La Formación en materia de Protección de Datos en los Ayuntamientos

Después de una jornada como hoy, en la que, por turnos, he conseguido dar una charla sobre Protección de Datos a todos los funcionarios de un Ayuntamiento, uno se da cuenta de que los usuarios públicos (léase, funcionarios) están más concienciados sobre la privacidad de la información que los gestores políticos (léase concejales).

Hemos repasado los conceptos básicos como qué es un dato personal, qué se entiende por tratamiento, hasta llegar al deber de información, previsto en el art. 5 LOPD, el consentimiento, las cesiones de datos y los encargados del tratamiento.

Las preguntas que me han hecho han sdio de carácter eminentemente práctico, centrándose sobre todo en la escasez de medios técnicos (he visto ordenadores con licencias «home edition«) y en la lucha encarnizada para denegar (o, por lo menos, oponerse) a las absurdas (y a veces, ilegales) peticiones de los concejales.

Los funcionarios, en estos casos, se ven sometidos a una fuerte presión por «sacar datos de donde no debemos». ¿Qué hacer en estos casos?

Pues, en el Ayuntamiento en cuestión, los funcionarios pueden contar con un Secretario Municipal preparado, consciente de la importancia de los datos de carácter personal de los ciudadanos y dispuestos a asumir las competencias propias de un Responsable de Seguridad. Además, todo hay que decirlo, es raro encontrar un Secretario que se preocupe por estos asuntos, enfrascados como están, entre otras cosas, en resolver los problemas de las agotadas cajas municipales, que ningún Plan E, F o Z parece poder resolver.

Creo firmemente en la necesaria modificación del sistema sancionador previsto en la LOPD para las Administraciones Públicas, modificando el art. 46 y dejando bien claro que «chi la fa, l’aspetti«. Por cierto, no he dicho que el Secretario Municipal del que hablo es una mujer. Menos mal que los tiempos cambian.

P.S. Estimado Sr. Secretario de Estado de Telecomunicaciones, D. Francisco Ros, por si acaso lee estas líneas, en sus planes para generar «Confianza en la Sociedad de la Información«, por favor, incluya también un rápido cursillo para los concejales.

SIGEM 1.9.1

Unos días de vacaciones y ya veo en mi escritorio la nueva versión del SIGEM 1.9.1. Quería tomarme esta recta final de año de una forma un poco más tranquila, pero va a ser que no, a estudiar toca.

Publico el link a la documentación y espero no estar infringiendo ningún derecho moral/ético/económico/artístico/político/religioso de alguien. Si así fuera, prometo quitar el link y no volver a ponerlo nunca jamás (disclaimer mode on).

INFOCALDERO IX

Mañana viernes 27 de noviembre, habrá lugar la IX edición de INFOCALDERO. No busquen información en la Web del Ayuntamiento de Campello, porque no la van a encontrar. Eso sí, pasen y vean, porque siempre es divertido asistir: ponencias interesantes, saludos a amigos y arroz.

Este año, NetConsulting pasará la gorra, así que avisados estáis.

e-Administración: novedades

Siempre gracias a los bloggueros que proporcionan información muy valiosa, informo que ha sido publicado en el BOE el R.D. 1671/2009, por el que se desarrolla parcialmente la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

A ver qué sale de aquí pero, a bote pronto, lo de parcialmente ya fastidia un poco.

En fin, stay tuned.

Guía sobre cómo se pide la pasta y para qué (RDL 13/2009)

Gracias a las innumerables fuentes de los blog que suelo leer sobre administración electrónica, he podido acceder a la Guía sobre el uso del Fondo Estatal para el empleo y la sostenibilidad local 2010.

Espero poder hacer dos cosas: mencionar a todos los bloggeros que aportan información tan útil como la que acabo de referenciar, así como dar mi opinión sobre esta guía (lo que afecta a la administración electrónica empieza a partir de la diapositiva 8).

Ala, comprometido quedo, a ver si cumplo.

Expedientes electrónicos y Protección de Datos

En las charlas entre colegas y apasionados de protección de datos y administración electrónica (hay gente con hobbies más raros), siempre surgen temas de debate y preguntas que la práctica diaria impone resolver. Fruto de una de estas conversaciones ha sido la pregunta: ¿puedo poner el nombre de un ciudadano (directo interesado) en el nombre de un documento electrónico? ¿Esta práctica es conforme a la Ley Orgánica de Protección de Datos?

Un ejemplo para aclarar el asunto. Pongamos que yo he sido expedientado por la Concejalía de Urbanismo de mi ayuntamiento por una infracción urbanística. La sanción es definitiva y no caben recursos, así que me toca pagar la sanción.

Por su parte, el Ayuntamiento, para custodiar el expediente electrónico, pone mi nombre a la correspondiente carpeta para archivarlo y, en un futuro, poder acceder a ello.

Visto así, no creo que haya inconvenientes, a priori, para que esta práctica sea conforme a la LOPD. Intentemos ver el porqué.

