“ Privacidad, datos personales y control parlamentario ” Jesús Rubí Navarrete Adjunto al Director

1. JORNADAS SOBRE LAS RELACIONES ENTRE GOBIERNO Y PARLAMENTO “CONTROL PARLAMENTARIO, TRANSPARENCIA Y PRIVACIDAD” IVAP Bilbao, 13 y 14 de octubre de 2014

2. “Privacidad, datos personales y control parlamentario” Jesús Rubí Navarrete Adjunto al Director Agencia Española de Protección de Datos

3. Privacidad, datos personales y control parlamentario La aplicación de la L.O. 15/1999, (LOPD) a los ficheros de los Parlamentos • D. Adicional Primera L.O. 5/1999 (LORTAD) • Exclusión de la aplicación de los títulos VI y VII a los ficheros automatizados de las Cortes Generales. • Título VI - Competencias de la AEPD • Título VII – Infracciones y sanciones • L.O. 15/199, 13 de diciembre (LOPD) • Datos de carácter personal registrados en soporte físico susceptibles de tratamiento. • Toda modalidad de uso posterior de los datos por los sectores público y privado (art. 2) • Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables. • Tratamiento: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

4. Privacidad, datos personales y control parlamentario Informe 0086/2009 “ Los ficheros de las Cortes Generales y, por extensión de los Parlamentos de las Comunidades Autónomas se encuentran íntegramente sujetos a lo dispuesto en la normativa reguladora del derecho fundamental a la protección de datos de carácter personal”.

5. Privacidad, datos personales y control parlamentario Modalidades de control parlamentario • Amplio abanico de iniciativas orales y escritas • Derechos de los diputados. Reglamento del Congreso de los Diputados de 10 de febrero de 1982 (BOE de 5 marzo), (art. 7): 1. Para el mejor cumplimiento de sus funciones parlamentarias, los Diputados, previo conocimiento del respectivo Grupo parlamentario, tendrán la facultad de recabar de las Administraciones públicas los datos, informes o documentos que obren en poder de éstas. 2. La solicitud se dirigirá, en todo caso, por conducto de la Presidencia del Congreso y la Administración requerida deberá facilitar la documentación solicitada o manifestar al Presidente del Congreso, en plazo no superior a 30 días y para su más conveniente traslado al solicitante, las razones fundadas en derecho que lo impidan.

6. Privacidad, datos personales y control parlamentario El derecho de información y la LOPD. • Cesión o comunicación de datos. LOPD, art. 3.i) Cesión o comunicación de datos toda revelación de datos realizada a una persona distinta del interesado. • Legitimación para la cesión de datos. LOPD, art.11.1. ”Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

7. Privacidad, datos personales y control parlamentario LOPD, art.11.2. ”El consentimiento exigido en el apartado anterior no será preciso: a) Cuando la cesión está autorizada en una ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”.

8. Privacidad, datos personales y control parlamentario La habilitación legal para la cesión de la información La función de control del Gobierno en la Constitución y los Estatutos de Autonomía. • Cortes Generales: • Las Cortes Generales controlan la acción del Gobierno (art. 66 C.E.). • Las Cámaras establecen sus propios reglamentos por mayoría absoluta (art. 77.1) • Estatutos de Autonomía: • Canarias (Informe 0086/2009) El Parlamento controla políticamente la acción del Gobierno (art. 13.c) • Navarra (Informe 0177/2007) El Parlamento impulsa y controla la acción de la Diputación Foral (art. 11 de L.O. 13/1982, de Reintegración y Amejoramiento del Régimen Foral de Navarra). El Parlamento, por medio de su Presidente, podrá recabar de la Diputación la información que considere necesaria para el ejercicio de sus funciones (art. 32). • Cantabria (Informe 0327/2005) La Asamblea Regional de Cantabria impulsa y controla la acción política de Consejo de Gobierno (art. 9.1.e) del Estatuto de Autonomía de Cantabria.

