Periódicos y LOPD: ¡y se quedan tan panchos!

Este post es un poco para reafirmar lo que comentaba ayer sobre la escasa documentación para la correcta redacción de un artículo sobre Protección de Datos.

Hoy nos sorprende una noticia de Europa Press, desde Baleares, avisándonos que la Ley Orgánica de Protección de Datos es la 18/1999 y no la 15 del mismo año.

¡Cuánto tiempo perdido aplicando una ley que no era la que debería haber aplicado!

El actual Director de un importante periódico italiano cuenta la anécdota de cuando, siendo él un joven redactor, le llovían palos de los correctores (sustituidos el F7 del Word, y así nos va). El ahora director se excusaba diciendo que era un mero lapsus calami.

El corrector le volvía a corregir diciendo (traducción libre del italiano): “No es eso, es que escribes como el culo”.

Pues, eso.

La Protección de Datos en los periódicos: cómo confundir al personal

Esto de trabajar en el sector TIC te lleva necesariamente a ser visto como un “tío raro” y a tener que dar explicaciones sesudas a una simple pregunta de cortesía: “Y tú, ¿a qué te dedicas?“.

Cuando tengo que participar a un evento social (típico sarao con conversaciones intrascendentes), siempre estoy deseando que el periódico de la mañana haya publicado alguna noticia sobre Protección de Datos o Administración Electrónica.

Como el segundo tema sólo sale en vísperas de elecciones (y ni así), reviso las noticias sobre Protección de Datos, para sacar alguna anéctoda suculenta, y así explicar cómo me gano la vida.

Hoy es un buen día, ya que Expansión, El País, y Sur.es se hacen eco de noticias relacionadas, a vario título, con la privacidad.

Lo malo es que, en algunos casos, estas noticias, en vez de ayudar, lían bastante al personal.

Es el caso de lo publicado por Sur.es, que subraya, con justicia, la importancia de la defensa de la información empresarial, como verdadero valor añadido de la labor de adecuación a la LOPD.

Pero, ¿desde cuándo las sanciones máximas en materia de Protección de Datos tienen como techo los 300.000€? Oiga, es que la sanción máxima ¡puede a ser el doble!

Tampoco es cierto que un hotel no puede facilitar los datos de sus clientes a otras empresas, so pena de cometer un delito. Hombre, sí, en teoría, en casos de dolo y otros elementos que caracterizarían el comportamiento delictivo, cabría la aplicación del art. 197 del Código Penal, pero, en realidad, los hoteles sí pueden comunicar los datos de los clientes, siempre y cuando hayan recabado el preceptivo consentimiento.

Entiendo que resumir asuntos importantes en el espacio reducido de un artículo es muy difícil, pero esto no es excusa para no ser rigurosos en la información proporcionada. Si no, me tocará a mí, en el próximo sarao, explicar dónde y cómo se equivocan los periodistas.

Para hacer más luz sobre estos asuntos (y sobre otros, como los mitos y leyendas del marketing on line, por ejemplo), que me he decidido en participar en la redacción de una Web interesante (o eso espero): www.vamosacontarverdades.es.

A ver qué sale de esto.

Cámaras de Vídeo vigilancia: ¡gracias, Tele5!

Gracias a Tele5, que ha emitido un interesante reportaje sobre el uso inadecuado de las cámaras de seguridad.Pueden echarle un vistazo pinchando aquí.

Queda demostrado (si es que hacía falta) que, en la inmensa mayoría de los casos, el uso de las cámaras de vídeo vigilancia no respeta la legalidad vigente en materia de Protección de Datos de Carácter Personal (LOPD).

Si es que no queremos aprender…

Una charla con amigos, la e-Administración y la LOPD – 2ª Parte

Antes de seguir con la documentación sobre el SIGEM 1.7, voy a apuntar las reflexiones sobre el régimen sancionador en materia de protección de datos, para los Responsables de Ficheros públicos, que quedaron pendiente de resumir.

Después de haber recordado rápidamente la clasificación de las infracciones previstas en el artículo 44 LOPD (apartados 2 como leves, 3 como graves y 4 como muy graves), empezamos a ver qué pasa si un Ayuntamiento, por ejemplo, es sancionado por la Agencia Española de Protección de Datos (AEPD).

Analizando algunas de las resoluciones sancionatorias del último año, veíamos como todas terminaban con un reproche y con una advertencia a que los infractores tomasen las oportunas medidas de seguridad para que el incidente no se volviera a repetir.

Y ya está.

Es decir, aunque las sanciones fueran por infracciones muy graves, todo terminaba en un: “Chico malo, no lo vuelvas a hacer“. A todas luces, el poder coercitivo de estos reproches parecía un poco escaso. He hablado yo con algunos alcaldes que, sin el menor reparo, han hecho delante de mis narices la siguiente cuenta:

• Adecuar mi Ayuntamiento a la LOPD me cuesta X;
• Las sanciones que me pueden “caer” me costarían “0″ (cero);
• X es mayor de cero;
• Ergo, ese dinero lo meto en las fiestas del pueblo, que me salen más a cuento. “Gracias por haber venido“.

Los que se dedican a esto de la Protección de Datos, pues, andamos desde siempre un poco moscas por la disparidad de trato (entre entes públicos y privados) en el régimen sancionador, así que, como chamanes invocando justicia divina, esperábamos que, algún día, un tribunal se decidiera a aplicar lo previsto en el artículo 19 LOPD. Esto es, antender a los interesados que, habiéndose visto perjudicados por una infracción de la LOPD, vieran reconocidos los daños y perjuicios padecidos a raíz de esta infracción, y pudieran pedir responsabilidad patrimonial a la Administración infractora.

Gracias a los amigos del Departamento de Derecho Administrativo de la Universidad de Murcia (y a su siempre interesante foro de discusión), me enteré de la Sentencia n. 1932/2003, de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Extremadura, que sí había antecedentes de Responsabilidad Patrimonial. En el caso en cuestión, se había condenado a la Concejería de Bienestar Social a pagar 6.000€ por haber una infracción a la LOPD, sancionada con anterioridad por la AEPD.

