 |
|
|
| |
Notícies |
|
|
|
|
| |
Resum de la jornada "Protecció de dades personals: balanç i reptes de futur" que va organitzar l'Agència Catalana de Protecció de Dades i la CLI
(Comisión de Libertades en Informática).
|
|
|
|
|
|
|
|
|
INAUGURACIÓ DE LA JORNADA
|
|
|
|
|
|
|
|
|
El secretari general del Departament de Governació i Administracions Públiques, Ramon Canal,
amb el director de l'Agència Catalana de Protecció de Dades, Josep Xavier Hernández i
el president de la CLI, Antoni Farriols.
|
|
|
|
|
|
El director de l'Agència Catalana de Protecció de Dades, Josep Xavier Hernández, va destacar la importància que tenen les entitats no governamentals en la consolidació de la protecció de dades. En són un exemple la Comisión de Libertades e Informática (CLI), que va coorganitzar aquesta jornada i amb qui
l'Agència Catalana de Protecció de Dades va signar un
conveni de col·laboració, com també l'Organització de Consumidors i Usuaris (OCU, la directora de la qual és membre del Consell Assessor de Protecció de Dades de Catalunya.
|
|
|
|
|
|
Segons el director, els tres pilars fonamentals de la protecció de dades són:
|
|
|
|
|
|
| · |
El reconeixement de la protecció de dades com a dret fonamental, que ja apareix recollit, també, en la Constitució Europea.
|
| | |
| · |
El consentiment del titular de les dades, que només pot ser obviat quan una llei així ho disposi; en aquest cas també s'haurà de respectar el principi de qualitat de les dades definint clarament quines dades es recullen i per quines finalitats poden ser tractades sense aquest consentiment. En els tractaments públics en els que no hi hagi una habilitació legal, també caldrà recabar el consentiment del titular. L'interès públic que la llei tracti de servir o preservar ha de tenir una entitat comparable al dret fonamental a la protecció de les dades personals.
|
| | |
| · |
L'existència d'autoritats independents de control, com l'Agència Catalana de Protecció de Dades.
|
|
|
|
|
|
| |
Antoni Farriols, president de la CLI, va destacar que el marc normatiu de la protecció de dades requereix una reforma i que la matèria de la protecció de dades ha tingut un punt d'inflexió com a conseqüència dels atacs terroristes de l'11 de setembre a New York i de l'11 de març a Madrid. El desenvolupament de les TIC exigeix un reforçament de la seguretat. També va destacar la rellevància i el paper que té el poder judicial per la consolidació d'aquesta matèria.
|
|
|
|
|
| |
Ramon Canal, secretari general del Departament de Governació i Administracions Públiques i membre del Consell Assessor de Protecció de Dades de Catalunya, va destacar que el desenvolupament de les TIC en l'e-administració no sempre va acompanyat d'un desenvolupament en l'àmbit dels drets i de les llibertats dels ciutadans i de la seguretat en les tecnologies. Caldrà vetllar per la garantia jurídica i tecnològica en els nous processos d'e-administració i d'e-govern, i en els usos de les grans bases de dades públiques, com el padró, que han de ser legals i legítims.
|
|
|
|
|
|
|
|
| |
PRIMERA PONÈNCIA
|
|
| |
Prof. Dr. Marc Carrillo: DNI electrònic, vot electrònic i protecció de dades de caràcter personal.
|
|
|
|
|
|
|
|
|
Marc Carrillo, presentat per Esther Mitjans, membre del Consell Assessor
de Protecció de Dades de Catalunya.
|
|
|
|
|
| |
L'ús i la implantació de l'e-DNI pot tenir un paper essencial per permetre el vot electrònic, eina amb molta força per facilitar l'exercici del sufragi. Cal analitzar els punts següents:
|
|
|
|
|
| |
| 1 |
Principis jurídics afectats per la introducció del vot electrònic.
|
| 2 |
Marc jurídic existent per legitimar un vot electrònic.
| | 3 |
Reformes normatives necessàries.
|
|
|
|
|
|
| |
Des del punt de vista jurídic, de moment, segons el seu parer, només el vot presencial pot oferir una garantia suficient de seguretat. Cal tenir en compte la fractura digital encara existent i cal valorar doncs, la confiança social que tenen aquestes eines.
|
|
|
|
|
| |
Hi ha uns principis que cal respectar:
|
|
|
|
|
| |
| - |
Vot secret, igual, lliure: És la primera dificultat en què es troba la implantació del vot electrònic. La normativa catalana podria preveure l'ús del vot electrònic (com a exemple, es cita la llei electoral basca que introdueix la previsió d'utilitzar el vot electrònic, tot i que encara no s'ha posat en pràctica). El cens electoral i l'exercici del dret de vot exigeix la identificació segura de l'elector; apareix la necessitat de l'e-DNI per poder garantir amb la firma electrònica la identificació de les persones.
