La Formación en materia de Protección de Datos en los Ayuntamientos

Después de una jornada como hoy, en la que, por turnos, he conseguido dar una charla sobre Protección de Datos a todos los funcionarios de un Ayuntamiento, uno se da cuenta de que los usuarios públicos (léase, funcionarios) están más concienciados sobre la privacidad de la información que los gestores políticos (léase concejales).

Hemos repasado los conceptos básicos como qué es un dato personal, qué se entiende por tratamiento, hasta llegar al deber de información, previsto en el art. 5 LOPD, el consentimiento, las cesiones de datos y los encargados del tratamiento.

Las preguntas que me han hecho han sdio de carácter eminentemente práctico, centrándose sobre todo en la escasez de medios técnicos (he visto ordenadores con licencias «home edition«) y en la lucha encarnizada para denegar (o, por lo menos, oponerse) a las absurdas (y a veces, ilegales) peticiones de los concejales.

Los funcionarios, en estos casos, se ven sometidos a una fuerte presión por «sacar datos de donde no debemos». ¿Qué hacer en estos casos?

Pues, en el Ayuntamiento en cuestión, los funcionarios pueden contar con un Secretario Municipal preparado, consciente de la importancia de los datos de carácter personal de los ciudadanos y dispuestos a asumir las competencias propias de un Responsable de Seguridad. Además, todo hay que decirlo, es raro encontrar un Secretario que se preocupe por estos asuntos, enfrascados como están, entre otras cosas, en resolver los problemas de las agotadas cajas municipales, que ningún Plan E, F o Z parece poder resolver.

Creo firmemente en la necesaria modificación del sistema sancionador previsto en la LOPD para las Administraciones Públicas, modificando el art. 46 y dejando bien claro que «chi la fa, l’aspetti«. Por cierto, no he dicho que el Secretario Municipal del que hablo es una mujer. Menos mal que los tiempos cambian.

P.S. Estimado Sr. Secretario de Estado de Telecomunicaciones, D. Francisco Ros, por si acaso lee estas líneas, en sus planes para generar «Confianza en la Sociedad de la Información«, por favor, incluya también un rápido cursillo para los concejales.

Infocaldero IX: Las Presentaciones

Hoy es día de novedades. El Ayuntamiento de Campello, bueno, la gente del Dpto. de Informática, ponen a disposición de todos las presentaciones de los ponentes de la IX edición de Infocaldero. Sólo hay que pinchar aquí.

Gracias, Luis.

SIGEM 1.9.1

Unos días de vacaciones y ya veo en mi escritorio la nueva versión del SIGEM 1.9.1. Quería tomarme esta recta final de año de una forma un poco más tranquila, pero va a ser que no, a estudiar toca.

Publico el link a la documentación y espero no estar infringiendo ningún derecho moral/ético/económico/artístico/político/religioso de alguien. Si así fuera, prometo quitar el link y no volver a ponerlo nunca jamás (disclaimer mode on).

e-Administración: buenos propósitos europeos

Gracias a oGov, me hago eco de más material para estudiar (en «inglish», sorry), sobre los buenos propósitos de los Ministros Europeos en materia de e-Administración.

El texto, aquí.

Ars longa, vita brevis.

Infocaldero IX ha terminado, viva Infocaldero

La reunión del pasado viernes 27 en El Campello ha permitido, una vez más, poder saludar a clientes y hasta amigos, técnicos informáticos de los Ayuntamientos de la provincia de Alicante.

Pronto (según ha prometido el organizador que, una vez más, se ha salido del mapa como anfitrión) estarán disponibles todas las presentaciones de los ponentes. El tema estrella de este año era el de virtualización de servidores. Espero me perdonen si a mí, un Azzeccagarbugli de andar por casa, estos temas resultaban muy indigestos. En todo caso, prometo hacerme eco de estas ponencias tan pronto estén disponibles.

¿Novedades más allá de las virtualizaciones? Por supuesto, y de la manos de Xavier Llinares. Se habló de las posibilidades de Escucha Activa aplicadas a la Administración Local.

¿Qué diablos es eso de la Escucha Activa? No lo busquéis en Google, ya que os llevará, en sus primeros resultados, hacia técnicas de psicoterapia. En realidad, lo que se presentó, fue la herramienta SSMART, a través de la cual se puede saber qué dice la red de tu Ayuntamiento (o empresa).

Era como darle una vuelta más al concepto de la Web 2.0, no sólo permitiendo que los usuarios participaran en la gestión de la información (definición no académica), sino que, además, consiente dar una respuesta rápida a lo que quieren saber los ciudadanos. Este resumen chapucero será necesariamente completado por la charla tan pronto esté disponible.