“Eppur si muove“.

“Oiga, y ya puestos a pedir, para frenar los desmanes de las Administraciones Públicas en protección de datos, ¿no se podrían explorar las vías penales?“

Y eso nos pusimos a hacer en la parte final de la charla.

Y empezamos por el artículo 199 (la aplicación del artículo 197 requiere dolo, y eso ya me parece desproporcionado, como caso de estudio).

Comportamiento relevante penalmente:

1. estar al cargo de la custodia/tratamiento de información personal que debe mantenerse en secreto (toda información personal)
2. revelar esta información

Como las revelaciones pueden ser por dolo o por culpa (negligencia, impericia, imprudencia), pues, el fantasma de una condena a prisión de uno a tres años empezaba a preocupar a los asistentes a la charla.

Francamente, espero que algún penalista que tenga ganas (y paciencia), me aclare si este análisis propuesto es muy descabellado, así espantamos a nuesto

De hecho, las cosas se complican si el que llevara a cabo el comportamiento delictivo fuera un “profesional”. Por ejemplo, un Responsable de Seguridad, que se verá condenado con prisión de 1 a 4 años e inhabilitación especial para la profesión de 2 a 6 años.

Y eso que no nos dio tiempo a ver los detalles del Título XIX, de los Delitos contra la Administración Pública, Cap. IV – De la infideliad en la custodia de documentos y de la violación de secreto. De entrada, volvimos a descartar los artículos que penaban los comportamientos dolosos (artículos 413, 414 y 415), pero nos volvimos a topar con el inquietante artículo 417.

En ese punto, tocó la campana y la gente se marchó a su casa, pero ya había entrado de lleno en las preocupaciones de los Responsables de Seguridad.

SIGEM 1.7

Lo que faltaba para fastidiar este fin de semana de merecido descanso: acaba de publicarse la versión 1.7 del SIGEM.

Me voy a descargar las toneladas de documentos y manuales y veremos qué saco en limpio.

No publico los links de descarga porque todavía no tengo claro si esta información puede hacerse pública o no. En todo caso, creo que los interesados pueden pedir la documentación en la Web del Plan Avanza.

¡A estudiar!

P.S. 372 MB, se me hará de noche.

SICARM 2009

En realidad, debería de seguir publicando el resumen de la charla realizada para la Diputación de Alicante, pero esto de la crisis hace que uno tenga que trabajar el doble.

Por ese motivo (lo de trabajar el doble) ni siquiera he podido asistir al SICARM de este año. Menos mal que la organización (in primis, el Prof. Julian Valero), se ha encargado de publicar el link donde se pueden ver las intervenciones.

No es como haber estado ahí, pero…

P.S. Estas micro entradas no caben en el Twitter, tendré que resumir.

Una charla con amigos, la e-Administración y la LOPD – 1ª Parte

El pasado 28 de abril, la Dipitación de Alicante me invitó a dar una charla sobre la Protección de Datos en las Administraciones Locales. La charla era, en realidad, parte de un módulo más amplio sobre los retos de la Administración Electrónica para los pequeños Ayuntamientos.

Cuando llegué al aula, dentro del complejo del Hogar Provincial, me encontré con algunos clientes y, a pesar de ello, amigos. Eso hizo que la charla perdiera parte de su carácter formal-académico y se convirtiera más en un debate sobre los problemas que afectan a los técnicos informáticos de los Ayuntmientos en su día a día. Parece que se ha instaurado una regla no escrita según la cual “el informático” es el que se tiene que ocupar de “estas cosas modernas” como son la LAE y la LOPD.

Teníamos 3 horas a nuestra disposición y resultó que ni pausa café hicimos, tanto nos enfrascamos en los intríngulis de la Protección de Datos. A lo largo de la charla, prometí publicar un resumen en este blog, pero, las cosas como son, no he tenido tiempo. Así que va siendo hora de hacer el resumen prometido.

Después de haber hecho un inicial y rápido resumen sobre los antecedentes de la LAE, la LOPD y sus cruces de intereses, hemos pasado a revisar, también rápidamente, los deberes formales en materia de Protección de Datos que incumben sobre los Entes Locales. De paso, hemos recordado el artículo 4.a de la LAE, donde, entre los principios generales, se hace expresa mención a “El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la LOPD…“.

En este momento ya han aparecido entre los asistentes las primeras caras de preplejidad: “¿Para qué estaré yo buscando dinero para comprar el Gestor Documental molón si mis compañeros del Ayuntamiento ni siquiera conocen la LOPD?”. La sensación de que, en los procedimientos de implantación de la Administración Electrónica en las entidades locales, se estaba trascurando un aspecto determinante, pues, se empezó a generalizar.

Por ejemplo, salvo un par de honrosas excepciones, nadie había pasado la auditoría en materia de Protección de Datos en los últimos años. Esta situación reflejaba los resultados de la pequeña estadística realizada a través de este blog donde había un preocupante 50% de lectores que había marcado la casilla “¿Auditoría LOPD? ¿Existe eso?“.

¿No estaremos empezando la casa de la Administración Electrónica por el tejado? Las dudas aumentaban.

Si hay que adecuarse a la LOPD, ¿por dónde empezamos?vYo sugerí empezar por los aspectos formales:

Pareció que todos estuvieron de acuerdo, pero algunos ya se empezaron a olerse por dónde irían los tiros.

Si la declaración del fichero (con todas las particularidades descritas por el Título V de la LOPD), y la redacción de un Documento de Seguridad son tareas al alcance de unos funcionarios preparados, la asunción de las responsabilidades propias de la figura del Responsable de Seguridad ya era harina de otro costal.