|
| - |
La seguretat és un altre problema: Reconeixement i respecte dels requeriments de la LOPD. Cal garantir el principi de vot universal: 1 persona 1 vot.
|
| - |
Cal garantir també la possibilitat de votar en blanc i d'emetre un vot nul.
|
| - |
Vot secret: el vot secret no només exigeix la confidencialitat en el moment del vot sinó també dels resultats fins al tancament de la jornada i garantir el secret dels resultats en el recompte. Hi ha dificultats per garantir aquest requisits quan el vot es duu a terme a través d'unes tecnologies que permeten un tractament de la informació ràpid i deslocalitzat.
|
| - |
Garantia i acreditació del vot emès: el propi elector pot exigir una constància del vot, ja sigui dels fet d'haver votat o del sentit del vot emès, ja sigui per garantir la confiança en el vot electrònic o per d'altres motivacions.
|
|
|
|
|
|
| |
La LOREG (règim electoral general) marca el caràcter secret i universal del dret i defineix l'organització de l'administració electoral i altres aspectes. Deixa marge suficient per l'establiment del vot electrònic però caldria preveure un sistema comú a utilitzar en totes les eleccions amb independència de l'àmbit i a efectes de vetllar per l'eficàcia econòmica.
|
|
|
|
|
| |
Els aspectes essencials per a l'articulació del vot electrònic i l'exercici de l'e-democràcia necessiten decisió política i articulació jurídica. Seria essencial la formació dels membres de les meses electorals o l'assistència tècnica de les mateixes per a garantir una bona ajuda a l'electorat però aquest no seria un impediment per al seu desenvolupament. |
|
|
|
|
|
|
|
| |
SEGONA PONÈNCIA
|
|
| |
Prof. Dr. Miguel Ángel Davara: Aspectes pràctics de la implantació de la protecció de dades.
|
|
|
|
|
|
|
|
|
Miguel Ángel Davara, presentat per Alfred Rodrigo, secretari
general de l'Agència.
|
|
|
|
|
|
La protecció de les dades personals no ha de ser principalment la conseqüència d'un règim sancionador estricte que comporta sancions de tipus econòmic elevades, sinó que ha d'esdevenir una cultura, en el ciutadà, en l'empresa, en les administracions. Ha de començar a les escoles, amb l'educació i la formació de les persones. Posa de manifest la rellevància que té el fet que la protecció de les dades personals es comprengui i no s'apliqui només per temor a unes sancions o per imperatiu d'unes normes sinó que esdevingui una cultura assimilada per totes aquelles persones que tracten dades o que les seves dades són tractades. No considera que l'amenaça sigui el mecanisme adequat per vetllar perquè les dades personals siguin protegides. Rellevància del coneixement general del fet que els dades són titularitat del subjecte i no del responsable o tercer legitimat per tractar-la.
|
|
|
|
|
|
Cal garantir un tractament legal i lleial de les dades. Aquesta concepció ajuda a concloure que el que disposa de les dades només està legitimat per tractar-les però ha de gaudir d'una habilitació, autorització o consentiment per fer-ho.
|
|
|
|
|
|
La protecció de les dades de caràcter personal ajuda, així mateix, a les empreses a conèixer els fluxos de dades dels que disposen: requereix analitzar quina és l'entrada de les dades, la fase de recaptació, com són sotmeses a un tractament i en darrer terme, extreure determinada informació de les mateixes (dades personals o no). La protecció de les dades personals permet a les entitats i empreses que tracten dades conèixer i aprofundir en els circuits i analitzar la legitimitat de cadascuna de les tres principals fases esmentades que afecten el tractament de les dades personals.
|
|
|
|
|
|
La protecció de dades exigeix analitzar el flux d'informació en una organització des de l'òptica de si es compleixen els principis que regeixen aquesta matèria: Qualitat de les dades personals, informació en la recollida de les dades, consentiment de l'afectat, major cura de les dades especialment protegides, seguretat de les dades, cessió de dades i accés de les dades per compte de tercers. Si l'anàlisi de les fases, dels fluxos és profund, l'empresa o organització analitzarà també si té legitimat de fons per tractar totes les dades de les que disposa i coneixerà en profunditat els seus circuits, les fases d'entrada i sortida de la informació, un recurs essencial per la majoria de les organitzacions.
