La Formación en materia de Protección de Datos en los Ayuntamientos

Después de una jornada como hoy, en la que, por turnos, he conseguido dar una charla sobre Protección de Datos a todos los funcionarios de un Ayuntamiento, uno se da cuenta de que los usuarios públicos (léase, funcionarios) están más concienciados sobre la privacidad de la información que los gestores políticos (léase concejales).

Hemos repasado los conceptos básicos como qué es un dato personal, qué se entiende por tratamiento, hasta llegar al deber de información, previsto en el art. 5 LOPD, el consentimiento, las cesiones de datos y los encargados del tratamiento.

Las preguntas que me han hecho han sdio de carácter eminentemente práctico, centrándose sobre todo en la escasez de medios técnicos (he visto ordenadores con licencias «home edition«) y en la lucha encarnizada para denegar (o, por lo menos, oponerse) a las absurdas (y a veces, ilegales) peticiones de los concejales.

Los funcionarios, en estos casos, se ven sometidos a una fuerte presión por «sacar datos de donde no debemos». ¿Qué hacer en estos casos?

Pues, en el Ayuntamiento en cuestión, los funcionarios pueden contar con un Secretario Municipal preparado, consciente de la importancia de los datos de carácter personal de los ciudadanos y dispuestos a asumir las competencias propias de un Responsable de Seguridad. Además, todo hay que decirlo, es raro encontrar un Secretario que se preocupe por estos asuntos, enfrascados como están, entre otras cosas, en resolver los problemas de las agotadas cajas municipales, que ningún Plan E, F o Z parece poder resolver.

Creo firmemente en la necesaria modificación del sistema sancionador previsto en la LOPD para las Administraciones Públicas, modificando el art. 46 y dejando bien claro que «chi la fa, l’aspetti«. Por cierto, no he dicho que el Secretario Municipal del que hablo es una mujer. Menos mal que los tiempos cambian.

P.S. Estimado Sr. Secretario de Estado de Telecomunicaciones, D. Francisco Ros, por si acaso lee estas líneas, en sus planes para generar «Confianza en la Sociedad de la Información«, por favor, incluya también un rápido cursillo para los concejales.

Real Decreto-Ley 13/2009: ya está aquí la pasta

Andan muy preocupados los Ayuntamientos para llegar a la fatídica fecha del 1 de enero de 2010 y tener algo para demostrar que cumplen con lo previsto en la Ley 11/2007, de acceso electrónico de los ciudadanos a los servicios públicos.

Los problemas de financiación de las Entidades Locales ya rozan la emergencia, así que bienvenido sea el Real Decreto-Ley 13/2009, de 26 de octubre (BOE 259, de 27/10/2009). Aquí voy a hacer un rápido resumen para que los Ayuntamientos no dejen pasar la ocasión e intenten aprovecharse de esta financiación extra.

Aviso a navegantes: el procedimiento administrativo de las diferentes fases se efectuará mediante tramitación electrónica a través de la aplicación informática que ponga en marcha el Ministerio de Política Territorial. Es decir, hay que utilizar el Arcadia que, dicho sea de paso, no soporta las versiones Firefox 3.0, así que háganse con un Explorer 6 o superior. Es curioso que, para fomentar la implantación de la Administración Electrónica, pasen por alto uno de sus principios básicos, de neutralidad tecnológica (art. 4.i Ley 11/2007). En fin…

Segundo aviso a navegantes: según el art. 12 de este Real Decreto-Ley, las solicitudes deberán ser presentadas por los Alcaldes, Secretarios o personas autorizadas que, evidentemente, deberán disponer de una firma electrónica reconocida por el Ministerio. Ya me veo yo las carreras de última hora, emitiendo un Decreto de Alcaldía, autorizando al informático de turno presentar la solicitud y firmarla con su propio e-Dni.

¿Qué se financia? En lo que se refiere a implantación de la e-Administración, «podrán financiarse los contratos de suministros que tengan por objeto la adquisición de equipos y sistemas de telecomunicaciones o para el tratamiento de la información (¿es el adiós definitivo al SIGEM?), sus dispositivos y programas; y los contratos de servicios que tengan por objeto la implantación y desarrollo de sistemas y programas informáticos dirigidos a dar cumplimiento al mandato de la Ley 11/2007…». Ya hemos encontrado fondos para pagar a los consultores externos, como un servidor, para la realización de la desconocida reingeniería de procedimientos.