Cuando se empezó a hablar del Responsable de Seguridad, entró en escena una figura que nos ha acompañado a lo largo del resto de la charla:

Este muñequito, sobre cuya foto no tengo derecho de autor y que utilizo sólo docendi causa, quería representar al técnico del Ayuntamiento sobre el cual, de repente, recaían todas las responsabilidades de puesta en marcha de medidas de seguridad para la adecuación a la LOPD. Casi todos se vieron inmediatamente reflejados en él, asumiendo resignadamente que no se podrían librar de ser el Responsable de Seguridad. Eso sí, no llegamos a bautizarlo, pero tarde o temprano le pondremos nombre.

La identificación entre el Responsable de Seguridad y “el informático” parecía automática, pero yo me atreví a introducir un elemento de duda, a partir de la definición prevista en el art. 5.2.l), del R.D. 1720/2007: “Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

Convertirse o no en dependía ahora de un adverbio: “formalmente“.

“Si no hay ningún nombramiento formal, y aunque en mi actividad diaria yo desarrolle buena parte de las funciones propias del Responsable de Seguridad (controlar y coordinar las medidas de seguridad), ¿soy o no soy? Mi opinión es que, si la ley exige un nombramiento formal, sin éste, no puede haber Responsable de Seguridad. Esto afectaríatambién al eventual régimen sancionatorio disciplinar por violación de las medidas de seguridad previstas en la LOPD.

Justo el régimen sancionador ha sido el objeto de la segunda parte de la charla. Prometo seguir con el resumen en breve.

Mi ar y controlar las medidas de seguridad aplicables

La e-Administración y las maravillas modernas

Acabo de leer en mi periódico de confianza que el 60% de los usuarios de Twitter lo abandonan pasado un mes.

Los datos emergen de un estudio de toda una institución del marketing como es Nielsen On line, según los cuales sólo un 40% de los usuarios inscritos siguen utilizando este social network al mes siguiente.

Tengo que admitir que soy un usuario de este divertido sistema de mensajería corta y sigo pensando que puede ser una herramienta muy útil para las Administraciones Públicas.

Sin embargo, como todos los medios, si no dan algo, léase servicio/utilidad/ventaja, sólo será cuestión de tiempo, pero serán abandonados.

Si alguien conoce algún uso del Twitter en las Administraciones Públicas que sigue funcionando (y siendo utilizado) después del primer mes, por favor, que avise.

Por cierto, esta semana he estado con algunos técnicos informáticos de los Ayuntamientos de la provincia de Alicante. La charla ha sido organizada por la Diputación de Alicante: quizás debería haber twiteado la charla. A falta de twiteo, prometo hacer próximamente un rápido resumen.

Off-topic, un poco enfadado

Admito que esta entrada no tiene que ver con Administración Electrónica, pero creo que es importante saber qué pasa en el mundo de las empresas de consultoría TIC.

El asunto iría más bien encuadrado dentro de la Protección de Datos. Creo que podría utilizar una nueva página dentro de este mismo blog, pero admito que esta opción del wordpress no la domino.

El caso es que, desde hace algún tiempo, en nuestra práctica profesional, nos hemos encontrado con una situación bastante peculiar.

A la hora de presentar nuestras propuestas comerciales para el servicio de Adecuación a la LOPD, nos encontramos, como es lógico, con otras propuestas de la competencia.

Cada uno hace las cosas a su manera, “cada maestrillo tiene su librillo”. Pero uno de los elementos diferenciadores de la propuestas siempre me ha llamado la atención y era la forma de abonar los servicios.

Algunas empresas han intentado disfrazar el servicio de adecuación a la LOPD con un “curso financiado por la Fundación Tripartita“, de manera que el cliente destinatario de la adecuación tuviera un servicio “a coste cero“.

De esta práctica, que, a falta de mejor definición (¿ilegal? ¿delictiva?), definiremos como poco ética, se ha hecho eco el periódico “El Mundo” en un interesante artículo del pasado 30 de marzo.

Todo sea dicho, el artículo es bastante impreciso en la descripción de los deberes legales en materia de Protección de Datos de Carácter Personal, sobre todo cuando dice que las sanciones económicas pueden llegar hasta los 6.000€.

Conociendo algunos empresarios, si así fuera, casi nadie cumpliría con esa ley. En realidad, como de sobra es conocido, las sanciones pueden llegar a los 600.000€. Lo que hacen un par de “0″.

Solución del asunto: la empresa obtiene el servicio de adecuación a la LOPD; el proveedor presta el servicio (aquí no entramos a valorar, bastante tenemos con el resto); por otro lado, el proveedor presenta unas facturas que hacen referencia a una formación impartida a los trabajadores de la empresa (personalmente, pagaría por asistir a estas clases). Estas facturas se mandan a la Fundación Tripartida, que pone la pasta (es un decir, en realidad se trata de bonificaciones de cuotas sociales).

¿Todos contentos?

Francamente, algunos no estamos de acuerdo con estas prácticas. A mi me suena a algo que estudié, quizás no con el provecho debido, cuando cursé las clases de Derecho Penal.

Miremos el artículo 248.1 CP: “Cometen estafa los que, con ánimo de lucro (cobran), utilizaren engaño bastante (¿existe esta formación? ¿no es más bien un negoci simulado? ah, si hubiera estado más atento a las clases de Derecho Civil…) para producir error en otro (la Fundación Tripartita), induciéndolo a realizar un acto de disposición (abonar las cuotas sociales) en perjuicio propio (destina recursos a quien no tiene derecho) o ajeno (como los fondos son limitados, mi empresa se ha quedado sin subvención, porque ese dinero ha ido para pagar cursos de LOPD) .”

Claro que la mía es una interpretación parcial de los hechos, pero creo que algún fundamento puede haber.

¿Se imaginan que, después de algunas revisiones llevadas a cabo por una Fundación Tripartita más atenta, ahora, las empresas tengan que devolver las sumas “ahorradas”?

No está bien utilizar el blog para desahogarse, ma “quando è troppo, è troppo”.