|
|
|
|
|
|
|
|
| |
TAULA RODONA
|
|
| |
Problemes i reptes que planteja la normativa sobre protecció de les dades personals.
|
|
|
|
|
|
|
|
|
Remo L. Suppi, a la dreta, ha presentat la taula rodona formada,
d'esquerra a dreta, per Josep Maria Bosch, Antoni Bosch i Carles Soto.
|
|
|
|
|
|
Remo Suppi, membre del Consell Assessor de Protecció de Dades i director de l'Escola d'Informàtica de Sabadell, en la seva presentació va puntualitzar la rellevància que pren la conjugació entre tecnologia i norma jurídica en aquesta matèria que les interrelaciona de forma contínua.
|
|
|
|
|
|
Remo Suppi va incidir en el canvi de cultura que comporta la protecció de les dades personals, doncs la seguretat és un requisit indispensable que requereix temps per ser assumit per les organitzacions com un valor, la inversió en seguretat és infinita i tenen un paper molt important les autoritats de control en aquesta matèria.
|
|
|
|
|
|
|
|
|
Josep Maria Bosch, de la Unió Catalana d'Hospitals, va analitzar el concepte d'assistència sanitària, concepte en evolució que apareix en la definició del fitxer, versus el concepte de recerca en el sentit d'incorporació de dades mèdiques a xarxes d'informació.
|
|
|
|
|
|
Es planteja la pregunta de si la titularitat del fitxer ha de ser individual així com les necessitats creixents de disposar de dades en xarxa i noves fórmules de gestió sanitària que farien pensar en la conveniència d'articular una titularitat compartida de fitxers. La resposta per part de l'Agencia Española de Protección de Datos, un cop consultada, ha estat negativa.
|
|
|
|
|
|
Hi ha una definició dolenta del concepte cessió, comunicació, transferència, accés... i una definició de les excepcions al consentiment i de la comunicació que planteja dificultats tècniques. Per exemple la problemàtica de la cessió de les dades d'una persona que ha tingut un accident a la companyia de la part contrària sense que hi hagi el consentiment de l'usuari, supòsit no previst per la norma.
|
|
|
|
|
|
La història clínica electrònica encara planteja problemes, quan encara no s'han resolt els que presenta la història en suport paper encara generalitzat.
|
|
|
|
|
|
|
|
|
Segons Antoni Bosch, president del capítol de Catalunya i Balears de l'ISACA, cal avançar en la cultura de la protecció de les dades personals. Un mecanisme indispensable per assolir aquesta cultura és que cada dia tingui més importància la implantació de sistemes de seguretat de la informació, que va íntimament lligada a la protecció de les dades personals. Tanmateix, s'observa un dèficit de formació i de regulació de l'auditoria de sistemes i de la protecció de dades personals.
|
|
|
|
|
|
En aquest punt, tenen un paper molt important les autoritats de control, no solament en el seu paper de vetllar pel respecte d'aquest dret fonamental sinó també en la seva funció de catalitzadors, d'impulsors. L'organització d'aquesta jornada és un exemple palpable de la implicació que té l'Agència Catalana de Protecció de Dades que compta amb les diferents entitats i organitzacions que promouen la protecció de les dades personals.
|
|
|
|
|
|
|
|
|
Carles Soto, d'AUSEBA, va destacar la manca general de formació i cultura de la seguretat i de la privadesa de la informació. Assenyalà el respecte per la protecció de dades com a integrant de la qualitat de serveis i productes i com element diferenciador de la qualitat i el canvi organitzatiu inherent a l'adaptació a la normativa.
|
|
|
|
|
|
|
|
| |
TERCERA PONÈNCIA
|
|
| |
José Antonio Martín Pallín, Magistrat del Tribunal Suprem:
Implicacions de la legislació vigent.
|
|
|
|
|
|
|
|
| |
José Antonio Martín Pallín, presentat per Josep Cruanyes, President
del Consell Assessor de Protecció de Dades de Catalunya.
|
|
|
|
|
| |
El president del Consell Assessor de Protecció de Dades, Josep Cruanyes, va presentar el següent ponent destacant la seva trajectòria professional i la seva implicació en la protecció de les dades personals.
|
|
|
|
|
| |
José Antonio Martín Pallín cità com a antecedents al règim de protecció de les dades personals l'article 18.4 de la Constitució Espanyola i el iusnaturalisme i la filosofia del dret que van permetre la diferenciació entre la intimitat i la protecció de dades. El context que va donar naixement a la protecció de les dades personals també s'ha vist alterat pel naixement d'Internet. La seva aparició va determinar en un primer moment un gran debat sobre la regulació, l'autorregulació o la desregulació d'Internet i ha evolucionat cap a un debat actual on cal tenir en compte la voluntat d'aprehensió dels poders polítics d'Internet, el seu reconeixement com una eina amb un fort poder de comunicació i la seva importància com a valor econòmic.