Cuidado: quedan excluidos los servicios de mantenimiento.

¿Cuánto dinero me dan? Ésta es una buena noticia: se sabe de antemano el importe máximo financiable, ya que la dotación del Fondo se distribuirá de manera proporcional a las cifras de población correspondiente a cada Municipio. Además (art. 11), la financiación de cada uno de los proyectos solicitados con cargo al Fondo cubrirá el importe real… del contrato de suministro o del contrato de servicios, hasta el límite máximo señalado anteriormente.

¿Plazos? Tranquilos, todavía tenemos tiempo hasta la carrera del último minuto, ya que el plazo de presentación de las solicitudes (art. 4) será de tres meses, contados a partir del día siguiente a la publicación en el BOE de la resolución del Secretario de Estado de Cooperación Territorial en la que se establezca el modelo para la presentación de las solicitudes y las condiciones para su tramitación.

Tercer aviso a navegantes: que los informáticos de los Ayuntamientos pongan el RSS al BOE, que sino, tocará correr de verdad.

Mi opinión es que hay que aplaudir esta nueva inyección de fondos para la implantación de la Ley 11/2007. Como dicen mis amigos gallegos: «Será por cartos…«.

Una charla con amigos, la e-Administración y la LOPD – 2ª Parte

Antes de seguir con la documentación sobre el SIGEM 1.7, voy a apuntar las reflexiones sobre el régimen sancionador en materia de protección de datos, para los Responsables de Ficheros públicos, que quedaron pendiente de resumir.

Después de haber recordado rápidamente la clasificación de las infracciones previstas en el artículo 44 LOPD (apartados 2 como leves, 3 como graves y 4 como muy graves), empezamos a ver qué pasa si un Ayuntamiento, por ejemplo, es sancionado por la Agencia Española de Protección de Datos (AEPD).

Analizando algunas de las resoluciones sancionatorias del último año, veíamos como todas terminaban con un reproche y con una advertencia a que los infractores tomasen las oportunas medidas de seguridad para que el incidente no se volviera a repetir.

Y ya está.

Es decir, aunque las sanciones fueran por infracciones muy graves, todo terminaba en un: «Chico malo, no lo vuelvas a hacer«. A todas luces, el poder coercitivo de estos reproches parecía un poco escaso. He hablado yo con algunos alcaldes que, sin el menor reparo, han hecho delante de mis narices la siguiente cuenta:

• Adecuar mi Ayuntamiento a la LOPD me cuesta X;
• Las sanciones que me pueden «caer» me costarían «0» (cero);
• X es mayor de cero;
• Ergo, ese dinero lo meto en las fiestas del pueblo, que me salen más a cuento. «Gracias por haber venido«.

Los que se dedican a esto de la Protección de Datos, pues, andamos desde siempre un poco moscas por la disparidad de trato (entre entes públicos y privados) en el régimen sancionador, así que, como chamanes invocando justicia divina, esperábamos que, algún día, un tribunal se decidiera a aplicar lo previsto en el artículo 19 LOPD. Esto es, antender a los interesados que, habiéndose visto perjudicados por una infracción de la LOPD, vieran reconocidos los daños y perjuicios padecidos a raíz de esta infracción, y pudieran pedir responsabilidad patrimonial a la Administración infractora.

Gracias a los amigos del Departamento de Derecho Administrativo de la Universidad de Murcia (y a su siempre interesante foro de discusión), me enteré de la Sentencia n. 1932/2003, de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Extremadura, que sí había antecedentes de Responsabilidad Patrimonial. En el caso en cuestión, se había condenado a la Concejería de Bienestar Social a pagar 6.000€ por haber una infracción a la LOPD, sancionada con anterioridad por la AEPD.

«Eppur si muove«.

«Oiga, y ya puestos a pedir, para frenar los desmanes de las Administraciones Públicas en protección de datos, ¿no se podrían explorar las vías penales?»

Y eso nos pusimos a hacer en la parte final de la charla.

Y empezamos por el artículo 199 (la aplicación del artículo 197 requiere dolo, y eso ya me parece desproporcionado, como caso de estudio).

