1 1. La figura del Supervisor Europeo de Protección de Datos es de
Transcripción
1 1. La figura del Supervisor Europeo de Protección de Datos es de
Guión de entrevista para Joaquín Bayo Delgado Para la serie “Hablemos de Europa” del OSE Noviembre 2008 1. La figura del Supervisor Europeo de Protección de Datos es de reciente creación ¿Cuál fue el motivo? ¿Desde cuándo está en marcha esta figura? y ¿Cuáles son sus principales funciones? ¿A quién debe dar cuenta de sus acciones? El Supervisor Europeo de Protección de Datos (SEPD) estaba previsto, sin nombre concreto todavía, en el artículo 286 del Tratado de la Comunidad Europea, tras su modificación por el Tratado de Ámsterdam, que declaró aplicables a las instituciones europeas las normas sobre protección de datos que hasta ese momento habían sido aprobadas para los estados miembros, esencialmente la Directiva 95/46/EC. Fue en enero de 2001 cuando se publicó el Reglamento comunitario 45/2001, que ya crea y define al SEPD como nueva autoridad independiente europea, pero no fue hasta enero de 2004 cuando sus dos primeros titulares fueron nombrados por el Parlamento y el Consejo de la Unión, sobre una lista de candidatos preseleccionados por la Comisión Europea, concretamente Peter Hustinx, como Supervisor, y yo mismo, como Supervisor Adjunto. El mandato es de cinco años. El motivo de la instauración de esta institución es claramente supervisar que las instituciones y organismos de la Unión Europea cumplan con el Reglamento 45/2001 y que la legislación comunitaria respete la protección de datos en todos los ámbitos. Por ello, las principales funciones del SEPD las podemos resumir en supervisión, asesoramiento legislativo y cooperación. En la primera función entran todas las facultades de inspección, recepción de quejas, prohibición de tratamiento de datos, etc. que tiene el SEPD. En tal sentido sus decisiones son obligatorias para las instituciones, que solo pueden a cumplirlas o impugnarlas ante el tribunal de Justicia de la UE. La función de asesoramiento o dictamen supone que todos de los proyectos de legislación europea sobre protección de datos o que tengan incidencia en el tratamiento de datos personales (una inmensa mayoría) deben ser objeto de un dictamen del SEPD, que es por tano obligatorio pero no vinculante para el legislador europeo, esto es el Consejo y el Parlamento. La realidad es que buena parte de los consejos son seguidos. La tercera función consiste en coopera con la autoridades de protección de datos de los países miembros de la UE y con otras autoridades de ámbitos especiales de la UE, como las que supervisan los organismos de cooperación policial y judicial en materia penal (Eurojust, Europol, etc.). El objetivo es que la aplicación de las normas sea lo más coherente posible. Llevando esas funciones al campo médico podemos destacar que el SEPD supervisa el tratamiento de todos los datos médicos y relativos a la salud (p.ej. certificados de baja por enfermedad) en el seno de todas las instituciones y organismos de la Unión, que básicamente conciernen a 40.000 funcionarios. En ese sentido el SEPD ha emitidos decenas de dictámenes sobre esos tratamientos y ha realizado inspecciones para comprobar que se cumplen esos dictámenes. En el campo legislativo puedo citar los casos actuales de la Propuesta de Directiva COM(2008)414 sobre aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, la Comunicación de la 1 Comisión Europea COM(2008)415 sobre el marco comunitario para esa asistencia, la Recomendación de la Comisión Europea COM(2008)3282 sobre interoperatividad transfronteriza de sistemas de historiales médicos electrónicos, etc. En su cooperación con las autoridades nacionales de supervisión, en el marco de Grupo de Trabajo que agrupa a todas ellas, ha colaborado activamente en la redacción del Documento WP 131, de 15/2/2007, sobre historiales médicos electrónicos. Siendo el SEPD una autoridad totalmente independiente de las demás, su responsabilidad es ante el Tribunal de Justicia, que puede revisar sus actos si son impugnados, y ante el Parlamento y Consejo, a los que remite un informe anual y ante los que comparece para presentarlo. 