|
|
|
|
|
| |
El naixement de la protecció de les dades personals deriva també de la necessitat de protegir les dades sensibles i determinar els usos legítims de determinades dades i del concepte emergent des de la doctrina de l'home transparent, de l'home de cristall que sorgeix de la Sentència del Tribunal Constitucional Alemany de 1983, que va analitzar va determinar els criteris per considerar quines dades són necessàries o proporcionades per als diferents usos i definir el pes de l'autonomia de la voluntat en aquestes decisions.
|
|
|
|
|
| |
Posà de manifest la importància que prenen, cada dia més, algunes dades sensibles, com les dades de salut. Les dades relatives a la ideologia o a les creences, en societats democràtiques perden rellevància social i esdevenen sovint, notòries o de públic coneixement, en detriment de les dades relatives a la salut, actualment rellevants per a companyies asseguradores, serveis financers i per a usos com la ciència, la recerca, per a la millora, el progrés i el desenvolupament social... en contraposició amb d'altres i amb la por a ser discriminat en base a les mateixes. Necessitat de seguretat i confiança de les persones de les societats democràtiques a que aquestes dades siguin conservades i tractades amb plenes garanties i sigil: usos legítims i usos que requereixen unes garanties de seguretat extremes: dades genètiques, interessos de les asseguradores, companyies financeres per a serveis bancaris, tractament per les empreses en relació amb els treballadors, la recerca científica pública i privada... Per a l'estudi de les malalties genètiques, s'ha vist necessari mantenir la identificació dels participants.
|
|
|
|
|
| |
Per exemple, al Regne Unit, el tractament de la informació relativa a la malaltia de Huntington, que és una malaltia degenerativa, ha generat un gran debat social.
|
|
|
|
|
| |
El principi d'autodeterminació prové del Codi Civil, de 1889 on s'exigeix que el consentiment sigui lliure i no coaccionat, que sigui un consentiment informat i que inadmet clàusules d'amagada transparència: La regulació general del consentiment exigeix que sigui informat, ha d'expressar clarament els destinataris i les finalitats.
|
|
|
|
|
| |
En relació amb el dret d'accés a les dades que concerneixen a les persones només es preveuran excepcions si comporta esforços desproporcionats, si el dret d'accés és de difícil realització en funció del nombre d'afectats, dels mitjans disponibles... sempre tenint en compte que la concurrència d'aquestes circumstàncies no comporti discriminació.
|
|
|
|
|
| |
Així mateix, indicà que hi ha una desproporció en el fet que les normes que regeixen les petites empreses siguin les mateixes que regulen el tractament de les dades personals per part de les grans entitats financeres. Considera que el règim privat aplicable a les empreses privades esdevé insuficient, en tant aquestes obtenen quantitats ingents d'informació, dades sensibles de tot tipus i tenen un pes polític essencial en l'actual marc de relacions nacionals i internacionals. |
|
|
|
|
| |
Es planteja el dubte de si l'objecte social de les empreses privades vincula la finalitat a la qual poden destinar les dades personals de les que disposen. Ostenten legitimitat les empreses per tractar qualsevol tipus de dades? Introdueix en aquest punt també, la necessitat de valorar si el Codi Penal hauria d'intervenir i limitar determinats usos i tractaments de dades personals per part de les empreses privades. Les entitats financeres disposen a través de les dades recollides per oferir els seus productes o serveis de moltes dades i n'obtenen d'altres de forma indirecta molt rellevants: domiciliacions de les escoles, rebuts d'associacions, destinacions de vacances, hàbits... Es considera indispensable repensar el fet de diferenciar els requisits de la normativa de protecció de les dades personals en funció del titular del fitxer en tant determinades empreses o institucions financeres tenen un pes més importants que els governs dels estats i en tant les funcions públiques i el seu exercici es troba tant externalitzat que sovint en desapareix el control (anunci de licitació d'un ajuntament per gestionar externament la gerència del consistori).
|
|
|
|
|
| |
S'insinua la necessitat de reformar el règim de protecció de les dades personals atenent a aquestes grans bases de dades a mans d'entitats privades i considerant quins són els límits que la llei ordinària pot imposar a un dret fonamental si no es per atendre a altres béns constitucionalment protegits.
|
|
|
|
|
| |
QUARTA PONÈNCIA
|
|
| |
Antoni Farriols i Ofelia Tejerina, president i cap de l'assessoria jurídica de la Comisión de Libertades en Informática (CLI):
Les carències de la normativa sobre Protecció de Dades Personal.