SIGEM: Gestión de Expedientes (2ª parte)

Siento no haber seguido con la constancia debida el estudio del SIGEM, pero es fácil entender que el trabajo diario, la crisis, el estudio y mil cosas más no permiten seguir el ritmo de publicaciones deseado (por mí, claro está).

Vuelvo, después del primer post, a la Gestión de Expedientes, para ver cómo funciona por dentro el gestor documental, estrella del Plan Avanza. También aprovecho para denunciar errores gramaticales que se repiten constantemente en los manuales del SIGEM. Por favor,  en las frases que empiezan por “En ésta pantalla…”, “ésta” es adjetivo y no lleva tilde.

Para gestionar los expedientes (mejor dicho, los modelos de expedientes), el usuario tiene que identificarse a través de una simple pantalla donde introducr “usuario” y “contraseña”. No está de más verificar que este usuario tenga las capacidades profesionales para rediseñar los procedimientos administrativos de la entidad. Creo aconsejable incluir la colaboración de los Servicios Jurídicos de la entidad, así como el Secretario Municipal, en el caso de los Ayuntamientos.

Llegado a este punto, me esperaba encontrar las indicaciones sobre cómo dar de alta un procedimiento, mientras que me encuentro con el apartado “cómo dar de alta una fase” (dentro de un procedimiento). Además, en la redacción de este manual no estaba presente ningún abogado administrativista, si no no habría permitido que la fase de “Instrucción” fuera posterior a la fase de “Resolución“.

Pues, sigamos la lógica del manual y demos de alta una Fase de un procedimiento todavía por crear.

Para rellenar estos campos, tendremos que recurrir a elementos a los principios del Derecho Administrativo. De paso, ¿quién es el Jesús que aparece como usuario de esta prueba?

Volviendo a las fases, pongamos que éstas sean sólo las siguientes:

1. Iniciación

2. Instrucción

3. Finalización

Dentro de cada fase, lógicamente tendremos varias más, como por ejemplo, la 2.1. de Subsanación, y las 3.1 Deliberación y 3.2. Notificación. Estas subfases, en la terminología del manual del SIGEM se llaman “trámites“.

Este momento es muy delicado, porque es el momento en el cual se rescribe un procedimiento administrativo, así que se invita a que lo que resulte de esta reingeniería del procedimientos encaje en la normativa que lo sustenta.

A cada “trámite” se le pueden asociar “documentos” que pueden ser el fruto de “plantillas” predeterminadas. Una vez más, es necesario hacer una pequeña consideración jurídica. Cuidado con las “plantillas”, cuando éstas se usan como “motivación” de los actos administrativos. Aunque en la práctica diaria, es muy útil utilizar plantillas preconfeccionadas, la aplicación indiscriminada de las mismas puede acarrear, una vez más, la nulidad del acto administrativo, por falta de un elemento fundamental del mismo, es decir, la motivación de ese asunto en particular.

Insisto mucho en las capacidades técnicas y legales de los que participan en esta fase. Aquí el usuario puede incluso eliminar una fase del procedimiento y esto puede afectar a la legalidad de toda la tramitación.

Seguiré con las “entidades” si al final me aclaro qué son.

Día del Software Libre

El Ministerio de Industria y el CENATIC han decidido que hoy es el Día del Software Libre. Esta tarde intentaré dar mi opinión sobre este mundo y continuar (prometo) destripando al SIGEM.

No me puedo resistir: más sobre Seguridad vs Privacidad

Mi próximo post será sobre el SIGEM, tema que he dejado bastante marginado, no por falta de interés (de hecho, los que aterrizan en este blog, buscan sobretodo información sobre este software). Pero no me puedo resistir a aportar otra ideas sobre la utilidad de la vídeo vigilancia, los datos en manos de la Administración y la seguridad de los ciudadanos.

En este reportaje, se da noticia de unos investigadores de la Universidad de Ohio sobre la interpretación automática de las cámaras de seguridad, de determinados comportamientos humanos, para detectar a los que se consideran como “sospechosos”.

Según se afirma en el reportaje, las cámaras analizan a lo largo de mucho tiempo (no dice cuánto es “mucho tiempo”) un área determinada (una plaza, por ejemplo) y analizan los comportamientos “normales” de los transeúntes.

Cuando un ciudadano que pasa por ahí tiene un comportamiento que no encaja con los patrones de “normalidad”, el individuo empieza a ser enfocado en un circulito rojo y seguido.

Así que, si esta investigación dará los frutos esperados, no sólo la Administración tendrá nuestros datos, sino que un software decidirá si somos sospechosos o no.

Menos mal que en España tenemos el artículo 13 LOPD (entre otras cosas) y estas cosas no podrían pasar… ¿O sí?

Perspectivas para 2009 en Administración Electrónica

La Web de OpenPropolis ha pedido a una serie de expertos una opinión sobre las perspectivas en materia de Administración Electrónica para este año 2009.

Al lado de otros autores más cualificados, he intentado reflejar las dos visiones, entre sí opuestas, que me encuentro en mi día a día profesional: los pesismistas, que dicen que la Ley 11/2007 no se llevará a cabo (o, por lo menos, no tal y como está planteada); y los optimistas, que ven en la LAE la panacea contra todos los males no sólo de la Administración Pública, sino de la economía española en general.

Estoy muy agradecido a la gente de OpenPropolis por su invitación y espero con curiosidad a saber cuál de los dos bandos (pesimistas vs optimistas) ganará la contienda.

Traducción del artículo

Había prometido traducir este importante artículo al español, para que poner el punto y final sobre el off topic del uso de los datos personales por parte de los poderes públicos.

Las aportaciones de todos han derivado la discusión un poco al margen de la Administración Electrónica y de sus implicaciones con la LOPD. Como no sé ir más allá, después de este artículo intentaré volver al tema principal de este blog.

Otra advertencia: el autor no ha autorizado esta traducción, es posible que ni siquiera se entere nunca. Tomen el texto como un uso del derecho de cita un poco más extendido de lo normal o un uso docendi causa de un material que no es mío.

