Agencia Estatal Boletín Oficial del Estado
En cumplimiento con lo previsto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del Convenio de colaboración entre el Consejo General del Poder Judicial y la Agencia Española de Protección de Datos.
Madrid, 6 de julio de 2017.–La Directora de la Agencia Española de Protección de Datos, Mar España Martí.
En Madrid a 6 de julio de 2017.
REUNIDOS
De una parte, el Presidente del Tribunal Supremo y del Consejo General del Poder Judicial, Sr. don Carlos Lesmes Serrano, según Acuerdo (número 2.º) del Pleno del Consejo General del Poder Judicial de 9 de diciembre de 2013, Real Decreto 979/2013, de 10 de diciembre (BOE del 11), en ejercicio de las facultades que le atribuye el artículo 585 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, modificada por la Ley Orgánica 4/2013, de 28 de junio, de reforma del Consejo General del Poder Judicial.
De otra, la Directora de la Agencia Española de Protección de Datos, Sra. doña María del Mar España Martí, nombrada por Real Decreto 715/2015, de 24 de julio (BOE del 25), a propuesta del Ministro de Justicia, en virtud de las facultades que ostenta.
Ambas partes comparecen en nombre de las Instituciones a las que, respectivamente representan, y de modo recíproco se reconocen capacidad para formalizar el presente Convenio y, por ello
EXPONEN
El Consejo General del Poder Judicial es el órgano de gobierno del mismo y será presidido por el Presidente del Tribunal Supremo (artículo 122 CE). Asimismo, el artículo 104.2 de la Ley Orgánica 6/1985, del Poder Judicial, establece que el gobierno del Poder Judicial corresponde al Consejo General del Poder Judicial, que ejerce sus competencias en todo el territorio nacional y que su Presidente, en virtud de lo que señala el artículo 105 de dicha Ley Orgánica, es la primera autoridad judicial de la nación y ostenta la representación del Poder Judicial y del órgano de gobierno del mismo.
La Agencia Española de Protección de Datos, regulada por Ley Orgánica 15/1999, de 13 de diciembre, es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, cuya principal finalidad es velar por el cumplimiento de la legislación sobre protección de datos personales.
El artículo 37 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, le atribuye la función general de velar por el cumplimiento de la normativa de protección de datos y controlar su aplicación, con el detalle que se recoge en el resto de sus apartados. La función inspectora de la Agencia de Protección de Datos se recoge en el artículo 40 de dicha Ley.
Dispone el artículo 236 nonies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, en su apartado 1, según redacción dada por la Ley Orgánica 7/2015, de 21 de julio que «las competencias que la Ley Orgánica 15/1999, de 13 de diciembre, atribuye a la Agencia Española de Protección de Datos, serán ejercidas, respecto de los tratamientos efectuados con fines jurisdiccionales y los ficheros de esta naturaleza, por el Consejo General del Poder Judicial». En su apartado 2, que «los tratamientos de datos llevados a cabo con fines no jurisdiccionales y sus correspondientes ficheros quedarán sometidos a la competencia de la Agencia Española de Protección de Datos, prestando el Consejo General del Poder Judicial a la misma la colaboración que al efecto precise», y en su párrafo segundo que «el Consejo General del Poder Judicial podrá adoptar las medidas reglamentarias que estime necesarias para garantizar el cumplimiento, en los tratamientos de datos con fines no jurisdiccionales y los ficheros no jurisdiccionales, de las medidas de seguridad establecidas en la normativa vigente en materia de protección de datos de carácter personal».
Por último, en su apartado 3, dispone que «cuando con ocasión de la realización de actuaciones de investigación relacionadas con la posible comisión de una infracción de la normativa de protección de datos las autoridades competentes a las que se refieren los dos apartados anteriores apreciasen la existencia de indicios que supongan la competencia de la otra autoridad, darán inmediatamente traslado a esta última a fin de que prosiga con la tramitación del procedimiento».