Comportamiento relevante penalmente:

1. estar al cargo de la custodia/tratamiento de información personal que debe mantenerse en secreto (toda información personal)
2. revelar esta información

Como las revelaciones pueden ser por dolo o por culpa (negligencia, impericia, imprudencia), pues, el fantasma de una condena a prisión de uno a tres años empezaba a preocupar a los asistentes a la charla.

Francamente, espero que algún penalista que tenga ganas (y paciencia), me aclare si este análisis propuesto es muy descabellado, así espantamos a nuesto

De hecho, las cosas se complican si el que llevara a cabo el comportamiento delictivo fuera un «profesional». Por ejemplo, un Responsable de Seguridad, que se verá condenado con prisión de 1 a 4 años e inhabilitación especial para la profesión de 2 a 6 años.

Y eso que no nos dio tiempo a ver los detalles del Título XIX, de los Delitos contra la Administración Pública, Cap. IV – De la infideliad en la custodia de documentos y de la violación de secreto. De entrada, volvimos a descartar los artículos que penaban los comportamientos dolosos (artículos 413, 414 y 415), pero nos volvimos a topar con el inquietante artículo 417.

En ese punto, tocó la campana y la gente se marchó a su casa, pero ya había entrado de lleno en las preocupaciones de los Responsables de Seguridad.

SIGEM: Gestión de Expedientes (2ª parte)

Siento no haber seguido con la constancia debida el estudio del SIGEM, pero es fácil entender que el trabajo diario, la crisis, el estudio y mil cosas más no permiten seguir el ritmo de publicaciones deseado (por mí, claro está).

Vuelvo, después del primer post, a la Gestión de Expedientes, para ver cómo funciona por dentro el gestor documental, estrella del Plan Avanza. También aprovecho para denunciar errores gramaticales que se repiten constantemente en los manuales del SIGEM. Por favor,  en las frases que empiezan por «En ésta pantalla…», «ésta» es adjetivo y no lleva tilde.

Para gestionar los expedientes (mejor dicho, los modelos de expedientes), el usuario tiene que identificarse a través de una simple pantalla donde introducr «usuario» y «contraseña». No está de más verificar que este usuario tenga las capacidades profesionales para rediseñar los procedimientos administrativos de la entidad. Creo aconsejable incluir la colaboración de los Servicios Jurídicos de la entidad, así como el Secretario Municipal, en el caso de los Ayuntamientos.

Llegado a este punto, me esperaba encontrar las indicaciones sobre cómo dar de alta un procedimiento, mientras que me encuentro con el apartado «cómo dar de alta una fase» (dentro de un procedimiento). Además, en la redacción de este manual no estaba presente ningún abogado administrativista, si no no habría permitido que la fase de «Instrucción» fuera posterior a la fase de «Resolución«.

Pues, sigamos la lógica del manual y demos de alta una Fase de un procedimiento todavía por crear.

Para rellenar estos campos, tendremos que recurrir a elementos a los principios del Derecho Administrativo. De paso, ¿quién es el Jesús que aparece como usuario de esta prueba?

Volviendo a las fases, pongamos que éstas sean sólo las siguientes:

1. Iniciación

2. Instrucción

3. Finalización

Dentro de cada fase, lógicamente tendremos varias más, como por ejemplo, la 2.1. de Subsanación, y las 3.1 Deliberación y 3.2. Notificación. Estas subfases, en la terminología del manual del SIGEM se llaman «trámites«.

Este momento es muy delicado, porque es el momento en el cual se rescribe un procedimiento administrativo, así que se invita a que lo que resulte de esta reingeniería del procedimientos encaje en la normativa que lo sustenta.

A cada «trámite» se le pueden asociar «documentos» que pueden ser el fruto de «plantillas» predeterminadas. Una vez más, es necesario hacer una pequeña consideración jurídica. Cuidado con las «plantillas», cuando éstas se usan como «motivación» de los actos administrativos. Aunque en la práctica diaria, es muy útil utilizar plantillas preconfeccionadas, la aplicación indiscriminada de las mismas puede acarrear, una vez más, la nulidad del acto administrativo, por falta de un elemento fundamental del mismo, es decir, la motivación de ese asunto en particular.

Insisto mucho en las capacidades técnicas y legales de los que participan en esta fase. Aquí el usuario puede incluso eliminar una fase del procedimiento y esto puede afectar a la legalidad de toda la tramitación.

Seguiré con las «entidades» si al final me aclaro qué son.