Internet entre la seguridad y la regulación

¿Quién establece las normas de la democracia planetaria? ¿Qué poderes se reparten el gobierno del mundo? Estas preguntas pueden parecer excesivas. En realidad reflejan problemas concretos e inquietudes sobre el futuro del cual se discute intensamente en las más dispares sedes internacionales, y sería oportuno que algún eco llegara también en el pobre patio italiano. Los derechos de las personas y la relación entre la tecnología y la democracia están cambiando su cara, se hace más agudo el conflicto entre igualdad y exclusión, libertades antiguas y nuevas son desafiadas por miles prepotencias. Por primera vez en el Internet Governance Forum de la Onu, que se desarrolló en diciembre del pasado año a Hyderabad, la mayoría de las sesiones se ha dedicado al tema de los derechos, monopolizando casi la atención de los participantes. ¿Esto es la señal de una madurez lograda o de una creciente preocupación? Puede que la verdadera razón de esta nueva actitud haya que encontrarla en la conciencia ya extendida de la insostenibilidad de un “orden privado del mundo”, entregado a la sola lógica del mercado, acompañado por un orden “seguritario” y por inquietantes presencias de la soberanía nacional. Todos estos fenómenos unificados manifiestan un declarado desprecio por todo tipo de control y por una deliberada eclipse de los derechos. La fuerza de las cosas, con los efectos devastadores de la crisis económica y financiera, ha puesto en discusión una ideología, ha puesto punto y final a una época en la que la única palabra válida era “deregulación”. Se ha caído toda una arquitectura planetaria, se invocan normas donde antes se pretendía que los privados tuvieran las manos completamente libres. Estamos ahora asistiendo a una singular vuelta al derecho, como a menudo pasa en los tiempos de transición. Ya había sucedido en los días siguientes a la caída del Muro de Berlín, cuando se pensaba que un sistema de normas compartidas debía tomar el relevo al “equilibrio del terror” (y se ha dicho, después, que con el desorden de la Rusia post soviética, y su vuelco autoritario, son el resultado del haber entregado todo a las meras dinámicas del mercado, sin preocuparse de una adecuada construcción institucional). Hoy la cuestión está otra vez a la orden del día. Pero, ¿qué debe ser regulado? Y ¿cómo? Si el mundo de la economía y de la finanza ha sido pervertido por el hecho de que ya no se negociaba “al amparo de la ley”, después hemos visto una muy marcada intervención de los Estados con normas represivas de las libertades individuales y colectivas, justificadas con el argumento, o el pretexto, de la lucha al terrorismo o a la criminalidad. Idéntico, sin embargo, el resultado. Sacrificio de los derechos, poderes fuera de control, uso desinhibido de la dimensión global. Si las operaciones especulativas recurrían el mundo y las empresas se deslocalizaban de manera salvaje, la misma técnica ha sido utilizada por el recurso a la tortura, con la “deslocalización” de las personas desde Estados que se proclamaban exportadores de democracia a Estados que aceptaban el papel de torturadores, los verdaderos “Estados canallas” de nuestros días. Si el orden interior e internacional debe ser llevado de nuevo a las normas de la democracia, del respeto de los derechos y del control de toda forma de poder, esto debe suceder siempre, en todos los casos. Los derechos no son divisibles, no podemos vivir de una manera en la que se vuelven a poner en marcha un poco de legalidad en el orden económico y se continúa aceptando la compresión de las libertades civiles, también porque hay enlaces que no pueden ser desligados si no se actúa sobre ambas vertientes. Leemos las conclusiones de una reciente relación encargada al Consejo de Europa. Después de haber subrayado que a menudo la referencia al terrorismo es sólo una cómoda invocación, se cuenta que “en demasiados casos las leyes y las acciones políticas adoptadas son desproporcionadas y han sido usadas de manera abusiva, no para tutelar la seguridad pública, sino para los intereses políticos de los gobiernos. Los organismos internacionales han preparado unos instrumentos no equilibrados y que no garantizan adecuadamente los derechos fundamentales. Y esto se debe, por lo menos en parte, a que los peores gobiernos han sido los más convencidos defensores de una expansión de estos instrumentos internacionales para justificar sus propios abusos internos”. La relación está en buena medida dedicada a las limitaciones de la libertad de expresión y consiente tomar buena nota de las relaciones entre la compresión de los derechos fundamentales y los intereses de mercado.

Los datos personales en manos de la Administración: Final

Los últimos 2 post han suscitado un interesante debate sobre la eficacia de los límites legales para que las Administraciones Públicas traten nuestros datos privados. Se ha discutido si son suficientes o no, si tienen un eficaz sistema disuasorio o no y sobre las preocupaciones de hasta dónde puede llegar el poder público en el manejo de los datos personales.

Hoy me he encontrado con un artículo del Prof. Stefano Rodotà, hasta 2005, responsable de la Agecia Italiana de Protección de Datos, que resume de manera brillante la lucha existente entre el control público de los datos personales y las libertades individuales.

El artículo está en italiano, pero creo que merece la pena echarle un vistazo y ver las interesantes relaciones entre datos personales, derechos humanos, Estados y seguridad.

P.S. Más tarde prometo traducir como buenamente pueda el texto del artículo.

Los datos personales en manos de la Administración: ¿límites? 2ª Parte

Off topic de Derecho Constitucional, escrito desde la ignorancia y con mucho atrevimiento.

Las mejoras en eficacia y en eficiencia en la Administración pasan, necesariamente, por una mayor eficacia en el tratamiento de la información. Cuando este tratamiento afecta a los datos personales, entonces, tendremos que cumplir con la legislación en materia de Protección de Datos de Carácter Personal.

La pregunta fundamental de mi anterior post era (y es) ¿abusan las Administraciones de la cantidad de datos que poseen de nosotros? Y, si lo hacen, ¿qué remedios tiene el ciudadano/afectado?

A partir de estas preguntas, todo el mundo ha contribuido con su visión sobre el asunto y ahora pruebo a ir más allá, con algunas afirmaciones y a ver qué opináis.