A su vez, de conformidad con lo dispuesto en el artículo 55.3 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), «las autoridades de control no serán competentes para controlar las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial». Por otra parte, de acuerdo con el «Considerando» 20 de dicho Reglamento: «Aunque el presente Reglamento se aplica, entre otras, a las actividades de los tribunales y otras autoridades judiciales, en virtud del Derecho de la Unión o de los Estados miembros pueden especificarse las operaciones de tratamiento y los procedimientos de tratamiento en relación con el tratamiento de datos personales por los tribunales y otras autoridades judiciales. A fin de preservar la independencia del poder judicial en el desempeño de sus funciones, incluida la toma de decisiones, la competencia de las autoridades de control no debe abarcar el tratamiento de datos personales cuando los tribunales actúen en ejercicio de su función judicial. El control de esas operaciones de tratamiento de datos ha de poder encomendarse a organismos específicos establecidos dentro del sistema judicial del Estado miembro, los cuales deben, en particular, garantizar el cumplimiento de las normas del presente Reglamento, concienciar a los miembros del poder judicial acerca de sus obligaciones en virtud de éste y atender las reclamaciones en relación con tales operaciones de tratamiento de datos».
Dispone el artículo 51 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 que 1. «Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión». 2. «Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII.»
Por tanto, siendo necesario promover una relación intensa de colaboración sobre inspección de órganos jurisdiccionales en materia de protección de datos entre la AEPD y el Consejo General del Poder Judicial, ambas Instituciones están interesadas en firmar un Convenio de Colaboración que precise los términos y estipulaciones de la relación descrita.
Igualmente, y a la luz de lo establecido en el Reglamento General de Protección de Datos, la adopción de instrumentos que faciliten el cumplimiento de las obligaciones de responsabilidad activa que el mismo establece se configura como un factor esencial para la garantía del derecho a la protección de datos de carácter personal, considerando ambas partes la necesidad de llevar a cabo actuaciones conjuntas encaminadas a su desarrollo en el ámbito de los tratamientos llevados a cabo por los usuarios de los sistemas de información de la Administración de Justicia.
Del mismo modo, y a fin de garantizar el cumplimiento del principio de coordinación entre ambas autoridades de control, resulta necesaria la realización de actividades conjuntas encaminadas a la sensibilización de los implicados en los tratamientos de datos llevados a cabo en el ámbito de los órganos jurisdiccionales a través de acciones formativas dirigidas a los mismos.
Por todo lo cual, las partes acuerdan suscribir el presente Convenio de Colaboración de conformidad con las siguientes
CLÁUSULAS
El presente Convenio tiene por objeto articular la colaboración entre la Agencia Española de Protección de Datos (en adelante AEPD) y el Consejo General del Poder Judicial (en adelante CGPJ) en las diversas tareas que, como autoridades de control, deben llevar a cabo y en especial sobre inspección de Órganos Jurisdiccionales en materia de protección de datos.
En este marco de actuación, el CGPJ y la AEPD se prestarán la colaboración mutua que al efecto precisen y seguirán intensificando, con carácter institucional, sus relaciones, manteniendo reuniones con carácter periódico y estableciendo iniciativas y actividades comunes dirigidas a promover la efectiva vigencia de la normativa de protección de datos en el conjunto de la Administración de Justicia.
1. En materia de inspección:
1.1 Cuando con ocasión de la realización de actuaciones de investigación relacionadas con la posible comisión de una infracción de la normativa de protección de datos, se apreciase por cualquiera de las partes la existencia de indicios que supongan la competencia de la otra autoridad, darán inmediatamente traslado a esta última de toda la información y documentación que hubieran recabado a fin de que por la misma, como autoridad competente para resolver el caso, se prosiga con la tramitación del procedimiento, conforme establece el artículo 236 nonies de la LOPJ.