9. Privacidad, datos personales y control parlamentario • Conclusión: • Atribución de la función de control del poder ejecutivo. • Previsiones expresas sobre el derecho a obtener información del ejecutivo. • Remisión al Reglamento de las Cámaras.

10. Privacidad, datos personales y control parlamentario • El valor de los Reglamentos parlamentarios como norma habilitante a los efectos del art. 11 LOPD (informes 0086/2009, 0177/2007 y 0327/2005) • STC 292/2000, de 30 de noviembre: • Exigencia de reserva de ley formal para la cesión de datos sin consentimiento. • La reserva de ley debe ser interpretada en el sentido de que el legislador no puede, sin más efectuar una delegación genérica de los límites del derecho fundamental a la protección de datos en favor de otro poder del Estado.

11. Privacidad, datos personales y control parlamentario • La naturaleza de los Reglamentos Parlamentarios (Informes 0086/2009, 0177/2007 y 0327/2005) • La Constitución reconoce la potestad autonormativa de las Cámaras para la aprobación de sus Reglamentos. • La potestad autonormativa deriva directamente de la Constitución y no tiene más límites que los establecidos por ella. • Ninguna otra norma puede regular la organización y funcionamiento de las Cámaras. • Los Reglamentos de las Cámaras no pueden ser consideradas como una ley en sentido estricto pero deben considerarse como asimilados a las leyes y disposiciones normativas con fuerza de ley (STC 11/1988, de 20 de junio). • La posición de los Reglamentos parlamentarios en el sistema de fuentes no puede determinarse en términos de jerarquía sino de competencia. • Los Reglamentos parlamentarios legitiman y dan cobertura legal a las cesiones de datos a los efectos del art. 11 LOPD. • La habilitación de los Reglamentos debe cumplir los principios de justificación y proporcionalidad

12. Privacidad, datos personales y control parlamentario • La valoración sobre la proporcionalidad y el procedimiento de acceso a la información. La valoración sobre la proporcionalidad de los datos corresponde a la Mesa de la Asamblea, sin que la AEPD proceda a interpretar los artículos del Reglamento parlamentario (informes 0086/2009, 0177/2007 y 0327/2005).

13. Privacidad, datos personales y control parlamen • Funciones de la Mesa: “Calificar, con arreglo al Reglamento, los escritos y documentos de índole parlamentaria, así como declarar la admisibilidad o inadmisibilidad de los mismos” (art. 31.4 Reglamento del Congreso de los Diputados). • Calificación sobre admisibilidad y proporcionalidad “Decidir la tramitación de todos los escritos y documentos de índole parlamentaria, de acuerdo con las normas establecidas en el Reglamento” (art. 31.5 Reglamento del Congreso de los Diputados). • Decisión sobre los procedimientos para la tramitación de las solicitudes de información. • Remisión a procedimientos específicos de acceso a la información (p.ej. secretos oficiales)

14. Privacidad, datos personales y control parlamentario “Discrepancia de los Diputados o Grupos Parlamentarios con las funciones de la Mesa. Solicitud de reconsideración y decisión motivada de la Mesa, oída la Junta de Portavoces” (art. 31.2). • Apreciación sobre posibles restricciones a la solicitud de información • Funciones del Presidente: “Corresponde al Presidente cumplir y hacer cumplir el Reglamento, interpretándolo en caso de duda y supliéndolo en los de omisión” (art. 32.2 Reglamento del Congreso de los Diputados).

15. Privacidad, datos personales y control parlamentario • La utilización posterior de la información obtenida. Los principios de legitimación y proporcionalidad exigen que los datos cedidos únicamente puedan ser utilizados para la finalidad que justifica su cesión y su tratamiento debe ser conforme con la LOPD (informes 0086/2009, 0177/2007 y 0327/2005). • Control político del Ejecutivo. • Libertad de información y opinión. • Limitaciones LOPD (Pº finalidad). • Usos propios. • Aplicación garantías LOPD: • Medidas de seguridad. • TID.