Por cierto, Xavier Llinares tenía disponibles algunas invitaciones para ser usuario de Google Wave. Después de un inicial desconcierto (nadie se atrevía a preguntar qué era aquello y los que ya «estábamos dentro«, sonreíamos como todo enteradillo hubiera hecho), al ofertante le llovieron varias peticiones. Desconozco quién se apuntó al carro y quién no.

La charla era muy interesante, pero creo que se hubieran aprovechado más todas las indicaciones si hubieran estado presentes los responsables políticos de los Ayuntamientos que, no sé porqué, no asistieron (si estaban, yo no los vi).

La parte institucional terminó a última hora de la mañana y nos dirigimos al tradicional ágape que, una vez más, cumplió con las expectativas de los asistentes.

Esta fase informal es la que te permite ver cómo va en realidad la e-Administración en las Administraciones Locales. Hay momentos estelares y otros en los que te quedas de piedra.

Para muestra un botón.

Una "moderna" e-firma

El titular de esta firma electrónica, técnico informático experimentado de un Ayuntamiento, se fue a la entidad pública que había expedido la firma para pedirle algo, en principio, tan sencillo como un soporte un pelín más moderno que un disquete. Como respuesta le dijeron que «de eso, no tenemos«.

A este punto del relato, teníamos dos opciones: quedarnos helados y pensar en cuánto camino todavía nos esperaba, o reirnos hasta las lágrimas. Evidentemente, optamos por la segunda.

A ver qué otros hallazgos nos permitirá la edición del 2010 de Infocaldero. Ya falta menos.

INFOCALDERO IX

Mañana viernes 27 de noviembre, habrá lugar la IX edición de INFOCALDERO. No busquen información en la Web del Ayuntamiento de Campello, porque no la van a encontrar. Eso sí, pasen y vean, porque siempre es divertido asistir: ponencias interesantes, saludos a amigos y arroz.

Este año, NetConsulting pasará la gorra, así que avisados estáis.

e-Administración: novedades

Siempre gracias a los bloggueros que proporcionan información muy valiosa, informo que ha sido publicado en el BOE el R.D. 1671/2009, por el que se desarrolla parcialmente la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

A ver qué sale de aquí pero, a bote pronto, lo de parcialmente ya fastidia un poco.

En fin, stay tuned.

Guía sobre cómo se pide la pasta y para qué (RDL 13/2009)

Gracias a las innumerables fuentes de los blog que suelo leer sobre administración electrónica, he podido acceder a la Guía sobre el uso del Fondo Estatal para el empleo y la sostenibilidad local 2010.

Espero poder hacer dos cosas: mencionar a todos los bloggeros que aportan información tan útil como la que acabo de referenciar, así como dar mi opinión sobre esta guía (lo que afecta a la administración electrónica empieza a partir de la diapositiva 8).

Ala, comprometido quedo, a ver si cumplo.

Real Decreto-Ley 13/2009: ya está aquí la pasta

Andan muy preocupados los Ayuntamientos para llegar a la fatídica fecha del 1 de enero de 2010 y tener algo para demostrar que cumplen con lo previsto en la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

Los problemas de financiación de las Entidades Locales ya rozan la emergencia, así que bienvenido sea el Real Decreto-Ley 13/2009, de 26 de octubre (BOE 259, de 27/10/2009). Aquí voy a hacer un rápido resumen para que los Ayuntamientos no dejen pasar la ocasión e intenten aprovecharse de esta financiación extra.

Aviso a navegantes: el procedimiento administrativo de las diferentes fases se efectuará mediante tramitación electrónica a través de la aplicación informática que ponga en marcha el Ministerio de Política Territorial. Es decir, hay que utilizar el Arcadia que, dicho sea de paso, no soporta las versiones Firefox 3.0, así que háganse con un Explorer 6 o superior. Es curioso que, para fomentar la implantación de la Administración Electrónica, pasen por alto uno de sus principios básicos, de neutralidad tecnológica (art. 4.i Ley 11/2007). En fin…

Segundo aviso a navegantes: según el art. 12 de este Real Decreto-Ley, las solicitudes deberán ser presentadas por los Alcaldes, Secretarios o personas autorizadas que, evidentemente, deberán disponer de una firma electrónica reconocida por el Ministerio. Ya me veo yo las carreras de última hora, emitiendo un Decreto de Alcaldía, autorizando al informático de turno presentar la solicitud y firmarla con su propio e-Dni.

¿Qué se financia? En lo que se refiere a implantación de la e-Administración, «podrán financiarse los contratos de suministros que tengan por objeto la adquisición de equipos y sistemas de telecomunicaciones o para el tratamiento de la información (¿es el adiós definitivo al SIGEM?), sus dispositivos y programas; y los contratos de servicios que tengan por objeto la implantación y desarrollo de sistemas y programas informáticos dirigidos a dar cumplimiento al mandato de la Ley 11/2007…». Ya hemos encontrado fondos para pagar a los consultores externos, como un servidor, para la realización de la desconocida reingeniería de procedimientos.