|
|
|
|
|
|
|
|
| |
Antoni Farriols i Ofelia Tejerina, presentats pel director
de l'Agència Catalana de Protecció de Dades.
|
|
|
|
|
| |
La Comissió de Llibertats i Informàtica ha estat treballant en els aspectes a reformar de la LOPD, especialment per adaptar les necessitats de l'àmbit sanitari i de l'àmbit laboral com les recomanacions de 1996 de la Organització Internacional del Treball, la necessitat d'introduir la figura del delegat de protecció de dades (controller) i de regular el DNI electrònic i el vot electrònic.
|
|
|
|
|
| |
Es reclama una exposició de motius de la LOPD, el reconeixement explícit del caràcter de dret fonamental, la inclusió dels fitxers d'investigació del terrorisme, malgrat subjectes a normativa específica com el conveni Europol, deixar de parlar de finalitats incompatibles per passar a parlar de diferents (sentències...). Altres punts principals a reformar són:
|
|
|
|
|
| |
| - |
Els tractament per a fins històrics, científics o estadístics: s'exigeix que les dades en tot cas siguin dissociades: i que si no pot ser així i atempta contra els drets de les persones i determina la il·legitimitat del tractament.
|
| - |
La introducció del concepte de dades biològiques: introducció d'aquesta categoria de dades que inclou les genètiques, les biomèdiques, i les de salut; preveure el consentiment de l'incapaç i regular les dades genètiques, exigint una habilitació legal prèvia dels tractaments de dades genètiques (Comitè de Ministres del Consell d'Europa, Recomanació sobre dades genètiques) i sempre per finalitats de recerca o persecució del delicte i sempre amb el consentiment.
|
| - |
Cessions de dades sensibles per les administracions públiques: restriccions de l'accés a les dades d'informacions administratives i penals, alguns casos, autoritzacions judicials.
|
| - |
Introduir la figura del controller com a Alemanya o Suècia.
|
| - |
Que es prevegin determinades mesures cautelars i mesures de control previ, autoritzacions prèvies dels tractament de dades.
|
| - |
La possibilitat que les autoritats de control emetin segells de qualitat.
|
| - |
La regulació de les Llistes Robinson.
|
| - |
Suprimir els representants de les comunitat autònomes en el Consell Consultiu i només reconèixer el dret a ser escoltats i que aquests disposin d'un contacte més directe amb l'Agència Espanyola.
|
| - |
Ús de les eines tecnològiques en el món laboral: que es reconegui un àmbit d'intimitat del treballador.
|
| - |
Dotar de rang orgànica al Títol IV de la LOPD, que ho consideren inconstitucionals. |
|
|
|
|
|
|
|
|
| |
CLOENDA
|
|
|
|
|
|
|
|
| |
Pilar Dellunde, presidenta de la Comissió d'Organització i Administració de la
Generalitat i Govern Local del Parlament de Catalunya amb el director de l'Agència.
|
|
|
|
|
|
Desprès d'una intervenció en què el director de l'Agència Catalana de Protecció de Dades va resumir els aspectes més importants tractats en la jornada, la presidenta de la Comissió d'Organització i Administració de la Generalitat i Govern Local del Parlament de Catalunya posà de manifest la rellevància que té la protecció dades personals per a la protecció dels drets de les persones i per garantir la transparència de l'acció de govern. S'ha produït un grau avanç del dret des del seu naixement i es preveu la incorporació de la protecció de dades en el projecte de reforma de l'Estatut d'Autonomia de Catalunya.
|
|
|
|
|
|
S'ha redactat just aquests dies i s'ha incorporat en els apartat de drets i deures, tot i que hi ha hagut debat sobre la inclusió d'un capítol de drets a l'Estatut i de competències de la Generalitat. En incorporar el dret a la protecció de dades personals com a dret se li dóna més força i rellevància que la seva previsió com a principi rector i s'ha previst un redactat que defineix el dret i l'habeas data i l'existència d'una autoritat de control independent nomenada pel Parlament. En l'apartat de competències de la Generalitat es defineix com una competència executiva forta que implica competències legislatives. Es preveuen competències per regular i inscriure els fitxers de les administracions i per a regular, inscriure i controlar els fitxers privats en el territori català. En aquests termes ha estat incorporada la protecció de les dades personals en l'actual projecte de reforma de l'Estatut d'Autonomia de Catalunya.
|
|
|
|
|
|
Barcelona 15 de març de 2005.
|
|
|
|
|
|
|
|
|
|
|
|
Fotos signatura del conveni:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
