Estas noticias alegran el día (y la semana y el mes), pero también me imponen ser más asiduo en el estudio de este mundo de la modernización de la Administración (¡qué ambicioso mundo!).
Espero ser capaz de compaginar las entradas sobre los viejos amores de la protección de datos, con el todavía necesario análisis de esta revolución en ciernes que es la e-Administración. Espero estar a la altura.
Si ya me preocupa enfrentarme a los adolescentes (que sufren una enfermedad que se cura con la edad, la pena es que esta frase no es mía), ya de por sí, un público difícil, peor estará la cosa cuando les recuerde que, como se ha recordado recientemente en El Mundo, tienen que tener 14 años para acceder a las redes sociales que utilizan más asiduamente (léase Tuenti y similares).
Sólo espero salir vivo de la charla. Se aceptan sugerencias.
Hace ya casi un año que escribí un post sobre la práctica, a todas luces engañosa, de realizar la adecuación a la Ley Orgánica de Protección de Datos – LOPD, con cargo a los fondos de la Fundación Tripartita. Afirmaba entonces que la práctica de «vender» la LOPD y que la paguen los fondos destinados a la formación de los trabajadores me parecía una práctica fraudulenta. Ha pasado casi un año y sigo pensando lo mismo, pero con una novedad.
En este escrito se esgrimen razones de peso que demandan una aclaración sobre el posible fraude fiscal que esconde esta práctica. Además, las dos asociaciones están dispuestas a aportar dossieres informativos para que los órganos de inspección de Hacienda, pues, puedan ver cómo están las cosas.
Vamos a ver, Señores empresarios, ¿de verdad se han creído que estas cosas no iban a tener repercusiones legales para su empresa? Un concejo: tal y como están las cajas del Estado, yo empezaría a mirar una solución para regularizar su situación. Por cierto ¿a que esta vez no recurrirán a esos «consultores»? País…
Si atendemos a la definición que da la Real Academia de la Lengua Española de la palabra idiota, puede que el comportamiento delictivo del joven (cuándo se deja de ser joven? ¿con 26 años uno es considerado todavía joven?) que ha publicado 14 fotos de su novia desnuda en una red social encaje en la definición académica.
Veamos:
1. Que padece de idiocia. Pues, francamente, no lo sabemos, pero parece que no. De padecer esta enfermedad, el Tribunal hubiera valorado la correspondiente eximente. Ergo, este joven no está enfermo y no es idiota.
2. Engreído sin fundamento para ello. Pues, esta definición ya puede ser más ajustada porque parece que el comportamiento del joven parece (y van 2) colocarle por encima del Código Penal y, francamente, me cuesta creer que así pueda ser. De hecho, el Tribunal tampoco se lo ha creído.
3. Tonto, corto de entendimiento. Por lo menos, momentáneamente, si que este joven no ha entendido que su comportamiento (de ahí, lo de corto de entendimiento) pudiera ser lesivo de un bien jurídico protegido, como es la intimidad de otra persona. O, si lo ha entendido, lo ha menospreciado, en violación de la Ley.
4. Que carece de toda instrucción. Pues, no, no parece que este joven carezca de toda instrucción, ya que es capaz de:
a. sacar fotos (con lo complicado que es utilizar hoy en día esos aparatos digitales);
b. guardarlas y no perdelas (hace falta una cierta capacidad de razonamiento, para estructurar la información y custodiarla de manera que pueda volver a ser utiilizada);
c. darse de alta en una red social (usar un ordenador, con su conexión a Internet, recordar la password, etc.);
d. subir las fotos (si supera el paso c), éste está chupado.
Por lo tanto, este comportamiento encaja sólo en dos de las cuatro posibles definción de idiota. Como, además, no tengo noticia de que la sentencia sea firme, dejamos a este joven como presunto idiota.
Un aviso para los incautos internautas: aunque pueda que no lo parezca, el Código Penal sigue vigente, hasta en Internet.
Un consultor se atreve a publicar unas historias para no dormir, es decir, anécdotas sobre cómo se tratan los datos personales en (algunas) Administraciones Públicas.
El artículo es interesante y se basa sobre experiencias profesionales del autor. ¿Alguno de los lectores puede aportar sus propias historias para no dormir? Sería interesante hacer un recopilatorio de mal uso de datos personales (por favor, de forma anónima, no vaya a ser que la Agencia Española de Protección de Datos se sirva de este blog para inspeccionar Ayuntamientos y Ministerios, lo que faltaba).