1. La Administración española no paga por sus errores en el tratamiento de los datos personales.

Es por ese motivo que no estoy de acuerdo con Andrés Nin cuando afirma que le despierta mayores preocupaciones los abusos de los datos tratados por empresas privadas respecto a los abusos perpetrados por organismos públicos.

Un caso real: Hospital de Villajoyosa, (no tengo el link a la resolución de la Agencia Española de Protección de Datos – AEPD) fue sancionado por el erróneo tratamiento de los datos de salud de una paciente del servicio de psiquiatría, clasificando la infracción a la LOPD como muy grave. La paciente, por ese error, sufrió consecuencias muy graves en un juicio civil, mientras los responsables médicos y administrativos del servicio de psiquiatría siguen en sus puestos.

El mismo caso, en un hospital privado, se hubiera resuelto con una sanción económica no inferior a los 50 millones de las antiguas pesetas. Mismo daño, distintas consecuencias.

Otro apunte: incluso si no tuviéramos la LOPD, frente a un tratamiento no apropiado (por excesivo, por no haber sido consentido, etc.) realizado por una empresa privada, siempre nos quedará el “no uso” de los servicios de esa empresa.

A mi no me preocupa que Amazon (empresa privada) construya un perfil sobre mi persona sin mi consentimiento; como mucho, me molesta y, si la ley me lo permite, defenderé mis intereses (en España, la empresa sería sancionada). Sin embargo, si el perfil lo realiza la Administración, tendré pocos medios efectivos para defender mis intereses.

Por lo tanto, si bien existe un régimen sancionador para las Administraciones Públicas (artículo 46 LOPD), éste es más benévolo que el régimen sancionador previsto para las empresas privadas. Tampoco conozco caso alguno en el cual el Director de la AEPD ha hecho recuros de la facultad de iniciar actuaciones disciplinarias para los Responsables de Administraciones Públicas.

2. Todos estamos controlados y no nos importa, pero…

Sé que  existen muchos datos sobre mi que, a lo largo del tiempo, de forma más o menos consciente, he ido espaciendo por Internet. De hecho, en mi propio perfil de Facebook descubro mis preferencias musicales, al lado de mi opinión político-irónico-religiosa de adhesión al Grupo “Hagamos del Vaticano un nuevo Acualandia“.

El hecho de dar a conocer aspectos de mi personalidad sólo demuestran una cosa: mi libertad de opinión. ¿Estos datos pueden ser usados para que una empresa no me contrate? Entonces, es muy posible que, para mi forma de ser, no merecía la pena trabajar en esa empresa.

La libertad de expresión y opinión no es gratuita ya que, la manifestar públicamente mis opiniones (sobre la e-Administración o sobre los aberrantes bombardeos israelíes sobre Gaza) digo quién y cómo soy y eso puede no ser de agrado de algunos. Si los que no comulgan con mis opiniones (faltaría más) son particulares o empresas privadas, pues, allá ellos. Si quien no aprecia mis opiniones es una Administración y adopta decisiones en base a estas opiniones, es posible que esté cometiendo un delito de prevaricación.

Lo que no puede ser, y coincido con Félix Serrano, es que la Administración, con la excusa de la seguridad, almacene datos (de cualquier tipo) sobre mi. Eso lo hacía la STASI y ya sabemos lo bochornoso que ha sido sacar a la luz sus inútiles y ridículos archivos.

Por lo tanto, todos estamos controlados (melius, todos estamos expuestos al juicio crítico de los demás) y no nos importa, porque ésta es nuestra forma de expresar el derecho de opinión. Pero…

Pero, cuando veamos nuestra identidad amenazada, por lo menos en España, tendremos herrmaientas legales para defender nuestros derechos. Estas herramientas serán de carácter penal, civil o administrativo. En este último caso, una vez más, deberemos acontentarnos del escaso efecto sancionador de la LOPD frente a la Administración.

En todo caso, si no queremos estar continuamente en las trincheras y queremos una forma más sencilla de expresar nuestras opiniones libremente, existirá siempre la posibilidad del pseudónimo/alias/nickname.

Y todo esto sin haber tocado el artículo 11 R.D. 1720/2007.

Los datos personales en manos de la Administración: ¿límites?

El Prof. Julián Valero, a través de la Lista de Correo sobre Protección de Datos, ha dado difusión a un interesante trabajo del Comisionado para los Derechos Humanos, del cual apunto el link en inglés y en francés.

Asusta un poco ver hasta dónde se puede llegar para defender a los buenos ciudadanos de los peligros terroristas, pidiéndoles a cambio que den todos sus datos personales al Gran Hermano.

Leyendo este texto, se aprenden un montón de cosas que, debido a la solvencia de quién las publica, merecen una análisis muy seria. Hasta he aprendido que existen virus que permiten encender a distancia la cam y el micro de un ordenador. Este software puede ser utilizado por “los buenos“, es decir, las fuerzas y cuerpos de seguridad del Estado. Si esto es así, ¿qué tendrán “los malos” para espiarnos?

Otra información muy importante es que no existe una definición universalmente aceptada de terrorismo. Eso permite que, en función de cómo sople el viento, los buenos puedan suspender el cumplimiento de las normas sobre privacidad y protección de datos, justificándose en las exigencias de la lucha al terrorismo. De hecho, siempre he pensado en que Giuseppe Garibaldi, hoy en día, sería uno de los terroristas internacionales más buscados, en vez de ser el artífice militar de la unificación de Italia. ¿Terrorista? ¿Defensor de la libertad? Estas preguntas aparecen también en este “Protecting the right to privacy in the fight against terrorism“.

Pero más allá de las consideraciones sobre quién es terrorista y quién no lo es (sólo hace falta echar un vistazo a los bombardeos de Palestina para aclararnos/confundirnos más las ideas), lo que sí es indudable es que la esfera de la intimidad viene recortada a diario, en beneficio de una nunca probada mayor seguridad contra las amenazas del terrorismo, sea eso lo que fuera.