Cuidado: quedan excluidos los servicios de mantenimiento.

¿Cuánto dinero me dan? Ésta es una buena noticia: se sabe de antemano el importe máximo financiable, ya que la dotación del Fondo se distribuirá de manera proporcional a las cifras de población correspondiente a cada Municipio. Además (art. 11), la financiación de cada uno de los proyectos solicitados con cargo al Fondo cubrirá el importe real… del contrato de suministro o del contrato de servicios, hasta el límite máximo señalado anteriormente.

¿Plazos? Tranquilos, todavía tenemos tiempo hasta la carrera del último minuto, ya que el plazo de presentación de las solicitudes (art. 4) será de tres meses, contados a partir del día siguiente a la publicación en el BOE de la resolución del Secretario de Estado de Cooperación Territorial en la que se establezca el modelo para la presentación de las solicitudes y las condiciones para su tramitación.

Tercer aviso a navegantes: que los informáticos de los Ayuntamientos pongan el RSS al BOE, que sino, tocará correr de verdad.

Mi opinión es que hay que aplaudir esta nueva inyección de fondos para la implantación de la Ley 11/2007. Como dicen mis amigos gallegos: «Será por cartos…«.

Expedientes electrónicos y Protección de Datos

En las charlas entre colegas y apasionados de protección de datos y administración electrónica (hay gente con hobbies más raros), siempre surgen temas de debate y preguntas que la práctica diaria impone resolver. Fruto de una de estas conversaciones ha sido la pregunta: ¿puedo poner el nombre de un ciudadano (directo interesado) en el nombre de un documento electrónico? ¿Esta práctica es conforme a la Ley Orgánica de Protección de Datos?

Un ejemplo para aclarar el asunto. Pongamos que yo he sido expedientado por la Concejalía de Urbanismo de mi ayuntamiento por una infracción urbanística. La sanción es definitiva y no caben recursos, así que me toca pagar la sanción.

Por su parte, el Ayuntamiento, para custodiar el expediente electrónico, pone mi nombre a la correspondiente carpeta para archivarlo y, en un futuro, poder acceder a ello.

Visto así, no creo que haya inconvenientes, a priori, para que esta práctica sea conforme a la LOPD. Intentemos ver el porqué.

Para empezar, el expediente electrónico con mi nombre es, sin duda alguna, parte de un fichero, tal y como lo define el art. 3.b) LOPD: «Fichero: todo conjunto organizado de datos de carácter personal, cualquier que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso».

El fichero que el Ayuntamiento habrá declarado ante la Agencia Española de Protección de Datos se llamará, posiblemente, «Expedientes Sancionadores» y, en ese gran cajón, estaremos todos los infractores que, en el ámbito de las competencia municipal, nos hayamos visto como infractores (en materia urbanística, ruidos, medioambiente, etc.).

Tenemos fichero, tenemos tratamiento de datos, tenemos datos personales, hasta tenemos afectados (que soy yo), pero (todavía) no tenemos una respuesta clara a la pregunta inicial.

También tenemos la obligación por parte del Ayuntamiento de almacenar los datos «de forma que permitan el ejercicio del derecho de acceso… (art. 4.6 LOPD). Así que, el Ayuntamiento puede, a mi entender, guardar el expediente con mi nombre. De hecho, cuando yo presente el ejercicio de derecho de acceso, puedo simplemente decir: «Oiga, que quiero saber que saben de mí en Urbanismo«. Si no me pueden buscar con mi nombre, a ver cómo pueden contestar a mi derecho.

Eso sí, las obligaciones del Ayuntamiento no terminan ahí. Tal y como manda el art. 9 LOPD, el Responsable del Fichero (el Ayuntamiento, en este caso) debe tomar todas las medidas técnicas y organizativas para que mis datos (y mi expediente) no sean accedidos (palabro) por personas no autorizadas.

En la práctica, eso quiere decir que el Ayuntamiento no puede permitir a todos los usuarios de la información municiapal poner en el buscador interno mi nombre y que salga asociado al famos expediente sancionador urbanístico. Mucho menos puede (ni debe) permitir que mis datos queden a la vista de un buscador externo. Si así fuera, un motor de búsqueda podría leer mi nombre y devolver como resultado de la búsqueda que yo he sido sancionado por el Ayuntamiento por una determinada infracción.

Para estar seguros de esta afirmación, nos vamos a leer qué dice a este propósito la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

Con el art. 31.3, in fine, nos acercamos a una respuesta más clara ya que los medios de almacenamiento «asegurarán la identificación de los usuarios y el control de accesos, así como el cumplimiento de las garantías previstas en la legislación de protección de datos«.

Et voila.