A veces pienso que las Administraciones Públicas compiten entre si para ver quién lo hace peor en el tratamiento de datos de carácter personal.
Hoy leo que un hospital ha tirado al cubo de la basura (eso sí, la de cartón, para reciclar), los datos de más de un centenar de trasplantados.
«Horror», «Tomaremos las oportunas medidas», «Es un hecho gravísimo» son algunas de las expresiones citadas en el artículo. En realidad, en mi opinión, la frase que mejor describiría la situación es la empleada por los habitantes de la Roma de hoy en día, cuando quieren expresar su total desinterés por un asunto: «‘sti cazzi«.
A todas luces, se trata de una expresión vulgar y mal sonante pero, las cosas como son, es el fiel reflejo de lo que pasará. Se abrirá el procedimiento de infracción de la Agencia Española de Protección de Datos, se llegará casi seguramente a concluir que el hospital ha cometido una serie de infracciones muy graves a la LOPD, y se emitirá una resolución de condena donde se dirá la consabida frase: «Chicos malos, no volváis a hacerlo».
Todavía esperao a que el Director de la Agencia haga uso de las potestades previstas en el art. 46.2 LOPD, proponiendo también la iniciación de actuaciónes disciplinarias, claro está, si procedieran. En este caso, tirar a la basura (es que ni siquiera se han preocupado de introducir los papeles en el contenedor, demasiado esfuerzo), creo yo, es motivo suficiente para que estas actuaciones disciplinarias sí proceden. ¿O no?
Más frases romanas, melius, latinas, que son de más categoría: «Quo usque tandem abutere, Pubblica Administratio, patientia nostra?»
Es de hoy la noticia según la cual una cadena de clínicas dentales han cerrado sin atender los compromisos con sus clientes.
Clama al cielo que estos señores se hayan esfumado con el dinero de las curas pagadas por adelantado y sin haber concluido los tratamientos de los pacientes. Alguna que otra dentadura postiza seguirá en las estanterías y los pacientes volviendo a repetir el tratamiento (y a pagarlo).
Que los afectados no se olviden que nadie sabe dónde están sus historias clínicas. Casi me atrevo a apostar a que, tarde o temprano, éstas aparecerán en algún contenedor de la basura y de la protección de datos que se encargue el servicio de limpieza. Antes de que sea demasiado tarde, espero que los afectados se dirijan a la Agencia Española de Protección de Datos y que les pongan en conocimiento de los hechos.
Viejo refrán popular: lo barato sale caro y más en tiempo de crisis. Cuidado con los dientes y con los datos.
Los periódicos se hacen eco de dos noticias curiosas: por un lado, los ciudadanos (70%) parecen muy preocupados por la protección de datos, es decir, no confían en que las empresas y las instituciones públicas traten adecuadamente sus datos de carácter personal.
Por otro, el mismo porcentaje de ciudadanos se muestra favorable a que haya cámaras de seguridad prácticamente en todos los espacios públicos, porque consideran ventajoso perder intimidad, a cambio de mayor seguridad.
Pues, francamente, no lo entiendo: o una cosa u otra. No se puede estar verdaderamente preocupado por la intimidad si después no te importa que cualquiera (literalmente) te grabe por la calle, en un parque o en cualquier espacio público como si fueras, a priori, un criminal.
Una vez más, se demuestra cómo la percepción de la protección de datos, por parte de los ciudadanos, está lejos de ser clara e unívoca.
Sacrificar derechos por seguridad no ha llevado nunca a nada bueno. Y, si no, que miren a Guantánamo y echen cuenta.
En las charlas entre colegas y apasionados de protección de datos y administración electrónica (hay gente con hobbies más raros), siempre surgen temas de debate y preguntas que la práctica diaria impone resolver. Fruto de una de estas conversaciones ha sido la pregunta: ¿puedo poner el nombre de un ciudadano (directo interesado) en el nombre de un documento electrónico? ¿Esta práctica es conforme a la Ley Orgánica de Protección de Datos?
Un ejemplo para aclarar el asunto. Pongamos que yo he sido expedientado por la Concejalía de Urbanismo de mi ayuntamiento por una infracción urbanística. La sanción es definitiva y no caben recursos, así que me toca pagar la sanción.
