripción y el control de los ficheros o los tratamientos de datos de carácter personal privados creados o gestionados por personas físicas o jurídicas para el ejercicio de las funciones públicas con relación a materias que son competencia de la Generalitat o de los entes locales de Cataluña si el tratamiento se efectúa en Cataluña.
c) La inscripción y el control de los ficheros y los tratamientos de datos que creen o gestionen las corporaciones de derecho público que ejerzan sus funciones exclusivamente en el ámbito territorial de Cataluña.
d) La constitución de una autoridad independiente, designada por el Parlamento, que vele por la garantía del derecho a la protección de datos personales en el ámbito de las competencias de la Generalitat.
Podria entenderse que dentro de estas competencias estaría la sancionadora sobre determinados ficheros de titularidad privada, pero sigo pensando que ello contravendría lo dispuesto en la LOPD en cuanto a las competencias correspondientes a la AEPD y las de los entes de control autonómico.
Saludos.
Privacidad Práctica
SILA
21 de octubre de 2010 @ 19:19
Hola. Hasta la fecha la Agencia Catalana, al igual que la Vasca, podía poner multas a encargados de tratamiento privados y que prestasen servicios públicos. Leyendo el ámbito de aplicación de la Ley, creo que va un “pelín más allá” que la normativa anterior, ya que entiendo que ahora estaríamos en aquellos casos en que la empresa privada subcontratada participa en el servicio público pero no recaba los datos, sino que es responsable del fichero. El primer supuesto, estaba dentro del ámbito de aplicación de la LOPD, ya que el responsable del fichero seguía siendo la Administración. El nuevo supuesto, pues está reflejado en el Estatut -artículo 156-, y dicho precepto no ha sido anulado.
En la práctica, la cuestión no es tan sencilla con la subcontratación de servicios, ya que por ejemplo, un Ayuntamiento encarga una encuesta a una empresa privada, ésta recaba datos, e incluso se identifica como parte del ayuntamiento. O un centro de servicios sociales público, gestionado de forma privada mediante una concesión, pero utiliza todos los signos distintivos de la consejería de servicios sociales. En resumen, que estás en ese centro y ni te enteras de que la gestión es privada.
Por cierto, enhorabuena por el blog.
Alfonso Pacheco
24 de octubre de 2010 @ 14:02
Hola Sila.
Gracias por tu comentario. Esperamos poder mantener en el futuro tu interés por nuestra página. Interesante el planteamiento que realizas. A ver si hay suerte y la gente se va a animando a comentar este tema, que seguro trae cola.
Un saludo
Privacidad Práctica