16. Privacidad, datos personales y control parlamentario Algunos supuestos planteados: • Cesión de datos de retribuciones de directivos de la entidad. Cartográfica de Canarias S.A. (Informe 0086/2009). Aplicación a sociedades de derecho privado • Cesión de datos de expedientes sancionadores por infracción de la Ley 28/2005, de 26 de noviembre de medidas sanitarias frente al tabaquismo y reguladora de la venta, suministro y publicidad de productos del tabaco del Departamento de Salud del Gobierno de Navarra: • Denegación previa ex art. 37.3 Ley 30/1992. • Legitimación de la cesión.

17. Privacidad, datos personales y control parlamentario • Cesión de datos a un Grupo Parlamentario de la relación del personal contratado con los datos identificativos, de funciones, salarios, tipo de contrato y copias de TC2 de la Sociedad Regional de Turismo y de la Sociedad Cántabra de Promoción Turística (Informe 0327/2005): • Ley 6/2002, de 6 de diciembre, de Régimen Jurídico del Gobierno y de la Administración de la Comunidad Autónoma de Cantabria: “El control de la acción política del Gobierno se ejercer por el Parlamento en la forma prevista en el Estatuto de Autonomía y en el Reglamento del Parlamento” (art. 37.1) • Funciones de control del Consejo de Gobierno ex Estatuto de Autonomía de Cantabria (art. 9.1.e.) y Reglamento del Parlamento de Cantabria (art. 7.1) • Prevalencia de la habilitación legal ex Reglamento de la Cámara frente a la Ley 6/2002, de 6 de diciembre.

18. Privacidad, datos personales y control parlamentario • Cesión de datos de la Tesorería General de la Seguridad Social a una Comisión de Investigación del Parlamento Vasco (Informe 0052/2011): “Los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y sólo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto (…) la colaboración con las comisiones parlamentarias de investigación, en el marco legalmente establecido” (art. 66.1 e) TRLGSS)

19. Privacidad, datos personales y control parlamentario Obligación de comunicación a Comisiones Parlamentarias de Investigación (art. Único RD Ley 5/1994, de 29 de abril). “La Administración Tributaria y las entidades de crédito, entidades aseguradoras, sociedades o agencias de valores, sociedades gestoras de instituciones de inversión colectiva, establecimientos financieros de crédito y, en general, cualesquiera entidades financieras, deberán proporcionar cuantos datos, informes, antecedentes o documentos les sean requeridos por las Comisiones Parlamentarias de Investigación a que se refiere el artículo 76 de la Constitución siempre que concurran las condiciones siguientes: a) Que se refieran a personas que desempeñen o hubieren desempeñado, por elección o nombramiento, su actividad como altos cargos o equivalentes en todas las Administraciones Públicas, sus organismos autónomos, entidades de Derecho Público y Presidentes y Directores ejecutivos o equivalentes de los organismos y empresas de ellas dependientes y de las sociedades mercantiles en las que sea mayoritaria la participación directa o indirecta de las Administraciones Públicas o de las restantes entidades de Derecho Público o estén vinculadas a las mismas por constituir con ellas una unidad de decisión. b) Que el objeto de la investigación tenga relación con el desempeño de aquellos cargos. c) Que dichas Comisiones entendieran que sin tales datos, informes, antecedentes o documentos no sería posible cumplir la función para la que fueron creadas”

20. Privacidad, datos personales y control parlamentario • El artículo 76 CE se refiere exclusivamente a la Comisiones de Investigación creadas por el Congreso de los Diputados y el Senado, siendo el marco de referencia del art. 66.1e) TRLGSS. • Reglamento del Parlamento Vasco. “Las Comisiones pueden solicitar información y documentación de las autoridades del Estado sobre competencias atribuidas a la Comunidad Autónoma cuyos servicios no hubieran sido transferidos” (art. 5.1) • La norma que complementa el TRGSS no sería el RD-Ley 5/1994 sino el Reglamento del País Vasco. • La cesión estaría amparada por LOPD • Análisis LOPD (no obligación de remitir la información).

21. MUCHAS GRACIAS