Para empezar, el expediente electrónico con mi nombre es, sin duda alguna, parte de un fichero, tal y como lo define el art. 3.b) LOPD: «Fichero: todo conjunto organizado de datos de carácter personal, cualquier que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».

El fichero que el Ayuntamiento habrá declarado ante la Agencia Española de Protección de Datos se llamará, posiblemente, «Expedientes Sancionadores» y, en ese gran cajón, estaremos todos los infractores que, en el ámbito de las competencia municipal, nos hayamos visto como infractores (en materia urbanística, ruidos, medioambiente, etc.).

Tenemos fichero, tenemos tratamiento de datos, tenemos datos personales, hasta tenemos afectados (que soy yo), pero (todavía) no tenemos una respuesta clara a la pregunta inicial.

También tenemos la obligación por parte del Ayuntamiento de almacenar los datos «de forma que permitan el ejercicio del derecho de acceso… (art. 4.6 LOPD). Así que, el Ayuntamiento puede, a mi entender, guardar el expediente con mi nombre. De hecho, cuando yo presente el ejercicio de derecho de acceso, puedo simplemente decir: «Oiga, que quiero saber que saben de mí en Urbanismo«. Si no me pueden buscar con mi nombre, a ver cómo pueden contestar a mi derecho.

Eso sí, las obligaciones del Ayuntamiento no terminan ahí. Tal y como manda el art. 9 LOPD, el Responsable del Fichero (el Ayuntamiento, en este caso) debe tomar todas las medidas técnicas y organizativas para que mis datos (y mi expediente) no sean accedidos (palabro) por personas no autorizadas.

En la práctica, eso quiere decir que el Ayuntamiento no puede permitir a todos los usuarios de la información municiapal poner en el buscador interno mi nombre y que salga asociado al famos expediente sancionador urbanístico. Mucho menos puede (ni debe) permitir que mis datos queden a la vista de un buscador externo. Si así fuera, un motor de búsqueda podría leer mi nombre y devolver como resultado de la búsqueda que yo he sido sancionado por el Ayuntamiento por una determinada infracción.

Para estar seguros de esta afirmación, nos vamos a leer qué dice a este propósito la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

Con el art. 31.3, in fine, nos acercamos a una respuesta más clara ya que los medios de almacenamiento «asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos«.

Et voila.

Definitivamente, podremos llamar a mi expediente sancionador con mi nombre, pero antes nos deberemos de haber asegurado quién, cómo y a qué título accede a esa información.

No me he parado en la diferenciación entre documento administrativo electrónico (art. 29, Ley 11/200/) y expediente electrónico (art. 32, Ley 11/2007), no porque no haya diferencias,  sino porque, en este caso, el tratamiento de los datos personales es el mismo.

En todo caso, como siempre, se aceptan opiniones contrarias.

LOPD 2009 Summer Tour

El mes pasado, a través de la Diputación de Alicante y del IVAP, recibí la invitación para la realización de un curso dirigido a funcionarios de los ayuntamientos de la Provincia de Alicante.

El módulo que me ha tocado, una vez más, ha sido el de Protección de Datos, dentro del curso sobre Administración Electrónica.

Tomando prestado términos de la jerga musical, he bautizado las charlas itinerantes como «Los bolos de la LOPD«. Nos hemos servido de las aulas de formación de la Diputación, que cumplían perfectamente con las exigencias docentes.

Villena, Denia, Rojales, el Hogar Provincial de Alicante y Cocentaina han sido los escenarios de las actuaciones y que conste que en ningún caso he conseguido llegar al final de las diapositivas que tenía preparadas.

Sin duda, ha sido por mi falta de previsión, pero también ha sido por la curiosidad de los asistentes por saber más sobre estos temas.

No deja de sorprenderme la idea, confirmada por muchos asistentes, de que la Protección de Datos es la gran desconocida en la Administración Pública (por lo menos, en el ámbito de la Administración Pública Local). De ahí, que nunca pudiera llegar a terminar la exposición, porque había miles (bueno, dejémoslo en muchas) preguntas por contestar.

Por qué la LOPD es una perfecta desconocida en la en la Administración Local: algunos motivos.

In primis, el escaso interés por formar a los funcionarios públicos sobre estos temas. También incide mucho la misma estructura de algunos ayuntamientos que, con sus «funcionarios-orquesta«, poco tiempo pueden dedicar a la formación.

El poco eficaz sistema de sanciones para el sector público también incide lo suyo, aunque puede que, con la tan cacareada activación de la aplicación del art. 19 LOPD, las cosas cambien (francamente, éste es mi deseo).

En fin, que la ignorancia sobre estos aspectos legales tiene muchos padres y resulta que, casi 10 años después de la entrada en vigor de la LOPD, nadie quiera hacerse cargo de «la pobre criatura«.