Por su parte, el Ayuntamiento, para custodiar el expediente electrónico, pone mi nombre a la correspondiente carpeta para archivarlo y, en un futuro, poder acceder a ello.
Visto así, no creo que haya inconvenientes, a priori, para que esta práctica sea conforme a la LOPD. Intentemos ver el porqué.
Para empezar, el expediente electrónico con mi nombre es, sin duda alguna, parte de un fichero, tal y como lo define el art. 3.b) LOPD: «Fichero: todo conjunto organizado de datos de carácter personal, cualquier que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».
El fichero que el Ayuntamiento habrá declarado ante la Agencia Española de Protección de Datos se llamará, posiblemente, «Expedientes Sancionadores» y, en ese gran cajón, estaremos todos los infractores que, en el ámbito de las competencia municipal, nos hayamos visto como infractores (en materia urbanística, ruidos, medioambiente, etc.).
Tenemos fichero, tenemos tratamiento de datos, tenemos datos personales, hasta tenemos afectados (que soy yo), pero (todavía) no tenemos una respuesta clara a la pregunta inicial.
También tenemos la obligación por parte del Ayuntamiento de almacenar los datos «de forma que permitan el ejercicio del derecho de acceso… (art. 4.6 LOPD). Así que, el Ayuntamiento puede, a mi entender, guardar el expediente con mi nombre. De hecho, cuando yo presente el ejercicio de derecho de acceso, puedo simplemente decir: «Oiga, que quiero saber que saben de mí en Urbanismo«. Si no me pueden buscar con mi nombre, a ver cómo pueden contestar a mi derecho.
Eso sí, las obligaciones del Ayuntamiento no terminan ahí. Tal y como manda el art. 9 LOPD, el Responsable del Fichero (el Ayuntamiento, en este caso) debe tomar todas las medidas técnicas y organizativas para que mis datos (y mi expediente) no sean accedidos (palabro) por personas no autorizadas.
En la práctica, eso quiere decir que el Ayuntamiento no puede permitir a todos los usuarios de la información municiapal poner en el buscador interno mi nombre y que salga asociado al famos expediente sancionador urbanístico. Mucho menos puede (ni debe) permitir que mis datos queden a la vista de un buscador externo. Si así fuera, un motor de búsqueda podría leer mi nombre y devolver como resultado de la búsqueda que yo he sido sancionado por el Ayuntamiento por una determinada infracción.
Para estar seguros de esta afirmación, nos vamos a leer qué dice a este propósito la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.
Con el art. 31.3, in fine, nos acercamos a una respuesta más clara ya que los medios de almacenamiento «asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos«.
Et voila.
Definitivamente, podremos llamar a mi expediente sancionador con mi nombre, pero antes nos deberemos de haber asegurado quién, cómo y a qué título accede a esa información.
No me he parado en la diferenciación entre documento administrativo electrónico (art. 29, Ley 11/200/) y expediente electrónico (art. 32, Ley 11/2007), no porque no haya diferencias, sino porque, en este caso, el tratamiento de los datos personales es el mismo.
En todo caso, como siempre, se aceptan opiniones contrarias.
En el título de este post, todavía utilzo la «e-» para describir la Administración Electrónica y la revolución jurídica, técnica y social que todo esto representa.
En realidad, ya he adoptado el concepto «o-» y la idea que está detrás del proyecto oGov, pero para no liarme más, quiero analizar rápidamente las nuevas posibilidades proporcionadas por las aplicaciones de Realidad Aumentada, que pueden hacer más sencilla la vida a los ciudadanos (¿clientes?) en sus relaciones con las Administraciones Públicas.
Para explicar qué diablos es esto, aconsejo echar un vistazo a este vídeo.
Admito que, en mi caso, me he quedado con la boca abierta. Tomando como referencia lo que aparece en el vídeo, sólo hay que imaginar las posibilidades de comunicación con, por ejemplo, nuestro Ayuntamiento.
Probemos a sustituir los iconos que aparecen en el vídeo, con las imágenes de las oficinas del Ayuntamiento en el que vivimos: el horario de apertura, el de registro, el teléfono de contacto, la distancia desde nuestra posición, qué líneas de bus (o metro) llegan hasta ahí…
Además, en principio, no se trata de una tecnología invasiva de nuestra privacidad, mientras que los mensajes a través de bluetooth sí lo son.