Definitivamente, podremos llamar a mi expediente sancionador con mi nombre, pero antes nos deberemos de haber asegurado quién, cómo y a qué título accede a esa información.

No me he parado en la diferenciación entre documento administrativo electrónico (art. 29, Ley 11/200/) y expediente electrónico (art. 32, Ley 11/2007), no porque no haya diferencias,  sino porque, en este caso, el tratamiento de los datos personales es el mismo.

En todo caso, como siempre, se aceptan opiniones contrarias.

«La LOPD es difícil de cumplir, por eso paso de ella»

Este blog está dedicado a la e-Administración y a su pariente pobre, la Protección de Datos, aunque reconozco que últimamente está teniendo más peso esta última área.

Hoy escribo sólo para apuntar un par de cosas: la primera, sobre Administración Electrónica, es lo que he leído en Voz y Voto sobre la labor realizada por el Centro de Transferencia de Tecnología (CTT), en materia de documentos y expedientes electrónicos. Me parece muy interesante y fuente de valiosa información que espero poder leer este verano.

La segunda es la noticia publicada en La Nueva España en la que el patólogo de Gijón que ha fallado en la custodia (presuntamente, que no se diga) de datos de carácter personal de Nivel Alto (datos de salud), afirma que, en los datos extraviados (presuntamente, y van dos): «No había ningún dato de diagnóstico de nuestro laboratorio, ni se causó ningún perjuicio a los pacientes debido a la rapidez con la que se localizó la bolsa«.

El abogado de este señor debería haberle aconsejado no abrir la boca, y eso por varios motivos.

1. La ausencia de datos diagnósticos no es una eximente para la aplicación de la LOPD. Si sólo miráramos las definiciones previstas en la legislación vigente en materia de protección de datos (art. 5.1.g, R.D. 1720/2007), nos daremos cuenta que el número de historia clínica y el nombre y apellidos de los pacientes son datos suficientes para la aplicación de la LOPD.

2. «No se ha producido ningún perjuicio para los pacientes». Vamos a ver, hombre de Dios. Ser patólogo no implica necesariamente conocer el alcance de los perjuicios sufridos por los pacientes, cuyos datos médicos han sido extraviado (temporalmente). En todo caso, para que se aplique la LOPD, no es necesario que se verifique un perjuicio; simplemente, bastará con no haber cumplido la legislación vigente.

3. «La Agencia de Protección de Datos, cuyo único fin es recaudativo, decidirá si cierran el caso o rebajan la multa…». Hombre, no, por favor. Un hombre de ciencias que alimenta estos mitos urbanos… Por cierto, por «recaudativo», creo, deberá entenderse «recaudatorio».

¿Cómo es posible, a estas alturas, que el sector médico todavía no sea plenamente cosciente de la importancia de la Ley Orgánica de Protección de Datos?

LOPD 2009 Summer Tour

El mes pasado, a través de la Diputación de Alicante y del IVAP, recibí la invitación para la realización de un curso dirigido a funcionarios de los ayuntamientos de la Provincia de Alicante.

El módulo que me ha tocado, una vez más, ha sido el de Protección de Datos, dentro del curso sobre Administración Electrónica.

Tomando prestado términos de la jerga musical, he bautizado las charlas itinerantes como «Los bolos de la LOPD«. Nos hemos servido de las aulas de formación de la Diputación, que cumplían perfectamente con las exigencias docentes.

Villena, Denia, Rojales, el Hogar Provincial de Alicante y Cocentaina han sido los escenarios de las actuaciones y que conste que en ningún caso he conseguido llegar al final de las diapositivas que tenía preparadas.

Sin duda, ha sido por mi falta de previsión, pero también ha sido por la curiosidad de los asistentes por saber más sobre estos temas.

No deja de sorprenderme la idea, confirmada por muchos asistentes, de que la Protección de Datos es la gran desconocida en la Administración Pública (por lo menos, en el ámbito de la Administración Pública Local). De ahí, que nunca pudiera llegar a terminar la exposición, porque había miles (bueno, dejémoslo en muchas) preguntas por contestar.

Por qué la LOPD es una perfecta desconocida en la en la Administración Local: algunos motivos.

In primis, el escaso interés por formar a los funcionarios públicos sobre estos temas. También incide mucho la misma estructura de algunos ayuntamientos que, con sus «funcionarios-orquesta«, poco tiempo pueden dedicar a la formación.

El poco eficaz sistema de sanciones para el sector público también incide lo suyo, aunque puede que, con la tan cacareada activación de la aplicación del art. 19 LOPD, las cosas cambien (francamente, éste es mi deseo).

En fin, que la ignorancia sobre estos aspectos legales tiene muchos padres y resulta que, casi 10 años después de la entrada en vigor de la LOPD, nadie quiera hacerse cargo de «la pobre criatura«.