Entonces, ¿a qué se debe este repentino interés por la Protección de Datos? La culpa la tiene el art. 4 de la Ley 11/2007 que, entre los principios generales que deberán regir la llegada de la Administración Electrónica (cual mesías de la solución al problema de la burocracia) dice (más o menos) así:

«Muy bien, vais a implantar la Administración Pública del futuro, pero, ojo, no os olvidéis de algunos viejos principios como la protección de datos«.

Así, respondo también a uno de los asistentes a estos cursos que me preguntaba «Yo he venido a un curso sobre e-Administración. ¿Por qué me sueltas el rollo de la LOPD?». Pues, porque sin esta última no habrá la primera.

Las casi 4 horas de charla sin interrupción (qué sufridos son los funcionarios, oiga) pretendían ver los nexos más evidentes entre la LOPD y la actividad diaria de la actividad administrativa. El objetivo último era concienciar sobre la importancia de esta legislación, así como sobre enorme importancia para la actividad administrativa y cómo pequeños despistes pueden perjudicar seriamente la vida de los ciudadanos.

¿Conclusiones?Varias y variadas.

1. Hace falta más formación. Ha quedado claro que tanto la Administración Electrónica, como la adecuación a la LOPD no es «cosas de ordenadores«, sino más bien, «cosas de personas que piensan en cómo hacer bien las cosas«.

2. La formación debe incluir necesariamente una componente tecnológica, aunque mínima, para evitar comentarios como: «¿qué es twitter?».

3. No podemos empezar con la e-Administración, si no hemos hecho los deberes (léase, protección de datos).

4. Tenemos funcionarios con ganas de aprender: ¡suéltenlos! Que parece que asistir a curso de formación es sinónimo de ir a pasar el día de excursión.

5. Con todas las tecnologías disponibles, ¿cómo es posible que los organismos intermedios no preparen una plataforma de formación on line? Ah, bendito e-learning…

SIGEM: Gestión de Expedientes (2ª parte)

Siento no haber seguido con la constancia debida el estudio del SIGEM, pero es fácil entender que el trabajo diario, la crisis, el estudio y mil cosas más no permiten seguir el ritmo de publicaciones deseado (por mí, claro está).

Vuelvo, después del primer post, a la Gestión de Expedientes, para ver cómo funciona por dentro el gestor documental, estrella del Plan Avanza. También aprovecho para denunciar errores gramaticales que se repiten constantemente en los manuales del SIGEM. Por favor,  en las frases que empiezan por «En ésta pantalla…», «ésta» es adjetivo y no lleva tilde.

Para gestionar los expedientes (mejor dicho, los modelos de expedientes), el usuario tiene que identificarse a través de una simple pantalla donde introducr «usuario» y «contraseña». No está de más verificar que este usuario tenga las capacidades profesionales para rediseñar los procedimientos administrativos de la entidad. Creo aconsejable incluir la colaboración de los Servicios Jurídicos de la entidad, así como el Secretario Municipal, en el caso de los Ayuntamientos.

Llegado a este punto, me esperaba encontrar las indicaciones sobre cómo dar de alta un procedimiento, mientras que me encuentro con el apartado «cómo dar de alta una fase» (dentro de un procedimiento). Además, en la redacción de este manual no estaba presente ningún abogado administrativista, si no no habría permitido que la fase de «Instrucción» fuera posterior a la fase de «Resolución«.

Pues, sigamos la lógica del manual y demos de alta una Fase de un procedimiento todavía por crear.

Para rellenar estos campos, tendremos que recurrir a elementos a los principios del Derecho Administrativo. De paso, ¿quién es el Jesús que aparece como usuario de esta prueba?

Volviendo a las fases, pongamos que éstas sean sólo las siguientes:

1. Iniciación

2. Instrucción

3. Finalización

Dentro de cada fase, lógicamente tendremos varias más, como por ejemplo, la 2.1. de Subsanación, y las 3.1 Deliberación y 3.2. Notificación. Estas subfases, en la terminología del manual del SIGEM se llaman «trámites«.

Este momento es muy delicado, porque es el momento en el cual se rescribe un procedimiento administrativo, así que se invita a que lo que resulte de esta reingeniería del procedimientos encaje en la normativa que lo sustenta.

A cada «trámite» se le pueden asociar «documentos» que pueden ser el fruto de «plantillas» predeterminadas. Una vez más, es necesario hacer una pequeña consideración jurídica. Cuidado con las «plantillas», cuando éstas se usan como «motivación» de los actos administrativos. Aunque en la práctica diaria, es muy útil utilizar plantillas preconfeccionadas, la aplicación indiscriminada de las mismas puede acarrear, una vez más, la nulidad del acto administrativo, por falta de un elemento fundamental del mismo, es decir, la motivación de ese asunto en particular.

Insisto mucho en las capacidades técnicas y legales de los que participan en esta fase. Aquí el usuario puede incluso eliminar una fase del procedimiento y esto puede afectar a la legalidad de toda la tramitación.

Seguiré con las «entidades» si al final me aclaro qué son.