e-DNI, e-Administración y Protección de Datos
diciembre 17, 2008Desde luego, lo mejor de la Web 2.0 es que uno no para de aprender. Estas afirmaciones, a estas alturas de la película, deberían estar hasta prohibidas, por obvias y descontadas. A mi, sin embargo, no dejan de sorprenderme y de alegrarme.
El Profesor Julián Valero, en su blog, hacía algunas reflexiones sobre la importancia de la Ley en materia de protección de datos en los proyectos de implantación de Adminsitración Electrónica, avanzando dudas sobre el uso del e-DNI para la firma de instancias presentadas a la Administración a través de medios electrónicos.
¿Es necesario que todos los datos presentes en el e-DNI queden a la vista de la Administración? ¿No se estará infiringiendo el principio de proporcionalidad?
Sin mucha convinción, en un primer momento, he contestado que el eDNI sí respeta el principio de proporcionalidad. Pero esta afirmación necesita ser matizada.
Para empezar, habrá que ver qué datos hay en este documento. Según el RD1553/2003, el chip incoroporado al eDNI contiene los siguientes datos (art. 11.4):
a. Datos de filiación del titular.
b. Imagen digitalizada de la fotografía.
c. Imagen digitalizada de la firma manuscrita.
d. Plantilla de la impresión dactilar del dedo índice de la mano derecha o, en su caso, del que corresponda según lo indicado en el artículo 5.3 de este Real Decreto.
e. Certificados reconocidos de autenticación y de firma, y certificado electrónico de la autoridad emisora, que contendrán sus respectivos períodos de validez.
f. Claves privadas necesarias para la activación de los certificados mencionados anteriormente.
Con este elenco, parece un poco difícil (sobre todo por el punto d.) justificar la proporcionalidad de esta firma electrónica, asociada a una instancia para, por ejemplo, pedir al Ayuntamiento donde vivo la licencia de ocupación de vía pública, para aparcar unas horas el camión de la mudanza.
Sin embargo, tenemos que tener en cuenta varios aspectos, siendo el primero de ellos el consentimiento informado del ciudadano, cuando usará esta firma.
Según el art. 13 Ley 11/2007, el interesado/administrado/ciudadano español (no los extranjeros) podrá (o no) usar la firma electrónica asociada a su e-DNI en sus relaciones con la Administración Pública cuando ésta necesite identificarle. En alternativa, el ciudadano tendrá otras posibilidades de identificarse, que variarán en función de los intereses en juego y de la necesidad de fiscalizar la titularidad del interesado en el procedimiento administrativo. Más importantes serán los derechos afectados, mayores serán las necesiades de la Adminsitración de averiguar la identidad del interesado.
Ahora, el uso del e-DNI, cuando esté plenamente implantado y el ciudadano sepa de verdad qué datos contiene, será libre (faltaría más) y de ahí que el interesado pueda aceptar cierta desproporción («doy más datos de lo necesario»), a cambio de la comodidad de tener una firma electrónica de fácil uso y disponibilidad.
Si hasta ahora se ha analizado la «proporcionalidad del datos» en función de «las finalidades determinadas, explícitas y legítimas para las que (los datos) se hayan obtenido» (art. 4.1 LOPD), ahora tocará también valorar el «ámbito» en el cual se recaban todos los datos presentes en el e-DNI.
En el nuevo «ámbito» electrónico, tan inseguro (i) por desconocido y nuevo, los datos del e-DNI serán:
1. adecuados, porque permiten al ciudadano identificarse ante la Administración y a ésta identificar al interesado. Ahora, en los albores del uso del e-DNI, es adecuado probar más allá de toda duda que las partes son de verdad quienes dicen ser. Incluso si, para ello, proporcionamos más datos de los estrictamente necesarios;
2. pertinentes, porque, simplemente, sirven sólo para una finalidad, que es la de identificar a un interesado. De hecho, la Administración podrá utilizar medios electrónicos a través de los cuales, por ejemplo, sólo lea los datos de los puntos a) y b) del e-DNI, excluyendo los otros.
3. no excesivos, porque este juicio lo habrá realizado el mismo usuario/interesado y, para ello, habrá valorado la importancia de la totalidad de los datos aportados a través del e-DNI y lo que debería de «sacrificar» si quisiera usar otra firma electrónica. Si el mismo usuario no cree que los datos son excesivos, ¿quién puede decidirlo por él?
Es posible, entonces, que el problema se traslade del análisis sobre la proporcionalidad de los datos y el principio de calidad de los datos, al consentimiento informado de los interesados.