En realidad se trata de «vallas virtuales«, que sólo pueden ser visualizadas si tenemos un móvil preparado y con una determinada aplicación (que se puede descargar desde la Web municipal, por ejemplo).
Dónde está el buzón de correo más cercano, el área donde puedo pasear a mi perro, la parada del bus o el Archivo Municipal: todas éstas son preguntas que se pueden contestar no ya a través de un click, sino simplemente levantando el móvil y mirando a través de su cámara.
La tecnología ya existe (tampoco es muy cara, hasta hay versiones gratuitas), sólo se trata de convencer a los administradores para que las usen. Para esto, no creo que se haya inventado ninguna máquina (todavía).
Sólo quería reseñar un artículo del New York Times sobre el robo de los datos personales en China.
Por lo visto, si no tienes el dangan (que es el fichero donde se recopilan todos los datos académicos de los chinos), no eres nadie.
Lo asombros es que existe sólo una copia y no está en mano del interesado, sino de las instituciones públicas. Además, tal y como se describe en el artículo, el dangan es un bien muy cotizado en el mercado negro. Sólo con un dangan en condiciones puedes optar a un puesto público o a una de esas emergentes empresas privadas.
Si te roban los datos personales, desapareces.
Pobres chinos, sólo les queda el consuelo de leerse «Il fu Mattia Pascal«, quizás la víctima más ilustre de robos de datos personales.
Los que más saben de datos personales , ya que se ganan la vida analizándolos para vender más y mejor (o para que sus clientes lo hagan), acaban de publicar una noticia equivocada sobre la entrada en vigor del nuevo R.D. 1720/2007.
Según se afirma en ese artículo, parece que las nuevas medidas de seguridad impuestas en materia de Protección de Datos entrarán en vigor el próximo abril de 2010.
Me temo, hasta donde yo sé, que ha habido un despiste de un par de años. En realidad, tal y como afirma la Disposición Transitoria Segundadel dichoso Real Decreto, estas medidas de seguridad debería haberse implantado antes del pasado 19 de abril de 2008.
Este blog está dedicado a la e-Administración y a su pariente pobre, la Protección de Datos, aunque reconozco que últimamente está teniendo más peso esta última área.
Hoy escribo sólo para apuntar un par de cosas: la primera, sobre Administración Electrónica, es lo que he leído en Voz y Voto sobre la labor realizada por el Centro de Transferencia de Tecnología (CTT), en materia de documentos y expedientes electrónicos. Me parece muy interesante y fuente de valiosa información que espero poder leer este verano.
La segunda es la noticia publicada en La Nueva España en la que el patólogo de Gijón que ha fallado en la custodia (presuntamente, que no se diga) de datos de carácter personal de Nivel Alto (datos de salud), afirma que, en los datos extraviados (presuntamente, y van dos): «No había ningún dato de diagnóstico de nuestro laboratorio, ni se causó ningún perjuicio a los pacientes debido a la rapidez con la que se localizó la bolsa«.
El abogado de este señor debería haberle aconsejado no abrir la boca, y eso por varios motivos.
1. La ausencia de datos diagnósticos no es una eximente para la aplicación de la LOPD. Si sólo miráramos las definiciones previstas en la legislación vigente en materia de protección de datos (art. 5.1.g, R.D. 1720/2007), nos daremos cuenta que el número de historia clínica y el nombre y apellidos de los pacientes son datos suficientes para la aplicación de la LOPD.
2. «No se ha producido ningún perjuicio para los pacientes». Vamos a ver, hombre de Dios. Ser patólogo no implica necesariamente conocer el alcance de los perjuicios sufridos por los pacientes, cuyos datos médicos han sido extraviado (temporalmente). En todo caso, para que se aplique la LOPD, no es necesario que se verifique un perjuicio; simplemente, bastará con no haber cumplido la legislación vigente.
3. «La Agencia de Protección de Datos, cuyo único fin es recaudativo, decidirá si cierran el caso o rebajan la multa…». Hombre, no, por favor. Un hombre de ciencias que alimenta estos mitos urbanos… Por cierto, por «recaudativo», creo, deberá entenderse «recaudatorio».