Entonces, ¿a qué se debe este repentino interés por la Protección de Datos? La culpa la tiene el art. 4 de la Ley 11/2007 que, entre los principios generales que deberán regir la llegada de la Administración Electrónica (cual mesías de la solución al problema de la burocracia) dice (más o menos) así:

«Muy bien, vais a implantar la Administración Pública del futuro, pero, ojo, no os olvidéis de algunos viejos principios como la protección de datos«.

Así, respondo también a uno de los asistentes a estos cursos que me preguntaba «Yo he venido a un curso sobre e-Administración. ¿Por qué me sueltas el rollo de la LOPD?». Pues, porque sin esta última no habrá la primera.

Las casi 4 horas de charla sin interrupción (qué sufridos son los funcionarios, oiga) pretendían ver los nexos más evidentes entre la LOPD y la actividad diaria de la actividad administrativa. El objetivo último era concienciar sobre la importancia de esta legislación, así como sobre enorme importancia para la actividad administrativa y cómo pequeños despistes pueden perjudicar seriamente la vida de los ciudadanos.

¿Conclusiones?Varias y variadas.

1. Hace falta más formación. Ha quedado claro que tanto la Administración Electrónica, como la adecuación a la LOPD no es «cosas de ordenadores«, sino más bien, «cosas de personas que piensan en cómo hacer bien las cosas«.

2. La formación debe incluir necesariamente una componente tecnológica, aunque mínima, para evitar comentarios como: «¿qué es twitter?».

3. No podemos empezar con la e-Administración, si no hemos hecho los deberes (léase, protección de datos).

4. Tenemos funcionarios con ganas de aprender: ¡suéltenlos! Que parece que asistir a curso de formación es sinónimo de ir a pasar el día de excursión.

5. Con todas las tecnologías disponibles, ¿cómo es posible que los organismos intermedios no preparen una plataforma de formación on line? Ah, bendito e-learning…

SIGEM 1.7

Lo que faltaba para fastidiar este fin de semana de merecido descanso: acaba de publicarse la versión 1.7 del SIGEM.

Me voy a descargar las toneladas de documentos y manuales y veremos qué saco en limpio.

No publico los links de descarga porque todavía no tengo claro si esta información puede hacerse pública o no. En todo caso, creo que los interesados pueden pedir la documentación en la Web del Plan Avanza.

¡A estudiar!

P.S. 372 MB, se me hará de noche.

SICARM 2009

En realidad, debería de seguir publicando el resumen de la charla realizada para la Diputación de Alicante, pero esto de la crisis hace que uno tenga que trabajar el doble.

Por ese motivo (lo de trabajar el doble) ni siquiera he podido asistir al SICARM de este año. Menos mal que la organización (in primis, el Prof. Julian Valero), se ha encargado de publicar el link donde se pueden ver las intervenciones.

No es como haber estado ahí, pero…

P.S. Estas micro entradas no caben en el Twitter, tendré que resumir.

Una charla con amigos, la e-Administración y la LOPD – 1ª Parte

El pasado 28 de abril, la Dipitación de Alicante me invitó a dar una charla sobre la Protección de Datos en las Administraciones Locales. La charla era, en realidad, parte de un módulo más amplio sobre los retos de la Administración Electrónica para los pequeños Ayuntamientos.

Cuando llegué al aula, dentro del complejo del Hogar Provincial, me encontré con algunos clientes y, a pesar de ello, amigos. Eso hizo que la charla perdiera parte de su carácter formal-académico y se convirtiera más en un debate sobre los problemas que afectan a los técnicos informáticos de los Ayuntmientos en su día a día. Parece que se ha instaurado una regla no escrita según la cual «el informático» es el que se tiene que ocupar de «estas cosas modernas» como son la LAE y la LOPD.

Teníamos 3 horas a nuestra disposición y resultó que ni pausa café hicimos, tanto nos enfrascamos en los intríngulis de la Protección de Datos. A lo largo de la charla, prometí publicar un resumen en este blog, pero, las cosas como son, no he tenido tiempo. Así que va siendo hora de hacer el resumen prometido.

Después de haber hecho un inicial y rápido resumen sobre los antecedentes de la LAE, la LOPD y sus cruces de intereses, hemos pasado a revisar, también rápidamente, los deberes formales en materia de Protección de Datos que incumben sobre los Entes Locales. De paso, hemos recordado el artículo 4.a de la LAE, donde, entre los principios generales, se hace expresa mención a «El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la LOPD…«.

En este momento ya han aparecido entre los asistentes las primeras caras de preplejidad: «¿Para qué estaré yo buscando dinero para comprar el Gestor Documental molón si mis compañeros del Ayuntamiento ni siquiera conocen la LOPD?». La sensación de que, en los procedimientos de implantación de la Administración Electrónica en las entidades locales, se estaba trascurando un aspecto determinante, pues, se empezó a generalizar.