2. ¿Qué valoración merece esta institución tras cuatro años de funcionamiento? ¿Existe algún tipo de evaluación oficial u oficiosa de su funcionamiento y del cumplimiento de sus objetivos? Como puede imaginarse por lo anteriormente dicho, no existe más valoración que el prestigio que la institución pueda haber ganado y gane en el futuro. En ese sentido es interesante destacar que no ha habido ninguna impugnaron de decisiones del SEPD hasta la fecha y que han sido cumplidas, como mayor o menor diligencia según los casos, todas las recomendaciones y órdenes emitidas en materia de supervisión. En cuanto a las recomendaciones legislativas, al no ser obligatorias, lógicamente han corrido desigual suerte, pero en general cabe decir que son tenidas muy en cuenta, sobre todo por el Parlamento Europeo. También se puede decir, sin duda, que el SEPD es una de las autoridades de protección de datos con un papel más destacado en los grupos de trabajo de las autoridades europeas y también de las mundiales. En los casi cinco años de funcionamiento hemos pasado de la inexistencia a la abundancia de actividades y documentos que puede verse en nuestra páguina web (www.edps.europa.eu). 3. ¿Desde la perspectiva personal y de su trayectoria profesional, qué motivó su acceso al puesto que ocupa en el SEPD? ¿Cómo valora su experiencia de estos años de trabajo? ¿Qué problemas ha enfrentado? ¿Qué le ha supuesto una gran satisfacción? Cuando decidí presentarme candidato, pretendía ampliar mi experiencia judicial y jurídica al ámbito europeo en una materia clave en términos de derechos fundamentales llamados de tercera generación. Efectivamente, conocía la protección de datos teóricamente y, solo en parte, prácticamente como Juez Decano de Barcelona y miembro de la Comisión de Informática del Consejo General de Poder Judicial. La oportunidad de aplicarla a nivel europeo y conocer de primera mano cómo funcionan las instituciones de la UE fue mi motivo profesional. Familiar y personalmente también era muy atractivo vivir cinco años en Bruselas, y la experiencia ha sido del todo positiva. Son muchos los aspectos que valoro de la experiencia profesional. Ha sido una oportunidad única poder crear desde cero una institución europea, lo cual ha supuesto un aprendizaje cabal del derecho europeo, incluido el institucional y de la función publica. Hemos tenido la posibilidad de escoger nuestro equipo de colaboradores, lo cual es en sí 2 mismo un privilegio, y de orientar el perfile del SEPD como hemos creído mejor. Todo eso ha sido motivo de gran satisfacción. Naturalemnte, los problemas han sido muchos y muy variados: presupuestarios, organizativos, de visibilidad, de fijar prioridades, etc. pero los hemos resuelto con trabajo y ayuda de nuestros propios colaboradores (ya son unos 35). 4. Garantizar la protección de los datos personales es un tema que preocupa a la UE y a los Estamos Miembros ¿Qué normativa, qué leyes amparan o rigen la Protección de Datos en Europa? La norma básica para toda Europa, no solo la UE, es el Convenio 108 de 1981, del Consejo de Europa. En la UE la norma básica es la Directiva 95/46/EC, que fue transpuesta en España mediante la Ley Orgánica 15/1999. Hay otras normas pero no son de interés específico para el sector médico. 5. ¿Qué retos se plantean? ¿Cuáles son las orientaciones previstas por la Oficina del SEPD a corto y medio plazo? ¿Está prevista una mayor intervención? El gran reto de la protección de datos es siempre garantizar los derechos fundamentales de los individuos cuyos datos se tratan, sobre todo de forma automatizada, y al mismo tiempo lograr que esas garantías no entorpezcan los fines legítimos de esos tratamientos. Por eso, la orientación básica es que la protección de los datos sea parte consustancial al diseño de los sistemas (lo que llamamos “privacidad mediante diseño”, privacy by design) o se incorpore desde el inicio en toda legislación que afecte a datos personales, lo cual es hoy en día frecuentísimo. La introducción a posteriori es siempre difícil y vista como un entorpezimiento. Los dictámenes legislativos antes citados son un buen ejemplo de esa estrategia de introducción temprana. Hasta ahora la intervención del SEPD ha sido mayoritariamente en campos como los datos policiales y judiciales, los sistemas de información, las telecomunicaciones, etc. Cada vez más los campos estadístico, médico, del consumo, etc. van apareciendo como necesitados de especial atención. 