¿Cómo es posible, a estas alturas, que el sector médico todavía no sea plenamente cosciente de la importancia de la Ley Orgánica de Protección de Datos?
El mes pasado, a través de la Diputación de Alicante y del IVAP, recibí la invitación para la realización de un curso dirigido a funcionarios de los ayuntamientos de la Provincia de Alicante.
El módulo que me ha tocado, una vez más, ha sido el de Protección de Datos, dentro del curso sobre Administración Electrónica.
Tomando prestado términos de la jerga musical, he bautizado las charlas itinerantes como «Los bolos de la LOPD«. Nos hemos servido de las aulas de formación de la Diputación, que cumplían perfectamente con las exigencias docentes.
Villena, Denia, Rojales, el Hogar Provincial de Alicante y Cocentaina han sido los escenarios de las actuaciones y que conste que en ningún caso he conseguido llegar al final de las diapositivas que tenía preparadas.
Sin duda, ha sido por mi falta de previsión, pero también ha sido por la curiosidad de los asistentes por saber más sobre estos temas.
No deja de sorprenderme la idea, confirmada por muchos asistentes, de que la Protección de Datos es la gran desconocida en la Administración Pública (por lo menos, en el ámbito de la Administración Pública Local). De ahí, que nunca pudiera llegar a terminar la exposición, porque había miles (bueno, dejémoslo en muchas) preguntas por contestar.
Por qué la LOPD es una perfecta desconocida en la en la Administración Local: algunos motivos.
In primis, el escaso interés por formar a los funcionarios públicos sobre estos temas. También incide mucho la misma estructura de algunos ayuntamientos que, con sus «funcionarios-orquesta«, poco tiempo pueden dedicar a la formación.
El poco eficaz sistema de sanciones para el sector público también incide lo suyo, aunque puede que, con la tan cacareada activación de la aplicación del art. 19 LOPD, las cosas cambien (francamente, éste es mi deseo).
En fin, que la ignorancia sobre estos aspectos legales tiene muchos padres y resulta que, casi 10 años después de la entrada en vigor de la LOPD, nadie quiera hacerse cargo de «la pobre criatura«.
Entonces, ¿a qué se debe este repentino interés por la Protección de Datos? La culpa la tiene el art. 4 de la Ley 11/2007 que, entre los principios generales que deberán regir la llegada de la Administración Electrónica (cual mesías de la solución al problema de la burocracia) dice (más o menos) así:
«Muy bien, vais a implantar la Administración Pública del futuro, pero, ojo, no os olvidéis de algunos viejos principios como la protección de datos«.
Así, respondo también a uno de los asistentes a estos cursos que me preguntaba «Yo he venido a un curso sobre e-Administración. ¿Por qué me sueltas el rollo de la LOPD?». Pues, porque sin esta última no habrá la primera.
Las casi 4 horas de charla sin interrupción (qué sufridos son los funcionarios, oiga) pretendían ver los nexos más evidentes entre la LOPD y la actividad diaria de la actividad administrativa. El objetivo último era concienciar sobre la importancia de esta legislación, así como sobre enorme importancia para la actividad administrativa y cómo pequeños despistes pueden perjudicar seriamente la vida de los ciudadanos.
¿Conclusiones?Varias y variadas.
1. Hace falta más formación. Ha quedado claro que tanto la Administración Electrónica, como la adecuación a la LOPD no es «cosas de ordenadores«, sino más bien, «cosas de personas que piensan en cómo hacer bien las cosas«.
2. La formación debe incluir necesariamente una componente tecnológica, aunque mínima, para evitar comentarios como: «¿qué es twitter?».
3. No podemos empezar con la e-Administración, si no hemos hecho los deberes (léase, protección de datos).
4. Tenemos funcionarios con ganas de aprender: ¡suéltenlos! Que parece que asistir a curso de formación es sinónimo de ir a pasar el día de excursión.
5. Con todas las tecnologías disponibles, ¿cómo es posible que los organismos intermedios no preparen una plataforma de formación on line? Ah, bendito e-learning…
Hartos de tener que explicarle a los políticos de los Ayuntamientos por qué es necesario llevar a cabo los proyectos de Administración Electrónica y, contextualmente, por qué es necesario cumplir antes con la Ley Orgánica de Protección de Datos (LOPD), vamos a lanzar la campaña de www.vamosacontarverdades.es
Entiendo que hay que ser políticamente correcto, entiendo que el Ayuntamiento, al fin y al cabo es mi cliente, entiendo también que puede oir cantos de sirena desde otras fuentes, pero ha llegado el momento de decir las cosas a la cara: In Trusty we trust.