Estos documentos, además, hacen repensar lo dicho en este blog sobre el alcance de los datos personales incluidos en el e-DNI y sobre la proporcionalidad de los mismos. A este proposito, lo dicho en el documento de quo en el punto 5.1. obliga a revisar mis opiniones, para ver si las mismas siguen teniendo algún fundamento o es necesario ajustarlas a la luz de lo que se aprende día a día.

Datos personales, límites del tratamiento, finalidades y seguridad deberán ser, además, analizadas a la luz del (creo yo), poco estudiado artículo 11, del R.D. 1720/2007 y su influencia sobre la Administración electrónica.

Muchas tareas para el nuevo año, así que toca estudiar y discutir más.

Feliz Año 2009

El mensaje no es muy original, pero de verdad deseo a todos los colaboradores de este blog un Feliz Año 2009. Al fin y al cabo, sólo faltan 365 días para que tengamos la Administración Electrónica en casa, n’est pas?

La e-Administración, la Empresa y todo lo demás

Hay muchas aportaciones de los lectores de este blog que obligan a reflexionar seriamente no ya sobre las características técnicas, legales y organizativas de la Administración Electrónica, sino sobre su misma esencia. De ahí, el título de este blog, que no es otra cosa que una mala imitación de un título mucho más iluminado de Douglas Adams.

Por lo tanto, de un lado, está el por qué de la e-Administración (gracias, Paloma); y por el otro, el papel de las empresas privadas en el desarrollo de la Administración electrónica (cfr. blog de Julián Valero y de Andrés Nin Pérez).

Con la que está cayendo ¿necesitamos que los escasos recursos del Estado se inviertan en la Adminsitración Electrónica? Y las empresas privadas ¿qué papel juegan? Además, ¿quién les ha dado vela en este entierro?

Estos asuntos aparentemente dispares están íntimamente relacionados, así que empecemos por el primero: de dónde viene la e-Administración (o sobre su esencia).

No hace falta ir muy lejos para buscar las respuestas a estos interrogantes, pudiéndonos quedar en la misma Exposición de Motivos de la Ley 11/2007. Ahí se nos recuerda que vivimos en la Sociedad de la Información (o por lo menos, vivimos en ella algunos privilegiados del mundo occidental), que se caracteriza por un sistema económico basado en la producción de un bien antiguo (la información), en un soporte nuevo (las TIC).

No puedo (ni sabría) decir cómo hemos llegado hasta aquí, recorriendo el camino que va desde Arpanet hasta la Infonomía. El caso es que la sociedad civil y la empresa han llegado hasta aquí, y ahora la Administración debe dar el oportuno soporte a las demandas de la sociedad. Es más, existe una obligación legal (por lo menos en España) impuesta por el artículo 103.1 CE a la Administración de servir los intereses generales.

No sólo la Administración debe dar soporte, sino que asume otro papel, que es el de dar confianza y seguridad a los ciudadanos que se mueven en este nuevo entorno. Estas obligaciones de la Administración responden, más allá de una teórica asunción de obligaciones morales y éticas para un general progreso de los ciudadanos/administrados, a una más terrenal y concreta necesidad de fomento del crecimiento y del empleo, tal y como afirmó la Comisión Europea en su iniciativa i2010.

Esta idea de que la Administración debe ser electrónica se refuerza también en estudio “The e-Government imperative“, donde por 42€ y a lo largo de más de 200 páginas se describe el por qué económico de la Administración Electrónica.

Queda demostrado, por lo menos en parte, la necesidad de una e-Administración como soporte de la actividad económica, como garante de las nuevas relaciones y como motor de empleo y crecimiento.

¿Y las empresas? Bueno, ellas son las “vanguardias“, la “palanca impulsora” y las que juegan el “papel coadiuvante” en el desarrollo de la e-Administración. El legislador ha sido generoso en el reconocimiento de estos papeles en la empresa privada porque, digámoslo francamente, si tuviéramos que esperar a que la Administración por si sola liderara la Sociedad de la Información, bueno, todavía estaríamos manejando un Windows 3.1.

Las anécdotas sobre la lentitud de la Administración se pueden contar por miles y merecerían una Wikipedia propia, así que, para asumir estas nuevas obligaciones, la Administración recurre a intermediarios.

¿Qué hacemos nosotros, las empresas? Pues, diseñamos Gestores Documentales, para que la Administración pueda tramitar sus expedientes en un soporte más eficiente. También colaboramos en su implantación, porque, aunque en algunos casos no se pagan licencias, hace falta alguien que sepa cómo se instalan estos cacharros o cómo se parametrizan.

Los hay también que nos dedicamos a colaborar con los servicios legales de los Ayuntamientos (y con Secretarios de buena voluntad) para la reingeniería de procesos y redactar ordenanzas municipales (mejor dicho, los borradores) para la regulación legal de la Administración electrónica en el ámbito local.

También proporcionamos la formación para el personal laboral y los funcionarios, en todas estas materias, que van desde los conceptos básicos de la Ley 11/2007, hasta cursos más especializados para responsables de proyectos.

Y después, estamos las empresas más tecnológicas, que son las que proporcionan los servicios de housing, hosting, firmas electrónicas, etc.

Por el hecho de participar en estas tareas, ¿necesitamos una regulación ad hoc? Francamente, creo que no.

Las condiciones establecidas en los pliegos de los concursos, así como los contratos que regulan las relaciones entre nosotros y las Administraciones son suficientes para establecer de quién es la culpa cuando los proyectos no responden a las necesidades de los ciudadanos.

Del mismo modo, también asumimos las responsabilidades propias de un Encargado del Tratamiento cuando alojamos datos personales de participantes en procedimientos administrativos en nuestros servidores. ¿Qué más exigencias se nos puede pedir?

Por ejemplo: que el e-Registro del Ayuntamiento funcione 24/7.