No tengo los links a mano de las noticias que he leído últimamente, pero parece que a la inmensa mayoría de las personas no les importa que les graben, por ejemplo, en un taxi, a cambio de aumentar la seguridad tanto de los taxistas como de los pasajeros. Es decir, parece que la gente prefiere ceder parte de su intimidad en aras, siguiendo con el ejemplo, de la seguridad. Si esto es así (y lo es, por mucho que me repugne), el interesado podrá sacrificar su intimidad a cambio de una mayor comodidad (una e-firma asociada a su e-DNI). Al fin y al cabo, siempre podremos renunciar a estos derechos, aunque estén recogidos en el Título I de la Constitución. O no, pero ésta ya es una discusión de constitución material y de constitución formal.
___________________
(i) Por inseguro, entiendo no tanto la inseguridad física o lógica, sino la sensación de inseguridad generada en los usuarios de la información en el uso de estas nuevas herramientas.
Amedeomaturo's Weblog 
Excelente post, Amedeo. A veces ni nosotros mismos sabemos hasta qué punto queremos reservar nuestra intimidad.
Gracias, pero no te creas que esté plenamente convencido de la proporcionalidad de los datos presentes en el eDNI. Lo que sí creo es que estamos en frente a una situación nueva y, necesariamente, iremos un poco a ciegas, con el método «prueba/error». Así sacrificamos la seguridad jurídica, pero la situación es reversible y, en el caso de los e-DNI, siempre estaremos a tiempo de modificar el alcance de los datos contenidos en el chip.
En todo caso, se necesitará seguir estudiando el tema de la proporcionalidad y de la importancia social (no necesariamente jurídica) que los ciudadanos le damos a nuestra privacy. Para empezar, podríamos ir regalando para Navidades «1984» de Orwell.
Leí el libro, precisamente, en el año 1984 (todavía era muy joven). Recuerdo que su lectura me impactó y todavía me sigue poniendo la piel de gallina.
Amadeo, los principios que indicas están, a mi juicio, respetados en el DNIe. No toda la información del chip es igual de accesible. Existen tres niveles de accesibilidad, en el nivel más protegido, sólo accesible por máquinas que cuentan un certificado específico bajo una PKI distinta de los certificados del DNIe, puede accederse a la zona más protegida que lleva la foto, firma manuscrita digitalizada y plantilla (que no digitalización completa) de la huella dactilar. Dichas máquinas (PCs o las máquinas kiosco para renovar certificados que hay en las comisarias) están todas, en lo que respecta a implantación de certificados, controladas por la D.G. de la Policia.
Gracias Andrés. Yo intuía que no todos los datos presentes en el e-DNI podían estar a disposición de cualquiera, pero no tenía ninguna base sobre la que apoyar mi afirmación.
Interesante y trabajada reflexión, Amadeo. ¡Me alegro de haber suscitado el debate! Simplemente me gustaría hacer algunas puntualizaciones, comenzando por el sentido de mi reflexión inicial. En concreto, yo no discuto que el chip del DNI-e tenga que llevar lo que tenga que llevar: el problema en este caso es quién pueda acceder a qué información, de manera que lo relevante serían las medidas de seguridad. Por lo tanto, nada que objetar desde este punto de vista.
El problema viene, por el contrario, en relación con el contenido del certificado, que es lo que se incorpora al documento firmado. Aunque no soy técnico, según tengo entendido la imagen digitalizada y los datos de filiación NO están dentro de los certificados, y por tanto no se incluyen en los formatos de firma. Por el contrario, la fecha de nacimiento y el resumen «digital» de la huella dactilar SÍ y, por tanto, cualquier documento firmado por nuestro DNI-e dejaría a la vista esta información a cualquier persona que lo reciba.
Desde este punto de vista, por mucho que se pueda alegar que el consentimiento lo puede todo, en mi opinión se estará vulnerando el principio de calidad de los datos (art. 4 LOPDP) por cuanto se trata de información manifiestamente innecesaria para la finalidad pretendida. Y el consentimiento podría ser inválido, por no entrar en la cuestión relativa a si existe información en términos comprensibles para los ciudadanos cuando se sacan el DNI-e…
En este sentido, cualquier documetno
Evidentemente, he llevado mis reflexiones más allá de mi propia opinión personal. De hecho, soy el primero que cree que el consentimiento no lo puede todo, sobre todo cuando falta información o la misma es difícil de asimilar y/o transmitir.
Resumiendo, cuando el e-DNI se usa para firmar un documento y ahí deja su «huella» ¿es mucha muella la que deja? Me temo que sí, pero insisto en que este juicio de proporcionalidad es fruto del momento en el que se realiza.
En este momento histórico, se confiere más seguridad jurídica a una «super» firma, que a un menoscabo de la privacidad.