Por cierto, ya que contamos verdades, debemos admitir las verdades de los demás: qué te parece el diseño de Trusty?
Esto de trabajar en el sector TIC te lleva necesariamente a ser visto como un «tío raro» y a tener que dar explicaciones sesudas a una simple pregunta de cortesía: «Y tú, ¿a qué te dedicas?«.
Cuando tengo que participar a un evento social (típico sarao con conversaciones intrascendentes), siempre estoy deseando que el periódico de la mañana haya publicado alguna noticia sobre Protección de Datos o Administración Electrónica.
Como el segundo tema sólo sale en vísperas de elecciones (y ni así), reviso las noticias sobre Protección de Datos, para sacar alguna anéctoda suculenta, y así explicar cómo me gano la vida.
Hoy es un buen día, ya que Expansión, El País, y Sur.es se hacen eco de noticias relacionadas, a vario título, con la privacidad.
Lo malo es que, en algunos casos, estas noticias, en vez de ayudar, lían bastante al personal.
Es el caso de lo publicado por Sur.es, que subraya, con justicia, la importancia de la defensa de la información empresarial, como verdadero valor añadido de la labor de adecuación a la LOPD.
Pero, ¿desde cuándo las sanciones máximas en materia de Protección de Datos tienen como techo los 300.000€? Oiga, es que la sanción máxima ¡puede a ser el doble!
Tampoco es cierto que un hotel no puede facilitar los datos de sus clientes a otras empresas, so pena de cometer un delito. Hombre, sí, en teoría, en casos de dolo y otros elementos que caracterizarían el comportamiento delictivo, cabría la aplicación del art. 197 del Código Penal, pero, en realidad, los hoteles sí pueden comunicar los datos de los clientes, siempre y cuando hayan recabado el preceptivo consentimiento.
Entiendo que resumir asuntos importantes en el espacio reducido de un artículo es muy difícil, pero esto no es excusa para no ser rigurosos en la información proporcionada. Si no, me tocará a mí, en el próximo sarao, explicar dónde y cómo se equivocan los periodistas.
Para hacer más luz sobre estos asuntos (y sobre otros, como los mitos y leyendas del marketing on line, por ejemplo), que me he decidido en participar en la redacción de una Web interesante (o eso espero): www.vamosacontarverdades.es.
Gracias a Tele5, que ha emitido un interesante reportaje sobre el uso inadecuado de las cámaras de seguridad.Pueden echarle un vistazo pinchando aquí.
Queda demostrado (si es que hacía falta) que, en la inmensa mayoría de los casos, el uso de las cámaras de vídeo vigilancia no respeta la legalidad vigente en materia de Protección de Datos de Carácter Personal (LOPD).
Antes de seguir con la documentación sobre el SIGEM 1.7, voy a apuntar las reflexiones sobre el régimen sancionador en materia de protección de datos, para los Responsables de Ficheros públicos, que quedaron pendiente de resumir.
Después de haber recordado rápidamente la clasificación de las infracciones previstas en el artículo 44 LOPD (apartados 2 como leves, 3 como graves y 4 como muy graves), empezamos a ver qué pasa si un Ayuntamiento, por ejemplo, es sancionado por la Agencia Española de Protección de Datos (AEPD).
Analizando algunas de las resoluciones sancionatorias del último año, veíamos como todas terminaban con un reproche y con una advertencia a que los infractores tomasen las oportunas medidas de seguridad para que el incidente no se volviera a repetir.
Y ya está.
Es decir, aunque las sanciones fueran por infracciones muy graves, todo terminaba en un: «Chico malo, no lo vuelvas a hacer«. A todas luces, el poder coercitivo de estos reproches parecía un poco escaso. He hablado yo con algunos alcaldes que, sin el menor reparo, han hecho delante de mis narices la siguiente cuenta:
Adecuar mi Ayuntamiento a la LOPD me cuesta X;
Las sanciones que me pueden «caer» me costarían «0» (cero);
X es mayor de cero;
Ergo, ese dinero lo meto en las fiestas del pueblo, que me salen más a cuento. «Gracias por haber venido«.