1.2 La colaboración en el ámbito de la inspección y para los ficheros de tratamientos previstos en el artículo 236 nonies, en lo relativo a ficheros jurisdiccionales, en los que corresponde al CGPJ la competencia en materia de protección de datos, se realizará de la siguiente forma:
a) El CGPJ notificará a la AEPD su intención de iniciar una inspección a un determinado órgano jurisdiccional u oficina judicial, con objeto de verificar la existencia de una posible infracción del derecho fundamental a la protección de datos de carácter personal.
b) Ambas partes, de común acuerdo, fijarán la fecha en que se efectuará la inspección.
c) Los inspectores del CGPJ realizarán la visita de inspección acompañados de inspectores de la AEPD, prestando éstos a los inspectores del CGPJ la asistencia que requirieran sin que ello suponga en ningún caso la asunción por la AEPD de competencia alguna en relación con la actuación inspectora desarrollada.
d) Finalizada la visita de inspección, se levantará por parte de los inspectores del CGPJ, en su condición de órganos de inspección competentes para ello, la correspondiente acta. Una copia del acta se remitirá a la AEPD para su conocimiento.
e) El CGPJ dará traslado a los efectos oportunos a la AEPD de la correspondiente resolución.
1.3 En lo relativo a los ficheros no jurisdiccionales regulados en el apartado 2 del artículo 236 nonies, en los que los tratamientos y sus correspondientes ficheros quedan sometidos a la competencia de la AEPD, se prestará la colaboración que al efecto precise por parte del CGPJ. Dicha colaboración se realizará de la siguiente forma:
a) La AEPD notificará al CGPJ su intención de inspeccionar un determinado órgano jurisdiccional u oficina judicial, con objeto de verificar la existencia de una posible infracción del derecho fundamental a la protección de datos de carácter personal.
b) Ambas partes, de común acuerdo, fijarán la fecha en que se efectuará la inspección del Juzgado o Tribunal.
c) Los inspectores de la AEPD realizarán la visita de inspección acompañados de inspectores del CGPJ, prestando éstos a los inspectores de la AEPD la asistencia que requirieran sin que ello suponga en ningún caso la asunción por el CGPJ de competencia alguna en relación con la actuación inspectora desarrollada.
d) Finalizada la visita de inspección, se levantará por parte de los inspectores de la AEPD, en su condición de órgano de inspección competente para ello, la correspondiente acta. Una copia del acta se remitirá al CGPJ para su conocimiento
e) En el caso de que existieran indicios suficientes que determinaran la participación de un miembro de la carrera judicial en el asunto en cuestión, se daría traslado del expediente al CGPJ a los efectos de continuar con la tramitación del expediente de conformidad con el Artículo 560.1.19ª de la LOPJ en la que se establece que el CGPJ, asumirá las competencias propias de la AEPD, respecto a la actuación de Jueces y Magistrados con ocasión del uso de ficheros judiciales.
f) La AEPD dará traslado a los efectos oportunos al CGPJ de la correspondiente resolución.
2. En materia de la generación de instrumentos para el mejor cumplimiento de las obligaciones de protección de datos:
Ambas partes colaborarán en la elaboración, modificación o ampliación de Códigos de buenas prácticas para Usuarios de los Sistemas de Información de la Administración de Justicia, así como para el establecimiento de los Criterios Generales de Seguridad exigibles en los Sistemas de Información de la Administración de Justicia y los procedimientos de adopción de las medidas de responsabilidad activa previstas en el Reglamento (UE) 679/2016. Se constituirá en el ámbito del Convenio un Grupo de Trabajo al efecto de elaborar los documentos que resulten necesarios.
3. En materia de formación:
3.1 Ambas partes llevarán a cabo actuaciones conjuntas de formación, particularmente a través de la celebración de seminarios conjuntos al objeto de concienciar e informar al Poder judicial sobre las novedades previstas en el Reglamento General de Protección de Datos, que será plenamente aplicable a partir del 25 de mayo de 2018. En dichos seminarios se atenderá especialmente a lo señalado en su Considerando 20 y artículo 55.3. Igualmente se realizaran seminarios conjuntos al objeto de difundir entre los jueces y magistrados de la jurisdicción penal la reciente Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
3.2 La AEPD dará formación singularizada relacionada con las actuaciones inspectoras en materia de protección de datos a los inspectores de CGPJ. Igualmente, el CGPJ dará formación de Derecho Orgánico Judicial a los inspectores de la AEPD.
3.3 La AEPD colaborará con el CGPJ en la formación de Jueces y Magistrados en materias relacionadas con el objeto del presente Convenio.