Que así sea, entonces, pero con la promesa de que este juicio sea reversible: cuando hayamos asumido la plena validez de las e-firmas, no necesitaremos tantas formalidades y podremos recuperar la privacidad que estamos sacrificando ahora.
Bueno, esto tampoco es completamente cierto, ya que uno de los problemas de la seguridad es que, cuando pierdes privacidad, no la puedes recuperar.
De paso, también habrá que ver si no será mejor «privatizar» el derecho administrativo. Si en las relaciones civiles y mercantiles no se reclaman tantas formalidades, ¿tenemos que mantenerlas para todas las relaciones con la Administración? ¿Es proporcional? En fin, esto da para mucho.
Gracias a todos por seguir estudiando.
Mi opinión es que la Ley 11/2007 de acceso de los ciudadanos a los Servicios Públicos, no podía llegar en peor momento. La coyuntura económica en la que nos vemos inmersos y las expectativas a medio plazo, no auguran nada bueno para el desarrollo de una Ley, que parafraseando al profesor Julián Valero, no deja de ser un barníz electrónico a la que ya existía.
Los poco más de 8.000 Municipios que componen éste país, están pasando por unos problemas de «tensiones de tesorería» axfisiantes. Habrá que saber la voluntad politica de las distintas Corporaciones para dotar al SIGEM de los correspondientes medios humanos, tecnológicos y económicos para su desarrollo integral. Eso sin entrar en el apartado de que el 50% de esos Municipios tienen menos de 500 habitantes; y/o que de estos últimos, existen un 25% con menos de ¡100 h.!. Si un porcentaje importante de esos 4.000 Municipios tienen unas páginas web obsoletas, poco operativas y en muchos casos inexistentes. Nos veremos abocados a una entrada en vigor de dicha Ley en 2 ó 3 velocidades. Según el pueblo, ciudad o CC AA en la que residamos seremos ciudadanos de e-1ª, e-2ª y hasta de e-3ª…
Nunca admitiré que las dificultades económicas puedan servir como excusa para paralizar, ralentizar o simplemente no darle el lugar que merece.
Con números en la mano, tengo pruebas de que el económico NO es el problema fundamental para la implantación de la e-Administración. El problema real es el «liderazgo». Tampoco lo he descubierto yo, si no que está más que apuntado en las Web de la familia de e-practice.
Perdone, pero dificultades económicas se esgrimen en algo tan escalofríante cómo la puesta en vigor y posterior desarrollo, de la Ley Integral contra la Violencia de Género. Una Ley de vida o muerte (nunca mejor dicho), para miles de mujeres y cuyos resultados e informaciones son para ponerse a llorar.
Oír que por cada 25 mujeres amenazadas hay 1 policia. Ver cómo los brazaletes telématicos no tienen pilas en algún caso reciente, con resultado de muerte. O que mujeres abandonadas a su suerte lo único que puedan esgrimir ante el loco de turno es un folio A4, que pone no sé qué de un alejamiento, ya me dirá.
Ojalá se desarrolle la Ley en su totalidad pués será fantástico para los e-Ciudadanos y un avance definitivo en nuestras relaciones con las distintas Administraciones. Pero me temo que la frase: «no hay presupuesto…» será la coartada.
¿Ha visto usted lo preocupado que está el Gobierno para que a partir de abril de 2010 a nadie le falte la TDT en su casa?, pués eso. Pan y circo que no falte, ya se sabe que ciudadanos entretenidos; ciudadanos manejables…
Aprovecho la ocasión para agradecer a los hombres y mujeres que se están dejando su tiempo en informar a los Ciudadanos sobre el asunto.
Ya nos vamos acercando al asunto: el presupuesto existe, pero las prioridades políticas no van hacia la e-Administración. Pero esto, francamente, no es mi problema como ciudadano: me han dado un derecho (bueno, varios), me han dicho a partir de cuándo puedo exigirlos, y si no cumplen, tarde o temprano, arreglaremos los asuntos con la bendita responsabilidad patrimonial de la Administración en la violencia de género, en la ley de dependencia y hasta en la Ley 11/2007.
[…] documentos, además, hacen repensar lo dicho en este blog sobre el alcance de los datos personales incluidos en el e-DNI y sobre la proporcionalidad de los […]
totalmente de acuerdo, Amadeo. Por mucho que se diga, la implantación de los medios telemáticos en la Administración Pública no es, principalmente y reconociendo casos específicos como el que apunta Paloma, un problema de medios económicos. Si os interesa, hace unos meses elaboramos un informe para la Comisión Europea un grupo de universidades europeas que es bastante revelador: http://www.egovbarriers.org/