Por ejemplo, salvo un par de honrosas excepciones, nadie había pasado la auditoría en materia de Protección de Datos en los últimos años. Esta situación reflejaba los resultados de la pequeña estadística realizada a través de este blog donde había un preocupante 50% de lectores que había marcado la casilla «¿Auditoría LOPD? ¿Existe eso?«.

¿No estaremos empezando la casa de la Administración Electrónica por el tejado? Las dudas aumentaban.

Si hay que adecuarse a la LOPD, ¿por dónde empezamos?vYo sugerí empezar por los aspectos formales:

Pareció que todos estuvieron de acuerdo, pero algunos ya se empezaron a olerse por dónde irían los tiros.

Si la declaración del fichero (con todas las particularidades descritas por el Título V de la LOPD), y la redacción de un Documento de Seguridad son tareas al alcance de unos funcionarios preparados, la asunción de las responsabilidades propias de la figura del Responsable de Seguridad ya era harina de otro costal.

Cuando se empezó a hablar del Responsable de Seguridad, entró en escena una figura que nos ha acompañado a lo largo del resto de la charla:

Este muñequito, sobre cuya foto no tengo derecho de autor y que utilizo sólo docendi causa, quería representar al técnico del Ayuntamiento sobre el cual, de repente, recaían todas las responsabilidades de puesta en marcha de medidas de seguridad para la adecuación a la LOPD. Casi todos se vieron inmediatamente reflejados en él, asumiendo resignadamente que no se podrían librar de ser el Responsable de Seguridad. Eso sí, no llegamos a bautizarlo, pero tarde o temprano le pondremos nombre.

La identificación entre el Responsable de Seguridad y «el informático» parecía automática, pero yo me atreví a introducir un elemento de duda, a partir de la definición prevista en el art. 5.2.l), del R.D. 1720/2007: «Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables».

Convertirse o no en dependía ahora de un adverbio: «formalmente«.

«Si no hay ningún nombramiento formal, y aunque en mi actividad diaria yo desarrolle buena parte de las funciones propias del Responsable de Seguridad (controlar y coordinar las medidas de seguridad), ¿soy o no soy? Mi opinión es que, si la ley exige un nombramiento formal, sin éste, no puede haber Responsable de Seguridad. Esto afectaríatambién al eventual régimen sancionatorio disciplinar por violación de las medidas de seguridad previstas en la LOPD.

Justo el régimen sancionador ha sido el objeto de la segunda parte de la charla. Prometo seguir con el resumen en breve.

Mi ar y controlar las medidas de seguridad aplicables

SIGEM: Gestión de Expedientes (2ª parte)

Siento no haber seguido con la constancia debida el estudio del SIGEM, pero es fácil entender que el trabajo diario, la crisis, el estudio y mil cosas más no permiten seguir el ritmo de publicaciones deseado (por mí, claro está).

Vuelvo, después del primer post, a la Gestión de Expedientes, para ver cómo funciona por dentro el gestor documental, estrella del Plan Avanza. También aprovecho para denunciar errores gramaticales que se repiten constantemente en los manuales del SIGEM. Por favor,  en las frases que empiezan por «En ésta pantalla…», «ésta» es adjetivo y no lleva tilde.

Para gestionar los expedientes (mejor dicho, los modelos de expedientes), el usuario tiene que identificarse a través de una simple pantalla donde introducr «usuario» y «contraseña». No está de más verificar que este usuario tenga las capacidades profesionales para rediseñar los procedimientos administrativos de la entidad. Creo aconsejable incluir la colaboración de los Servicios Jurídicos de la entidad, así como el Secretario Municipal, en el caso de los Ayuntamientos.

Llegado a este punto, me esperaba encontrar las indicaciones sobre cómo dar de alta un procedimiento, mientras que me encuentro con el apartado «cómo dar de alta una fase» (dentro de un procedimiento). Además, en la redacción de este manual no estaba presente ningún abogado administrativista, si no no habría permitido que la fase de «Instrucción» fuera posterior a la fase de «Resolución«.

Pues, sigamos la lógica del manual y demos de alta una Fase de un procedimiento todavía por crear.

Para rellenar estos campos, tendremos que recurrir a elementos a los principios del Derecho Administrativo. De paso, ¿quién es el Jesús que aparece como usuario de esta prueba?

Volviendo a las fases, pongamos que éstas sean sólo las siguientes:

1. Iniciación

2. Instrucción

3. Finalización

Dentro de cada fase, lógicamente tendremos varias más, como por ejemplo, la 2.1. de Subsanación, y las 3.1 Deliberación y 3.2. Notificación. Estas subfases, en la terminología del manual del SIGEM se llaman «trámites«.