6. En España contamos con la Agencia Nacional de Protección de Datos y con varias Agencias que trabajan a nivel autonómico ¿Qué relación existe entre el SEPD y las autoridades nacionales en materia de protección de datos? El SEPD no es una autoridad superior a las nacionales, sino que coopera con ellas a nivel europeo. Esa cooperación se hace, como hemos dicho, en los grupos de trabajo pertinentes y en las conferencias de protección de datos europea y mundial, donde están representadas todas las autoridades, incluidas las autonómicas. 7. En caso de que los Estados miembro no cumplan la normativa en materia de protección de datos ¿Podría el SEPD sancionar a estos Estados? ¿Quién sino? El SEPD no supervisa los tratamientos de datos a nivel nacional sino a nivel europeo, es decir los que realizan las instituciones de la Unión. Si un Estado Miembro no cumple sus obligaciones, por ejemplo no transpone o transpone mal una directiva europea, es la Comisión Europea, como “guardiana de los Tratados” la competente para advertir al 3 Estado y, si no rectifica, demandarlo ante el Tribunal de Justicia de la UE. En es caso, el SEPD puede intervenir en el pleito para defender una posición independiente y técnica, pero no puede iniciar el pleito por propia iniciativa. 8. La protección de datos personales es un tema que preocupa cada vez más a la ciudadanía ¿Pueden las ciudadanas y ciudadanos europeas estar tranquilos de que se respetan sus derechos en esta materia? ¿ sino es así, dónde y cómo pueden reclamar la protección de sus datos personales ? Es claro que los mecanismos de supervisión son muy importantes y garantizan el cumplimiento de las normas y, en su defecto, la sanción a los infractores. Es excepcional que un derecho concreto tenga una serie de autoridades de supervisión específica. Todas ellas, en sus respectivos ámbitos velan por el derecho de los ciudadanos. Concretamente, si el responsable del tratamiento es una institución europea, cualquier ciudadano puede acudir en queja al SEPD; si el responsable es un entidad privada (empresa, asociación, etc.), la queja debe dirigirse a la Agencia Española; y si es un responsable público (una administración pública) a la Agencia Española o, en caso de administraciones de la Comunidad de Madrid, Cataluña o País Vasco, a las respectivas Agencias autonómicas. 9. ¿Qué consideración le merece la normativa europea en materia de protección de datos personales respectos a otros países desarrollados (EE.UU, Japón, etc.), ¿Es más restrictiva? ¿Cuál es el motivo y las consecuencias de una mayor o menor permisividad en el tema según los países? Sin duda Europa, y especialmente la Unión Europea, constituye el área donde la protección de datos, considerada como derecho fundamental, goza de un mayor nivel. Si eso puede calificarse de “más restrictiva”, la respuesta es sí, pero como he dicho la protección no debe ser un obstáculo a la efectividad del tratamiento. En otros países no eurpeos, Canadá, Australia, Nueva Zelanda, por ejemplo, el nivel es bastante adecuado para los estándares europeos pero algo inferior a ellos. En otros países desarrollados el nivel es francamente más bajo, porque no se considera un derecho fundamental y, además, solo se protege la intimidad, y no otros aspectos dignos de protección (calidad de datos, derecho de rectificación, de acceso, etc.). Las consecuencias de esta disparidad de regímenes es que los flujos de datos internacionales se hacen complicados y hay que pactar garantías específicas en esos países (el sistema “Safe Harbour” para empresas de EE.UU. por ejemplo). En el ámbito de la investigación científica también hay problemas parecidos. 10. Algún otro comentario que quisiera hacer? Sí, quiero insistir en que hay posibilidad real de compatibilizar la protección y la efectividad. En el campo de los datos relativos a la salud esa concienciación va creciendo, afortunadamente, y la protección de datos personales coincide en gran medida con normas tales como el secreto médico o la confidencialidad profesional. Es importante que los profesionales de la medicina y profesiones relacionadas avancen en esa buena praxis. Muchas gracias por su colaboración y por compartir su experiencia 4