Los que se dedican a esto de la Protección de Datos, pues, andamos desde siempre un poco moscas por la disparidad de trato (entre entes públicos y privados) en el régimen sancionador, así que, como chamanes invocando justicia divina, esperábamos que, algún día, un tribunal se decidiera a aplicar lo previsto en el artículo 19 LOPD. Esto es, antender a los interesados que, habiéndose visto perjudicados por una infracción de la LOPD, vieran reconocidos los daños y perjuicios padecidos a raíz de esta infracción, y pudieran pedir responsabilidad patrimonial a la Administración infractora.
Gracias a los amigos del Departamento de Derecho Administrativo de la Universidad de Murcia (y a su siempre interesante foro de discusión), me enteré de la Sentencia n. 1932/2003, de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Extremadura, que sí había antecedentes de Responsabilidad Patrimonial. En el caso en cuestión, se había condenado a la Concejería de Bienestar Social a pagar 6.000€ por haber una infracción a la LOPD, sancionada con anterioridad por la AEPD.
«Oiga, y ya puestos a pedir, para frenar los desmanes de las Administraciones Públicas en protección de datos, ¿no se podrían explorar las vías penales?»
Y eso nos pusimos a hacer en la parte final de la charla.
Y empezamos por el artículo 199 (la aplicación del artículo 197 requiere dolo, y eso ya me parece desproporcionado, como caso de estudio).
Comportamiento relevante penalmente:
estar al cargo de la custodia/tratamiento de información personal que debe mantenerse en secreto (toda información personal)
revelar esta información
Como las revelaciones pueden ser por dolo o por culpa (negligencia, impericia, imprudencia), pues, el fantasma de una condena a prisión de uno a tres años empezaba a preocupar a los asistentes a la charla.
Francamente, espero que algún penalista que tenga ganas (y paciencia), me aclare si este análisis propuesto es muy descabellado, así espantamos a nuesto
De hecho, las cosas se complican si el que llevara a cabo el comportamiento delictivo fuera un «profesional». Por ejemplo, un Responsable de Seguridad, que se verá condenado con prisión de 1 a 4 años e inhabilitación especial para la profesión de 2 a 6 años.
Y eso que no nos dio tiempo a ver los detalles del Título XIX, de los Delitos contra la Administración Pública, Cap. IV – De la infideliad en la custodia de documentos y de la violación de secreto. De entrada, volvimos a descartar los artículos que penaban los comportamientos dolosos (artículos 413, 414 y 415), pero nos volvimos a topar con el inquietante artículo 417.
En ese punto, tocó la campana y la gente se marchó a su casa, pero ya había entrado de lleno en las preocupaciones de los Responsables de Seguridad.
En realidad, debería de seguir publicando el resumen de la charla realizada para la Diputación de Alicante, pero esto de la crisis hace que uno tenga que trabajar el doble.
Por ese motivo (lo de trabajar el doble) ni siquiera he podido asistir al SICARM de este año. Menos mal que la organización (in primis, el Prof. Julian Valero), se ha encargado de publicar el link donde se pueden ver las intervenciones.
No es como haber estado ahí, pero…
P.S. Estas micro entradas no caben en el Twitter, tendré que resumir.
El pasado 28 de abril, la Dipitación de Alicante me invitó a dar una charla sobre la Protección de Datos en las Administraciones Locales. La charla era, en realidad, parte de un módulo más amplio sobre los retos de la Administración Electrónica para los pequeños Ayuntamientos.
Cuando llegué al aula, dentro del complejo del Hogar Provincial, me encontré con algunos clientes y, a pesar de ello, amigos. Eso hizo que la charla perdiera parte de su carácter formal-académico y se convirtiera más en un debate sobre los problemas que afectan a los técnicos informáticos de los Ayuntmientos en su día a día. Parece que se ha instaurado una regla no escrita según la cual «el informático» es el que se tiene que ocupar de «estas cosas modernas» como son la LAE y la LOPD.
Teníamos 3 horas a nuestra disposición y resultó que ni pausa café hicimos, tanto nos enfrascamos en los intríngulis de la Protección de Datos. A lo largo de la charla, prometí publicar un resumen en este blog, pero, las cosas como son, no he tenido tiempo. Así que va siendo hora de hacer el resumen prometido.