Este momento es muy delicado, porque es el momento en el cual se rescribe un procedimiento administrativo, así que se invita a que lo que resulte de esta reingeniería del procedimientos encaje en la normativa que lo sustenta.

A cada «trámite» se le pueden asociar «documentos» que pueden ser el fruto de «plantillas» predeterminadas. Una vez más, es necesario hacer una pequeña consideración jurídica. Cuidado con las «plantillas», cuando éstas se usan como «motivación» de los actos administrativos. Aunque en la práctica diaria, es muy útil utilizar plantillas preconfeccionadas, la aplicación indiscriminada de las mismas puede acarrear, una vez más, la nulidad del acto administrativo, por falta de un elemento fundamental del mismo, es decir, la motivación de ese asunto en particular.

Insisto mucho en las capacidades técnicas y legales de los que participan en esta fase. Aquí el usuario puede incluso eliminar una fase del procedimiento y esto puede afectar a la legalidad de toda la tramitación.

Seguiré con las «entidades» si al final me aclaro qué son.

Perspectivas para 2009 en Administración Electrónica

La Web de OpenPropolis ha pedido a una serie de expertos una opinión sobre las perspectivas en materia de Administración Electrónica para este año 2009.

Al lado de otros autores más cualificados, he intentado reflejar las dos visiones, entre sí opuestas, que me encuentro en mi día a día profesional: los pesismistas, que dicen que la Ley 11/2007 no se llevará a cabo (o, por lo menos, no tal y como está planteada); y los optimistas, que ven en la LAE la panacea contra todos los males no sólo de la Administración Pública, sino de la economía española en general.

Estoy muy agradecido a la gente de OpenPropolis por su invitación y espero con curiosidad a saber cuál de los dos bandos (pesimistas vs optimistas) ganará la contienda.

Los datos personales en manos de la Administración: ¿límites? 2ª Parte

Off topic de Derecho Constitucional, escrito desde la ignorancia y con mucho atrevimiento.

Las mejoras en eficacia y en eficiencia en la Administración pasan, necesariamente, por una mayor eficacia en el tratamiento de la información. Cuando este tratamiento afecta a los datos personales, entonces, tendremos que cumplir con la legislación en materia de Protección de Datos de Carácter Personal.

La pregunta fundamental de mi anterior post era (y es) ¿abusan las Administraciones de la cantidad de datos que poseen de nosotros? Y, si lo hacen, ¿qué remedios tiene el ciudadano/afectado?

A partir de estas preguntas, todo el mundo ha contribuido con su visión sobre el asunto y ahora pruebo a ir más allá, con algunas afirmaciones y a ver qué opináis.

1. La Administración española no paga por sus errores en el tratamiento de los datos personales.

Es por ese motivo que no estoy de acuerdo con Andrés Nin cuando afirma que le despierta mayores preocupaciones los abusos de los datos tratados por empresas privadas respecto a los abusos perpetrados por organismos públicos.

Un caso real: Hospital de Villajoyosa, (no tengo el link a la resolución de la Agencia Española de Protección de Datos – AEPD) fue sancionado por el erróneo tratamiento de los datos de salud de una paciente del servicio de psiquiatría, clasificando la infracción a la LOPD como muy grave. La paciente, por ese error, sufrió consecuencias muy graves en un juicio civil, mientras los responsables médicos y administrativos del servicio de psiquiatría siguen en sus puestos.

El mismo caso, en un hospital privado, se hubiera resuelto con una sanción económica no inferior a los 50 millones de las antiguas pesetas. Mismo daño, distintas consecuencias.

Otro apunte: incluso si no tuviéramos la LOPD, frente a un tratamiento no apropiado (por excesivo, por no haber sido consentido, etc.) realizado por una empresa privada, siempre nos quedará el «no uso» de los servicios de esa empresa.

A mi no me preocupa que Amazon (empresa privada) construya un perfil sobre mi persona sin mi consentimiento; como mucho, me molesta y, si la ley me lo permite, defenderé mis intereses (en España, la empresa sería sancionada). Sin embargo, si el perfil lo realiza la Administración, tendré pocos medios efectivos para defender mis intereses.

Por lo tanto, si bien existe un régimen sancionador para las Administraciones Públicas (artículo 46 LOPD), éste es más benévolo que el régimen sancionador previsto para las empresas privadas. Tampoco conozco caso alguno en el cual el Director de la AEPD ha hecho recuros de la facultad de iniciar actuaciones disciplinarias para los Responsables de Administraciones Públicas.

2. Todos estamos controlados y no nos importa, pero…

Sé que  existen muchos datos sobre mi que, a lo largo del tiempo, de forma más o menos consciente, he ido espaciendo por Internet. De hecho, en mi propio perfil de Facebook descubro mis preferencias musicales, al lado de mi opinión político-irónico-religiosa de adhesión al Grupo «Hagamos del Vaticano un nuevo Acualandia«.

