La semana pasada nos enteramos de que el Congreso de los Diputados destruyó los registros de todas las visitas del exdiputado socialista Juan Bernardo Fuentes Curbelo; y que solo los conservó durante los 30 días posteriores a estas visitas, alegando la Secretaría General que aplicó el Reglamento General de Protección de Datos y un criterio que estableció la propia Secretaría General ‘hace años’.
“Fuentes del Congreso explicaron que el artículo 5 del reglamento europeo en cuestión especifica que los datos personales deben conservarse el ‘mínimo’ tiempo imprescindible: durante no más tiempo del necesario para los fines del tratamiento de los datos personales» (limitación del plazo de conservación, como uno de los ‘principios relativos al tratamiento’).
Este artículo del RGPD no explicita los plazos para destruir los datos personales, pero la Secretaría General fijó hace años (aunque no hay un protocolo escrito) un plazo de 30 días, por analogía con el periodo en el que se deben conservar las grabaciones de las cámaras de seguridad (artículo 22.3 de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales).
Fines del tratamiento: ¿seguridad o transparencia?
Pero creo debe hacerse una reflexión sobre cuáles son los fines del tratamiento de los datos personales de los registros de visitas del Congreso de los Diputados, del Senado, de los Ministerios y de otras Instituciones públicas. ¿Es solamente por seguridad o también por transparencia? ¿Afecta a datos personales de las vidas privadas de particulares o a las actividades oficiales de cargos públicos?
El debate no debe ser sobre si el plazo de 30 días es breve o suficiente, sino sobre si es el necesario para los fines del tratamiento
Creo que el debate no debe ser sobre si el plazo de 30 días es breve o suficiente, sino sobre si es el necesario para los fines del tratamiento. Y, por tanto, hay que tener claro cuáles son éstos. Y parece, prima facie, que los fines (en plural) del tratamiento de los datos personales de las visitas del Congreso de los Diputados y de otras instituciones oficiales, no son -sólo- la seguridad de dichas entidades.
Hay que recordar que, aparte del Reglamento General de Protección de Datos, también se aplica al Congreso de los Diputados la Ley de transparencia, acceso a la información pública y buen gobierno (artículo 2), que “tiene por objeto ampliar y reforzar la transparencia de la actividad pública, regular y garantizar el derecho de acceso a la información relativa a aquella actividad” (según su artículo 1).
Error de concepto
El derecho a la protección de datos personales deriva del derecho a la intimidad (artículo 18.4 de la Constitución), pero aquí no se trata de datos de la vida íntima de un Diputado, sino de las visitas en el Congreso, en el ejercicio de su cargo. Por lo que los datos personales del registro de visitas no deben conservarse sólo por motivos de seguridad, sino también por motivos de transparencia.
Da la sensación de que se usa la Protección de Datos como comodín para todo
Da la sensación de que se usa la Protección de Datos como comodín para todo. Ya sea para borrar datos de un registro público, ya sea para negar el Gobierno la información solicitada por el Parlamento en el ejercicio de su labor de control. Me parece un error de concepto grave. Y me extraña que la Secretaría General y los Servicios Jurídicos de la Cámara no tengan claros estos dos conceptos.
Como decía el bueno de Pazos (Manuel Manquiña) en la película Air Bag (1997): “lo importante es el concepto”. Y cuando hay dos conceptos, bienes jurídicos o derechos que se contraponen (Protección de Datos personales y Transparencia) hay que tener claro cuál debe prevalecer en cada momento y en cada institución. Porque no hay ningún derecho absoluto. Todos tienen límites en otros derechos.
Multas y apercibimientos
Por otra parte, da lo mismo lo que se haga -o lo que no se haga- en el Congreso y en el Senado (y en el conjunto de las Administraciones Públicas) en materia de Protección de Datos o en materia de Transparencia, porque no pasa nada. Aparte de la responsabilidad política, que depende de mayorías parlamentarias, no hay previstos procedimientos sancionadores para las posibles infracciones.
El caso de la Ley de Transparencia es aún peor, porque ni siquiera tiene un régimen sancionador
La Ley Orgánica de Protección de Datos (artículo 77) no permite a multar a los órganos constitucionales ni a las Administraciones Públicas, sino sólo apercibir, aunque el Reglamento General de Protección de Datos sí lo prevé (artículo 83.7). Pero en el caso de la Ley de Transparencia es aún peor, porque ni siquiera tiene un régimen sancionador. Y el elemento esencial de una Ley es la coercibilidad.
Por eso, si algún gobierno o grupo parlamentario quisiera hacer un gran servicio a la Protección de Datos personales y, sobre todo, a la Transparencia, el acceso a la información pública y el buen gobierno de todas las instituciones públicas, lo haría impulsando la reforma de ambas leyes para prever las oportunas multas a los infractores públicos. Porque un deber de aquéllas es la ejemplaridad.
SOBRE EL AUTOR Borja Adsuara Varela es Doctor en Derecho, Profesor universitario y Consultor en asuntos públicos y regulatorios. Ha sido Asesor Parlamentario y Director General para el Desarrollo de la Sociedad de la Información y de ‘Red.es’.