4. En materia de ayuda recíproca:
Ambas partes, como autoridades de control, se facilitarán información útil y se prestarán asistencia mutua a fin de aplicar el Reglamento 2016/679 del Parlamento Europeo y del Consejo en la forma establecida en su artículo 61 así como con el fin de garantizar la coherencia en su aplicación y ejecución [artículo. 57.1.g)], en particular, de los registros internos de las infracciones del Reglamento y de las medidas adoptadas [artículo 57.1.u)]. Por otra parte, dicha asistencia mutua se materializará respondiendo a las solicitudes formuladas sin dilación indebida y a más tardar en el plazo de un mes a partir de la misma (artículo. 61.2 Reglamento) o realizando las operaciones conjuntas que resulten precisas (artículo 62 Reglamento).
El presente Convenio de colaboración no conlleva contraprestación económica para ninguna de las partes, las cuales asumirán con sus propios recursos los costes de las actuaciones que, en su caso, deban realizar.
Para el seguimiento de la ejecución del presente Convenio se constituye una Comisión que estará integrada por representantes del CGPJ y de la AEPD de manera igualitaria y hasta un máximo de tres por cada parte, que serán designados en cada caso por las autoridades firmantes del Convenio.
Esta Comisión podrá ser convocada por cualquiera de sus miembros, a efectos del oportuno seguimiento del proyecto, previa indicación de los asuntos a tratar.
La Comisión se reunirá cuantas veces sea preciso, y al menos con una periodicidad semestral, con el fin de contar con adecuados instrumentos de seguimiento y evaluación de las acciones previstas en el presente Convenio, así como de lograr las mejores condiciones para su ejecución.
Los acuerdos se tomarán por unanimidad, salvo que las partes, de común acuerdo, dispongan otra cosa.
Así mismo, dicha Comisión de Seguimiento podrá crear los grupos de trabajo que fueran necesarios para el buen cumplimiento del fin del presente Convenio.
El presente Convenio entrará en vigor el día de la firma y tendrá una vigencia de cuatro años, pudiendo prorrogarse por un período de otros cuatro años mediante acuerdo expreso de las partes a través de un documento conjunto o escrito unilateral comunicado recíprocamente.
6.1 El presente Convenio podrá ser modificado por mutuo acuerdo entre las partes. La modificación se incorporará como adenda al Convenio y se considerará parte integrante del mismo.
6.2 Serán causas de resolución del presente Convenio las previstas en el artículo 51 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y, en particular, el incumplimiento por una de las partes de cualquiera de las obligaciones contraídas y/o cláusulas establecidas en él, lo que facultará a la otra parte para instar la resolución del mismo, quedando automáticamente anulados todos los derechos derivados, pero no así las obligaciones pendientes de cumplimiento y las actuaciones que se encontrasen en curso. También serán causas de extinción el mutuo acuerdo de las partes, o la concurrencia de causa de fuerza mayor que imposibilite el objeto de dicho Convenio.
Las cuestiones litigiosas surgidas sobre la interpretación, desarrollo, modificación, resolución, ejecución y efectos que pudieran derivarse de la aplicación del presente Convenio, deberán de solventarse por la Comisión Mixta de Seguimiento prevista en el mismo.
Si no se alcanzara acuerdo por la Comisión Mixta de Seguimiento para la resolución de cualquier controversia o discrepancia que pudiera surgir en la interpretación, ejecución o cumplimiento del Convenio, ambas partes se someten, con expresa renuncia a cualquier otro fuero que pudiera corresponderles, a la jurisdicción y competencia del orden jurisdiccional contencioso-administrativo.
De conformidad con todo lo expuesto y convenido, en el ejercicio de las atribuciones de que son titulares los firmantes, suscriben el presente Convenio en el lugar y fecha en el encabezamiento indicados.
Lo que en prueba de conformidad firman por duplicado, en el lugar y fecha indicados.
Madrid 6 de julio de 2017.–Por la Agencia Española de Protección de Datos, Mar España Martí, Directora.–Por el Consejo General del Poder Judicial, Carlos Lesmes Serrano, Presidente del Tribunal Supremo y del Consejo General del Poder Judicial.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