El hecho de dar a conocer aspectos de mi personalidad sólo demuestran una cosa: mi libertad de opinión. ¿Estos datos pueden ser usados para que una empresa no me contrate? Entonces, es muy posible que, para mi forma de ser, no merecía la pena trabajar en esa empresa.

La libertad de expresión y opinión no es gratuita ya que, la manifestar públicamente mis opiniones (sobre la e-Administración o sobre los aberrantes bombardeos israelíes sobre Gaza) digo quién y cómo soy y eso puede no ser de agrado de algunos. Si los que no comulgan con mis opiniones (faltaría más) son particulares o empresas privadas, pues, allá ellos. Si quien no aprecia mis opiniones es una Administración y adopta decisiones en base a estas opiniones, es posible que esté cometiendo un delito de prevaricación.

Lo que no puede ser, y coincido con Félix Serrano, es que la Administración, con la excusa de la seguridad, almacene datos (de cualquier tipo) sobre mi. Eso lo hacía la STASI y ya sabemos lo bochornoso que ha sido sacar a la luz sus inútiles y ridículos archivos.

Por lo tanto, todos estamos controlados (melius, todos estamos expuestos al juicio crítico de los demás) y no nos importa, porque ésta es nuestra forma de expresar el derecho de opinión. Pero…

Pero, cuando veamos nuestra identidad amenazada, por lo menos en España, tendremos herrmaientas legales para defender nuestros derechos. Estas herramientas serán de carácter penal, civil o administrativo. En este último caso, una vez más, deberemos acontentarnos del escaso efecto sancionador de la LOPD frente a la Administración.

En todo caso, si no queremos estar continuamente en las trincheras y queremos una forma más sencilla de expresar nuestras opiniones libremente, existirá siempre la posibilidad del pseudónimo/alias/nickname.

Y todo esto sin haber tocado el artículo 11 R.D. 1720/2007.

Los datos personales en manos de la Administración: ¿límites?

El Prof. Julián Valero, a través de la Lista de Correo sobre Protección de Datos, ha dado difusión a un interesante trabajo del Comisionado para los Derechos Humanos, del cual apunto el link en inglés y en francés.

Asusta un poco ver hasta dónde se puede llegar para defender a los buenos ciudadanos de los peligros terroristas, pidiéndoles a cambio que den todos sus datos personales al Gran Hermano.

Leyendo este texto, se aprenden un montón de cosas que, debido a la solvencia de quién las publica, merecen una análisis muy seria. Hasta he aprendido que existen virus que permiten encender a distancia la cam y el micro de un ordenador. Este software puede ser utilizado por «los buenos«, es decir, las fuerzas y cuerpos de seguridad del Estado. Si esto es así, ¿qué tendrán «los malos» para espiarnos?

Otra información muy importante es que no existe una definición universalmente aceptada de terrorismo. Eso permite que, en función de cómo sople el viento, los buenos puedan suspender el cumplimiento de las normas sobre privacidad y protección de datos, justificándose en las exigencias de la lucha al terrorismo. De hecho, siempre he pensado en que Giuseppe Garibaldi, hoy en día, sería uno de los terroristas internacionales más buscados, en vez de ser el artífice militar de la unificación de Italia. ¿Terrorista? ¿Defensor de la libertad? Estas preguntas aparecen también en este «Protecting the right to privacy in the fight against terrorism«.

Pero más allá de las consideraciones sobre quién es terrorista y quién no lo es (sólo hace falta echar un vistazo a los bombardeos de Palestina para aclararnos/confundirnos más las ideas), lo que sí es indudable es que la esfera de la intimidad viene recortada a diario, en beneficio de una nunca probada mayor seguridad contra las amenazas del terrorismo, sea eso lo que fuera.

Estos documentos, además, hacen repensar lo dicho en este blog sobre el alcance de los datos personales incluidos en el e-DNI y sobre la proporcionalidad de los mismos. A este proposito, lo dicho en el documento de quo en el punto 5.1. obliga a revisar mis opiniones, para ver si las mismas siguen teniendo algún fundamento o es necesario ajustarlas a la luz de lo que se aprende día a día.

Datos personales, límites del tratamiento, finalidades y seguridad deberán ser, además, analizadas a la luz del (creo yo), poco estudiado artículo 11, del R.D. 1720/2007 y su influencia sobre la Administración electrónica.

Muchas tareas para el nuevo año, así que toca estudiar y discutir más.

Feliz Año 2009

El mensaje no es muy original, pero de verdad deseo a todos los colaboradores de este blog un Feliz Año 2009. Al fin y al cabo, sólo faltan 365 días para que tengamos la Administración Electrónica en casa, n’est pas?