Pues, en realidad, eso en un falso problema. La empresa que asegurara por contrato estas condiciones, estaría prometiendo cosas que no están en su alcance proporcionar. Lo que sí podemos prometer y prometemos es la redundancia de los sistemas. Es decir: si el e-Registro no funciona (porque tarde o temprano, fallará), tendremos un e-Registro de reserva, así como un “cajero municipal” que haga las funciones de Registro a cualquier hora del día.

No sólo las medidas de seguridad (conocidas como planes de contingencia) serán redundantes (hasta el límite de inversión que una Administración pueda permitirse), sino que habremos mantenido la seguridad jurídica en caso de fallos, describiendo exactamente qué pasa con los plazos en los casos en los que el e-Registro principal no funcione correctamente.

Éstos son los papeles de la Administración y de las empresas en esta materia. Además, tampoco creo que necesitemos estar más o mejor atados y bien atados ya que (puedo hablar por experiencia), las cláusulas muy estrictas proporcionarían una falsa sensiación de seguridad jurídica a las relaciones, provocando, en realidad, la burocratización de estas relaciones. La lucha a esta burocratización es, no lo olvidemos, el verdadero objetivo de la Ley 11/2007.

SIGEM: Gestión de Expedientes (1ª parte)

Este post quiere volver al SIGEM, para ver, después del Registro, cómo funciona la unidad de la Gestión de Expedientes.

Como en el caso del Registro, tampoco aquí tengo la pretensión de examinar exhaustivamente todo el software, sino sólo la voluntad de dar algunas indicaciones para quienes deberán utilizar (y faltan 374 días al 1 de enero de 2010) la herramienta llamada a ser el pilar más importante de la Administración Electrónica Local: el SIGEM.

Gestión Expedientes

Antes de seguir, habrá que dar algunas explicaciones sobre el Middleware. En principio, se pretendía incluir un bus de integración de todos los componentes para (terminología no técnica), “enlazarlo” con otras aplicaciones. En la versión que tengo yo de la documentación (fechada 07/12/06), se suprime este bus de integración para poder usar cualquiera de las soluciones libres que existen actualmente.De ahí las cruces en el diseño, encima de la estructura del Middleware.

Una nota más de carácter técnico: la infraestructura tecnológica soportada por el sistema de expedientes será la siguiente:

Sistemas Operativos:

• Windows 2000/2003/XP
• Linux
• Unix
• Sun Solaris

Bases de datos:

• Oracle 9i – 10g
• SQLServer 2000

Y los navegadores Explorer y Mozilla/Firefox.

Entrando más en detalle en el funcionamiento de la Gestión de los Expedientes, vemos que hay tres áreas muy importantes, en el lado izquierdo del diseño de la estructura: Organización, Modelo de Gestión, Catálogo de Procedimientos.

En la parte de Organización, deberíamos poder incluir todas las personas (funcionarios y personal laboral) que participan en una determinada tramitación. Es decir, deberíamos poder establecer la jerarquía de decisión, no en términos absolutos (de jerarquía dentro de una Concejalía, por ejemplo), sino en función de cada procedimiento administrativo.

Ejemplo: si en un procedimiento de solicitud de vado es un policía local el que se desplaza al “lugar de los hechos” y saca una foto del garaje y toma las oportunas medidas (créanme, hay ayuntamientos donde la policía local hace también estas labores), entonces, dentro de este procedimiento deberemos incluir a una persona que no pertenece a la organización jerárquica de la Concejalía de Urbanismo (el policía local) y que, sin embargo, sí realiza una labor importante dentro de la tramitación administrativa. Con eso se confirma que la Organización deberá ser diseñada en función de los objetivos/trámites administrativos a desarrollar, en vez de hacer un calco de la organización interna de la unidad administrativa.

Por lo que se refiere al Modelo de Gestión, es la parte donde se deberá definir todos los atributos de cada elemento del procedimiento: plazos de ejecución, unidades de tramitación responsables, documentos a aportar, formularios de acceso a la gestión, etc.

Dejo para el final de este primer post sobre la Gestión de Expedientes del SIGEM, el Catálogo de Procedimientos.

En el Infoc@ldero del pasado mes de noviembre, intenté realizar una rápida encuesta sobre la existencia (o ausencia) de un Catálogo de Procedimientos en los Ayuntamientos donde trabajaban los funcionarios que asistían a la conferencia. Aprovecho las herramientas de este blog para repetir el experimento.

En la charla en el Ayuntamiento de El Campello, las personas que levantaron la mano diciendo que sí tenían un Catálogo de Procedimientos, eran (a ojo) las mismas que con anterioridad habían dicho que sí habían superado una Auditoría en materia de Protección de Datos.

¿Casualidad? Desde luego, creo que no. Sólo un Ayuntamiento que se ha preocupado de realizar los trabajos preparatorios a la entrada en vigor de la Administración Electrónica pueden enfrentarse a estos procedimientos con éxito.

Imagínense trabajar en un Ayuntamiento agraciado por la presencia y asistencia (gratuita, por supuesto), de los mejores técnicos del Plan Avanza, conocedores de todos los intríngulis del SIGEM. Llegamos a la hora de realizar la famosa reingeniería de procesos y adaptar a la vía electrónica, los procedimientos administrativos off line.

Estos técnicos nos pedirán una base, un catálogo desde donde empezar a simplificar para trasladar a la vía electrónica los procedimientos administrativos que no implicaran necesariamente la presencia física del interesado/afectado/ciudadano.

Si no hemos realizado un catálogo de procedimientos, ¿de qué nos valdrá el SIGEM?

No sólo de Gestores Documentales vive (o debería vivir) la Administración, sino también de trabajos tradicionales de sentarse a pensar los pasos de un procedimientos administrativos: los sujetos, el objetivo/fin, las formas, los plazos y la motivación. ¿Están todos estos elementos recogidos en un libro/documento/catálogo? Si la respuesta es no, entonces, casi es mejor no tener (todavía) un SIGEM.