Después de haber hecho un inicial y rápido resumen sobre los antecedentes de la LAE, la LOPD y sus cruces de intereses, hemos pasado a revisar, también rápidamente, los deberes formales en materia de Protección de Datos que incumben sobre los Entes Locales. De paso, hemos recordado el artículo 4.a de la LAE, donde, entre los principios generales, se hace expresa mención a «El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la LOPD…«.
En este momento ya han aparecido entre los asistentes las primeras caras de preplejidad: «¿Para qué estaré yo buscando dinero para comprar el Gestor Documentalmolón si mis compañeros del Ayuntamiento ni siquiera conocen la LOPD?». La sensación de que, en los procedimientos de implantación de la Administración Electrónica en las entidades locales, se estaba trascurando un aspecto determinante, pues, se empezó a generalizar.
Por ejemplo, salvo un par de honrosas excepciones, nadie había pasado la auditoría en materia de Protección de Datos en los últimos años. Esta situación reflejaba los resultados de la pequeña estadística realizada a través de este blog donde había un preocupante 50% de lectores que había marcado la casilla «¿Auditoría LOPD? ¿Existe eso?«.
¿No estaremos empezando la casa de la Administración Electrónica por el tejado? Las dudas aumentaban.
Si hay que adecuarse a la LOPD, ¿por dónde empezamos?vYo sugerí empezar por los aspectos formales:
Pareció que todos estuvieron de acuerdo, pero algunos ya se empezaron a olerse por dónde irían los tiros.
Si la declaración del fichero (con todas las particularidades descritas por el Título V de la LOPD), y la redacción de un Documento de Seguridad son tareas al alcance de unos funcionarios preparados, la asunción de las responsabilidades propias de la figura del Responsable de Seguridad ya era harina de otro costal.
Cuando se empezó a hablar del Responsable de Seguridad, entró en escena una figura que nos ha acompañado a lo largo del resto de la charla:
Este muñequito, sobre cuya foto no tengo derecho de autor y que utilizo sólo docendi causa, quería representar al técnico del Ayuntamiento sobre el cual, de repente, recaían todas las responsabilidades de puesta en marcha de medidas de seguridad para la adecuación a la LOPD. Casi todos se vieron inmediatamente reflejados en él, asumiendo resignadamente que no se podrían librar de ser el Responsable de Seguridad. Eso sí, no llegamos a bautizarlo, pero tarde o temprano le pondremos nombre.
La identificación entre el Responsable de Seguridad y «el informático» parecía automática, pero yo me atreví a introducir un elemento de duda, a partir de la definición prevista en el art. 5.2.l), del R.D. 1720/2007: «Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables».
Convertirse o no en dependía ahora de un adverbio: «formalmente«.
«Si no hay ningún nombramiento formal, y aunque en mi actividad diaria yo desarrolle buena parte de las funciones propias del Responsable de Seguridad (controlar y coordinar las medidas de seguridad), ¿soy o no soy? Mi opinión es que, si la ley exige un nombramiento formal, sin éste, no puede haber Responsable de Seguridad. Esto afectaríatambién al eventual régimen sancionatorio disciplinar por violación de las medidas de seguridad previstas en la LOPD.
Justo el régimen sancionador ha sido el objeto de la segunda parte de la charla. Prometo seguir con el resumen en breve.
Mi ar y controlar las medidas de seguridad aplicables
ya había entrado de lleno en las preocupaciones de los Responsables de Seguridad.
Este muñequito, sobre cuya foto no tengo derecho de autor y que utilizo sólo docendi causa, quería representar al técnico del Ayuntamiento sobre el cual, de repente, recaían todas las responsabilidades de puesta en marcha de medidas de seguridad para la adecuación a la LOPD. Casi todos se vieron inmediatamente reflejados en él, asumiendo resignadamente que no se podrían librar de ser el Responsable de Seguridad. Eso sí, no llegamos a bautizarlo, pero tarde o temprano le pondremos nombre.
dependía ahora de un adverbio: «formalmente«.
? Mi opinión es que, si la ley exige un nombramiento formal, sin éste, no puede haber Responsable de Seguridad. Esto afectaríatambién al eventual régimen sancionatorio disciplinar por violación de las medidas de seguridad previstas en la LOPD.
Amedeomaturo's Weblog 